Key Takeaways
El panorama digital actual se caracteriza por ataques sofisticados dirigidos a datos en entornos de software como servicio (SaaS). Durante la última edición de Dreamforce, destacados ejecutivos de seguridad —entre ellos Lee Kaiser (CISO, Highspring), Matt Hillary (CISO, Drata) y Kelly McCracken (SVP, Cybersecurity Operations Center, Salesforce)— compartieron sus estrategias para gestionar riesgos y establecer marcos sólidos de gobernanza de IA en las organizaciones. Estas reflexiones subrayan la complejidad de proteger ecosistemas con múltiples proveedores y la imperativa necesidad de apostar por una resiliencia proactiva ante amenazas cada vez más avanzadas.
El reto del riesgo de terceros en entornos SaaS
A medida que las organizaciones adoptan SaaS por su rapidez y escalabilidad, pierden parte del control sobre su modelo de seguridad. Este cambio complica la gobernanza de IA, ya que los equipos deben confiar en los controles nativos de múltiples aplicaciones mientras coordinan su correcta configuración con los administradores de sistemas.
El reto se amplifica con el uso masivo de SaaS: muchas organizaciones gestionan cientos de aplicaciones, no todas integradas con soluciones de inicio de sesión único (SSO) o sistemas avanzados de gestión de endpoints. «El mayor desafío para los equipos de seguridad es configurar los controles de seguridad nativos de la propia aplicación SaaS«, señala Kaiser mientras destaca los riesgos inherentes a este nuevo paradigma.
Además, las aplicaciones de terceros se han convertido en un vector crítico de ataque. Aunque no formen parte del núcleo de las plataformas, pueden comprometer datos o procesos clave. Por ello, se requiere una supervisión continua y estructurada del ecosistema de proveedores.
Para mitigar estos riesgos, los CISO recomiendan establecer revisiones de seguridad obligatorias para cada nueva aplicación y priorizar en función del impacto financiero. Aun así, reconocen que la complejidad del entorno hace imposible eliminar completamente el riesgo.
Prepare su estrategia de seguridad informática para el futuro
Descubra cómo los principales profesionales de la seguridad y el cumplimiento protegen sus datos en la era de la IA. Descargue nuestro informe Estado de las TI: Seguridad
Cambio hacia una resiliencia proactiva
Ante amenazas cada vez más sofisticadas, los enfoques tradicionales basados en detección y respuesta resultan insuficientes. Las organizaciones deben evolucionar hacia modelos de resiliencia proactiva que refuercen la gobernanza de IA desde el diseño.
Este cambio implica no solo adoptar tecnologías avanzadas, sino también transformar la forma en que interactúan los equipos de seguridad y negocio. La tensión entre control y agilidad sigue presente, pero ahora debe gestionarse de forma estratégica. Kaiser lo describió como «el problema de Exportar a Excel», donde el área de seguridad debe imponer requisitos no negociables, aunque estos no siempre resulten populares en el negocio.
Las soluciones de detección y respuesta gestionadas (MDR) y de prevención (MPR), impulsadas por inteligencia artificial, permiten anticipar amenazas y actuar antes de que se materialicen.
Asimismo, Hillary explicó cómo su equipo está implementando un enfoque «shift-left proactivo» para codificar las configuraciones de SaaS, mediante el cual se detectan y evitan los cambios que introducen riesgos antes de que se implementen. Este modelo refuerza una seguridad integrada, donde la prevención es tan importante como la respuesta.
Gobernar el futuro de la seguridad en SaaS
Con la aparición de agentes de IA, establecer una gobernanza de IA clara es el desafío más crítico. El crecimiento exponencial de aplicaciones registradas exige un modelo de aprobación estricto. Un enfoque de «denegar por defecto» gestionado a través de un consejo especializado parece ser la única estrategia viable.
- Consejos de supervisión: Colaboración entre el CISO, el CIO y el área jurídica para evaluar cada nueva funcionalidad.
- Escrutinio de los LLM: Supervisión de los modelos de lenguaje grandes (LLM) para mitigar riesgos de sesgo y privacidad.
- Visibilidad de datos: Garantizar que la gobernanza de IA aplique los mismos estándares rigurosos que se exigen a cualquier solución SaaS de terceros.
El camino hacia la innovación segura
No existe una solución única para garantizar la seguridad en entornos SaaS e IA. El éxito depende de combinar controles técnicos, procesos organizativos y colaboración constante entre equipos.
En este contexto, la gobernanza de IA debe integrarse en toda la organización, no tratarse como un elemento aislado. El rol del CISO evoluciona hacia una función estratégica que equilibra innovación y control, incorporando la seguridad desde las primeras fases.
En definitiva, avanzar hacia una gobernanza de IA sólida implica adoptar un enfoque proactivo, capaz de adaptarse de forma continua a un entorno en constante cambio.
Explore los recursos de seguridad de Salesforce
Preguntas frecuentes
Porque permite controlar el uso de la inteligencia artificial en entornos complejos, reducir riesgos y garantizar que la seguridad forme parte de la estrategia desde el inicio.
El uso de múltiples proveedores y aplicaciones externas reduce la visibilidad y el control, lo que dificulta aplicar una gobernanza de IA consistente y aumenta la superficie de ataque.
Mediante la evaluación de proveedores, el control granular de accesos, la creación de comités de gobernanza y la integración de la seguridad desde el diseño.
La IA introduce riesgos como accesos no controlados, decisiones automatizadas erróneas, sesgos en modelos y nuevas vulnerabilidades en herramientas de terceros.
