Andrew Cunje, CISO de Appian: «Con la seguridad en la IA hay que proteger datos y comprobar modelos»

La seguridad es un elemento esencial en cualquier empresa, independientemente del sector en el que opere. El CISO se ha convertido en una figura imprescindible y tiene una función cada vez más importante en la estrategia y el negocio de las organizaciones. Si su labor es fundamental, en el caso de una compañía tecnológica se multiplica: no sólo tiene que proteger a la empresa para la que trabaja, sino también desarrollar y hacer que las soluciones que desarrollan, sean seguras. Es el caso de Andrew Cunje, CISO de Appian. Hablamos con él sobre su trabajo y la importancia creciente que tiene la ciberseguridad.

Entrevista con Andrew Cunje, CISO de Appian

¿Cuál es su función en Appian?

Llevo cinco años en esta compañía. Antes de Appian, estuve en Salesforce, donde tenía mucho trabajo relacionado con la infraestructura. Al llegar a Appian, el equipo que dirijo se encarga de la seguridad tanto de la producción como de la empresa. Así que tenemos dos equipos de ingeniería separados que crean servicios en la empresa, protegen la empresa y crean servicios para la producción, construyendo los bloques de la infraestructura. También contamos con el equipo de respuesta a incidentes y con la función de comercialización. Así que nos encargamos de la confianza, el GRC, las ventas y la seguridad, y también cuando hay cuestionarios o auditorías. También contamos con dos abogados especializados en ciberseguridad. El equipo ha crecido mucho. Ahora somos unas 70 personas. Es una gran inversión.

¿Cuál es la estrategia de ciberseguridad de la empresa? ¿Aplican la misma estrategia a sus clientes?

Sí. La mejor manera de describir la seguridad en Appian es que contamos con 30 certificaciones diferentes, por lo que estamos muy regulados para nuestros clientes. Y tomamos esas certificaciones en todos los países en los que operamos. Y es un lenguaje común para nosotros. Cuando pensamos en cualquier control, parámetro o solución de seguridad, intentamos hacerlo para todos los clientes. Y en ese escenario incluimos a Appian como cliente.

En esas 30 certificaciones, aplicamos la seguridad en todos los casos, porque lo que es bueno para un cliente es bueno para el siguiente, a menos que se trate de algo concreto como, por ejemplo, la seguridad FIPS (Estándares Federales de Procesamiento de Información) norteamericanos. Quizás el Gobierno español no quiera seguridad FIPS o cifrado FIPS. Así que, en primer lugar, lo reducimos a ese concepto básico. Lo siguiente que hacemos es fijar los fundamentos de la seguridad, y punto. Lo que quiero decir con esto es que, cuando incorporamos la seguridad en el producto, queremos asegurarnos de que los componentes básicos fundamentales que lo hacen seguro estén presentes. Así, si creamos una carga de trabajo en la empresa o para la infraestructura de un cliente, ésta contará con todos los elementos básicos o la cadena de suministro adecuados que le permitirán iniciar un servicio de forma segura. Nuestra idea pasa, en definitiva, por sentar las bases de la seguridad y, a continuación, ampliarla.

Hoy en día, los agentes de IA ocupan varios casos de uso y parece la tecnología de moda. ¿Qué implicaciones tienen los agentes en términos de seguridad, ya que actúan dentro de la plataforma y desencadenan diferentes acciones dentro de la plataforma de Appian? ¿Esto también afecta a su área de responsabilidad?

Sí. Cualquier producto desarrollado internamente para nuestros clientes o cualquier solución para nuestros empleados internos interactuaría con el equipo de seguridad. Así que contamos con una evaluación de amenazas, controles de cumplimiento y controles normativos. En definitiva, la seguridad está integrada en nuestro ciclo de vida del desarrollo de software, ya sea en producción o en la empresa. En cuanto a los agentes de IA y cómo lo vemos de forma diferente, la mejor manera de empezar a pensar en ese panorama o en nuestra forma de verlo es que se trata simplemente de una identidad no humana. Es solo otra identidad que interactúa con los datos. Y toda nuestra seguridad sigue los datos. Así que, independientemente de dónde se encuentren los datos, dependiendo del contexto de esos datos, dependiendo de los riesgos asociados a esos datos o a esa aplicación, se les aplicará una política diferente. Y esto es lo que ofrecemos o ampliamos a nuestros clientes cuando trabajan con Appian.

¿Cómo pueden los atacantes acceder a los datos? Por ejemplo, yo podría crear un agente sobre la marcha y pedirle que buscara los datos que me interesan. ¿Cuáles son los escenarios que ha evaluado y qué medidas correctivas ha aplicado?

Con la seguridad de la IA, se trata tanto de proteger los datos como de comprobar los modelos. Por eso, una de las cosas que Appian tiene muy claras es, en primer lugar, que se trata de una IA privada. En segundo lugar, tenemos un objeto. Se llama “lista de materiales de software”. Se trata de la lista de materiales de IA. Algunas de las cosas que hacemos son como una desinfección de la entrada. Queremos asegurarnos de que no intentan engañar al modelo de para que haga algo que no te gustaría que hiciera. Pero, de nuevo, todo se remonta a la base de nuestra infraestructura, que cuenta con todas estas barreras de seguridad, empezando por el acceso a los objetos. No queremos que tengan un acceso excesivamente permisivo. Por supuesto, esto es algo que se integra en el proceso en cada paso del camino para los clientes.

Pero, ¿qué hay de proteger al propio agente?

Los propios agentes se crean dentro de la plataforma Appian. Esa plataforma cuenta con todos los marcos normativos y todos los elementos de seguridad. Está construida con la misma plataforma de infraestructura en la que se basa Appian y crea la misma infraestructura de agentes dentro de Appian.

Todas las plataformas, incluidas las de Appian, se basan en tres elementos, que son la tecnología, la seguridad y el cumplimiento normativo. ¿Es muy difícil combinar estos tres factores en una plataforma como la de Appian?

La mejor manera de combinar los tres elementos debe partir siempre desde el punto de vista de la seguridad. En Appian implementaremos todo lo que sea necesario para garantizar la seguridad. Nunca vamos a relajar los controles. Ahora bien, la pregunta es: ¿cómo se puede avanzar rápidamente a gran escala? Creo que se remonta a lo que dije al principio, que es tener una estrategia de seguridad sólida basada en principios de innovación segura. Así que, si vamos a crear este nuevo servicio, sabemos que va a recurrir a los servicios adecuados para los certificados y los contenedores seguros, de modo que podamos escalar muy rápidamente. Porque lo último que queremos es ralentizar la innovación. Para mí, la seguridad y la innovación no son incompatibles. Son complementarias.