Dadas las claras mejoras de productividad que conlleva, cada vez son más las empresas y profesionales que utilizan la inteligencia artificial generativa. Así como los equipos de marketing, finanzas y ventas recurren a estas plataformas para mejorar su eficiencia operativa, también lo hacen los responsables de seguridad de la información (ISSM). Con ChatGPT, ahora disponen de un asistente virtual que les ayuda en sus tareas cotidianas.

¿Cuáles son sus aplicaciones en la función de director seguridad informática (CISO)? ¿Cómo redactar búsquedas eficaces?

Para averiguarlo, lee este artículo y descubre 12 mensajes de ChatGPT específicas a tal efecto.

Nota: cuando utilizas plataformas de inteligencia generativa, no comparte datos confidenciales o sensibles.

DEFINE EL CONTEXTO DE TU TRABAJO CON IA

Antes de redactar los primeros mensajes, es importante delimitar el contexto de la consulta, definiendo quién eres, el entorno en el que operas y la función que debe desempeñar ChatGPT.

“Soy CISO de una empresa con 120 empleados del sector energético en Francia. Tú eres un responsable de seguridad de la información adjunto con 5 años de experiencia. Tus respuestas deben ser concisas, utilizar un léxico comprensible para personas con pocos conocimientos en ciberseguridad y no incluir ningún énfasis. Sustituye los términos “piratear” por “comprometer” y “pirata informático” por “ciberdelincuente””.

Ten en cuenta que cuanto más detallado sea el contexto, más se acercarán a tus expectativas las respuestas a tus preguntas.

APLICAR LA IA A CUESTIONES DE GOBERNANZA

Garantizar una gobernanza eficaz de ciberseguridad suele ser complicado para los CISO. Con fuentes de datos a menudo dispersas por toda la empresa y herramientas de gestión a veces mal adaptadas a la tarea, los CISO pueden verse rápidamente abrumados. Así que aquí van 5 consejos rápidos para mejorar la gobernanza cibernética dentro de la empresa.

1. Analizar una ley o una directiva

Con la aprobación de la directiva NIS 2 y el reglamento DORA, para los CISO es imperativo anticiparse a las nuevas obligaciones reglamentarias.

Para ayudarte a analizar estos textos, puedes pedir a ChatGPT que examine la legislación y normativa en su conjunto o un artículo concreto de un texto jurídico, y te proporcione un resumen adecuado al nivel de comprensión de tu audiencia.

“Actúa como un experto en ciberseguridad con 10 años de experiencia. En este contexto, analiza el reglamento XXXX para resumir los retos y las novedades que plantea a [mi dirección / un interlocutor profesional] con un [alto / bajo] nivel de madurez cibernética. Concretamente, debo ser capaz de explicar las novedades y su impacto en materia de inversión en nuevos productos de ciberseguridad.

Para obtener respuestas más detalladas, añade la siguiente información a tu mensaje:

  • pide una estimación del esfuerzo necesario para adaptarse a la normativa;
  • especifica tu sector de actividad;
  • indica tu nivel estimado de madurez cibernética;
  • enumera los cumplimientos que ya estás supervisando.

2. Identificar una solución tecnológica basada en una lista de criterios

Una vez identificados los componentes tecnológicos que necesitas implantar en tu sistema informático, llega el momento de pasar a la vigilancia tecnológica. Una vez más, ChatGPT resulta una ayuda valiosa, pues brinda la definición de criterios de evaluación en los que puedes basar tu investigación.

“Identifícame los criterios que hay que evaluar para elegir una solución de tipo [IAM / EDR / XDR…] para una empresa del sector [sector] con limitaciones [lista de limitaciones]. Estos criterios deben centrarse en los aspectos de protección, viabilidad del proyecto y compatibilidad con el SI. Cada criterio se debe evaluar con una calificación de 0 y 4 e ir acompañado de una descripción. Para ello, integra las limitaciones de nuestro SI, que son: [Enumere las limitaciones técnicas de su SI sin entrar en detalles].”

3. Redactar un procedimiento

Aunque ChatGPT nunca te proporcionará una versión final de un procedimiento al primer intento, la inteligencia artificial generativa puede ayudarte a perfilarlo.

“Escríbeme un procedimiento que detalle las medidas que debe tomar un administrador de sistemas cuando un empleado deja la empresa. Este procedimiento debe tener en cuenta todos los riesgos de confidencialidad y conformidad implicados en ese tipo de situación. Por lo tanto, el procedimiento debe detallar no solo las operaciones que hay que llevar a cabo, sino también las etapas de control, definiendo los criterios de éxito/fracaso del control para cada una de ellas”.

Si quieres afinar más, no duda en incorporar en tu mensaje los riesgos que hayas identificado (Shadow IT, BYOD, etc.).

4. Escribir una plantilla de correo

¿Un empleado ha incumplido una de las normas de la carta informática de la empresa? Utiliza ChatGPT para crear una plantilla de correo electrónico de advertencia.

“Un empleado está incumpliendo la política informática de la empresa al imprimir documentos para que sus hijos los coloreen. Para notificarle su infracción, escríbeme una plantilla de correo electrónico en un tono neutro y no agresivo recordándome las normas de la carta informática que son [enumerar normas].”

5. Redactar una descripción de puesto

Redactar la descripción de un puesto no es tarea fácil. Tiene que ser concisa y atractiva para los candidatos. Para ello, puedes utilizar el siguiente mensaje:

“Redáctame una descripción del puesto de asistente del CISO. Detalla las tareas típicas y las capacidades requeridas. La descripción del puesto debe dar a los candidatos una idea de lo que implica el trabajo, y también estimular su deseo de conseguir más información”.

Para afinar más:

  • proporciona a ChatGPT las descripciones de puestos de trabajo existentes o similares de tu empresa;
  • detalla las tareas que deseas asignar a ese perfil.

 

UTILIZA LA INTELIGENCIA ARTIFICIAL GENERATIVA COMO AYUDA EN TU TOMA DE DECISIONES

Por lo general, se considera a ChatGPT como un mero ejecutor: le pides que produzca, y produce. Pero esta visión es muy limitada, pues en realidad este modelo puede ayudarte a tomar decisiones, ampliar tu visión, y permitirte beneficiarte de enfoques y competencias que quizá no tengas. Esta es la forma de hacerlo.

6. Desarrollar un programa de sensibilización sobre ciberseguridad

Para que ChatGPT pueda ampliar tu visión, trabaja con él como lo harías con un miembro de tu equipo.

“Tengo que elaborar un programa de sensibilización sobre ciberseguridad. Busco un enfoque de comunicación que se dirija a todos los empleados de la empresa. ¿Puedes darme algunos ejemplos de estrategias de comunicación? No dudes en sugerirme algún enfoque humorístico, como el hecho de que una contraseña es como un calzoncillo, no se puede prestar. Me gustaría enviar un correo electrónico a todos los usuarios de mi organización sobre buenas prácticas en materia de ciberseguridad. Cada correo debería tener un asunto con gancho para incitar su lectura y presentar una buena práctica, una justificación y una lista de preguntas y respuestas (en formato FAQ)”.

Para afinar tu consulta, puedes especificar la frecuencia de las campañas o los temas tratados. Si pruebas esta búsqueda, te darás cuenta de que ChatGPT incorpora perfectamente la noción de humor en sus resultados, con títulos de campaña bastante acertados como “Phishing: no muerdas el anzuelo”, “Actualizaciones de software: el antídoto contra los virus informáticos” y “ Su asistente de voz: ¿un chivato en el salón?”.

7. Elaborar un plan de formación

En lugar de pedirle a ChatGPT que escriba algo sin más, pídele que te haga preguntas, como en este ejemplo.

“Quiero crear un programa de formación sobre la norma ISO 27001. El objetivo es formar a los equipos internos sobre un programa de certificación. El curso debe constar de 3 sesiones de 1 hora y permitir a un usuario sin conocimientos previos dominar los fundamentos de la norma y su aplicación en la empresa. ¿Puedes darme algún consejo sobre cómo diseñar un programa de formación que no resulte aburrido? Para afinar la respuesta, hazme preguntas. Empieza por la primera pregunta”.

8. Generar plantillas de correo electrónico de phishing

Como asistente del CISO, ChatGPT es el compañero perfecto para hacer lluvias de ideas. En este ejemplo, pedimos a ChatGPT que identifique guiones de phishing.

“Quiero escribir correos electrónicos de phishing con fines de sensibilización interna. ¿Se te ocurren guiones de correos electrónicos de phishing aplicables a este proyecto?”.

Para garantizar la calidad de la respuesta, no duda en definir el tipo de empleado destinatario de la campaña. Esto le permitirá adaptar los guiones en función del nivel de madurez de tu público objetivo.

9. Evaluación de las competencias

La evaluación de competencias debe adaptarse a la función y al entorno de trabajo del empleado. A tal efecto, a continuación te ofrecemos una sugerencia de mensaje para que ChatGPT te inspire la forma de redactar el cuestionario.

“Estoy trabajando en la creación de un cuestionario destinado a los empleados de la empresa para evaluar las buenas prácticas en materia de ciberseguridad. Mi plan es diseñar un cuestionario de 10 preguntas para evaluar si los empleados dominan las buenas prácticas. Me gustaría que me aconsejaras sobre los temas a tratar. ¿Crees que aumentar la dificultad es una buena práctica para este tipo de cuestionario? En caso afirmativo, ¿en base a qué criterios se podría incrementar la dificultad de las preguntas? Dame 3 ejemplos de cuestionarios para distintos puestos de la empresa (director general, jefe de equipo, empleado).”

AUTOMATIZA TUS ANÁLISIS TÉCNICOS

ChatGPT no solo sirve para escribir contenidos: también puede ayudar en tareas operativas como el análisis técnico de un código fuente o la supervisión semanal. Estas tareas se pueden automatizar mediante herramientas como Zapier o Make. Pero para poder ejecutar mensajes, tendrás que pagar por el acceso a la API Open AI.

10. Auditar un código fuente para comprender su funcionamiento

¿Te enfrentas a un código fuente cuyo funcionamiento no entiendes? Puedes utilizar este mensaje para salir del atolladero.

“No domino la estructura de este código fuente. ¿Puedes decirme cómo funciona y qué acciones genera?”.

Nota: aunque ChatGPT no puede determinar si un código es malicioso, sí es capaz de proporcionar la información necesaria para ayudarte en esta evaluación.

11. Vigilar las últimas vulnerabilidades publicadas en relación con un producto

¿Te gustarías recibir notificaciones sobre las últimas vulnerabilidades de los equipos utilizados en tu empresa? ChatGPT puede ayudarte a conseguirlo.

“Tengo un cortafuegos [modelo] de [marca]. Buscando en internet, enumérame las vulnerabilidades de los últimos 30 días”.

12. Mantenerse al día sobre las últimas vulnerabilidades y exposiciones comunes publicadas

Como en el caso anterior, ChatGPT puede automatizar la búsqueda de las últimas CVE y resumir su funcionamiento.

“Buscando en Internet, hazme una lista de las últimas CVE de la semana”.

Es importante tener en cuenta que ChatGPT debe integrarse en tus herramientas de vigilancia como una fuente imperfecta de información. Como la extensión de las respuestas es limitada, ChatGPT trunca la respuesta.

 

IR MÁS ALLÁ CON GPT

El 6 de noviembre de 2023, Open AI lanzó la funcionalidad de asistente en ChatGPT bajo el nombre de GPT. Al igual que en la tienda de Apple, Open AI ofrece a todos sus usuarios la posibilidad de crear asistentes especializados en un tema concreto. Para que estos asistentes sean pertinentes, los usuarios deben proporcionarles un gran volumen de datos para que los analicen, y de ese modo adquieran conocimientos especializados en el campo en cuestión y formulen sus respuestas basándose en esa base de conocimientos. Desde hace unos meses, hay varios GPT disponibles para profesionales en ciberseguridad. Estos son algunos de ellos:

Ten en cuenta que se trata de GPT publicados por empresas privadas o usuarios desconocidos. Por tanto, debes mantener una actitud crítica ante las respuestas generadas. Y para facilitarte el día a día, dispones de herramientas (aún) más potentes y completas… ¡como Tenacy! Modelización, informes, análisis de riesgos… Todo reunido en una única plataforma. Para descubrir cómo es, reserva ya tu demo 👇.