Con claras ganancias de productividad en su haber, cada vez más empresas y profesionales adoptan la inteligencia artificial generativa. Al igual que los equipos de marketing, finanzas y ventas recurren a estas plataformas para mejorar su eficiencia operativa, también lo hacen los responsables de seguridad de los sistemas de información (ISSM). Con ChatGPT, ahora disponen de un asistente virtual que les ayuda en sus tareas cotidianas.
¿Cuáles son los casos de uso aplicables a la profesión de CISO? Cómo puedo escribir indicaciones eficaces?
Para averiguarlo, lee este artículo y descubre 12 prompts de ChatGPT dedicados a este fin.
Nota: No comparta datos confidenciales o sensibles cuando utilice plataformas de inteligencia generativa.
Definir el contexto en el que se trabaja con IA
Antes de redactar las primeras indicaciones, es importante definir el contexto de la solicitud, definiendo quién es usted, el entorno en el que opera y el papel que desempeña ChatGPT.
"Soy el Responsable de Seguridad de los Sistemas de Información (ISSM) de una empresa con 120 empleados del sector energético en Francia. Usted es un CISO adjunto con 5 años de experiencia. Tus respuestas deben ser concisas, utilizar un léxico comprensible para personas con pocos conocimientos en ciberseguridad y no incluir ningún énfasis. Sustituye los términos "piratear" por "comprometer" y "pirata informático" por "ciberdelincuente"".
Ten en cuenta que cuanto más detallado sea el contexto, más se acercarán a tus expectativas las respuestas a tus preguntas.
Aplicar la IA a cuestiones de gobernanza
Garantizar una gobernanza eficaz de ciberseguridad suele ser complicado para los CISO. Con fuentes de datos a menudo dispersas por toda la empresa y herramientas de gestión a veces mal adaptadas a la tarea, los CISO pueden verse rápidamente abrumados. Así que aquí van 5 consejos rápidos para mejorar la gobernanza cibernética dentro de la empresa.
1. Analizar una ley o una directiva
Con la aparición de NIS 2 y DORA, anticiparse a las nuevas obligaciones normativas es un requisito previo para los CISO.
Para ayudarle a analizar estos textos, puede pedir a ChatGPT que analice reglamentación en su conjunto o un artículo concreto de un texto jurídico para proporcionarle un resumen adaptado al nivel de comprensión de su público.
"Actúo como experto en ciberseguridad con 10 años de experiencia. En este contexto, analizo reglamentación XXXX con el objetivo de poder resumir los problemas y las novedades para [mi dirección / un contacto comercial] con un nivel [alto / bajo] de madurez cibernética. En particular, necesito ser capaz de explicar los nuevos desarrollos y el impacto en la inversión en nuevos productos en ciberseguridad."
Para obtener respuestas más detalladas, añada la siguiente información a la pregunta:
- pida una estimación del esfuerzo necesario para cumplir con reglamentación ;
- especifique su sector de actividad ;
- indique su nivel estimado de madurez cibernética ;
- enumere los cumplimientos que ya está supervisando.
2. Identificar una solución tecnológica basada en una lista de criterios
Una vez identificados los componentes tecnológicos que necesita implantar en su sistema de información, es hora de hacer la vigilancia tecnológica. Una vez más, ChatGPT le ayudará a definir los criterios de evaluación en los que basar su investigación.
"Identifíqueme los criterios que deben evaluarse a la hora de elegir una solución de tipo [IAM / EDR / XDR...] para una empresa del [sector ] con [lista de limitaciones]. Estos criterios deben centrarse en los aspectos de protección, viabilidad del proyecto y compatibilidad con el SI. Cada criterio debe calificarse entre 0 y 4 e ir acompañado de una descripción. Para ello, integre las limitaciones de nuestro SI, que son : [Enumere las limitaciones técnicas de su SI sin entrar en detalles] ".
3. Elaboración de un procedimiento
Aunque ChatGPT nunca escribirá una versión final de un procedimiento en el primer intento, la inteligencia artificial generativa puede, no obstante, ayudarle a elaborar el esquema.
"Escríbeme un procedimiento en el que se detallen las medidas que debe tomar un administrador de sistemas cuando un empleado abandona la empresa. Este procedimiento debe tener en cuenta todos los riesgos de confidencialidad y conformidad asociados a este tipo de situación. El procedimiento debe detallar no sólo las operaciones a realizar, sino también las etapas de control, definiendo para cada una de ellas los criterios de éxito/fracaso del control".
Para ir más lejos, no dude en incorporar los riesgos que haya identificado (Shadow IT, BYOD, etc.) a su pronta intervención.
4. Escribir una plantilla de correo
¿Un empleado ha incumplido una de las normas de la carta informática de la empresa? Utilice ChatGPT para crear una plantilla de correo electrónico de notificación.
"Un empleado está incumpliendo la política informática de la empresa al imprimir documentos para que sus hijos los coloreen. Para notificarle su infracción, escríbeme una plantilla de correo electrónico en un tono neutro y no agresivo recordándome las normas de la carta informática que son [insertar norma(s)]."
5. Elaborar una descripción del puesto
Redactar la descripción de un puesto no es tarea fácil. Tiene que ser concisa y atractiva para los candidatos. Para ello, puede utilizar la siguiente sugerencia:
"Escríbeme una descripción del puesto de asistente del CISO. Detalla las tareas típicas y las habilidades requeridas. La descripción del puesto debe dar a los candidatos una idea de lo que implica el trabajo, pero también debe abrirles el apetito para obtener más información".
Para más información:
- Proporcione a ChatGPT las descripciones de puestos de trabajo existentes o similares de su empresa;
- detalle las tareas que desea asignar a este perfil.
Utilice la inteligencia artificial generativa para ayudarle a tomar decisiones
ChatGPT suele verse como un simple ejecutor: le pides que produzca y produce. Una visión muy limitada, porque en realidad este modelo puede ayudarte a tomar decisiones, ampliar tu visión y darte ángulos y habilidades que quizá no tengas. He aquí cómo.
6. Desarrollar un programa de sensibilización sobre ciberseguridad
Para que ChatGPT amplíe tu visión, trabaja con él como lo harías con un miembro de tu equipo.
"Tengo que elaborar un programa de sensibilización sobre ciberseguridad. Busco un ángulo de comunicación que se dirija a todos los empleados de la empresa. ¿Puede darme algunos ejemplos de estrategias de comunicación? No dude en sugerirme algún ángulo humorístico, como el hecho de que una contraseña es como un pantalón, no se puede prestar. Me gustaría enviar un correo electrónico a todos los usuarios de mi organización sobre buenas prácticas en ciberseguridad. Cada correo debería tener un asunto con gancho para facilitar su lectura y presentar una buena práctica, una justificación y una lista de preguntas y respuestas (formato FAQ)".
Para mejorar su puntualidad, puede especificar la frecuencia de las campañas o los temas tratados.
Si prueba este aviso, se dará cuenta de que ChatGPT incorpora perfectamente la noción de humor en sus resultados, con títulos de campaña bien elegidos como " Phishing: no muerda el anzuelo", "Actualizaciones de software: el antídoto contra los virus informáticos" y " Su asistente de voz: un bicho en el salón".
7. Elaborar un plan de formación
En lugar de pedirle a ChatGPT que escriba algo, pídele que te haga preguntas, como en este ejemplo.
"Estoy intentando crear un programa de formación ISO 27001. El objetivo es poder formar a equipos internos en un programa de certificación. La formación debe durar 3 sesiones de 1 hora y debe permitir a un usuario sin conocimientos previos dominar los fundamentos de la norma y su aplicación en una empresa. ¿Tiene algún consejo para mí sobre cómo diseñar un programa de formación que no resulte aburrido? Para afinar la respuesta, hágame algunas preguntas. Empiece por la primera pregunta".
8. Generar plantillas de correo electrónico de phishing
Como asistente del CISO, ChatGPT es el compañero perfecto para una lluvia de ideas. En este ejemplo, pedimos a ChatGPT que identifique escenarios de phishing.
"Quiero escribir correos electrónicos de phishing con fines de concienciación interna. Tienes alguna idea de escenarios de correos electrónicos de phishing que puedan aplicarse a este proyecto?".
Para garantizar la calidad de la respuesta, no dude en definir el tipo de empleado que recibirá esta campaña. Esto le permitirá adaptar los escenarios en función del nivel de madurez de su objetivo.
9. Evaluación de las competencias
La evaluación de competencias debe adaptarse a la función y al entorno de trabajo del empleado. Con este fin, a continuación le ofrecemos una sugerencia para ayudar a ChatGPT a inspirarle en la forma de redactar este cuestionario.
"Estoy trabajando en la creación de un cuestionario para evaluar las buenas prácticas en ciberseguridad para los empleados de la empresa. Mi plan es diseñar un cuestionario de 10 preguntas para medir si los empleados dominan las buenas prácticas. Me gustaría que me aconsejaras sobre los temas a tratar. ¿Cree que aumentar la dificultad es una buena práctica para este tipo de cuestionario? En caso afirmativo, ¿qué criterios utiliza para aumentar la dificultad de las preguntas? Deme 3 ejemplos de cuestionarios para distintos cargos de la empresa (director general, jefe de equipo, empleado).
Automatice sus análisis técnicos
ChatGPT no solo sirve para escribir contenidos, sino que también puede ayudarte con tareas operativas como el análisis técnico del código fuente o la supervisión semanal. Estas tareas pueden automatizarse mediante herramientas como Zapier o Make. Sin embargo, tendrás que pagar por el acceso a la API Open AI para poder ejecutar prompts.
10. Auditar el código fuente para comprender su funcionamiento
¿Te enfrentas a un código fuente que no entiendes cómo funciona? Para salir de esta situación, utiliza esta indicación.
"Aquí tienes un código fuente cuya estructura no domino, ¿puedes decirme cómo funciona y qué acciones genera? ".
Nota: aunque ChatGPT no puede determinar si un código es malicioso, puede proporcionar la información necesaria para ayudarle a realizar esta evaluación.
11. Vigilar las últimas vulnerabilidades publicadas en torno a un producto
¿Le gustaría recibir notificaciones sobre las últimas vulnerabilidades de los equipos de su empresa? ChatGPT puede ayudarle a conseguirlo.
"Tengo un cortafuegos [modelo] de [marca]. Buscando en internet, enumérame las vulnerabilidades de los últimos 30 días".
12. Supervisar las últimas CVE publicadas
Como en el caso anterior, ChatGPT puede automatizar la búsqueda de los últimos CVE y resumir su funcionamiento.
"Lístame, buscando en Internet, los últimos CVE de la semana".
Es importante tener en cuenta que ChatGPT debe integrarse en sus herramientas de supervisión como una fuente imperfecta de información. Como el tamaño de las respuestas es limitado, ChatGPT trunca la respuesta.
Ir más allá con los GPT
El 6 de noviembre de 2023, Open AI lanzó la funcionalidad de asistente en ChatGPT bajo el nombre de GPTs.
Al igual que en la tienda de Apple, Open AI ofrece a todos sus usuarios la posibilidad de crear asistentes especializados basados en un tema concreto.
Para que estos asistentes sean pertinentes, los usuarios deben proporcionarles un gran volumen de datos para analizar, lo que les permitirá adquirir conocimientos especializados en el campo en cuestión y formular sus respuestas basándose en esta base de conocimientos.
Desde hace varios meses, hay varios GPT disponibles para profesionales en ciberseguridad.
Aquí tienes algunos GPT:
Tenga en cuenta que estas GPT son publicadas por empresas privadas o usuarios desconocidos. Por tanto, debes mantener una actitud crítica ante las respuestas generadas.