La IA (Inteligencia Artificial) ha demostrado ser una herramienta poderosa en diversas áreas, incluidas el Gobierno de la seguridad, la gestión de Riesgos y el Cumplimiento normativo (GRC, Governance, Risk and Compliance por sus siglas en inglés). A medida que la IA continúa desarrollándose y desempeñando un papel cada vez más importante en nuestra sociedad es fundamental reconocer el valor y la importancia del componente humano. Si bien la IA ofrece avances tecnológicos significativos, hay áreas en las que el juicio humano, la experiencia y las habilidades interpersonales son indispensables.
Nosotros, como trabajadores de consultoras y en concreto del área de GRC analizamos la repercusión y el impacto que la llegada de la IA puede tener en nuestro ámbito profesional.
¿Acabará la IA con nuestros puestos de trabajo? Esta es una pregunta que después del boom mediático que ha supuesto la irrupción de ChatGPT en nuestras vidas nos hacemos sin poder evitarlo, por ello, me he propuesto realizar un análisis para comprender si la IA podría llegar a sustituir el trabajo que desarrollamos en nuestros clientes, por lo que a continuación me permito aportar mi punto de vista sobre diferentes aspectos y/o razones por las cuales, a mi juicio, entiendo que es poco probable que la IA pueda sustituir o al menos asumir el trabajo desarrollado en las áreas de GRC de las consultoras tecnológicas:
Complejidad de la regulación
Las regulaciones y leyes relacionadas con la gestión del riesgo y el cumplimiento normativo pueden llegar a ser extremadamente complejas. La IA puede ayudar en la automatización de ciertas tareas relacionadas con el trabajo desarrollado por las áreas de GRC, pero la interpretación de las regulaciones y la toma de decisiones en situaciones complejas a menudo requieren un juicio humano y un conocimiento experto del contexto empresarial e incluso a veces humano, así como no menos importante de aspectos presupuestarios y financieros. Las consultoras desempeñan un papel crucial al proporcionar orientación especializada sobre cómo cumplir con las regulaciones y adaptarse a los cambios normativos en base a las necesidades de los clientes.
Un ejemplo de esta complejidad podemos trasladarla a la ejecución de un proyecto basado en la norma ISO 27001. Esta norma exige que las organizaciones realicen una evaluación de riesgos para identificar y evaluar los riesgos a los que se enfrenta la información dentro de la organización. Esta evaluación debe tener en cuenta los activos de información, las amenazas a los activos, las vulnerabilidades existentes y el impacto potencial en caso de una brecha de seguridad. Una vez realizada la evaluación de riesgos, la organización debe seleccionar los controles de seguridad apropiados para mitigar los riesgos identificados y aquí es donde la IA no puede entrar debido a la complejidad que surge debido a que la evaluación de riesgos y la selección de controles no son procesos estándar y predefinidos. Cada organización tiene sus propias características, activos de información, amenazas y vulnerabilidades específicas. Esto implica que la evaluación de riesgos y la selección de controles deben ser adaptadas a las necesidades y contextos particulares de cada organización como por ejemplo el budget en tecnología que la empresa puede o quiere asumir.
En este escenario, las consultoras con experiencia en ISO 27001 desempeñan un papel clave al brindar asesoramiento especializado, guiar el proceso de evaluación de riesgos y proporcionar recomendaciones sobre los controles de seguridad más adecuados para garantizar el cumplimiento de la norma y proteger la información de la organización.
Contexto empresarial y cultural
No se trata solo de cumplir con las regulaciones, sino también de comprender el contexto empresarial y cultural en el que opera una organización. Esto implica considerar factores específicos de la industria, las políticas internas de una empresa, las mejores prácticas y los riesgos específicos que enfrenta. La IA puede ayudar en el análisis de datos y proporcionar información valiosa, pero la comprensión completa del contexto empresarial y la toma de decisiones estratégicas requieren de la experiencia y el conocimiento humano.
Por ejemplo, consideremos una empresa del sector financiero que está sujeta a regulaciones específicas para prevenir el blanqueo de capitales. Si bien la IA puede ayudar en la detección de transacciones sospechosas o patrones inusuales, comprender el perfil de riesgo específico de la empresa, su modelo de negocio, las particularidades de su industria y las mejores prácticas requiere un conocimiento experto y una evaluación holística que va más allá de los análisis automatizados. Las consultoras pueden ofrecer una combinación de experiencia sectorial, conocimiento normativo, pero sobre todo de comprensión del entorno empresarial para ayudar a las organizaciones a desarrollar estrategias de gestión de riesgos y cumplimiento personalizadas.
Confidencialidad y ética
Trabajar en una consultara dedicada a la seguridad de la información y en concreto en el área de GRC implica trabajar con información confidencial y sensible como datos financieros, información personal y secretos comerciales. Las consultoras están comprometidas con salvaguardar la confidencialidad y aplicar prácticas éticas en el manejo de datos de sus clientes. La confidencialidad y la ética son fundamentales en estas áreas, y las consultoras tienen protocolos y medidas de seguridad establecidos para proteger la información de sus clientes. Si bien la IA puede ser útil en ciertas tareas automatizables, es importante asegurarse de que se cumplan los estándares éticos y de seguridad al utilizar esta información en proyectos relacionados con GRC.
Por ejemplo, en el ámbito de la ciberseguridad, una consultora puede ayudar a una organización a evaluar sus vulnerabilidades y fortalezas, pero también a diseñar políticas de seguridad de la información y a implementar medidas de protección adecuadas. La aplicación de la IA en este contexto debería poder cumplir con estándares éticos y de seguridad rigurosos para evitar la filtración o mal uso de información confidencial, circunstancia que hoy en día no se da.
Relaciones interpersonales, comunicación y pensamiento innovador
Trabajar en consultoría y en concreto en un área GRC implica interacciones con diversas partes interesadas, como reguladores, clientes, proveedores y empleados. La comunicación efectiva y la gestión de relaciones son cruciales en estas interacciones. La comunicación efectiva, la negociación y la resolución de conflictos son habilidades críticas, y aunque la IA ha avanzado en el procesamiento del lenguaje natural y puede ayudar en algunas interacciones, todavía se enfrenta a desafíos para comprender plenamente el contexto y el subtexto en la comunicación humana, y en este sentido, pasarán muchos años hasta que la IA alcance una “conciencia” que pueda asumir estas habilidades. Las consultoras y sus empleados si aportan esas habilidades interpersonales y experiencia en la gestión de relaciones para brindar un enfoque más completo y sobre todo práctico en estas situaciones.
Aunque la IA puede ser capaz de generar resultados predecibles y seguir patrones establecidos, la creatividad y el pensamiento innovador son atributos distintivamente humanos. La capacidad de resolver problemas complejos, encontrar soluciones fuera de lo común y generar ideas nuevas y originales son habilidades que aún no se han replicado plenamente en las máquinas. Estas habilidades son fundamentales para impulsar la innovación y el progreso en todos los ámbitos de la sociedad.
Por ejemplo, en una situación en la que una organización enfrenta una investigación regulatoria, la consultora puede brindar asesoramiento sobre cómo responder, interactuar con los reguladores y abordar los problemas identificados. Si bien la IA puede automatizar ciertos aspectos de la comunicación, como el análisis del lenguaje en correos electrónicos o documentos legales, todavía no es capaz de comprender plenamente el contexto, el subtexto y las emociones involucradas en las interacciones humanas. Aquí es donde las habilidades interpersonales y la experiencia de las consultoras son invaluables para ayudar a las organizaciones a navegar situaciones complejas y sensibles.
Dicho lo anterior, aunque la IA puede ser una herramienta valiosa en el campo del GRC, hay limitaciones en su capacidad para reemplazar por completo a las áreas de GRC de las consultoras. La complejidad de las regulaciones, la necesidad de comprender el contexto empresarial, la confidencialidad de la información y las habilidades interpersonales requeridas hacen que las consultoras sean, a mi juicio, indispensables para brindar asesoramiento especializado, adaptado a las necesidades específicas de las organizaciones.
El juicio humano, la interpretación del contexto, la ética, la creatividad, las habilidades interpersonales y la empatía son aspectos que los consultores (seres humanos al fin y al cabo) aportan y que considero que no pueden ser reemplazados por la IA.
Como conclusión, y sin querer demonizar a la IA, entiendo que la combinación de la inteligencia humana y la IA puede llevar a resultados más completos y equilibrados en diversos campos y en concreto en el de GRC, de manera que se pueda fomentar un enfoque centrado en las necesidades del cliente, por ello, ni GRC puede obviar que la IA ya está aquí, ni la IA ha llegado para sustituir a las áreas de Gobierno, Riesgo y Cumplimiento.