AI Agents: The New Frontier of Enterprise Security

Clarke Rodgers:
Soy Clarke Rodgers, director de estrategia empresarial, y seré su guía en esta serie de conversaciones con líderes en seguridad. El invitado de hoy es Mike Britton, de Abnormal AI. Acompáñenos mientras hablamos sobre liderazgo en seguridad, trayectorias profesionales en seguridad e IA agéntica, entre otros temas.

Mike, muchas gracias por estar hoy aquí.

Mike Britton:
Gracias. Es un placer estar aquí.

Clarke Rodgers:
Preséntese y describa su función en Abnormal.

Mike Britton:
Soy Mike Britton. Soy el director de información de Abnormal. Llevo cuatro años en la empresa, y parte de mi trabajo consiste en dirigir nuestro programa interno de TI, seguridad, confianza del cliente y cualquier otra cosa que mi jefe me pida.

Clarke Rodgers:
Así que pasó al cargo de director de información después de haber sido director de seguridad de la información. ¿Podría contarme cómo fue esa transición?

Mike Britton:
Es curioso. A lo largo de mi carrera, siempre he estado dispuesto a asumir nuevos desafíos. Ya había estado a cargo de TI en cargos anteriores, en etapas previas de mi vida profesional, y llegué a Abnormal cuando éramos unas 100 o 120 personas, y realmente no teníamos un equipo de TI. Es algo con lo que me siento muy cómodo. Soy muy práctico. Me encanta la tecnología, así que simplemente evolucioné, y a medida que he crecido en Abnormal durante estos cuatro años, mientras hablaba con mi director ejecutivo, que también es mi jefe, surgió el tema de qué viene después.. Tenemos muchos desafíos interesantes a medida que crecemos, y pensé que era una gran oportunidad para ampliar la perspectiva y analizar nuestra transformación tecnológica y cómo nos desarrollamos realmente como empresa.

Clarke Rodgers:
Y ahora, como director de información, se puede asegurar de que la seguridad sea la máxima prioridad de todos en el área de TI. ¿Correcto?

Mike Britton:
Así es. A menudo les digo a mis equipos que siempre existe esa tensión natural entre TI y seguridad, y que siempre es bueno poder decirles: “Ustedes trabajan para mí. Así que llévense bien”.

Clarke Rodgers:
Exactamente.

Mike Britton:
Necesito que mi equipo de TI esté enfocado en la seguridad, y necesito que mi equipo de seguridad también tenga en cuenta al cliente interno. Así que no se trata de eliminar por completo el riesgo, sino de productividad, de alcanzar los objetivos empresariales; y a veces eso significa que no podemos tener un mundo perfecto.

Clarke Rodgers:
Claro.  Además de su función como director de información, también lidera el enfoque de IA en Abnormal. ¿Podría contar cómo asumió esa responsabilidad, por decirlo de alguna manera, y cómo concibe la IA no solo internamente como una herramienta empresarial, sino también desde la perspectiva de un atacante, y cómo protege a la organización frente a la IA?

Mike Britton:
Sí, es interesante, porque Abnormal siempre ha sido una empresa de IA. Siempre bromeamos y decimos que éramos de IA antes de que la IA se pusiera de moda. Evan y Sanjay son los dos fundadores. Ellos crearon la empresa como Abnormal AI. Creo que la retroalimentación que recibieron del mercado fue algo como: “Vaya, esto es demasiado nuevo, demasiado pronto, demasiado arriesgado”. Así que dijimos: “Está bien, sigamos con Abnormal Security”. Y ahora estamos en el momento y el lugar adecuados para volver a nuestras raíces originales. Por eso adoptamos nuevamente el nombre Abnormal AI.

Hacemos muchas cosas importantes desde una perspectiva de producto en materia de IA, y existen muchísimas oportunidades. Eso se ve en algunas de las startups más pequeñas que apenas comienzan. Pueden aprovechar la IA en el ámbito del desarrollo. Pueden aprovecharla internamente. Debemos ser capaces de mantener la agilidad en nuestra empresa. Debemos ser capaces de escalar. Me encanta el concepto de que cada persona dentro de la organización deba ser la mejor versión de sí misma potenciada por la IA. Y parte de eso consiste en analizar nuevas oportunidades y preguntarnos cómo podemos escalar. No se trata de reemplazar empleos. Se trata de cómo crecer diez veces en los próximos cinco años sin contratar diez veces más personas.

Clarke Rodgers:
Ante la proliferación de herramientas de IA que utilizan los usuarios empresariales, ¿cómo aborda la protección de esas herramientas y, antes de ponerlas a disposición de los usuarios, qué tipo de barreras de protección establece para su uso?

Mike Britton:
Ante todo, quiero que las áreas de la empresa acudan a mí. Quiero que me busquen cuando aún están en la etapa de ideación. Quiero que me digan: “Buscamos cómo resolver este problema”. Hoy es muy fácil para ellos ingresar una dirección de correo electrónico, sin siquiera tener que registrar una tarjeta de crédito, y empezar a usar una herramienta. Y como responsable de seguridad y de TI, no puedo adoptar una postura de negación con frases como: “Vamos a bloquearlo todo, vamos a detenerlo todo”.

Clarke Rodgers:
Exactamente.

Mike Britton:
Necesito guiarlos para que trabajen conmigo, para que prueben cosas rápidamente, respondan rápido a los errores, vean qué funciona y qué no, y también los ayudo a demostrar claramente el retorno de la inversión. No se trata solo del costo, sino de la rapidez en la implementación y del impacto real que tiene usar esa herramienta. Y, para ser sincero, vivimos en una época en la que existen miles de versiones de todo en el mercado y surgen cosas nuevas todos los días. Y aunque me gustaría tener cinco versiones de la misma herramienta, lo que quiero es racionalizar las herramientas y la tecnología, y ayudar a las personas a adoptar la solución adecuada.

Clarke Rodgers:
Entonces, ¿cómo ha fomentado una cultura de seguridad en Abnormal para facilitar justamente eso? La intención es proteger a la organización, pero también permitir que las personas se muevan con rapidez e innoven. Entonces, ¿cómo ha encontrado ese equilibrio para que no lo vean como el obstáculo que se niega a todo y, al mismo tiempo, implemente reglas de seguridad sensatas?

Mike Britton:
Sí, es cuestión de equilibrio. No vivimos en un mundo de absolutos. Siempre existen matices. Cualquier organización, ya sea tecnológica como la mía o tradicional, debe asumir ciertos riesgos empresariales para tener éxito. Se trata de identificar y administrar esos riesgos. Siempre he buscado oportunidades para demostrar que la seguridad también puede ser un habilitador de la empresa, ya sea al pasar a sistemas sin contraseñas o al estar presente desde las primeras etapas para orientar y guiar por el camino adecuado. No busco rehusarme a las iniciativas. Mi equipo y yo cuestionamos cuando la primera respuesta es negativa. Es más una función de asesor. Es casi como si fuera asesor de la organización, asesor del producto y asesor del negocio, para ayudarlos a orientarse, tomar las decisiones correctas, avanzar con rapidez y asumir tanto riesgo como la organización pueda tolerar.

Clarke Rodgers:
Entonces, dentro del enfoque de la seguridad como facilitador del negocio, ¿cómo informa o demuestra el estado y la eficacia del programa de seguridad para que los demás líderes empresariales comprendan en qué punto se encuentra todo y de qué manera los habilita? La alta dirección, la junta, o quien corresponda: ¿cómo comunica ese estado y nivel de efectividad?

Mike Britton:
Son cosas evidentes, como decir: “Bueno, no hemos tenido ningún incidente o vulneración importante”. También tiene que ver con la rapidez: el tiempo promedio para detectar, el tiempo promedio para remediar. Y la verdad, no me gustan las métricas de vanidad. Siento que la seguridad está llena de ese tipo de métricas que, en realidad, no dicen nada sobre el estado o el nivel de riesgo de la organización, aunque se vean bien en un panel.

Clarke Rodgers:
Clics en intentos de phishing.

Mike Britton:
Exacto, clics en intentos de phishing. Puedo ajustar esas cifras hacia arriba o hacia abajo según el día de la semana, pero eso no me dice nada sobre la organización. No me muestra cuál es el riesgo real, cómo luce el panorama de amenazas o cuál es la exposición de ataque de la organización. En el fondo, todo se reduce a las historias. Siempre he pensado que, con las juntas directivas y la alta dirección, se trata de contar historias: presentar un dato y luego explicar el porqué detrás de él. Por más que quisiera que lo entendieran solo con una hoja de cálculo o una presentación de PowerPoint, es mucho más que eso. Y, en realidad, como líder de seguridad y tecnología, hay que saber contar bien las historias. En cierto modo, también tengo que ser un vendedor que comunique el valor de mi programa a las partes interesadas internas.

Clarke Rodgers:
¿Y cómo lo hace exactamente? ¿Se trata de una conversación sobre dinero? ¿O es una conversación sobre riesgos? ¿O la dirección busca métricas de seguridad detalladas cuando se presenta esa historia?

Mike Britton:
Es una combinación de todo eso. Obviamente, se trata de reducir riesgos. También consiste en señalar los ataques complejos que logramos detener. Se trata de las amenazas que evitamos, pero también de los avances en productividad. Es poder decir: “No desperdicio personal valioso en tareas que se pueden automatizar. No genero pérdidas adicionales de productividad en los empleados por obligarlos a superar más obstáculos o pasos innecesarios”. Es la productividad de los empleados, la productividad de mi equipo y la reducción de riesgos, todo integrado en un solo paquete coherente.

Clarke Rodgers:
Y si volvemos al área de TI, ahora está en una posición ventajosa, porque como director de información también es responsable de la seguridad, igual que antes como director de seguridad de la información. ¿Cómo logra que los desarrolladores comprendan la importancia de la seguridad? Tradicionalmente, los desarrolladores se han enfocado en liberar código y pasar por las distintas etapas hasta llegar a producción, y de pronto se topan con lo que podríamos llamar un obstáculo de seguridad. Es algo así como: “Ah, tengo estos resultados, ahora tengo que corregir esto”. ¿Cómo cambia esa mentalidad de “la seguridad me detiene” a “tengo espacio para mejorar y desarrollar de manera más segura”?

Mike Britton:
Somos una empresa de seguridad, así que sería ideal que cada desarrollador y cada ingeniero tuvieran formación en seguridad o hubieran trabajado en una empresa de seguridad. La realidad es que no es así. Por eso, parte del trabajo consiste en ayudarles a entender la posición del cliente y cuáles son sus preocupaciones. El cliente se preocupa por sus datos. El cliente se preocupa por cómo protegemos la infraestructura, y deben comprender que la razón por la que tienen un empleo es porque existe un cliente que compra nuestro producto. Se trata de una relación en la que debo ganarme y mantener la confianza del cliente. La confianza, ya sea la del cliente o la confianza en general, cuesta mucho ganarla y mantenerla, pero se pierde con facilidad, y no podemos darnos el lujo de que eso ocurra.

Y mientras más se les ayuda a entender que esto es lo que ve el cliente también logran comprender lo que está en juego. No se trata simplemente de ser arbitrario y decir: “No puede hacer esto, debe hacer aquello”. Con frecuencia recurro a ejemplos reales de clientes, de clientes que han dicho: “Oiga, esto me preocupa”. Por muy avanzados que estemos en inteligencia artificial y por muy optimistas que seamos con respecto a ella, no todas las organizaciones están en la misma posición. Existen empresas con un perfil de riesgo más conservador, y la inteligencia artificial puede parecerles algo intimidante; debemos entender eso y adaptarnos a ello.

Clarke Rodgers:
Me gusta mucho ese enfoque. Básicamente, lo que uno hace es quitarle la venda al desarrollador para que pueda comprender el panorama general. Tanto para su comunidad de desarrolladores como para la de seguridad, ¿cómo los apoya en su crecimiento dentro de sus funciones? Y, por supuesto, está también el tema de la retención dentro de la organización. Hoy en día es común que las personas cambien de empresa cada pocos años, pero con eso se pierde mucho conocimiento institucional y crecimiento cultural dentro de la organización cuando esas personas se van. Entonces, ¿qué hace para ofrecerles una trayectoria profesional y, al mismo tiempo, lograr retenerlos?

Mike Britton:
Sinceramente, creo que todo comienza en el proceso de contratación. Siempre he estado dispuesto a considerar distintos perfiles. Busco a alguien con curiosidad intelectual. Busco a alguien que tenga una mentalidad experimental. Busco a alguien con el deseo de aprender y desarrollarse. Si comparo lo que debía saber al inicio de mi carrera con lo que sé hoy, todo aquello que sabía en mis primeros años quedó obsoleto. Y no importa. Probablemente todo lo que sé hoy también quedará obsoleto dentro de cinco años.

Por eso se necesita contar con empleados que quieran aprender y crecer, y que tengan una inclinación natural hacia ello. Son las dos caras de una misma moneda. Existen los recursos y las oportunidades que puedo ofrecer, pero también se requiere que la persona tenga la disposición y la voluntad de aprovecharlos. Creo que, si se parte de esa premisa y se encuentran personas capaces de adaptarse, con hambre de aprender y con verdadero deseo de hacerlo, esa parte resulta sencilla. Con frecuencia, el verdadero desafío (y aquí es donde creo firmemente en la inteligencia artificial y la automatización) consiste en liberarles de las tareas aburridas, rutinarias y repetitivas. Si una persona tiene un trabajo con propósito, si cada día viene y puede ver el impacto de lo que hace, el efecto que genera en la organización, se quedará durante mucho tiempo, sobre todo si además se le ayuda a desarrollarse y a aprender en el camino. Y considero que esa es la mejor forma de retener talento.

Cuando empecé aquí, era solo yo el primer día. He conformado un equipo sólido en TI y seguridad. Hasta la fecha, solo dos personas de unas setenta y cinco han decidido tomar otro rumbo.

Clarke Rodgers:
Así que algo funciona. ¿Verdad?

Mike Britton:
Algo funciona.

Clarke Rodgers:
Quiero pasar en un momento a hablar sobre inteligencia artificial y automatización, pero algo que mencionó me llamó la atención: la curiosidad. ¿Podría hablar un poco más sobre por qué es tan importante?

Mike Britton:
Vivimos en una era de la información, y eso es una gran ventaja. Hoy no hay escasez de canales de YouTube, redes sociales o fuentes de conocimiento: todo está al alcance. De nuevo, se trata de tener ese deseo de salir, investigar, encontrar la información y dedicarle tiempo. De nada me sirve si no la asimilo y la entiendo. Aún creo firmemente en la importancia de experimentar por cuenta propia, de probar las cosas. ¿Cómo puede alguien entender la inteligencia artificial agéntica si no está dispuesto a explorarla por sí mismo?

El término “hacker” tiene una connotación negativa, y lamentablemente hay muchos actores maliciosos que le han dado mala fama. Pero si lo pienso, cuando era más joven (y también otros como yo), simplemente quería entender cómo funcionaban las cosas. Desarmaba algo e intentaba hacer que funcionara de una forma para la que no estaba diseñado. Esa es la curiosidad por comprender cómo operan las cosas. Necesitamos más de esa mentalidad de hacker en el ámbito de la seguridad. Siento que, en muchos casos, la seguridad se ha vuelto algo impulsado por el cumplimiento y las listas de verificación. Todo gira en torno a la administración del riesgo, lo cual es importante, pero también hay que mantener la curiosidad. Hay que tener ese impulso por descubrir cómo funcionan las cosas, cómo no deberían funcionar y la disposición para probarlas por uno mismo.

Clarke Rodgers:
Entonces, como líder, ¿cómo se mantiene actualizado? El entorno de la seguridad cambia casi a diario, y los entornos tecnológicos quizá el doble de rápido. ¿Cómo logra mantenerse al día para comunicar eficazmente los riesgos a sus colegas dentro de la organización?

Conozco a varios directores de seguridad de la información que reservan tiempo en su calendario todos los días. Tal vez sea una hora al comenzar o al terminar la jornada. ¿Hace algo similar, o simplemente investiga cuando algo le genera curiosidad?

Mike Britton:
Tengo dos días al mes reservados específicamente para eso. Son mis días sin reuniones. Eso no significa que no haya reuniones, pero en lugar de quince, quizá tenga tres o cuatro. Uso esos momentos de manera intencional. Hay que planear y reservar el tiempo. No va a surgir de forma espontánea. Lamentablemente, paso mucho tiempo tarde en la noche en Twitter y otros recursos similares para mantenerme al tanto.

Clarke Rodgers:
Me encanta. Entonces, respecto a la automatización y la inteligencia artificial, ¿cómo las aborda desde la perspectiva de las operaciones de seguridad dentro de la organización?

Mike Britton:
Creo que la inteligencia artificial tiene la capacidad y el potencial para alterar el ámbito de la seguridad. Si lo piensa, los atacantes ya usan inteligencia artificial hoy en día. ¿La usan exclusivamente? No. ¿La usan como su principal medio? Probablemente no, pero la usan. Volvemos a las herramientas de inteligencia artificial que mencionamos antes. Existen probablemente cientos de herramientas de marketing basadas en inteligencia artificial diseñadas para ayudar a redactar correos electrónicos eficaces que lleguen a las bandejas de entrada de posibles clientes y logren captar su atención. Se ha masificado; es fácil de usar. No se necesita ser un genio para utilizarla. Bueno, los atacantes pueden hacer lo mismo. Y si los atacantes pueden aprovechar la inteligencia artificial para ser mucho más eficaces en su labor y ahora operan a velocidad de máquina, perderé esa batalla si opero a velocidad humana.

Clarke Rodgers:
Claro.

Mike Britton:
Así que mi defensa, mi programa, deben funcionar, tomar decisiones, comprender el contexto y analizar la situación a la misma velocidad que el atacante.

Clarke Rodgers:
¿Cuál es su opinión sobre la inteligencia artificial agéntica? ¿Hacia dónde se dirige? Contamos con protocolos de contexto de modelo y con A2A; ¿cómo ve la evolución de todo esto?

Mike Britton:
Sí, todo gira en torno a los datos. Soy tan eficaz como el modelo de lenguaje de gran tamaño que suministra información. Los MCP y los A2A, ese tipo de protocolos, abren la puerta a muchas posibilidades. Y si observamos ChatGPT, Claude o Gemini, son excelentes ejemplos de herramientas de inteligencia artificial agéntica. Son excelentes para formular preguntas y resolverlas. Pero si quiero conectar otras herramientas u otros agentes al mismo conjunto de datos, me preocupan los temas relacionados con la autorización. También me preocupa la posible filtración de datos. ¿Respetará los límites de acceso? Existen muchas inquietudes en este entorno, donde ahora conecto distintos elementos y espero que funcionen por su cuenta. ¿Y cómo superviso eso? Hace poco hablaba con un director de seguridad de la información, y una de sus preocupaciones es que hoy en día todos utilizan inteligencia artificial agéntica. ¿Cómo sé si un proveedor que uso activa de repente agentes de inteligencia artificial en mi entorno? ¿Dónde está la visibilidad? ¿Cómo debo responder ante eso?

Clarke Rodgers:
En realidad, esto nos devuelve a un problema muy antiguo en el que hemos trabajado durante años: quién hace qué y cuándo. ¿Verdad? Y ahora simplemente se trata de que ese “quién” es… Un actor no humano dentro de la organización.

Mike Britton:
Y eso trae nuevos desafíos. Quiero decir, cuando los agentes se comunican entre sí, los humanos quedan fuera del proceso en ese punto. ¿Cómo se garantiza la seguridad frente a eso? ¿Cómo se protege uno en un mundo donde hay agentes de inteligencia artificial descontrolados dentro del entorno? Pero en parte, por eso me apasiona la seguridad. Es en parte la razón por la que me he dedicado a la seguridad durante casi tres décadas.

Clarke Rodgers:
Nunca resulta aburrido.

Mike Britton:
Me encanta el desafío. La mayoría de las personas, cuando llevan treinta años de carrera, piensan en la jubilación. Piensan: “Bien, quiero tomar las cosas con calma”. Y una de las razones por las que he permanecido tanto tiempo en esta industria es porque me encanta saber que cada día representa una oportunidad nueva. Siempre hay nuevos desafíos, algo que mantiene mi mente en buen estado, algo que me exige superarme y me impulsa a crecer. Y eso me encanta.

Clarke Rodgers:
Bueno, sobre ese punto (y no pretendo ponerlo en una posición incómoda con predicciones), ¿hacia dónde cree que se dirige todo esto en los próximos 18 a 24 meses? ¿Existe un conjunto específico de tecnologías, ya sea centradas en la seguridad o no, donde todo esto convergerá?

Mike Britton:
Creo que parte de esto consiste en una mezcla de conjeturas y de deseos. Obviamente, el gran impulso del marketing gira en torno a la inteligencia artificial. En este momento, todos son proveedores de inteligencia artificial, y hay mucho ruido. La parte difícil para quien compra tecnología es cómo distinguir entre hechos y ficción. ¿Cómo se diferencia la inteligencia artificial auténtica de la que solo se añade superficialmente? Cualquiera puede incorporar una interfaz similar a ChatGPT sobre su solución. ¿Eso realmente constituye inteligencia artificial? ¿Eso realmente aporta valor? Espero que en los próximos 18 meses, más o menos, el mercado alcance algo de claridad. Habrá ganadores y perdedores, como siempre sucede en momentos disruptivos como este. Si se observa cuánto tardamos en llevar a cabo la transformación digital y la adopción de la nube, fue un proceso interminable.

Clarke Rodgers:
Y aún continúa.

Mike Britton:
Y aún continúa. El ritmo de adopción de la inteligencia artificial es mucho más rápido. Así que creo que habrá ganadores y perdedores naturales como resultado de ello. También diría que, en general, es un momento apasionante. No creo que la inteligencia artificial… En realidad, estoy convencido de que la inteligencia artificial no reemplazará empleos. Pero sí creo (y no soy el primero en decirlo) que la cuestión no será que la IA reemplace a las personas, sino las personas que reemplacen a otras que no sepan usar la IA. Y parte de eso implica…

Clarke Rodgers:
Bien dicho.

Mike Britton:
…modificar también el perfil de contratación. No me importa lo que haya hecho hace cinco años. Me interesa saber qué hace ahora. ¿Qué explora? ¿Qué agentes crea? ¿Utiliza herramientas de desarrollo de inteligencia artificial? Eso es lo que me interesa, porque…

Clarke Rodgers:
¿Tiene curiosidad?

Mike Britton:
Sí. ¿Tiene curiosidad?

Clarke Rodgers:
Al reflexionar sobre su propia carrera y cómo ha avanzado en ella, ¿qué consejo daría a quien aspira a convertirse en director de información o director de seguridad de la información en el entorno actual?

Mike Britton:
Diría que aprenda cómo funciona su negocio. Comprenda cómo genera ingresos su organización. Comprenda cómo encajan todas las piezas. No parta de la idea de que ya conoce la solución al problema. Construya relaciones. Hágalo de forma proactiva y gane confianza antes de decirles exactamente dónde está el riesgo o cómo deberían hacer las cosas.

Clarke Rodgers:
Imagino que también hay cierto nivel de fluidez en ese lenguaje empresarial.

Mike Britton:
Siento que, con frecuencia, los líderes de seguridad son demasiado técnicos. Les encanta hablar de tecnología y lanzar siglas de tres letras. Hable el idioma del negocio. Hable como lo haría su director financiero. Hable como su director de ventas. Comprenda qué les interrumpe el sueño, entienda cuáles son sus objetivos y qué necesitan lograr para la organización.

Clarke Rodgers:
Así se logra alinearse con sus incentivos y motivaciones.

Mike Britton:
Sin duda. Y su función consiste en persuadirlos y ayudarlos a analizar esas cuestiones. Pero, al final del día, cada uno tiene un rol definido. Están ahí para alcanzar un objetivo concreto.

Clarke Rodgers:
Me encanta. Para cerrar, Mike, ¿qué palabras finales le gustaría dejar a sus colegas directores de seguridad de la información?

Mike Britton:
Es fácil. Y ahí está el desafío. Es fácil intentar resistirse al progreso, bloquear los avances y decir: “No, esto no va a pasar”. Yo diría que hay que asumirlo. Aproveche la oportunidad. Observe a los proveedores jóvenes, a los que transforman el mercado. Fíjese en quienes usan la inteligencia artificial para innovar y resolver problemas. No tema a la tecnología. Para mí, este es un momento apasionante.

Clarke Rodgers:
Bien dicho. Mike, muchas gracias por estar hoy aquí.

Mike Britton:
Gracias por invitarme. Ha sido un placer.

Escúchelo ahora

Escúchelo ahora

Escúchelo ahora