Como bien sabemos, 2023 fue el año de la IA generativa (GenAI), y ChatGPT dominó los titulares. Su adopción generalizada y sus amplias aplicaciones transformaron de forma significativa la manera en que trabajan las personas. Desde asistencia para la revisión de códigos, pasando por las búsquedas conversacionales hasta la optimización de las interacciones de servicio al cliente, se está convirtiendo en un elemento básico para las organizaciones, sus empleados y para el usuario final. Sin embargo, muchos se preguntan si es seguro.
A pesar de su perspectiva prometedora, las preocupaciones sobre la seguridad y la privacidad proliferan junto con las teorías de conspiración y desinformación, hasta el punto de que un grupo de expertos en Inteligencia Artificial (IA) y ejecutivos de la industria, incluido Elon Musk, solicitaron una pausa de 6 meses en el desarrollo de la IA. Algunos temores, como el de que OpenAI haga un uso indebido de los datos de los usuarios con fines maliciosos, pueden ser inconsistentes. Sin embargo, si hay que tener presente que, existen riesgos reales para las empresas y sus empleados que usan grandes modelos de lenguaje GenAI. ¿Es posible usar IA Generativa sin arriesgarse tanto? Conozca todo aquí en TECHcetera.
Riesgos de seguridad y privacidad de GenAI
Por si no lo sabía, el año pasado, Samsung prohibió ChatGPT y otros chatbots GenAI luego de descubrir que sus empleados habían enviado líneas de código confidencial a ChatGPT de OpenAI para corregir errores y optimizar el código. En ese momento, OpenAI no ofrecía ninguna función para desactivar el historial de chat y el entrenamiento, lo que significó que el código propietario pasó a formar parte de sus datos de entrenamiento.
Vale la pena recalcar que, el riesgo de que los empleados revelen inadvertidamente datos confidenciales es sólo una de las preocupaciones. Cada nueva herramienta o aplicación GenAI agregada al ecosistema empresarial aumenta la superficie de ataque, haciéndola más susceptible a ataques de terceros. Es de acotar que una autenticación débil y así mismo, una configuración de control y privacidad insuficientes tienen la capacidad de poder dar lugar a un acceso no autorizado y a la exposición de los datos y las conversaciones del usuario, incluidos; los chats relacionados con el trabajo. Por ejemplo, ChatGPT filtró conversaciones con detalles de las propuestas y presentaciones de un usuario después de que un adversario pirateara varias cuentas de usuario.
De forma similar, las vulnerabilidades en la aplicación o sus integraciones podrían exponer información confidencial. Es importante señalar que incluso, el riesgo de vulnerabilidades de terceros es aún mayor con herramientas GenAI menos conocidas y no autorizadas, fundamentalmente aquellas fuera del ámbito de TI, también conocidas como “TI en la sombra”.
Habilitación del acceso seguro a las plataformas GenAI (IA Generativa)
Es crucial señalar que, las prohibiciones totales de GenAI (IA Generativa) no sólo obstaculizan la productividad y la innovación, sino que también tienen la capacidad de resultar contraproducentes, debido a que los usuarios recurren a soluciones alternativas y aplicaciones alternativas que pueden resultar todavía más riesgosas. Al parecer, la forma más apropiada de avanzar es permitir el acceso seguro a estas plataformas de Inteligencia Artificial. A continuación se presentan algunos controles de seguridad clave a considerar.
Controlar el uso mediante listas permitidas para aplicaciones y usuarios
Las organizaciones necesitan controlar qué aplicaciones están permitidas y qué usuarios o grupos de usuarios pueden acceder a ellas. Cabe destacar que esto lo logran configurando una lista blanca y un control de inquilinos mediante soluciones como un firewall de próxima generación, administración de identidad y acceso (IAM) o incluso, un agente de seguridad de acceso a la nube (CASB). Este es un enfoque clásico de defensa en profundidad diseñado para el riesgo de uso de IA/LLM.
Es importante tener presente que, al usar cualquiera de estas soluciones, los administradores tienen la capacidad de poder especificar las herramientas permitidas en la categoría de herramientas GenAI, por ejemplo, bloqueando todas las herramientas GenAI excepto aquellas autorizadas para su uso. Luego, para el control de los inquilinos, tienen la posibilidad de configurar qué cuentas pueden acceder a la aplicación.
Controlar los datos enviados a las aplicaciones GenAI
Es necesario conocer que, las organizaciones pueden establecer políticas claras de gobernanza de datos para definir reglas y pautas para el manejo de datos, incluidos qué tipos de datos se pueden compartir con las aplicaciones GenAI y así mismo, bajo qué circunstancias. Educar a los usuarios sobre las mejores prácticas de seguridad de los datos y la importancia de salvaguardar la información confidencial también es realmente crucial y tiene la capacidad de poder ayudar a disminuir el riesgo de fuga de datos involuntaria a las aplicaciones GenAI.
Además, hay que señalar que, las organizaciones tienen la capacidad de poder usar plataformas de gobierno de datos y prevención de pérdida de datos (DLP) para controlar de manera proactiva el tipo de datos que los usuarios tienen la posibilidad de compartir con las aplicaciones GenAI. Los clasificadores de datos DLP avanzados basados en IA y ML permiten a las organizaciones aplicar políticas que bloquean entradas de texto concretas y documentos como documentos financieros o legales que contienen información confidencial que puede violar las políticas de privacidad de una empresa.
Aplicar controles específicos de la aplicación
Diferentes aplicaciones GenAI (IA Generativa) han introducido sus propias funciones de seguridad y privacidad de datos. Por ejemplo, ChatGPT de OpenAI conserva el historial de chat de los usuarios y usa esos datos para el entrenamiento del modelo de forma predeterminada. Sin embargo, los usuarios tienen la posibilidad de optar explícitamente por no participar en la retención de datos ni en la capacitación de modelos.
Para garantizar que los usuarios corporativos tengan configuraciones de privacidad y seguridad apropiadas, los administradores tienen la capacidad de poder utilizar controles granulares que proporcionan herramientas basadas en IA y aprendizaje automático, como firewalls de próxima generación, IAM y CASB. Estas herramientas pueden analizar la configuración de seguridad y privacidad de una cuenta en tiempo real para permitir o incluso, bloquear conexiones en consecuencia.
Conseguir el equilibrio adecuado entre el uso y la seguridad de GenAI (IA Generativa)
En la actualidad, aparentemente gran parte del riesgo percibido asociado con GenAI es un alarmismo excesivo. Sin embargo, todavía existen preocupaciones y riesgos legítimos al usar herramientas de Inteligencia Artificial en entornos corporativos. Es crucial señalar que, para garantizar que las empresas no se queden atrás en los beneficios de productividad de GenAI, es importante implementar controles de seguridad integrales para mantener seguros y privados los datos confidenciales y propietarios.
Las organizaciones tienen la posibilidad de optar por implementar soluciones como DLP, CASB y firewalls de próxima generación o adoptar una arquitectura nativa de la nube que converja estos controles de seguridad en una sola aplicación, como Secure Access Service Edge (SASE), que aglutina todos estos controles avanzados basados en Inteligencia Artificial, capacidades de seguridad y más en un único panel. Igualmente unifica la seguridad con las redes para obtener una mayor visibilidad del uso de GenAI en todas las aplicaciones, lo que permite un análisis de riesgos realmente preciso.
Sin lugar a dudas, la Inteligencia Artificial (IA) agrega una nueva capacidad a las organizaciones; sin embargo, es algo que viene siendo necesario vigilar!
