Líderes de opinión

Emplear Inteligencia Artificial Generativa: Desempacando las Implicaciones de Seguridad Cibernética de las Herramientas de Inteligencia Artificial Generativa

mm
Publicado el
Actualizado el

Es justo decir que la inteligencia artificial generativa ha captado la atención de todas las salas de juntas y líderes empresariales del país. Una vez una tecnología de vanguardia que era difícil de manejar, mucho menos dominar, las puertas a la inteligencia artificial generativa ahora se han abierto de par en par gracias a aplicaciones como ChatGPT o DALL-E. Ahora estamos presenciando una adopción generalizada de la inteligencia artificial generativa en todas las industrias y grupos de edad, ya que los empleados encuentran formas de aprovechar la tecnología en su beneficio.

Una encuesta reciente indicó que el 29% de los miembros de la Generación Z, el 28% de la Generación X y el 27% de los millennials ahora utilizan herramientas de inteligencia artificial generativa como parte de su trabajo diario. En 2022, la adopción a gran escala de la inteligencia artificial generativa fue del 23%, y se espera que se duplique al 46% para 2025.

La inteligencia artificial generativa es una tecnología en ciernes pero en rápida evolución que aprovecha modelos entrenados para generar contenido original en diversas formas, desde texto escrito e imágenes, hasta videos, música e incluso código de software. Utilizando modelos de lenguaje grande (LLM) y enormes conjuntos de datos, la tecnología puede crear contenido único de inmediato que es casi indistinguible del trabajo humano, y en muchos casos más preciso y convincente.

Sin embargo, mientras las empresas están utilizando cada vez más la inteligencia artificial generativa para respaldar sus operaciones diarias, y los empleados han sido rápidos en adoptarla, el ritmo de adopción y la falta de regulación han planteado importantes preocupaciones sobre la seguridad cibernética y el cumplimiento normativo.

Según una encuesta de la población en general, más del 80% de las personas están preocupadas por los riesgos de seguridad que plantea ChatGPT y la inteligencia artificial generativa, y el 52% de los encuestados quiere que se detenga el desarrollo de la inteligencia artificial generativa para que las regulaciones puedan ponerse al día. Este sentimiento más amplio también ha sido ecoado por las propias empresas, con 65% de los líderes senior de TI que no están dispuestos a aprobar el acceso sin fricciones a las herramientas de inteligencia artificial generativa debido a las preocupaciones de seguridad.

La inteligencia artificial generativa sigue siendo un desconocido desconocido

Las herramientas de inteligencia artificial generativa se alimentan de datos. Los modelos, como los utilizados por ChatGPT y DALL-E, se entrenan con datos externos o disponibles libremente en Internet, pero para aprovechar al máximo estas herramientas, los usuarios necesitan compartir datos muy específicos. A menudo, cuando se utilizan herramientas como ChatGPT, los usuarios comparten información comercial sensible para obtener resultados precisos y completos. Esto crea muchos desconocidos para las empresas. El riesgo de acceso no autorizado o divulgación no intencionada de información sensible es “incorporado” cuando se utilizan herramientas de inteligencia artificial generativa disponibles libremente.

Este riesgo en sí mismo no es necesariamente algo malo. El problema es que estos riesgos aún no se han explorado adecuadamente. Hasta la fecha, no ha habido un análisis de impacto empresarial real del uso de herramientas de inteligencia artificial generativa ampliamente disponibles, y los marcos legales y regulatorios globales sobre el uso de la inteligencia artificial generativa aún no han alcanzado ninguna forma de madurez.

La regulación sigue siendo un trabajo en progreso

Los reguladores ya están evaluando las herramientas de inteligencia artificial generativa en términos de privacidad, seguridad de los datos y la integridad de los datos que producen. Sin embargo, como suele ser el caso con la tecnología emergente, el aparato regulatorio para respaldar y gobernar su uso está quedando atrás. Mientras la tecnología se está utilizando por empresas y empleados de manera generalizada, los marcos regulatorios aún están en la etapa de diseño.

Esto crea un riesgo claro y presente para las empresas que, en este momento, no se está tomando tan en serio como debería. Los ejecutivos están naturalmente interesados en cómo estas plataformas introducirán beneficios comerciales materiales, como oportunidades de automatización y crecimiento, pero los gerentes de riesgos están preguntando cómo se regulará esta tecnología, cuáles serán las implicaciones legales y cómo se podría comprometer o exponer los datos de la empresa. Muchas de estas herramientas están disponibles libremente para cualquier usuario con un navegador y una conexión a Internet, así que mientras esperan a que la regulación se ponga al día, las empresas necesitan empezar a pensar muy cuidadosamente en sus propias “reglas de la casa” sobre el uso de la inteligencia artificial generativa.

El papel de los CISO en la gobernanza de la inteligencia artificial generativa

Con los marcos regulatorios aún faltando, los Directores de Seguridad de la Información (CISO) deben asumir un papel crucial en la gestión del uso de la inteligencia artificial generativa dentro de sus organizaciones. Necesitan entender quién está utilizando la tecnología y con qué propósito, cómo proteger la información empresarial cuando los empleados interactúan con las herramientas de inteligencia artificial generativa, cómo gestionar los riesgos de seguridad de la tecnología subyacente y cómo equilibrar los compromisos de seguridad con el valor que ofrece la tecnología.

Esto no es una tarea fácil. Se deben realizar evaluaciones de riesgos detalladas para determinar tanto los resultados negativos como positivos como resultado de, en primer lugar, implementar la tecnología de manera oficial, y en segundo lugar, permitir que los empleados utilicen herramientas disponibles libremente sin supervisión. Dada la naturaleza de fácil acceso de las aplicaciones de inteligencia artificial generativa, los CISO necesitan pensar cuidadosamente sobre la política de la empresa en torno a su uso. ¿Deben los empleados ser libres de aprovechar herramientas como ChatGPT o DALL-E para facilitar su trabajo? ¿O debe restringirse o moderarse el acceso a estas herramientas de alguna manera, con directrices y marcos internos sobre cómo deben utilizarse? Un problema obvio es que, incluso si se crearan directrices de uso internas, dada la velocidad a la que evoluciona la tecnología, podrían estar obsoletas para cuando se finalicen.

Una forma de abordar este problema podría ser cambiar el enfoque de las herramientas de inteligencia artificial generativa en sí y, en cambio, centrarse en la clasificación y protección de los datos. La clasificación de los datos siempre ha sido un aspecto clave para proteger los datos de violaciones o fugas, y eso es cierto en este caso particular también. Implica asignar un nivel de sensibilidad a los datos, lo que determina cómo deben tratarse. ¿Deben cifrarse? ¿Deben bloquearse para contenerlos? ¿Deben notificarse? ¿Quién debe tener acceso a ellos y dónde se permite compartirlos? Al centrarse en el flujo de datos, en lugar de la herramienta en sí, los CISO y los oficiales de seguridad tendrán muchas más posibilidades de mitigar algunos de los riesgos mencionados.

Al igual que toda tecnología emergente, la inteligencia artificial generativa es tanto una oportunidad como un riesgo para las empresas. Mientras ofrece capacidades emocionantes como la automatización y la conceptualización creativa, también introduce desafíos complejos en torno a la seguridad de los datos y la salvaguarda de la propiedad intelectual. Mientras los marcos regulatorios y legales aún se están desarrollando, las empresas deben tomar la iniciativa de caminar entre la oportunidad y el riesgo, implementando sus propios controles de política que reflejen su postura general de seguridad. La inteligencia artificial generativa impulsará a las empresas hacia adelante, pero debemos tener cuidado de mantener una mano en el timón.

mm

Con más de 25 años de experiencia como experto en ciberseguridad, Chris Hetner es reconocido por elevar el riesgo cibernético al nivel de la C-Suite y la Junta para proteger las industrias, infraestructuras y economías de todo el mundo.

He served as the Senior Cybersecurity Advisor to the Chair of the United States Securities and Exchange Commission and as Head of Cybersecurity for the Office of Compliance Inspections and Examination at the SEC.

Actualmente, Chris es Presidente del Consejo Asesor de Seguridad del Cliente de Panzura, que brinda educación y conciencia sobre la resiliencia de los datos con la misión de avanzar en la alineación empresarial, operativa y financiera con la gobernanza del riesgo de ciberseguridad. Panzura es una empresa líder en gestión de datos híbrida multi-nube.

Además, es Asesor Especial para el Riesgo Cibernético de la Asociación Nacional de Directores Corporativos, Presidente de Seguridad Cibernética y Privacidad del Consejo de Insight de Nasdaq, y Miembro de la Junta Directiva de TCIG.