Empleando Inteligencia Artificial Generativa: Desempacando las Implicaciones de Seguridad Cibernética de las Herramientas de Inteligencia Artificial Generativa

Es justo decir que la inteligencia artificial generativa ha captado la atención de todas las salas de juntas y líderes empresariales del país. Una vez una tecnología de vanguardia que era difícil de manejar, mucho menos dominar, las puertas a la inteligencia artificial generativa ahora se han abierto de par en par gracias a aplicaciones como ChatGPT o DALL-E. Ahora estamos presenciando una adopción generalizada de la inteligencia artificial generativa en todas las industrias y grupos de edad, ya que los empleados encuentran formas de aprovechar la tecnología a su favor.

Un reciente sondeo indicó que el 29% de la Generación Z, el 28% de la Generación X y el 27% de los millennials ahora utilizan herramientas de inteligencia artificial generativa como parte de su trabajo diario. En 2022, la adopción a gran escala de la inteligencia artificial generativa estaba en el 23%, y se espera que duplique a 46% para 2025.

La inteligencia artificial generativa es una tecnología naciente pero en rápida evolución que aprovecha modelos entrenados para generar contenido original en varias formas, desde texto escrito e imágenes, hasta videos, música e incluso código de software. Utilizando grandes modelos de lenguaje (LLM) y enormes conjuntos de datos, la tecnología puede crear instantáneamente contenido único que es casi indistinguible del trabajo humano, y en muchos casos más preciso y convincente.

Sin embargo, mientras las empresas están utilizando cada vez más la inteligencia artificial generativa para respaldar sus operaciones diarias, y los empleados han sido rápidos en adoptarla, el ritmo de adopción y la falta de regulación han planteado preocupaciones significativas sobre la seguridad cibernética y el cumplimiento normativo.

Según una encuesta de la población en general, más del 80% de las personas están preocupadas por los riesgos de seguridad que plantean ChatGPT y la inteligencia artificial generativa, y el 52% de los encuestados quieren que se pause el desarrollo de la inteligencia artificial generativa para que las regulaciones puedan ponerse al día. Este sentimiento más amplio también ha sido ecoado por las propias empresas, con 65% de los líderes senior de TI que no están dispuestos a condonar el acceso sin fricciones a las herramientas de inteligencia artificial generativa debido a las preocupaciones de seguridad.

La inteligencia artificial generativa es aún un desconocido desconocido

Las herramientas de inteligencia artificial generativa se alimentan de datos. Los modelos, como los utilizados por ChatGPT y DALL-E, se entrenan con datos externos o disponibles libremente en Internet, pero para aprovechar al máximo estas herramientas, los usuarios necesitan compartir datos muy específicos. A menudo, cuando se solicita a herramientas como ChatGPT, los usuarios comparten información comercial sensible para obtener resultados precisos y completos. Esto crea muchos desconocidos para las empresas. El riesgo de acceso no autorizado o divulgación no intencionada de información sensible está “incorporado” cuando se utiliza herramientas de inteligencia artificial generativa disponibles libremente.

Este riesgo en sí mismo no es necesariamente algo malo. El problema es que estos riesgos aún no se han explorado adecuadamente. Hasta la fecha, no ha habido un análisis real del impacto empresarial del uso de herramientas de inteligencia artificial generativa ampliamente disponibles, y los marcos legales y regulatorios globales sobre el uso de la inteligencia artificial generativa aún no han alcanzado ninguna forma de madurez.

La regulación es aún un trabajo en progreso

Los reguladores ya están evaluando las herramientas de inteligencia artificial generativa en términos de privacidad, seguridad de datos y integridad de los datos que producen. Sin embargo, como sucede a menudo con la tecnología emergente, el aparato regulatorio para respaldar y gobernar su uso está rezagado varios pasos. Mientras la tecnología está siendo utilizada por empresas y empleados de manera generalizada, los marcos regulatorios aún están en la etapa de diseño.

Esto crea un riesgo claro y presente para las empresas que, en este momento, no se está tomando tan en serio como debería. Los ejecutivos están naturalmente interesados en cómo estas plataformas introducirán beneficios comerciales materiales, como oportunidades de automatización y crecimiento, pero los gestores de riesgos están preguntando cómo se regulará esta tecnología, cuáles serán las implicaciones legales y cómo se podría comprometer o exponer los datos de la empresa. Muchas de estas herramientas están disponibles libremente para cualquier usuario con un navegador y una conexión a Internet, así que mientras esperan a que la regulación se ponga al día, las empresas deben empezar a pensar muy cuidadosamente sobre sus propias “reglas de la casa” sobre el uso de la inteligencia artificial generativa.

El papel de los CISO en la gobernanza de la inteligencia artificial generativa

Con los marcos regulatorios aún faltando, los Directores de Seguridad de la Información (CISO) deben asumir un papel crucial en la gestión del uso de la inteligencia artificial generativa dentro de sus organizaciones. Necesitan entender quién está utilizando la tecnología y con qué propósito, cómo proteger la información empresarial cuando los empleados interactúan con herramientas de inteligencia artificial generativa, cómo gestionar los riesgos de seguridad de la tecnología subyacente y cómo equilibrar las compensaciones de seguridad con el valor que ofrece la tecnología.

Esto no es una tarea fácil. Se deben realizar evaluaciones de riesgos detalladas para determinar tanto los resultados negativos como positivos como resultado de, en primer lugar, implementar la tecnología de manera oficial, y en segundo lugar, permitir que los empleados utilicen herramientas disponibles libremente sin supervisión. Dada la naturaleza de fácil acceso de las aplicaciones de inteligencia artificial generativa, los CISO deben pensar cuidadosamente sobre la política de la empresa que rodea su uso. ¿Deben los empleados estar libres de aprovechar herramientas como ChatGPT o DALL-E para facilitar su trabajo? ¿O debe restringirse o moderarse el acceso a estas herramientas de alguna manera, con directrices y marcos internos sobre cómo deben utilizarse? Un problema obvio es que, incluso si se crearan directrices de uso internas, dado el ritmo al que evoluciona la tecnología, podrían estar obsoletas para cuando se finalicen.

Una forma de abordar este problema podría ser mover el enfoque lejos de las herramientas de inteligencia artificial generativa en sí, y centrarse en la clasificación y protección de datos. La clasificación de datos siempre ha sido un aspecto clave para proteger los datos de ser comprometidos o filtrados, y eso es cierto en este caso de uso particular también. Implica asignar un nivel de sensibilidad a los datos, lo que determina cómo deben tratarse. ¿Deben cifrarse? ¿Deben bloquearse para contenerlos? ¿Deben notificarse? ¿Quién debe tener acceso a ellos y dónde se permite compartirlos? Al centrarse en el flujo de datos, en lugar de la herramienta en sí, los CISO y los oficiales de seguridad tendrán muchas más posibilidades de mitigar algunos de los riesgos mencionados.

Al igual que todas las tecnologías emergentes, la inteligencia artificial generativa es tanto una ventaja como un riesgo para las empresas. Mientras ofrece capacidades emocionantes como la automatización y la conceptualización creativa, también introduce desafíos complejos en torno a la seguridad de los datos y la salvaguarda de la propiedad intelectual. Mientras los marcos regulatorios y legales aún se están elaborando, las empresas deben caminar la línea entre la oportunidad y el riesgo, implementando sus propios controles de política que reflejen su postura general de seguridad. La inteligencia artificial generativa impulsará a las empresas hacia adelante, pero debemos tener cuidado de mantener una mano en el timón.