Empresas de todos los sectores están animando a sus empleados a utilizar herramientas de inteligencia artificial en el lugar de trabajo. Mientras tanto, sus empleados suelen estar ansiosos por aprovechar al máximo los chatbots de IA generativa como ChatGPT. A estas alturas, todos están en la misma página, ¿verdad?
Sólo hay un problema: ¿Cómo protegen las empresas los datos confidenciales de la empresa para que no sean absorbidos por las mismas herramientas que se supone aumentan la productividad y el retorno de la inversión? Después de todo, es muy tentador cargar información financiera, datos de clientes, códigos de propiedad o documentos internos a su chatbot o herramienta de codificación de IA favorita para obtener los resultados rápidos que desea (o que su jefe o colega podría exigir). De hecho, un nuevo estudio realizado por la empresa de seguridad de datos Varonis encuentra que las aplicaciones de IA generativa habilitadas para IA en la sombra representan una amenaza significativa para la seguridad de los datos, con herramientas que pueden eludir el gobierno corporativo y la supervisión de TI, lo que lleva a posibles fugas de datos. La encuesta encontró que casi todas las empresas tienen empleados que utilizan aplicaciones no autorizadas, y casi la mitad de los empleados utilizan aplicaciones de inteligencia artificial consideradas de alto riesgo.
Para los líderes en seguridad de la información, uno de los principales desafíos es educar a los empleados sobre cuáles son los riesgos y qué necesita la empresa. Deben asegurarse de que los empleados comprendan los tipos de datos que maneja la organización, desde datos corporativos como documentos internos, planes estratégicos y registros financieros hasta datos de clientes como nombres, direcciones de correo electrónico, detalles de pago y patrones de uso. También es importante comunicar cómo se clasifica cada tipo de datos; por ejemplo, si son públicos, internos, confidenciales o altamente restringidos. Una vez que se establezca esta base, se deben establecer políticas claras y límites de acceso para proteger esos datos en consecuencia.
Lograr un equilibrio entre fomentar el uso de la IA y crear barreras
“No es un problema técnico para nosotros, es un desafío para el usuario”, dijo James Robinson, director de seguridad de la información de la empresa de seguridad de datos Netskope. El objetivo, explicó, es garantizar que los empleados utilicen de forma segura herramientas de IA generativa sin disuadirlos de adoptar tecnologías aprobadas.
“Necesitamos entender qué está tratando de lograr la empresa”, añadió. En lugar de simplemente decirles a los empleados que están haciendo algo mal, los equipos de seguridad deben trabajar para comprender cómo las personas usan las herramientas, para garantizar que las políticas sean apropiadas o si es necesario ajustarlas para permitir que los empleados compartan información de manera adecuada.
Jacob DePriest, director de seguridad de la información del proveedor de protección de contraseñas 1Password, estuvo de acuerdo y dijo que su empresa está tratando de lograr un equilibrio con sus políticas, tanto para fomentar el uso de la IA como para educar para que haya rieles adecuados.
A veces eso significa hacer ajustes. Por ejemplo, el año pasado la empresa publicó una política sobre el uso aceptable de la IA, que forma parte de la formación anual en seguridad de la empresa. “Por lo general, es el tema de ‘Por favor use la IA de manera responsable; concéntrese en las herramientas aprobadas; y hay algunas áreas de uso inaceptables'”. Pero la forma en que fue escrito hizo que muchos empleados fueran extra cautelosos, dijo.
“Es un buen problema, pero los CISO no pueden centrarse exclusivamente en la seguridad”, afirmó. “Necesitamos comprender los objetivos comerciales y luego ayudar a la empresa a lograr tanto los objetivos comerciales como los resultados de seguridad. Creo que la tecnología de inteligencia artificial en la última década ha resaltado la necesidad de ese equilibrio. Y por eso realmente hemos tratado de abordar esto de la mano entre permitir la seguridad y la productividad”.
Prohibir las herramientas de inteligencia artificial para evitar abusos no funciona
Pero las empresas que piensan que prohibir ciertas herramientas es una solución deberían pensarlo dos veces. Brooke Johnson, vicepresidenta senior de recursos humanos y seguridad de Evanti, dijo que su compañía descubrió que alrededor de un tercio de quienes usan IA generativa en el lugar de trabajo mantienen su uso de IA completamente en secreto para la gerencia. “Están compartiendo datos de la empresa con sistemas que nadie ha verificado, ejecutando solicitudes a través de plataformas con políticas de datos poco claras y potencialmente exponiendo información confidencial”, dijo en un mensaje.
El impulso de prohibir ciertas herramientas es comprensible pero equivocado, afirmó. “No se quiere que los empleados mejoren ocultando el uso de la IA; se quiere que sean transparentes para que puedan ser monitoreados y controlados”, explicó. Esto significa aceptar la realidad de que el uso de la IA se produce independientemente de la política y realizar una evaluación precisa de qué plataformas de IA cumplen con sus estándares de seguridad.
“Eduque a los equipos sobre riesgos específicos sin advertencias vagas”, dijo. Ayúdeles a comprender por qué existen determinadas vallas, aconseja, subrayando que no es punitivo. “Se trata de garantizar que puedan hacer su trabajo de manera eficiente, efectiva y segura”.
La IA agente creará nuevos desafíos para la seguridad de los datos
¿Cree que proteger los datos en la era de la IA es complicado? Los agentes de IA avanzarán, dice DePriest.
“Para trabajar eficazmente, estos agentes necesitan acceso a credenciales, tokens e identidades, y pueden actuar en nombre de un individuo; tal vez tengan su propia identidad”, dijo. “Por ejemplo, no queremos facilitar situaciones en las que un empleado pueda ceder el poder de toma de decisiones a un agente de IA, donde podría influir en un ser humano”. Las organizaciones quieren herramientas que faciliten un aprendizaje más rápido y ayuden a sintetizar datos más rápidamente, pero en última instancia, las personas deben poder tomar decisiones críticas, explicó.
Ya sean los agentes de IA del futuro o las herramientas de IA generativa de hoy, lograr el equilibrio adecuado entre permitir ganancias de productividad y hacerlo de forma segura y responsable puede resultar difícil. Pero los expertos dicen que todas las empresas enfrentan el mismo desafío, y enfrentarlo será la mejor manera de aprovechar la ola de la IA. Los riesgos son reales, pero con la combinación adecuada de educación, transparencia y supervisión, las empresas pueden aprovechar el poder de la IA, sin entregar las llaves de su reino.
