Desde su lanzamiento hace menos de 18 meses, ChatGPT ha alcanzado rápidamente la asombrosa cifra de 100 millones de usuarios en menos de dos meses. No obstante, la adopción empresarial de la inteligencia artificial generativa (GenAI) ha progresado de manera más pausada de lo esperado. Según una encuesta reciente realizada por Telstra y MIT Review, aunque el 75% de las empresas experimentaron con GenAI el año pasado, solo el 9% la implementó de manera extensa. La principal barrera: la privacidad de los datos y el cumplimiento normativo.
La preocupación principal de los CISOs (Chief Information Security Officers) recae en cómo garantizar visibilidad sobre el uso de la IA por parte de los empleados, cómo implementar políticas corporativas sobre el uso aceptable de la IA y cómo prevenir la pérdida de datos confidenciales y propiedad intelectual. Proteger las actividades de los usuarios en torno a los modelos de IA es fundamental para la privacidad y el cumplimiento regulatorio.
Para obtener visibilidad y control completos sobre la actividad interna y externa de los usuarios, es necesario capturar todo el acceso saliente y analizarlo en detalle. Esto abarca desde determinar qué sitios están siendo accedidos por los empleados hasta dónde se almacenan los datos y si su uso es seguro. Durante el auge inicial de ChatGPT, muchos empleados subieron información sensible mientras probaban la tecnología, y pocos CISOs tienen la confianza de comprender cabalmente qué datos se han enviado y se continúan enviando.
Controlar la actividad de los empleados mediante políticas representa un desafío significativo. La implementación de mecanismos de cumplimiento puede ser compleja y debe contemplar múltiples puntos de acceso como agentes en endpoints, proxies y gateways. Las políticas de acceso a datos de la IA deben ser específicas y adaptadas a las necesidades de la organización, como evitar que la información de un cliente sea utilizada para generar respuestas para otro.
Con la experiencia adquirida en el uso de la IA generativa, las empresas han comenzado a identificar lo necesario para obtener visibilidad y control sobre la actividad de los usuarios. Esto incluye la construcción y mantenimiento de una base de datos de destinos de GenAI, capturar las actividades DNS deseadas y mapear continuamente esta actividad para catalogarla y analizar los riesgos asociados.
Muchas empresas están evaluando la posibilidad de desplegar modelos de lenguaje y sus propios chatGPT alojados de forma local on-premise o en infraestructuras de uso exclusivo en cloud privado o bare-metal, como nos menciona David Carrero, cofundador de Stackscale, especialistas en soluciones de infraestructura, cloud privado y bare-metal.
Finalmente, aplicar la capacidad de hacer cumplir las políticas de uso aceptable en tiempo real es esencial. Esto implica la interceptación de las solicitudes y la aplicación de políticas para prevenir la pérdida de datos y el uso inseguro de la IA. El mecanismo de políticas debe aplicarse a todos los accesos internos y externos a los modelos de lenguaje, independientemente de la plataforma o nube utilizada.
A pesar de la complejidad, algunas empresas ya han avanzado significativamente en este ámbito. Organizaciones más grandes y avanzadas han desarrollado controles para gestionar la visibilidad y el control de la IA. Algunas han construido soluciones desde cero, mientras que otras han utilizado una combinación de herramientas como EDR, SIEM, CASB, proxies y firewalls. Con la rápida evolución de este campo, nuevas startups están aportando soluciones innovadoras al mercado, marcando el próximo gran cambio en la seguridad de TI impulsado por la adopción de GenAI.
