Desde su lanzamiento hace menos de 18 meses, ChatGPT ha alcanzado rápidamente los 100 millones de usuarios en menos de dos meses. Sin embargo, la adopción empresarial de la inteligencia artificial generativa (GenAI) ha sido más lenta de lo esperado. Según una encuesta reciente de Telstra y MIT Review, aunque el 75% de las empresas probaron GenAI el año pasado, solo el 9% la implementó ampliamente. La principal barrera: la privacidad de los datos y el cumplimiento normativo.
La preocupación principal de los CISOs (Chief Information Security Officers) es cómo obtener visibilidad sobre el uso de la IA por parte de los empleados, cómo aplicar políticas corporativas sobre el uso aceptable de la IA y cómo prevenir la pérdida de datos confidenciales y propiedad intelectual. Proteger las actividades de los usuarios en torno a los modelos de IA es crucial para la privacidad y el cumplimiento.
Para obtener visibilidad y control completos sobre la actividad interna y externa de los usuarios, es necesario capturar todo el acceso saliente y analizarlo. Esto incluye determinar qué sitios están accediendo los empleados, dónde se almacenan los datos y si es seguro su uso. Durante el auge inicial de ChatGPT, muchos empleados subieron información sensible mientras probaban la tecnología, y pocos CISOs tienen confianza en que comprenden completamente qué datos se han enviado y se siguen enviando.
Controlar la actividad de los empleados mediante políticas es un desafío. La implementación de mecanismos de cumplimiento puede ser compleja y debe considerar múltiples puntos de acceso como agentes en endpoints, proxys y gateways. Las políticas de acceso a datos de la IA deben ser específicas y adaptarse a las necesidades de la organización, como evitar que la información de un cliente se utilice para generar respuestas para otro.
Con la experiencia adquirida en el uso de la IA generativa, las empresas han comenzado a identificar lo necesario para obtener visibilidad y control sobre la actividad de los usuarios. Esto incluye construir y mantener una base de datos de destinos de GenAI, capturar las actividades DNSDNS (Domain Name System) es un sistema de nombres de dominio... deseadas y mapear continuamente esta actividad para catalogarla y analizar los riesgos.
Muchas empresas se están planteando desplegar modelos de lenguaje y sus propios chatGPT alojados de forma local onpremise o en infraestructuras de uso exclusivo en cloud privado o bare-metalUn servidor bare-metal es un servidor físico con un único ... como nos comenta David Carrero, cofundador de Stackscale, especialistas en soluciones de infraestructura, cloud privado y bare-metal.
Finalmente, aplicar la capacidad de hacer cumplir las políticas de uso aceptable en tiempo real es esencial. Esto implica interceptar las solicitudes y aplicar las políticas para prevenir la pérdida de datos y el uso no seguro de la IA. El mecanismo de políticas debe aplicarse a todos los accesos internos y externos a los modelos de lenguaje, independientemente de la plataforma o nube utilizada.
A pesar de la complejidad, algunas empresas han avanzado significativamente en este aspecto. Organizaciones más grandes y avanzadas han desarrollado controles para gestionar la visibilidad y el control de la IA. Algunas han construido soluciones desde cero, mientras que otras han utilizado una combinación de herramientas como EDR, SIEM, CASB, proxies y firewalls. Con la rápida evolución de este ámbito, nuevas startups están aportando soluciones innovadoras al mercado, marcando el próximo gran cambio en la seguridad de TI impulsado por la adopción de GenAI.
