La adopción empresarial de la IA generativa plantea la urgencia de contar con políticas de seguridad sólidas

El auge en la adopción empresarial de la IA generativa está generando alarma en la comunidad de ciberseguridad, lo que pone de relieve la urgente necesidad de políticas de seguridad integrales. La rápida evolución de la IA generativa, sumada a su inmenso potencial y los riesgos de seguridad inherentes, ha llevado a una situación en la que las directrices que rigen su uso se están quedando atrás respecto a su adopción generalizada.

Establecer políticastronde seguridad de IA generativa

Para los Directores de Seguridad de la Información (CISO), el mensaje es claro: ante el creciente uso empresarial, se requiere actuar de inmediato para formular políticas de seguridad de IA sólidas, diseñadas específicamente para abordar los desafíos únicos que plantea la IA generativa. A diferencia de la IA convencional, la IA generativa evoluciona rápidamente, presentando graves implicaciones de seguridad que exigen medidas proactivas.

Encuestas recientes indican un aumento sustancial en la adopción de IA generativa, con el 79% de las organizaciones del sector público y el 83% del sector privado incorporándola a sus sistemas de producción. Los principales impulsores de la adopción incluyen la automatización para mejorar la productividad, la innovación y la generación de ideas, así como para abordar los riesgos cibernéticos. Además, la rápida adopción de modelos de lenguaje grandes (LLM) creados externamente genera preocupación por los riesgos de terceros y la necesidad de principios éticos que guíen la regulación de la IA y los LLM.

Imperativos de la política de seguridad: aprender de la TI en la sombra

A partir de las lecciones aprendidas de los desafíos que plantea la TI en la sombra, se insta a las organizaciones a evitar la procrastinación y a desarrollar con prontitud políticas de seguridad para la IA generativa. Los datos históricos indican que las respuestas tardías a las tecnologías emergentes, como se ha observado con la TI en la sombra, pueden generar riesgos de seguridad inmanejables. Es fundamental encontrar un equilibrio entre el apoyo a la innovación y la mitigación de los riesgos asociados a la rápida adopción de la IA generativa.

Elaboración de políticas de seguridad de IA eficaces y generativas

El desafío fundamental para los CISO radica en elaborar políticas de ciberseguridad que no solo fomenten la adopción empresarial, sino que también aborden eficazmente los riesgos sin frenar la innovación. Con un enfoque descendente y alineado con los objetivos empresariales, estas políticas deben abarcar el control de acceso, el cifrado de datos y la gestión proactiva de amenazas. La naturaleza dinámica de la IA generativa requiere un ciclo de retroalimentación continuo para adaptar las políticas a los casos de uso empresariales en constante evolución y a los riesgos emergentes.

Alinear las políticas de seguridad de la IA generativa con las necesidades del negocio es tanto un desafío como una oportunidad. Las organizaciones, en su mayoría, adquieren IA generativa en lugar de desarrollarla, lo que requiere una comprensión integral de los diversos casos de uso empresarial. Esta alineación permite integrar los controles de seguridad desde el principio, evitando que las políticas de seguridad existan de forma aislada y garantizando su aplicabilidad en diversas funciones empresariales.

Gestión de riesgos de casos de uso: adaptación de políticas a los requisitos del negocio

Reconociendo que los casos de uso de la IA generativa varían entre empresas y departamentos, se anima a los CISO a adoptar un enfoque matizado de gestión de riesgos para cada caso de uso. Las prohibiciones generales sobre el uso de la IA pueden frenar la innovación, lo que requiere un conocimiento detallado de las necesidades específicas de cada departamento. Es crucial diferenciar las políticas en función de la sensibilidad de la información y los requisitos regulatorios, evitando soluciones universales.

Reconociendo las capacidades en constante evolución de la IA generativa, los CISO se enfrentan al reto de mantenerse al día con los avances tecnológicos. Considerando la escasez de personal cualificado, la ayuda de expertos externos puede ser esencial para que los CISO gestionen proactivamente la seguridad de la IA generativa. Simultáneamente, las organizaciones deben invertir en la formación de sus empleados para garantizar un uso responsable de la IA generativa, destacando los riesgos asociados y el enfoque verificado y seguro adoptado por la empresa.

Elementos clave de las políticas de IA generativa

Las políticas de seguridad eficaces para la IA generativa deben incluir medidas de seguridad de datos, como el cifrado, la anonimización y la clasificación de datos. Dada la gran cantidad de datos que manejan los sistemas de IA, es necesario contar con controles sólidos que impidan el acceso, el uso o la transferencia no autorizados de información confidencial. Se recomienda a los CISO centrarse en áreas emergentes de la gestión de riesgos internos, como la prevención y detección de fugas de datos, para proteger el uso de la IA generativa.

Las políticas de IA generativa no solo deben regular la entrada de datos, sino también abordar la fiabilidad del contenido generado. La preocupación por las "alucinaciones" e imprecisiones en los modelos de lenguaje extensos requiere procesos claros de revisión manual que garanticen la validación del contenido generado antes de influir en decisiones empresariales cruciales. La ejecución de código no autorizado y la posibilidad de ataques potenciados por IA generativa también deben considerarse en el ámbito de las políticas de seguridad.

Políticas de seguridad de IA generativa preparadas para el futuro

Es fundamental que las organizaciones establezcan políticas de seguridad sólidas para la IA generativa. Los CISO deben adaptarse al panorama cambiante, alinear las políticas con las necesidades del negocio y abordar proactivamente las amenazas emergentes. A medida que la IA generativa continúa su rápido auge, una política de seguridad bien comunicada y accesible que abarque la gestión de la cadena de suministro y la formación de los empleados será fundamental para fomentar una adopción segura y responsable de la IA.