El uso de la IA generativa (también denominada GenAI) se ha generalizado el último año. Esta tendencia ha provocado un giro extraordinario en las noticias, entre 2023 y 2024. El año pasado, Forbes informaba que JPMorgan Chase, Amazon y varias universidades en Estados Unidos estaban prohibiendo o limitando el uso de ChatGPT. Además, Amazon y Samsung comunicaban que habían descubierto que algunos empleados compartían código con el chatbot de OpenAI.
Si comparemos estos titulares con las noticias de 2024, observamos que el foco ahora está en la adopción masiva de asistentes basados en IA por parte de empresas de todo el mundo. J.P. Morgan está desplegando ChatGPT para más de 60 000 empleados con el fin de mejorar la eficiencia en el trabajo y Amazon ha anunciado recientemente que, gracias al empleo de IA generativa para migrar 30 000 aplicaciones a una nueva plataforma, ha ahorrado el equivalente a 4500 años de trabajo de desarrolladores, así como 260 millones de dólares.
La encuesta mundial de McKinsey sobre IA de 2024 también pone de manifiesto cómo han cambiado las cosas. En este estudio el 65 % de los encuestados manifiesta que sus empresas utilizan IA generativa de forma habitual, es decir, casi el doble que 10 meses antes.
Lo más revelador de esta tendencia es que las organizaciones tienen la sensación de que o adoptan la IA generativa o se arriesgan a quedar rezagados. ¿Y cómo se pueden mitigar los riesgos? Eso es lo que vamos a abordar en este artículo.
IA generativa: un nuevo riesgo de amenazas internas
Como toda herramienta de productividad, la GenAI abre la puerta a riesgos de amenazas internas por parte de usuarios negligentes, comprometidos o maliciosos.
- Empleados negligentes. Estos usuarios pueden introducir en las herramientas de IA generativa datos confidenciales, como información de clientes, algoritmos propiedad de la empresa o estrategias internas. Asimismo, pueden usar esas herramientas para crear contenido no conforme con las normativas o requisitos legales de la empresa, como documentos con lenguaje discriminatorio o imágenes inadecuadas. Esto, a su vez, crea riesgos en el plano legal. Además, algunos empleados pueden utilizar herramientas de IA generativa no autorizadas, lo que genera vulnerabilidades de seguridad y problemas de incumplimiento de normativas.
- Empleados comprometidos. Los ciberdelincuentes pueden vulnerar el acceso de los empleados a las herramientas de IA generativa y aprovecharlo para extraer, generar o compartir datos confidenciales con personas externas.
- Empleados maliciosos. Hay empleados que quieren hacer daño a la empresa de manera deliberada. En este caso, pueden filtrar intencionadamente información confidencial en herramientas de IA generativa públicas. Si tienen acceso a modelos o conjuntos de datos propiedad de la empresa, pueden usar estas herramientas para crear productos competidores. También pueden utilizar la IA generativa para crear o modificar registros con el fin de complicar a los auditores el trabajo de identificación de las discrepancias o el incumplimiento de normativas.
Para mitigar estos riesgos, las organizaciones necesitan una combinación de controles técnicos, políticas internas y estrategias, todo ello centrado en las personas. No solo deben ser capaces de supervisar el uso que se hace de la IA y el acceso a los datos, sino que tienen que aplicar determinadas medidas, como formación para los empleados, así como contar con un marco ético sólido.
Seguridad centrada en las personas para la IA generativa
Para la mayoría de los CISO es prioritario adoptar esta tecnología de manera segura y Proofpoint tiene una solución de protección de la información adaptable y centrada en las personas que puede servirles de ayuda. Nuestra solución proporciona la visibilidad y el control que necesita para utilizar la GenAI en su empresa. Y esta visibilidad se extiende a los endpoints, la nube y la web, mediante lo siguiente:
Visibilidad de las herramientas de IA generativa no autorizadas:
- Controle el empleo de más de 600 sitios de GenAI por usuario, grupo o departamento.
- Supervise el uso de apps de IA generativa, con contexto basado en el riesgo para los usuarios.
- Identifique las autorizaciones de aplicaciones de IA de terceros, asociadas a su almacén de identidades.
- Reciba alertas cuando las credenciales corporativas se utilicen para servicios de IA generativa.
Implementación de políticas de uso aceptable para las herramientas de IA generativa y la prevención de pérdida de datos:
- Bloquee las cargas en la web y evite que posteriormente se peguen los datos en los sitios de IA generativa.
- Impida que se escriban datos confidenciales en herramientas como ChatGPT, Gemini, Claude, Copilot y otras similares.
- Revoque las autorizaciones de acceso para las aplicaciones de IA generativa de terceros.
- Supervise el uso de Copilot para Microsoft 365 y reciba alertas cuando se acceda a archivos confidenciales a través de mensajes de correo electrónico, archivos y mensajes de Teams.
- Aplique etiquetas de Microsoft Information Protection (MIP) a los archivos confidenciales, para garantizar que Copilot use las mismas etiquetas para nuevo contenido generado a partir de estos archivos.
Supervisión para detectar amenazas internas con políticas de IA generativa dinámicas:
- Obtenga metadatos y capturas de pantalla antes y después de que los empleados accedan a las herramientas de IA generativa.
Formación de los empleados para garantizar un uso aceptable de las herramientas de IA generativa:
- Forme a los usuarios sobre cómo utilizar la IA generativa sin riesgos, con vídeos, pósteres, módulos interactivos y boletines informativos.
- Automatice la formación personalizada para los usuarios de más riesgo.
Además, puede aprovechar la experiencia de los servicios gestionados de Proofpoint para optimizar su programa de protección de la información en lo relativo a la adopción de IA generativa y aplicar las mejores prácticas.
Más información
Póngase en contacto con el responsable de su cuenta para descubrir cómo puede ayudarle Proofpoint a implementar las políticas de uso aceptable en relación con las herramientas de IA generativa y para probar nuestra solución.
Para ver una demostración de nuestra solución de protección de la información cuando se usa IA generativa, vea nuestro webinar bajo demanda, “Top Data Loss User Cases on Endpoints” (Principales casos de pérdida de datos en los endpoints).