Habilite el poder de la IA generativa

La IA generativa plantea varias amenazas para la seguridad de datos. Estas incluyen el filtrado de datos, la fuga de datos y la falta de cumplimiento de las leyes de privacidad de los datos. 

Las aplicaciones de IA generativa como ChatGPT y Bard son grandes modelos de lenguaje que aprenden de la información que los usuarios ingresan. Si un usuario, por ejemplo, está revisando información sobre el objetivo de una actividad de fusión y adquisición que aún no se ha hecho pública, las búsquedas posteriores de otros usuarios podrían revelar esa información. 

Si un ingeniero de software utilizara la IA generativa para depurar un código de software patentado, esa propiedad intelectual estaría en riesgo de pasar al dominio público, o peor aún, de llegar a manos de un competidor. De un modo similar, si el ingeniero utilizara la IA generativa para escribir un código, este podría contener malware que podría proporcionar a un atacante una vía de ingreso al sistema de una empresa. 

Por último, las leyes de privacidad de los datos como HIPAA,  GDPR o LGPD exigen que las organizaciones protejan con mucho cuidado los datos personales. El uso de la IA generativa para cualquier cosa que tenga que ver con la información de identificación personal (PII), como la redacción de una respuesta a un mensaje de correo electrónico por una consulta de un cliente, podría poner a la empresa en riesgo de incumplimiento, ya que esta información podría filtrarse o utilizarse de manera incorrecta.

La IA generativa se puede utilizar para escribir malware y utilizar contenido engañosamente para ataques de phishing y spear-phishing. Los proveedores de IA generativa como ChatGPT también tienen un riesgo de fuga de datos, lo que les daría a los atacantes acceso a datos confidenciales de los usuarios. 

Un ejemplo de IA generativa utilizada para crear malware es de Aaron Mulgrew de Forcepoint. Mulgrew logró que ChatGPT escribiera código malicioso, a pesar de que ChatGPT tiene protecciones implementadas para impedir que esto suceda.

La seguridad de datos de la IA generativa requiere tanto un control de acceso en tiempo real como controles de datos sólidos.  

En una plataforma como Forcepoint ONE SSE, las organizaciones pueden proporcionar acceso a herramientas de IA generativa a grupos limitados de empleados que hayan sido aprobados para utilizarlas. Estas políticas se pueden implementar en dispositivos administrados y no administrados, lo que brinda a las empresas un amplio rango de control. 

Con Forcepoint DLP, los usuarios de ChatGPT y Bard estarán limitados en cuanto a la información que puedan compartir con las plataformas para prevenir una filtración de datos accidental. Esto incluye impedir el pegado de información confidencial, como los números de seguro social, en la aplicación.

El panorama de las amenazas de ciberseguridad está en constante evolución y, si bien la IA generativa es un nuevo riesgo, existen tecnologías para mitigarlo.

La IA generativa tiene un mayor riesgo de ser otra vía de fuga o filtración de datos, no muy diferente a cualquiera de las otras aplicaciones de SaaS que las empresas utilizan a diario. Si los empleados están trabajando con IA generativa utilizando datos confidenciales, una fuga de datos o un uso indebido de esos datos podrían afectar la posición de seguridad de la empresa.

Tratar las herramientas de IA generativa como ChatGPT y Bard como Shadow IT es el primer paso en la dirección correcta. Defina quién debería poder utilizar las aplicaciones y cree políticas que permitan que estos grupos accedan a las herramientas, y que impidan que ingresen quienes no deberían. Además, introduzca controles de datos sólidos para garantizar que los datos confidenciales permanezcan dentro de la organización.

Las aplicaciones de IA generativa como ChatGPT han sido construidas y entrenadas con grandes modelos de lenguaje. Estos modelos algorítmicos permiten que las plataformas ingieran y aprendan de grandes bases de datos, lo que les proporciona el conocimiento, el contexto y la precisión que los usuarios esperan de los chatbots de IA.

Pero, como la IA generativa se basa en grandes modelos de lenguaje, continúa aprendiendo de la información que se introduce en ella. Está aprendiendo y aplicando el contexto de manera continua a la nueva información con la que interactúa, lo que permite que sus respuestas sean actuales y relevantes.

Esto plantea un riesgo significativo para su empresa. Compartir información confidencial o patentada con el chatbot de IA abre dos vías de riesgo. Una de ellas es que la aplicación tome esa información como si fuera de conocimiento público y la comparta cuando se la soliciten en el futuro. La segunda preocupación es que la empresa detrás de la herramienta de IA generativa en sí misma sufra una filtración y que la información que se haya compartido con ella esté en riesgo.

De forma predeterminada, debe operar bajo el supuesto de que es probable que las aplicaciones de IA generativa como ChatGPT y Bard utilicen los datos que usted ingrese para mejorar sus modelos. Sin embargo, querrá volver a verificar con la plataforma específica que utiliza.

Estos datos se recopilan junto con otro montón información, como el dispositivo que está utilizando, desde dónde está accediendo y cualquier detalle asociado con su cuenta. La capacidad de la aplicación para entrenar sus datos generalmente se puede desactivar en la configuración, según el proveedor.

Este es uno de los principales riesgos de compartir información confidencial con la IA. Compartir información confidencial de la empresa, como una próxima estrategia de “go-to-market” para el lanzamiento de un producto, con las aplicaciones, puede hacer que esa información esté disponible públicamente si no se toman las precauciones adecuadas.

Forcepoint Data Security ayuda a evitar esto al limitar el acceso solo a los usuarios que están capacitados para utilizar las aplicaciones de manera segura, o al bloquear la acción de pegar información en la aplicación.

Las aplicaciones de IA generativa deben tratarse como cualquier otro proveedor externo en la cadena de suministro digital. Si la plataforma sufre una fuga de datos, la información que haya ingresado podría estar en riesgo. Esta es la razón por la que las empresas deben desarrollar políticas estrictas de uso aceptable en torno a la IA generativa para garantizar que los datos no se pongan en riesgo de manera inesperada.

Todas las organizaciones son responsables de cumplir con las regulaciones de privacidad. Al ingresar datos en aplicaciones de IA generativa, existe la posibilidad de que las personas compartan PII, PHI y otros tipos de información que esté regulada.

Compartir información privada con una aplicación de IA generativa es una forma de exfiltración de datos que se rige por las normas de privacidad. Para que las organizaciones sigan cumpliendo, deben contar con sólidas herramientas de seguridad de datos que impidan que se comparta este tipo de información.

Todas las empresas deben revisar cómo sus empleados ya interactúan o pueden interactuar con la IA generativa, qué tipos de riesgos plantean esas interacciones y cómo la organización puede evitar que usuarios no elegibles accedan y compartan información confidencial con la IA generativa.

Al igual que cualquier otra aplicación SaaS, las empresas deben asegurarse de tener visibilidad completa sobre los usuarios que acceden a la IA generativa y control sobre los datos con los que interactúan. En la mayoría de los casos, esto implicará el filtrado de URL por función laboral, dispositivo o ubicación, y políticas de seguridad de datos para evitar violaciones de cumplimiento.