La pregunta más apremiante a la que se enfrentan CIOs y CISOs en estos momentos es, «¿cuánto?» ¿Cuánto acceso a ChatGPT es necesario ofrecer realmente a los empleados? Los máximos responsables de seguridad tienen que decidir si prohíben completamente ChatGPT en sus organizaciones, o aceptan su uso. ¿Qué opción elegir?
Una respuesta sencilla es implantar un acceso gestionado. Sin embargo, esto únicamente puede funcionar si se protegen adecuadamente los datos sensibles y se hace un uso responsable de AI/ML en plataformas y productos corporativos. Una organización debe transmitir eficazmente dónde y cómo utiliza la IA en sus relaciones con clientes, clientes potenciales, socios y proveedores de terceros y cuartos con el fin de construir programas exitosos y gestionados de forma segura que estén impulsados por la gobernanza.
Las empresas que simplemente «cierran» el acceso a ChatGPT pueden sentirse inicialmente más seguras, pero también están negando sus muchos usos productivos y potencialmente se están poniendo a sí mismas -y a todos sus equipos humanos- por detrás de la curva de innovación. Para evitar quedarse atrás, las organizaciones deberían considerar priorizar la implementación de una concesión de uso gestionada de ChatGPT y otras herramientas de IA generativa.
Gestión de ChatGPT dentro de la organización
Aunque el uso productivo de la IA y el ML se viene realizando desde hace algunos años, no ha sido hasta hace relativamente poco tiempo cuando la IA generativa ha experimentado su punto de inflexión.
Y es que, a menos que se tratase de un científico de datos, su explotación era limitada antes de noviembre de 2022. Incluso los profesionales de la seguridad, desarrolladores, creadores de aplicaciones o entusiastas de la tecnología, su exposición ante esta tecnología se centraba en el uso, no en el desarrollo de las funciones. Pero desde el lanzamiento público de ChatGPT, el acceso a estos servicios y tecnologías se ha generalizado. Ahora mismo, cualquiera, sin ningún conocimiento previo de la herramienta y tan solo utilizando un navegador, puede entrar y entender lo que ChatGPT puede y no puede hacer.
Y ante tal difusión y proliferación en todos los ámbitos, incluido el mundo de los negocios y de la tecnología, los líderes tienen esencialmente dos opciones: Prohibir o limitar severamente su uso, o crear una cultura que permita a las personas entender el uso de esta tecnología -y aceptar su utilización – sin que suponga un riesgo para la empresa. Aquellos miembros de la plantilla que tengan permiso para acceder a ChatGPT deben hacer un uso responsable.
Aquí, en los inicios de la adopción generalizada de la IA generativa, es previsible que determinados comportamientos den lugar a situaciones perturbadoras como las que se produjeron, hace décadas, con el motor de búsqueda en línea. En sus albores, surgieron diferentes amenazas y muchos datos -que posiblemente no deberían haberlo estado- fueron puestos a disposición del público.
Gestión del riesgo de terceros y cuartos
A medida que las organizaciones implementen el uso productivo de la IA generativa para el negocio por parte de los usuarios adecuados, también se producirá un aumento del uso de copilotos. Esto obligará a las empresas de seguridad a responsabilizarse de obtener información crítica de sus proveedores de tercera o cuarta parte en relación con las herramientas asociadas a la IA. Estas preguntas pueden ayudar a orientar la evaluación:
- ¿Qué parte del código de un proveedor está escrita por IA?
- ¿Puede su organización revisar el código escrito por IA?
- ¿A quién pertenece la tecnología de IA que utilizan sus proveedores?
- ¿A quién pertenece el contenido que producen?
- ¿Existe algún problema con las licencias de pruebas implicadas al principio del proceso de creación?
La IA ha llegado para quedarse. Con la orientación cultural adecuada, los usuarios de una organización serán más capaces de entender y utilizar la tecnología sin comprometer la postura de seguridad de la compañía. Sin embargo, esto debe combinarse con la orientación tecnológica adecuada, es decir, controles modernos de prevención de pérdida de datos (DLP) que impidan el uso indebido y la filtración de datos, y que también formen parte de una infraestructura que permita a los equipos humanos responder rápidamente en caso de uso indebido de esos datos.
James Robinson, Vicepresidente de Seguridad de la Información de Netskope
