En el vertiginoso panorama digital actual, la adopción generalizada de herramientas de IA (inteligencia artificial) está transformando la forma en que operan las organizaciones. Desde chatbots hasta modelos generativos de IA, estas aplicaciones basadas en SaaS ofrecen numerosos beneficios, desde una mayor productividad hasta una mejor toma de decisiones. Los empleados que utilizan herramientas de IA experimentan las ventajas de respuestas rápidas y resultados precisos, lo que les permite realizar su trabajo de manera más eficaz y eficiente. Esta popularidad se refleja en las asombrosas cifras asociadas con las herramientas de IA.
El chatbot viral de OpenAI, ChatGPT, ha acumulado aproximadamente 100 millones de usuarios en todo el mundo, mientras que otras herramientas de IA generativa como DALL·E y Bard también han ganado una tracción significativa por su capacidad para generar contenido impresionante sin esfuerzo. Se proyecta que el mercado de IA generativa supere los $ 22 mil millones para 2025, lo que indica la creciente dependencia de las tecnologías de IA.
Sin embargo, en medio del entusiasmo que rodea la adopción de IA, es imperativo abordar las preocupaciones de los profesionales de seguridad en las organizaciones. Plantean preguntas legítimas sobre el uso y los permisos de las aplicaciones de IA dentro de su infraestructura: ¿Quién está usando estas aplicaciones y con qué fines? ¿Qué aplicaciones de IA tienen acceso a los datos de la empresa y qué nivel de acceso se les ha otorgado? ¿Cuál es la información que comparten los empleados con estas aplicaciones? ¿Cuáles son las implicaciones de cumplimiento?
No se puede subestimar la importancia de comprender qué aplicaciones de IA están en uso y el acceso que tienen. Es el primer paso básico pero imperativo para comprender y controlar el uso de la IA. Los profesionales de la seguridad deben tener una visibilidad completa de las herramientas de inteligencia artificial utilizadas por los empleados.
Este conocimiento es crucial por tres razones:
1) Evaluación de riesgos potenciales y protección contra amenazas
Permite a las organizaciones evaluar los riesgos potenciales asociados con las aplicaciones de IA. Sin saber qué aplicaciones se están utilizando, los equipos de seguridad no pueden evaluar y proteger de manera efectiva contra amenazas potenciales. Cada herramienta de IA presenta una superficie de ataque potencial que debe tenerse en cuenta: la mayoría de las aplicaciones de IA están basadas en SaaS y requieren tokens OAuth para conectarse con las principales aplicaciones comerciales como Google u O365. A través de estos tokens, los jugadores maliciosos pueden usar aplicaciones de inteligencia artificial para moverse lateralmente dentro de la organización. El descubrimiento de aplicaciones básicas está disponible con herramientas SSPM gratuitas y es la base para asegurar el uso de IA.
Además, el conocimiento de qué aplicaciones de IA se utilizan dentro de la organización ayuda a prevenir el uso involuntario de aplicaciones falsas o maliciosas. La creciente popularidad de las herramientas de IA ha atraído a los actores de amenazas que crean versiones falsificadas para engañar a los empleados y obtener acceso no autorizado a datos confidenciales. Al conocer las aplicaciones legítimas de IA y educar a los empleados sobre ellas, las organizaciones pueden minimizar los riesgos asociados con estas imitaciones maliciosas.
2) Implementación de medidas de seguridad sólidas
Identificar los permisos que los empleados otorgaron a las aplicaciones de IA ayuda a las organizaciones a implementar medidas de seguridad sólidas. Diferentes herramientas de IA pueden tener diferentes requisitos de seguridad y riesgos potenciales. Al comprender los permisos que se otorgaron a las aplicaciones de IA, y si estos permisos presentan o no un riesgo, los profesionales de la seguridad pueden adaptar sus protocolos de seguridad en consecuencia. Asegurarse de que se implementen las medidas adecuadas para proteger los datos confidenciales y evitar permisos excesivos es el segundo paso natural para seguir la visibilidad.
3) Administrar el ecosistema SaaS de manera efectiva
Comprender el uso de aplicaciones de IA permite a las organizaciones tomar medidas y administrar su ecosistema SaaS de manera efectiva. Proporciona información sobre el comportamiento de los empleados, identifica posibles brechas de seguridad y habilita medidas proactivas para mitigar los riesgos (revocación de permisos o acceso de empleados, por ejemplo). También ayuda a las organizaciones a cumplir con las normas de privacidad de datos al garantizar que los datos compartidos con las aplicaciones de IA estén adecuadamente protegidos. El monitoreo de la incorporación inusual de IA, la inconsistencia en el uso o simplemente la revocación del acceso a las aplicaciones de IA que no deberían usarse son pasos de seguridad fácilmente disponibles que los CISO y sus equipos pueden tomar hoy.
En conclusión, las aplicaciones de IA brindan inmensas oportunidades y beneficios a las organizaciones. Sin embargo, también presentan desafíos de seguridad que deben abordarse. Si bien las herramientas de seguridad específicas de la IA aún se encuentran en sus primeras etapas, los profesionales de la seguridad deben utilizar las capacidades de detección de SaaS y las soluciones SaaS Security Posture Management (SSPM) existentes para abordar la pregunta fundamental que sirve como base para el uso seguro de la IA: ¿Quién en mi organización es responsable? ¿Usando qué aplicación de IA y con qué permisos? La respuesta a estas preguntas fundamentales se puede lograr fácilmente utilizando las herramientas SSPM disponibles , ahorrando valiosas horas de trabajo manual.
Fuente y redacción: thehackernews.com
