Los riesgos de la IA van mucho más allá de los sospechosos habituales de los departamentos de TI y seguridad, y traen consigo nuevas vulnerabilidades para el éxito del cliente, el marketing, las ventas y las finanzas. Estos riesgos (desde violaciones de la privacidad y algoritmos sesgados hasta pérdidas financieras y problemas regulatorios) exigen un nuevo nivel de vigilancia y preparación. Las nuevas amenazas que se vislumbran en el horizonte también hacen que sea más importante que nunca establecer políticas en torno a la IA lo antes posible.
Debida diligencia para la adopción de IA
Entonces, ¿cómo deben abordar los CISO la adopción de la IA? Al evaluar nuevas herramientas de IA, los CISO deben examinar el riesgo de algunos factores clave. Estas consideraciones se aplican a todas las herramientas que pueden aprovechar la IA en todos los departamentos de la empresa, no solo a las herramientas de seguridad que utilizan IA.
El primero son las prácticas de manejo de datos, desde la recopilación y el procesamiento hasta el almacenamiento y el cifrado, asegurando que existan controles de acceso sólidos. La privacidad de los datos también debe ser primordial, con medidas de cumplimiento de regulaciones como GDPR y CCPA , junto con políticas claras para el anonimato y el consentimiento del usuario. Los CISO también deben establecer pautas sobre cómo las nuevas herramientas de IA gestionan el intercambio de datos de terceros, asegurando que los proveedores cumplan con los estándares de protección de datos de la organización.
El análisis de la seguridad de los modelos es fundamental. Los CISO deben buscar protección contra la manipulación y los ataques a las herramientas de IA. Igualmente importante es la transparencia de los modelos, buscando herramientas que puedan explicar sus decisiones y que puedan ser auditadas para comprobar su imparcialidad y su sesgo. Los procedimientos de gestión de errores, el cumplimiento normativo y la responsabilidad legal deben estar claramente definidos. Debe haber una vía de escalada clara hacia el GRC o el asesor legal cuando surjan problemas. Los CISO también deben evaluar la integración de las herramientas de IA con los sistemas existentes, su rendimiento y fiabilidad, las implicaciones éticas, el impacto en el usuario, la escalabilidad, el soporte del proveedor y cómo se comunicarán los cambios a las partes interesadas.
No son solo las herramientas centradas en la IA las que deberían estar sujetas a estas consideraciones. Otras herramientas de terceros pueden tener pequeñas integraciones de IA activadas automáticamente sin la visibilidad del CISO. Por ejemplo, las plataformas de videoconferencia pueden tener una herramienta de transcripción de IA que transcriba automáticamente las llamadas internas y externas. En este caso, la herramienta de IA tiene puntos de contacto con los datos de la empresa y del cliente, lo que significa que los CISO y los equipos de seguridad deben revisarla y aprobarla antes de que los empleados puedan aprovecharla.
Barandillas para un uso responsable de la IA
Además de establecer límites para evaluar las herramientas de IA, también es imperativo que las empresas desarrollen políticas de uso aceptable en torno a la IA para garantizar que todos los empleados sepan cómo usar las herramientas de manera adecuada y mitigar los riesgos. Toda política debe cubrir algunos temas esenciales:
- Propósito y alcance : defina claramente los objetivos y los límites del uso de IA dentro de su empresa, especificando qué herramientas están autorizadas y para qué fines.
- Usos permitidos y prohibidos : describa las aplicaciones aceptables e inaceptables de las herramientas de IA, proporcionando ejemplos específicos para guiar el comportamiento de los empleados.
- Pautas de privacidad y seguridad de datos : establezca protocolos estrictos para el manejo de datos confidenciales, incluidos el cifrado, los controles de acceso y el cumplimiento de las normas pertinentes. Las comprobaciones de la precisión de los datos son esenciales para evitar que las herramientas de inteligencia artificial generativa produzcan alucinaciones.
- Integración e integridad operativa : definir pautas para la integración y el uso adecuados de la IA dentro de los sistemas y procesos existentes, garantizando un funcionamiento fluido y minimizando las interrupciones.
- Gestión y cumplimiento de riesgos : describa los procedimientos para identificar, evaluar y mitigar los riesgos relacionados con la IA, junto con las repercusiones de las violaciones de las políticas.
- Transparencia y rendición de cuentas : establecer mecanismos para documentar y justificar decisiones impulsadas por IA, promoviendo la transparencia y generando confianza entre las partes interesadas.
- Mejores prácticas y capacitación : brindar orientación integral sobre el uso responsable de la IA , incluida capacitación periódica para los empleados que cubra todos los aspectos de la política de uso aceptable con ejemplos específicos de la empresa.
La capacitación de los empleados es el componente más importante para establecer pautas y políticas en torno a la IA. Sin la capacitación adecuada, es difícil garantizar que los empleados comprendan los riesgos de la IA y cómo mitigarlos. Para muchas empresas, los programas de capacitación locales pueden ser la mejor opción para garantizar que incluyan casos de uso y ejemplos de riesgos específicos de la empresa. Cuanto menos ambigüedad haya para los empleados, mejor.
También es importante comunicar a los clientes el uso de la IA. Si alguna herramienta de IA procesa datos de los clientes, se les debe notificar qué datos se están utilizando, para qué se están utilizando y a dónde se destinan los resultados. Los clientes también deben tener la opción de no utilizar sus datos con herramientas de IA.
Conclusión
El potencial de transformación de la IA es ilimitado, al igual que su potencial para introducir nuevos riesgos. Al establecer políticas y pautas sólidas en torno a su uso, practicar una gestión de datos sólida, realizar evaluaciones de riesgos exhaustivas y fomentar una cultura de concienciación sobre la seguridad, los CISO pueden permitir que sus organizaciones aprovechen el potencial de la IA y, al mismo tiempo, minimicen el riesgo de infracciones y otros problemas.
Fuente y redacción: helpnetsecurity.com
