Nueva guía para controlar el uso de la IA y mejorar la gobernanza en las empresas

Las empresas están invirtiendo cada vez más en Inteligencia Artificial (IA) para mejorar la productividad, pero muchas no saben cómo asegurar su uso de forma correcta. Para ayudar con esto, se ha publicado una nueva guía para evaluar y controlar el uso de la IA, y así evitar riesgos.

El problema: mucho presupuesto, pocas ideas claras

A medida que la IA se convierte en una herramienta central para las empresas, los responsables de seguridad están recibiendo más presupuesto para protegerla. Sin embargo, muchas organizaciones no saben qué requisitos deben exigir a las soluciones de "Gobernanza de la IA". Esto puede llevar a invertir en herramientas que no están preparadas para los nuevos flujos de trabajo basados en IA.

La nueva guía busca solucionar este problema, ofreciendo un marco técnico para que los arquitectos de seguridad y los CISOs (Chief Information Security Officers, o directores de seguridad de la información) puedan definir criterios específicos y medibles para sus proyectos de seguridad de la IA.

De controlar aplicaciones a controlar interacciones

La forma tradicional de asegurar la IA es catalogar todas las aplicaciones que usan los empleados. Pero esto es casi imposible, ya que cada semana aparecen cientos de nuevas herramientas basadas en IA. La guía propone un cambio de enfoque: en lugar de centrarse en la aplicación, hay que centrarse en la interacción, es decir, en el momento en que se escribe una instrucción (prompt) o se sube un archivo. De esta forma, se puede controlar el uso de la IA independientemente de la herramienta que se esté utilizando.

¿Por qué tu seguridad actual no es suficiente?

Muchos proveedores afirman que ofrecen "seguridad para la IA" como una función más de sus productos CASB (Cloud Access Security Broker, o intermediarios de seguridad de acceso a la nube) o SSE (Secure Service Edge, o borde de servicio seguro). Sin embargo, la mayoría de estas herramientas se basan en la visibilidad de la red, y no pueden ver lo que ocurre dentro de un panel del navegador o un plugin IDE (entorno de desarrollo integrado) encriptado. La guía ayuda a las empresas a hacer las preguntas difíciles a los proveedores, como por ejemplo:

• ¿Pueden detectar el uso de la IA en modo incógnito?
• ¿Son compatibles con navegadores diseñados para IA?
• ¿Pueden diferenciar entre una identidad corporativa y una personal en la misma sesión?

Los 8 pilares de un proyecto de gobernanza de la IA

La guía propone un sistema de evaluación técnica basado en ocho áreas clave:

1. Descubrimiento y cobertura de la IA: Visibilidad en navegadores, SaaS (Software as a Service, o software como servicio), extensiones e IDEs.
2. Conciencia contextual: ¿La herramienta entiende quién está preguntando y por qué?
3. Gobernanza de políticas: ¿Se puede bloquear información personal pero permitir resúmenes?
4. Cumplimiento en tiempo real: Detener una fuga de datos antes de que se pulse la tecla "Enter".
5. Auditabilidad: Proporcionar informes para el cumplimiento normativo.
6. Ajuste de la arquitectura: ¿Se puede implementar en horas sin romper la red?
7. Implementación y gestión: Asegurarse de que la herramienta no sea una carga para el personal de TI.
8. Preparación para el futuro del proveedor: Preparación para flujos de trabajo autónomos.

Qué significa esto para ti

Esta guía es una herramienta útil para las empresas que quieren asegurar el uso de la IA de forma efectiva. Les permite definir sus requisitos antes de que el mercado lo haga por ellas, estandarizar la evaluación de soluciones y adoptar la IA de forma segura y escalable.