Inteligencia artificial y aprendizaje automático, gobernanza y gestión de riesgos, liderazgo y comunicación ejecutiva Qué hacer para proteger los datos confidenciales que envía a las herramientas de inteligencia artificial en línea CyberEdBoard • 28 de junio de 2024 Ian Keller, director de seguridad y miembro ejecutivo de CyberEdBoard Las herramientas de inteligencia artificial son una bendición y una maldición para las empresas. Permiten que el personal sea más eficiente y realice las tareas más rápido, pero también permiten que una cantidad cada vez mayor de datos confidenciales salgan de la organización. Los datos que se trasladan a la IA para su análisis pueden crear una pesadilla legal y contractual para las empresas. Ver también: Identity Security Clinic ChatGPT y Gemini de Google operan bajo un modelo freemium, que ofrece a los usuarios una funcionalidad básica. Las funciones más avanzadas están bloqueadas detrás de un muro de pago. Al igual que el software libre, estas herramientas en línea tienen acuerdos de licencia vagos y poco amigables para el usuario, y dentro de estos acuerdos hay cláusulas que otorgan al proveedor derechos relacionados con los datos enviados. Estas son las tres cuestiones principales que suelen encontrarse en los acuerdos de licencia o de uso. El proveedor tiene derecho a utilizar sus datos para la formación y la mejora de sus productos. El proveedor puede incorporar los datos de su empresa a sus plataformas de formación sin mayor permiso ni contraprestación. Esto puede beneficiar los productos del proveedor y también puede exponer potencialmente los datos confidenciales de su empresa a los algoritmos subyacentes. El proveedor tiene derecho a utilizar sus datos para análisis de datos y marketing. El riesgo aquí es que los datos que usted envía podrían agregarse con datos de otros usuarios para revelar tendencias de la industria o permitir que los competidores obtengan información sobre sus estrategias. El acuerdo de licencia permite compartir con terceros. Esto podría permitir que el proveedor comparta sus datos con afiliados o proveedores externos, lo que ampliaría aún más el círculo de quienes tienen acceso a su información confidencial. Consecuencias de enviar datos confidenciales a herramientas de inteligencia artificial Los riesgos inherentes a las cláusulas del acuerdo de licencia/uso plantean serias preocupaciones sobre su cumplimiento contractual y legal, particularmente con las regulaciones de privacidad de datos. El Reglamento General de Protección de Datos aborda el principio de minimización de datos. Exige que las empresas solo recopilen y procesen la cantidad mínima de datos necesarios para un propósito específico. Enviar datos de la empresa a una herramienta de inteligencia artificial para una tarea no esencial contradice directamente este principio. Si envía información de identificación personal a una plataforma de inteligencia artificial sin consentimiento expreso, su empresa puede correr un grave riesgo de incumplimiento del RGPD. Dice que una empresa puede recibir una multa de hasta 20 millones de euros o el 4% de su facturación global anual, lo que sea mayor, por esta infracción. Las consecuencias de una violación de datos causada por el suministro de información confidencial a una herramienta de inteligencia artificial van mucho más allá de las multas regulatorias. Su empresa sufrirá daños a la reputación como resultado de una filtración de datos, lo que provocará una pérdida de clientes y una disminución del valor de la marca. Y los clientes nuevos y existentes pueden dudar en confiar información confidencial a una empresa con un historial de filtraciones. Si los datos de los clientes se ven comprometidos a través de una herramienta de inteligencia artificial, la empresa también podría enfrentar acciones legales por parte de personas afectadas y/o de organismos reguladores que buscan alguna forma de restitución por los daños sufridos. Gestión de riesgos para herramientas de IA Es necesario implementar controles de gestión de riesgos cuando se envían datos confidenciales a herramientas de IA. Las buenas prácticas de higiene de seguridad son esenciales. Incluyen: Una política de clasificación de datos y capacitación de concientización asociada: eduque a sus empleados sobre la clasificación de datos y la importancia de identificar información confidencial. Esto reducirá en gran medida el riesgo de incumplimiento. Enviar correos electrónicos periódicos que contengan información y orientación fáciles de leer es una manera sencilla de lograrlo. Una lista de proveedores de IA examinados: si la IA es una necesidad empresarial, investigue exhaustivamente a los posibles proveedores de IA, examine sus acuerdos de licencia y dé prioridad a aquellos con prácticas de seguridad sólidas y políticas claras de uso de datos. Ponga esta lista a disposición de todo el personal y manténgala actualizada. También puede considerar desarrollar soluciones internas de IA. Esto es especialmente beneficioso cuando se pueden utilizar tareas de alto riesgo que involucran datos confidenciales o PII. Las soluciones internas de IA le permiten mantener el control de sus datos completamente dentro de su organización. La tecnología de IA seguirá creciendo y evolucionando, por lo que la cuestión de la seguridad de los datos es primordial. La Ley de IA de la UE es un paso en la dirección correcta (ver: El Parlamento de la UE aprueba la Ley de Inteligencia Artificial). Siempre hay un costo asociado con las herramientas y la IA no es una excepción. Asegúrese de comprender completamente los riesgos asociados con la IA y otras herramientas en línea, e implemente estrategias sólidas de mitigación específicas para el negocio. CyberEdBoard es la principal comunidad exclusiva para miembros de ISMG compuesta por altos ejecutivos y líderes de opinión en los campos de seguridad, riesgo, privacidad y TI. CyberEdBoard ofrece a los ejecutivos un poderoso ecosistema colaborativo impulsado por pares, reuniones privadas y una biblioteca de recursos para abordar desafíos complejos compartidos por miles de CISO y líderes senior de seguridad ubicados en 65 países diferentes en todo el mundo. Únase a la comunidad: CyberEdBoard.io. Solicite membresía Ian Keller tiene más de tres décadas de experiencia en seguridad de la información. Actualmente, aprovecha su amplio conocimiento y experiencia para cerrar la brecha entre la inteligencia de telecomunicaciones corporativas y la comunicación empresarial, brindando soluciones basadas en datos para la toma de decisiones informadas y mejorando la calidad del producto en línea con ISO y las mejores prácticas. Keller es un director de seguridad de la información cuya carrera ha abarcado sectores que incluyen telecomunicaciones, seguridad de redes, servicios financieros, consultoría y atención médica. Su experiencia en seguridad del cliente, gestión de identidades y acceso, seguridad de la información y concienciación sobre la seguridad lo ha convertido en un orador muy solicitado en eventos internacionales. URL de la publicación original: https://www.databreachtoday.com/blogs/on-point-risk-management-strategies-for-ai-tools-p-3655