Se ha dicho que los datos son el petróleo de la era de la información. Y si es así Semana de la protección de datos es un buen recordatorio de que su información es valiosa. El evento internacional asesora a los ciudadanos sobre cómo proteger sus datos, gestionar la configuración de privacidad y tomar decisiones más informadas sobre quién (y qué) recibe esos datos.
La Semana de la Privacidad de Datos también es un buen momento para que las organizaciones consideren sus prácticas de protección de datos. Con más soluciones que despliegan IA e ingieren datos de los usuarios, trabajo híbrido y más usuarios, dispositivos, derechos y entornos que nunca, existen riesgos nuevos y complejos para los datos de las organizaciones.
Con motivo de la Semana de la Privacidad de los Datos, repasaré algunos de esos nuevos riesgos. Explicaré cómo los nuevos asistentes digitales y los modelos de IA pueden introducir nuevos riesgos de seguridad, por qué las soluciones de gobierno y administración de identidades (IGA) constituyen la base de la protección de datos, y sugeriré algunas buenas prácticas que las organizaciones pueden adoptar para mantener sus datos seguros.
El lema de la Semana de la Privacidad de Datos de este año es "toma el control de tus datos". Es un buen objetivo, pero como casi todo, es más fácil decirlo que hacerlo. Cada dispositivo, usuario, cuenta de máquina y recurso crea, transmite y procesa datos. Por eso las organizaciones necesitan un programa IGA, que les proporcione las capacidades que necesitan para:
- Mantener la visibilidad y el control de todos los datos de la organización: No se puede controlar lo que no se ve o no se entiende. IGA ayuda a garantizar que las cuentas correctas tengan acceso a los datos correctos mediante la aplicación de revisiones periódicas de acceso y facultando a los propietarios de los datos para aprobar o revocar permisos según sea necesario. También proporciona a sus administradores visibilidad sobre a qué pueden acceder los usuarios actualmente.
- Garantizar el cumplimiento continuo: ¿Una de las ventajas de la IGA y la visibilidad de los datos de su organización? Demostrar ese control a los reguladores. IGA puede automatizar flujos de trabajo, informes de auditoría y certificaciones de acceso para demostrar el cumplimiento de GDPR, GLB, SOX, PCI-DSS, HIPAA, ARPA y otras normativas clave.
- Proteger los datos sensibles: Las soluciones IGA pueden proporcionar a su equipo de seguridad información procesable sobre el acceso a los datos para identificar y mitigar el acceso no autorizado, ayudando a proteger los datos de los clientes y la propiedad intelectual.
Los modelos generativos de IA y los modelos lingüísticos extensos (LLM) introducen nuevos riesgos que las organizaciones deben tener en cuenta. Las instancias de Microsoft Copilot, DeepSeek y ChatGPT se basan en las entradas del usuario para entrenar sus modelos. En términos generales, eso significa que todo lo que un usuario pega en un mensaje se convierte en parte del modelo. Por otra parte, si su organización utiliza un asistente de IA, la herramienta puede tener un acceso más amplio a los datos de la organización, y puede no tener salvaguardias que limiten cuándo, si o cómo debe utilizar esos datos.
Obviamente, esto puede introducir riesgos significativos. Fíjese en el servicio Azure Health Bot de Microsoft, que "permitía el movimiento lateral por toda la red y, por tanto, el acceso a datos sensibles de los pacientes", por TechRadar. Un informe de abril de 2024 señalaba que 20% de las empresas británicas "tenían datos corporativos potencialmente sensibles expuestos a través del uso por parte de los empleados de IA generativa (GenAI)", por Revista Infosecurity. Cisco estima que una cuarta parte de las empresas han prohibido la IA generativa por estos motivos.
Estas preocupaciones están bien fundadas. Los LLM necesitan una amplia gama de datos de clientes para entrenar sus modelos, y los usuarios han sido entrenados para confiar en la "caja mágica" de las búsquedas de Google y teclear lo que buscan sin miedo. Eso puede poner en peligro información financiera, IP, PII u otros datos sensibles.
No sólo las entradas de los usuarios son arriesgadas. Si se está entrenando a un LLM con tus datos, es posible que terceros puedan consultarlo para encontrar información que preferirías que no se hiciera pública. Asimismo, existe el riesgo de que el propio asistente difunda información por cualquier canal de salida al que pueda comunicarse.
Si su organización va a instalar un asistente digital, hay algunas buenas prácticas que debe adoptar para mantenerlo seguro, así como a su equipo.
En primer lugar, pida a su equipo directivo que explique cuáles son los riesgos. Explique qué tipo de información pueden introducir los usuarios y cuál no. En RSA, hemos explicado a nuestro equipo que pueden introducir información destinada al consumo público. Cualquier otra cosa no debería formar parte de una consulta de usuario.
En segundo lugar, asegúrate de activar los controles adecuados. Puede que no siempre sean los ajustes predeterminados del asistente: Si se configuran de forma incorrecta, los asistentes de IA podrían tener acceso a todo lo relacionado con la organización. Asegúrese de que su chatbot sabe qué información puede consultar y qué información puede devolver. Las organizaciones deben aislar los datos adecuadamente, de modo que el usuario X no reciba respuestas basadas en los archivos del usuario Y; de lo contrario, corre el riesgo de que sus empleados lean los correos electrónicos de los demás y accedan a información no deseada.
También necesita saber a qué puede acceder su sistema, cuándo tiene ese acceso y cuándo hace recomendaciones a los usuarios. Asegúrese de aplicar esos conjuntos de reglas en todas las herramientas de IA que haya desplegado (hay varias versiones de Copilot de Microsoft). Y esas herramientas deben encajar en una postura de seguridad alineada.
Por último, pregunte a su proveedor qué ocurre con sus buscadores, datos y respuestas. ¿Los conserva el proveedor? En caso afirmativo, ¿durante cuánto tiempo? ¿Se entrenan otras instancias de la solución con su modelo, o todo queda en privado para usted?
En gran parte he hablado de los riesgos que los LLM y la IA generativa plantean a las posturas de ciberseguridad de las organizaciones. Estos modelos de IA suelen acaparar la mayoría de los titulares y representan algunos de los mayores riesgos, aunque solo sea porque cada vez más usuarios introducen instrucciones en ChatGPT, Copilot, etc.
La ciberseguridad también puede beneficiarse de la IA, pero su equipo debe utilizar el modelo adecuado. En términos generales, los LLM y la IA generativa no son adecuados para las operaciones de seguridad en la actualidad. Son una caja negra que produce resultados que un operador humano no siempre puede validar, y sus resultados no siempre son útiles.
Esos modelos se basan en modelos no deterministas (pongo X valores, no sé lo que sale). Los modelos deterministas (introduzco X valores, sé cuál será el resultado y cómo llegará la solución a ese resultado) pueden ser extremadamente útiles para la ciberseguridad.
Hemos estado utilizando RSA® IA de riesgo desde hace décadas para proporcionar información en tiempo real sobre las solicitudes de autenticación. Risk AI es un modelo de aprendizaje automático determinista basado en el riesgo que evalúa la dirección IP y las señales de red de un usuario, los análisis de comportamiento, la geolocalización, las señales basadas en el tiempo, las señales de aplicaciones, las señales relacionadas con dispositivos, etc. para evaluar el riesgo. Si esas señales y comportamientos reflejan el comportamiento típico del usuario en relación consigo mismo y con el resto de la organización, entonces se considera que es de bajo riesgo y puede autenticarse utilizando métodos estándar. Si esos comportamientos se desvían significativamente, el sistema automatiza un desafío de autenticación escalonado y puede señalarlo al equipo de seguridad.
Es importante destacar que RSA Risk AI no recopila información de las organizaciones y no utilizamos ninguna información de una implementación determinada para entrenar futuras iteraciones. Hacemos hash y tokenizamos todos los datos de Risk AI. Cada instancia de Risk AI se despliega para cada cliente, organización por organización, y esos despliegues se ajustan con precisión a sus datos y sólo a sus datos.
No dejes que las mejores prácticas técnicas o los puntos sobre arquitectura de seguridad oscurezcan el punto principal: tus datos son valiosos. Merece la pena que las organizaciones inviertan tiempo y recursos en herramientas, procesos y procedimientos que los mantengan seguros.
Si tiene alguna pregunta sobre cómo hacerlo, estamos aquí para ayuda.
