Para los responsables de informática y de seguridad, la gobernanza de la IA se ha convertido en una prioridad. A medida que desarrollamos más modelos de IA y utilizamos más soluciones con esta tecnología, necesitamos implementar una gobernanza y políticas adecuadas que puedan minimizar el riesgo y garantizar la seguridad de nuestras empresas.
No hay duda de que la gobernanza de la IA es fundamental. Sin embargo, la IA depende de los datos, de ahí que la gobernanza de la IA deba empezar con la gobernanza de los datos. Necesitamos capacidades que garanticen la integridad de los datos, la protección de los datos y el control de acceso para los modelos de datos y de IA, así como estrategias para cumplir con las obligaciones en materia de privacidad y localización de datos.
La mejora de la gobernanza de datos no solo reducirá los riesgos asociados a la IA, también nos ayudará a maximizar el impacto de la IA en nuestras empresas. Si tu organización está invirtiendo en IA, la mejora de las prácticas de gobernanza de datos no puede esperar.
____________________________________________________________________________
¿Por qué es tan difícil gobernar los datos utilizados para la IA? En su mayor parte, las organizaciones se enfrentan a los mismos desafíos de gobernanza de datos que han enfrentado durante años. Sin embargo, el uso de datos para crear modelos de IA añade cierta complejidad adicional relacionada con:
La integridad de los datos
Para que los modelos de IA proporcionen las respuestas correctas, necesitan datos completos, precisos y coherentes. Sin embargo, agregar esos datos y garantizar su integridad a lo largo de su ciclo de vida puede ser difícil.
Para mantener la integridad de los datos, las organizaciones deben emplear un enfoque multidimensional que proteja contra la corrupción, la pérdida, las fugas y otros riesgos de los datos. Este enfoque debe controlar estrictamente el acceso a los datos y los modelos para evitar la corrupción accidental o intencionada. Mientras tanto, para adherirse modelo, también es esencial que los datos utilizados para el entrenamiento sean coherentes con los datos utilizados durante la implementación del modelo.
La privacidad y la confidencialidad de los datos
La base de una estrategia de gobernanza de datos sólida empieza por entender dónde están los datos. Garantizar la privacidad y la confidencialidad de los datos es más difícil cuando los datos han salido de la organización. Si contribuyes con tus datos al entrenamiento de grandes modelos de IA, es casi seguro que tus datos saldrán de tu organización.
Imagina que las 20 principales empresas de seguridad deciden compartir los datos de su centro de operaciones de seguridad (SOC) para entrenar un modelo externo. Este modelo, alojado en una nube pública, podría generar información muy precisa y eficaz. Sin embargo, los datos de todas estas empresas se mezclarían, lo que dificultaría enormemente garantizar que la información confidencial de una sola empresa permanezca totalmente protegida.
El acceso interno a los modelos de IA propios
La creación de modelos internos es mucho menos arriesgada que la contribución de datos a modelos externos. Con modelos propios, puedes evitar mejor que usuarios o empresas externas accedan a tus datos. No obstante, sigues teniendo que controlar el acceso interno a tus modelos.
Por ejemplo, podrías decidir crear un modelo interno de IA para recursos humanos. El equipo de recursos humanos puede querer utilizar un chatbot de IA para responder a las preguntas de los usuarios o utilizar la IA para optimizar las nóminas o las tareas administrativas. Dado que los datos de recursos humanos incluyen información muy confidencial sobre los empleados, como su retribución, tendrías que ser muy cuidadoso a la hora de controlar el acceso interno a esos datos y a los modelos que se están entrenando.
El cumplimiento de las obligaciones de localización y soberanía de datos
Las leyes en materia de localización y soberanía de datos añaden otro desafío a la IA y la gobernanza de datos. Los modelos de IA de gran tamaño suelen entrenarse en nubes públicas, que cuentan con los recursos informáticos y de almacenamiento necesarios para el entrenamiento. Sin embargo, los centros de datos de la nube pública no siempre están disponibles en los países o regiones donde se supone que se alojan los datos. Como resultado, las organizaciones necesitan formas de entrenar, y ejecutar, modelos dentro de jurisdicciones específicas.
La implementación de una gobernanza de datos eficaz ha sido un objetivo prioritario para los equipos de informática y de seguridad durante al menos 20 años. El auge de la IA acrecienta la necesidad de una estrategia de gobernanza de datos sólida que abarque todas las etapas del ciclo de vida de los datos. Esa estrategia debe aprovechar las capacidades diseñadas para mantener la integridad de los datos, evitar la pérdida de datos, controlar el acceso a los datos y modelos, y cumplir con las normativas de localización de datos.
Garantiza la integridad de los datos
¿Cómo se reduce el riesgo de que los datos se alteren de forma que afecte a los modelos? La encriptación de datos y el uso de un modelo Zero Trust pueden ayudar a evitar cambios no autorizados que pongan en riesgo la integridad de los datos. Los registros de auditoría pueden rastrear el recorrido de los datos, quién los utiliza y qué cambios se han realizado.
Evita la exfiltración de datos
Las funciones de prevención de pérdida de datos (DLP) son fundamentales para identificar y bloquear los datos que salen de tu organización, y para evitar su utilización como entrada para un modelo de IA no autorizado.
Las organizaciones también necesitan herramientas que puedan evitar que las aplicaciones SaaS recopilen y utilicen datos internos para entrenar los modelos externos de los proveedores de aplicaciones. En una de las empresas en las que fui CISO, un proveedor de aplicaciones creó una política que indicaba que cualquier información que los usuarios incluyeran en la aplicación podía incorporarse al modelo de lenguaje de gran tamaño (LLM) del proveedor. Entendí por qué el proveedor querría hacer eso. No hay duda de que podría ayudarles a mejorar su producto. Por ejemplo, si utilizáramos la IA para responder a nuestras incidencias de soporte interno, querríamos recopilar datos sobre las principales solicitudes en nuestra empresa.
Aun así, no nos gustaría que información potencialmente confidencial saliera de nuestra organización a través de la aplicación de otro proveedor. El uso de un agente de seguridad de acceso a la nube (CASB) combinado con un firewall de IA puede ayudar a prevenir ese tipo de pérdida de datos.
Controla el acceso
Las funciones de control de acceso pueden ayudar a garantizar la integridad de los datos y a proteger la información confidencial utilizada para los modelos internos. A diferencia de las VPN tradicionales, las capacidades Zero Trust pueden ayudar a garantizar que solo las personas adecuadas puedan acceder a determinados datos.
¿Por qué es tan importante el acceso granular? Volvamos al uso de la IA para recursos humanos. Tal vez tu empresa esté utilizando la IA para agilizar las revisiones de rendimiento y hacer recomendaciones de compensación. Es posible que desees permitir que un gerente vea su propia información de retribución y la información de compensación de sus subordinados directos, pero no la de nadie más. Las capacidades Zero Trust adecuadas pueden darte ese nivel de control.
Cumple las reglas de localización de datos
Con los controles de localización adecuados, puedes decidir dónde se inspeccionan los datos y asegurarte de que los datos y los metadatos no salen de una región determinada. Por ejemplo, podrías tener metadatos de registro que contengan las direcciones IP de los usuarios, que se consideran datos personales en la UE. Esos metadatos deben permanecer en la UE. Los controles de localización de datos adecuados garantizarían que no se utilicen para entrenar un modelo en Estados Unidos.
Nos encontramos en un momento crítico en la evolución de la IA, ya que las organizaciones crean y ejecutan modelos que podrían remodelar nuestro mundo en los próximos 20 o 30 años. Para asegurarnos de que podemos seguir entrenando y ejecutando modelos de IA de forma segura, sin exponer los datos, reducir la precisión de los modelos o poner en peligro la conformidad, tenemos que empezar a reforzar la gobernanza de datos ahora.
Para muchas organizaciones, una conectividad cloud puede ser la mejor vía para mejorar la gobernanza de datos, ya que les permite recuperar el control de los datos a lo largo de su ciclo de vida. Con una plataforma unificada de servicios nativos de nube, las organizaciones pueden aplicar las funciones de protección, seguridad y localización de datos que necesitan, al tiempo que evitan la complejidad de gestionar varias herramientas distintas.
Un mejor control de los datos nos permitirá crear modelos y aplicaciones de IA más potentes. Podemos asegurarnos de que ofrecemos resultados precisos y minimizamos los riesgos, hoy y en el futuro.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre cómo apoyar el uso de la IA en la empresa garantizando la seguridad en la guía "Aprende a garantizar prácticas seguras de IA: Guía del CISO sobre cómo crear una estrategia de IA escalable".
Grant Bourzikas - @grantbourzikas
Director de seguridad, Cloudflare
Después de leer este artículo podrás entender:
Por qué el éxito de la gobernanza de la IA depende de una gobernanza de datos sólida
Los 4 desafíos clave para gobernar los datos utilizados para la IA
Las estrategias para reforzar la gobernanza de datos