Líderes de TI y seguridad desconcertados por la IA, inseguros sobre los riesgos de seguridad: estudio
hace 1 año
Los empleados de casi tres de cada cuatro organizaciones en todo el mundo utilizan herramientas de IA generativa con frecuencia u ocasionalmente, pero a pesar de las amenazas a la seguridad que plantea el uso incontrolado de las aplicaciones, los empleadores no parecen saber qué hacer al respecto.
Esa fue una de las principales conclusiones de una encuesta realizada a 1.200 líderes de seguridad y TI ubicados en todo el mundo publicada el martes por ExtraHop, un proveedor de soluciones de respuesta y detección de redes nativas de la nube en Seattle.
Si bien el 73% de los líderes de TI y seguridad encuestados reconocieron que sus trabajadores usaban herramientas de IA generativa con cierta regularidad, los investigadores de ExtraHop informaron que menos de la mitad de sus organizaciones (46%) tenían políticas implementadas que regulaban el uso de la IA o programas de capacitación sobre el uso seguro. de las aplicaciones (42%).
La mayoría de las organizaciones se están tomando en serio los beneficios y riesgos de la tecnología de IA (solo el 2% dice que no están haciendo nada para supervisar el uso de herramientas de IA generativa por parte de sus empleados); sin embargo, los investigadores argumentaron que también está claro que sus esfuerzos no van a la par de la adopción. Las tarifas, y la efectividad de algunas de sus acciones, como las prohibiciones, pueden ser cuestionables.
Según los resultados de la encuesta, casi un tercio de los encuestados (32%) indica que su organización ha prohibido la IA generativa. Sin embargo, sólo el 5% dice que los empleados nunca utilizan IA o modelos de lenguaje grandes en el trabajo.
"La prohibición rara vez tiene el efecto deseado, y eso parece ser cierto para la IA", escribieron los investigadores.
Límite sin prohibir
"Si bien es comprensible por qué algunas organizaciones están prohibiendo el uso de la IA generativa, la realidad es que la IA generativa se está acelerando tan rápido que, muy pronto, prohibirla en el lugar de trabajo será como bloquear el acceso de los empleados a su navegador web", dijo Randy Lariar, director de práctica de big data, inteligencia artificial y análisis en Optiv, un proveedor de soluciones de ciberseguridad, con sede en Denver.
"Las organizaciones deben adoptar la nueva tecnología y cambiar su enfoque de prevenirla en el lugar de trabajo a adoptarla de forma segura", dijo a TechNewsWorld.
Patrick Harr, director ejecutivo de SlashNext, una empresa de seguridad de redes en Pleasanton, California, estuvo de acuerdo. "Limitar el uso de aplicaciones de IA generativa de código abierto en una organización es un paso prudente, que permitiría el uso de herramientas importantes sin instituir una prohibición total", dijo a TechNewsWorld.
"A medida que las herramientas continúan ofreciendo una mayor productividad", continuó, "los ejecutivos saben que es imperativo contar con las barreras de privacidad adecuadas para garantizar que los usuarios no compartan información de identificación personal y que los datos privados sigan siendo privados".
Relacionado: Los expertos dicen que las prohibiciones de IA en el lugar de trabajo no funcionarán | 16 de agosto de 2023
Los CISO y CIO deben equilibrar la necesidad de restringir los datos confidenciales de las herramientas de IA generativa con la necesidad de que las empresas utilicen estas herramientas para mejorar sus procesos y aumentar la productividad, agregó John Allen, vicepresidente de riesgo cibernético y cumplimiento de Darktrace, una IA global de ciberseguridad. compañía.
"Muchas de las nuevas herramientas de IA generativa tienen niveles de suscripción que han mejorado la protección de la privacidad, de modo que los datos enviados se mantienen privados y no se utilizan para ajustar o desarrollar aún más los modelos de IA", dijo a TechNewsWorld.
"Esto puede abrir la puerta para que las organizaciones cubiertas aprovechen las herramientas de IA generativa de una manera más consciente de la privacidad", continuó, "sin embargo, aún deben garantizar que el uso de datos protegidos cumpla con los requisitos relevantes de cumplimiento y notificación específicos de su negocio". negocio."
Pasos para proteger los datos
Además de las políticas generativas de uso de IA que las empresas están implementando para proteger datos confidenciales, señaló Allen, las empresas de IA también están tomando medidas para proteger los datos con controles de seguridad, como el cifrado, y obteniendo certificaciones de seguridad como SOC 2, una auditoría. procedimiento que garantiza que los proveedores de servicios gestionen de forma segura los datos de los clientes.
Sin embargo, señaló que sigue habiendo una pregunta sobre qué sucede cuando datos confidenciales llegan a un modelo, ya sea a través de una violación maliciosa o de los desafortunados pasos en falso de un empleado bien intencionado.
"La mayoría de las empresas de inteligencia artificial proporcionan un mecanismo para que los usuarios soliciten la eliminación de sus datos", dijo, "pero quedan dudas sobre cuestiones como si la eliminación de datos afectaría o cómo afectaría cualquier aprendizaje que se haya realizado sobre los datos antes de la eliminación".
Los investigadores de ExtraHop también descubrieron que una abrumadora mayoría de los encuestados (casi el 82%) dijeron que confiaban en que la pila de seguridad actual de su organización podría protegerla contra las amenazas de las herramientas de IA generativa. Sin embargo, los investigadores señalaron que el 74% planea invertir en medidas de seguridad de generación de IA este año.
"Esperemos que esas inversiones no lleguen demasiado tarde", bromearon los investigadores.
Falta la información necesaria
"Las organizaciones tienen exceso de confianza cuando se trata de protegerse contra amenazas generativas de seguridad de IA", dijo a TechNewsWorld el ingeniero de ventas senior de ExtraHop, Jamie Moles.
Explicó que el sector empresarial ha tenido menos de un año para sopesar plenamente los riesgos y las recompensas del uso de la IA generativa.
"Dado que menos de la mitad de los encuestados realizan inversiones directas en tecnología que ayuda a monitorear el uso de la IA generativa, está claro que la mayoría puede no tener la información necesaria sobre cómo se utilizan estas herramientas en una organización", observó.
Moles agregó que con solo el 42% de las organizaciones capacitando a los usuarios sobre el uso seguro de estas herramientas, se crean más riesgos de seguridad, ya que el uso indebido puede potencialmente hacer pública información confidencial.
"El resultado de la encuesta es probablemente una manifestación de la preocupación de los encuestados por muchas otras técnicas menos atractivas y probadas en el campo de batalla que los malos actores han estado utilizando durante años y que la comunidad de ciberseguridad no ha podido detener", dijo Mike Starr, director ejecutivo y fundador de trackd, un proveedor de soluciones de gestión de vulnerabilidades, en Reston, Virginia.
“Si se les hiciera la misma pregunta respecto a otros vectores de ataque, la respuesta implicaría mucha menos confianza”, aseveró.
Se busca intervención del gobierno
Starr también señaló que ha habido muy pocos (si es que hubo alguno) episodios documentados de compromisos de seguridad que puedan atribuirse directamente al uso de herramientas de inteligencia artificial generativa.
“Los líderes de seguridad ya tienen suficiente entre manos para combatir las técnicas anticuadas que los actores de amenazas continúan utilizando con éxito”, dijo.
"El corolario de esta realidad es que los malos no se ven exactamente obligados a abandonar sus principales vectores de ataque en favor de métodos más innovadores", continuó. "Cuando puedes correr la pelota por el medio durante 10 yardas por clip, no hay motivación para trabajar en un doble parpadeo de pulgas en reversa".
Una señal de que los líderes de TI y seguridad pueden estar desesperados por recibir orientación en el dominio de la IA es que la encuesta encontró que el 90% de los encuestados dijeron que querían que el gobierno se involucrara de alguna manera, con un 60% a favor de regulaciones obligatorias y un 30% a favor de estándares gubernamentales que las empresas pueden adoptar a su discreción.
"El llamado a la regulación gubernamental habla del territorio inexplorado en el que nos encontramos con la IA generativa", explicó Moles. "Dado que la IA generativa aún es tan nueva, las empresas no están muy seguras de cómo gobernar el uso de los empleados y, con pautas claras, los líderes empresariales pueden sentirse más seguros al implementar la gobernanza y las políticas para el uso de estas herramientas".
Si quieres conocer otros artículos parecidos a Líderes de TI y seguridad desconcertados por la IA, inseguros sobre los riesgos de seguridad: estudio puedes visitar la categoría Tecnología.
Otras noticias que te pueden interesar