La adopción de la IA está transformando las prácticas empresariales en todos los sectores, desde el análisis financiero hasta la ingeniería de software. Las empresas que adopten esta tecnología de manera estratégica obtendrán una ventaja competitiva significativa.
“El desarrollo de la IA es tan fundamental como la creación del microprocesador, el ordenador personal, Internet y el teléfono móvil. Cambiará la forma en que las personas trabajan, aprenden, viajan, reciben atención sanitaria y se comunican entre sí. Industrias enteras se reorganizarán en torno a ella.” – Bill Gates
Como siempre, los líderes en seguridad y gestión de riesgos deben evaluar el impacto de la introducción de cualquier nueva tecnología en la seguridad y el perfil de riesgo de su organización.
En Integrity360, evaluamos el impacto transformador de la IA en la ciberseguridad a través de cuatro pilares principales:
Uso de la IA para la defensa cibernética y las operaciones de seguridad. Por ejemplo, el uso del lenguaje natural para las consultas de búsqueda de amenazas y el empleo de la GenAI para crear escenarios ofensivos para ejercicios de red team y simulaciones.
Defensa contra las amenazas impulsadas por la IA, como la detección de deepfakes o técnicas avanzadas anti-phishing.
Aseguramiento de las aplicaciones de IA desarrolladas por la empresa.
Protección del consumo empresarial de aplicaciones de IA, que abordaremos en este blog.
Las aplicaciones de IA, en particular la GenAI, son herramientas excelentes para las empresas, utilizadas para la investigación de mercado, la creación de contenido, la evaluación de código y muchos otros casos de uso que aumentan considerablemente la productividad y desbloquean nuevas potencialidades. Existen dos modos principales para el consumo de aplicaciones de IA por parte de los usuarios empresariales:
Modo web: en este modo, las aplicaciones de IA son utilizadas directamente por el usuario a través de navegadores web o llamadas API. Ejemplos ampliamente usados son ChatGPT y Claude. Aunque en este caso las aplicaciones no tienen acceso directo a los datos corporativos, el usuario puede cargar archivos o ingresar datos que exponen información sensible de la empresa.
Modo SaaS: muchos proveedores SaaS integran capacidades de GenAI como herramientas incorporadas en sus aplicaciones. Los ejemplos más conocidos son Microsoft 365 y MS365 Copilot, Google Workspace y Gemini, y Salesforce y Einstein Copilot. En este modo, tanto las ventajas como los riesgos aumentan, ya que la GenAI puede acceder a los datos corporativos a los que el usuario tiene derecho.
En el modo web, el riesgo es similar al uso de otras aplicaciones en la nube no autorizadas o sitios web y se centra en la fuga de datos. Por lo general, los usuarios empresariales utilizarán la GenAI con una cuenta personal desde su dispositivo corporativo y también desde sus dispositivos personales. Los archivos y datos cargados pueden ser recuperados por el mismo usuario mediante un dispositivo personal o por un actor malintencionado si su cuenta personal se ve comprometida, considerando que estas aplicaciones no necesariamente implementan la autenticación multifactor (MFA) y pueden no alinearse con las políticas de seguridad de su organización.
En el modo SaaS, el riesgo puede ser aún mayor, considerando estos escenarios:
La herramienta de IA utilizaría los derechos del usuario, dándole acceso a datos sensibles que el usuario podría no acceder manualmente, especialmente con permisos de usuario excesivos.
Los documentos generados por la IA (que pueden contener datos sensibles) pueden etiquetarse incorrectamente o compartirse en exceso.
Los insiders malintencionados pueden escanear millones de archivos y extraer credenciales, información personal, datos financieros y otros datos sensibles.
En primer lugar, la organización debería definir una política clara para el uso de la IA por parte de su personal como parte de su AUP, junto con una formación sobre la seguridad de la IA que aclare el uso ético, legal y seguro de la IA. Los requisitos de formación variarán según el rol del usuario, especialmente si el rol requiere acceso a datos sensibles o conlleva acceso privilegiado, como los roles de TI y ciberseguridad.
Desde el punto de vista de los controles técnicos, los modos Web y SaaS requerirán capacidades diferentes.
Modo web: similar a otras aplicaciones en la nube no autorizadas, la forma más eficaz de permitir que la empresa adopte herramientas de IA Web es utilizar un Secure Web Gateway (SWG) con potentes controles de protección de datos, generalmente como parte de una solución Security Service Edge (SSE).
Con SSE, los equipos de seguridad tendrán visibilidad completa sobre el uso de dichas aplicaciones dentro de la organización. Luego, pueden aplicar los controles adecuados al acceso y uso de estas aplicaciones. Considere este escenario:
Asesoramiento en tiempo real: el usuario intenta acceder a ChatGPT y recibe un mensaje emergente personalizado que explica el uso seguro de ChatGPT y ofrece orientaciones para cumplir con la política de la organización.
Controles de prevención de pérdida de datos (DLP): el usuario intenta cargar un archivo con datos sensibles o pegar texto con datos sensibles en ChatGPT; la acción se bloquea con un aviso personalizado que explica el motivo o solicita una justificación.
Para el modo SaaS, se requieren controles de seguridad más fundamentales para proteger el uso de aplicaciones de IA en modo SaaS, en particular en lo que respecta a la seguridad SaaS corporativa y la seguridad de los datos.
La seguridad SaaS corporativa requiere la capacidad de monitorizar y controlar el acceso y uso de la aplicación SaaS, lo que puede cubrirse con un Cloud Access Security Broker (CASB), también componente de las soluciones SSE. Esto proporcionará al equipo de seguridad una visión completa de cómo las herramientas de IA acceden a los datos alojados en la aplicación en la nube, destacando comportamientos de riesgo, protegiendo datos sensibles y ofreciendo capacidades de protección de datos y amenazas.
Los controles fundamentales para la seguridad de los datos incluyen la capacidad de descubrir, clasificar y etiquetar los datos, revisar los derechos de acceso a los datos y revocar los permisos de acceso excesivos. La Data Security Platform (DSP) ofrece un enfoque centrado en los datos para la seguridad, con la capacidad de proteger los datos sensibles alojados en IaaS, PaaS y SaaS desde una única ubicación.
Según las necesidades, los casos de uso y la tolerancia al riesgo de cada organización, la solución ideal para proteger la adopción de herramientas de IA SaaS puede incluir una o ambas tecnologías.
Utilice SWG/SSE para adoptar herramientas de IA Web en la empresa de manera segura.
Evalúe el estado de las capacidades de seguridad de aplicaciones en la nube y de seguridad de datos de su organización antes de adoptar herramientas de IA en modo SaaS.
Implemente formación sobre la seguridad de la IA – basada en el rol del usuario.
Si estás planeando adoptar herramientas API SaaS como MS365 Copilot o Google Gemini, o te preocupa el uso actual de herramientas de IA Web como ChatGPT, podemos ayudarte con una evaluaci