Un informe reciente de Harmonic revela que el = 8.5% de las consultas de empleados a LLMs populares como ChatGPT, = Copilot, Gemini, Claude y Perplexity contienen datos sensibles, lo que = plantea serias preocupaciones de seguridad, cumplimiento, privacidad y = legales. El an=E1lisis de miles de consultas durante el cuarto trimestre = de 2024 identific=F3 que los datos de clientes (incluyendo informaci=F3n = de facturaci=F3n y autenticaci=F3n) representan la mayor parte de la = fuga (46%), con ejemplos como reclamaciones de seguros. Los datos de = empleados (n=F3minas e informaci=F3n de identificaci=F3n personal – PII) = representan el 27%, seguidos por datos legales y financieros (15%). = Preocupantemente, el 6.88% de las consultas sensibles incluyen = informaci=F3n relacionada con la seguridad, como resultados de pruebas = de penetraci=F3n, configuraciones de red e informes de incidentes, lo = que podr=EDa proporcionar a los atacantes una hoja de ruta para explotar = vulnerabilidades.
La fuga de datos a = trav=E9s de IA generativa es un problema creciente para las empresas. El = uso de LLMs se clasifica en tres categor=EDas: implementaciones = sancionadas (licenciadas o desarrolladas internamente), IA en la sombra = (aplicaciones gratuitas prohibidas por la empresa) y IA semi-en la = sombra (aplicaciones pagas no aprobadas por IT, a menudo utilizadas por = unidades de negocio). Si bien la IA en la sombra no autorizada es una = preocupaci=F3n principal, la IA semi-en la sombra representa un = desaf=EDo a=FAn mayor. Las aplicaciones gratuitas de IA generativa son = las m=E1s problem=E1ticas, ya que sus t=E9rminos de licencia a menudo = permiten el entrenamiento con cada consulta. La investigaci=F3n de = Harmonic revela que el uso gratuito representa la mayor parte de la fuga = de datos sensibles, con un 54% de las consultas sensibles ingresadas en = el nivel gratuito de ChatGPT.
Sin embargo, los = expertos en datos desaconsejan confiar en las promesas contractuales de = las aplicaciones de IA generativa pagas, ya que las protecciones = legales, especialmente las de secretos comerciales, pueden perderse si = un empleado revela informaci=F3n confidencial en una consulta. Los = abogados de propiedad intelectual incluso prueban diferentes IA para = detectar fugas. Confiar =FAnicamente en cl=E1usulas contractuales no se = considera un esfuerzo razonable para proteger secretos comerciales; las = empresas deben implementar pol=EDticas estrictas y capacitar a los = empleados sobre c=F3mo obtener resultados similares sin usar datos = protegidos, lo que requiere un mayor dominio de las estrategias de = formulaci=F3n de consultas.
La clave para abordar = este problema radica en comprender por qu=E9 los empleados recurren a = herramientas de IA gratuitas. A menudo, es porque las herramientas = proporcionadas por IT no satisfacen sus necesidades. Los CISOs deben = colaborar con los l=EDderes empresariales para asegurar que las = herramientas de IA sean "verdaderamente utilizables". La = situaci=F3n actual requiere un nuevo enfoque, ya que el uso de IA por = parte de los empleados ha superado la capacidad de los equipos de IT = para mantenerse al d=EDa. Las organizaciones necesitan estrategias = claras de IA para reducir riesgos e integrar la IA en la pila = tecnol=F3gica de los empleados. El enfoque tradicional de = "restringir y proteger" est=E1 fallando, ya que impulsa la = innovaci=F3n de la IA hacia las sombras.
Los CISOs deben ser = conscientes de que el problema de los datos con la IA generativa es = doble: datos sensibles que salen a trav=E9s de consultas y datos = err=F3neos (alucinaciones o informaci=F3n incorrecta) que entran en la = empresa a trav=E9s de respuestas de IA generativa. Por lo tanto, los = CISOs deben preocuparse tanto por la fuga de datos como por la entrada = de datos incorrectos.
https://www.csoonline.com/arti= cle/3819170/nearly-10-of-employee-gen-ai-prompts-include-sensitive-data.h= tml
CISO (Chief Information Security Officer) es el = responsable de la seguridad de la informaci=F3n en una = empresa.