[22/07/2024] Netskope ha publicado un nuevo estudio que muestra que los datos regulados (datos que las organizaciones tienen el deber legal de proteger) representan más de un tercio de los datos confidenciales que se comparten con las aplicaciones de IA generativa (GenAI), lo que supone un riesgo potencial para las empresas de costosas filtraciones de datos.
"La nueva investigación de Netskope Threat Labs revela que tres cuartas partes de las empresas encuestadas ahora bloquean por completo al menos una aplicación GenAI, lo que refleja el deseo de los líderes tecnológicos empresariales de limitar el riesgo de exfiltración de datos confidenciales. Sin embargo, con menos de la mitad de las organizaciones aplicando controles centrados en los datos para evitar que se comparta información confidencial en las consultas de entrada, la mayoría está atrasada en la adopción de las soluciones avanzadas de prevención de pérdida de datos (DLP) necesarias para habilitar de forma segura la inteligencia artificial”, sostuvo James Robinson, director de seguridad de la información de Netskope, en el comunicado de prensa.
El ejecutivo comentó que, utilizando conjuntos de datos globales, los investigadores descubrieron que el 96% de las empresas utilizan ahora la inteligencia artificial, un número que se ha triplicado en los últimos 12 meses. "En promedio, las empresas ahora usan casi 10 aplicaciones GenAI, frente a las tres del año pasado, y el 1% de los principales usuarios ahora usa un promedio de 80 aplicaciones, un aumento significativo de 14. Con el aumento del uso, las empresas han experimentado un aumento en el intercambio de código fuente propietario dentro de las aplicaciones GenAI, lo que representa el 46% de todas las violaciones de la política de datos documentadas. Estas dinámicas cambiantes complican la forma en que las empresas controlan el riesgo, lo que genera la necesidad de un esfuerzo de DLP más sólido”.
Robinson añadió que hay signos positivos de gestión proactiva de riesgos en los matices de los controles de seguridad y pérdida de datos que las organizaciones están aplicando: por ejemplo, el 65% de las empresas ahora implementan entrenamiento de usuarios en tiempo real para ayudar a guiar las interacciones de los usuarios con las aplicaciones de GenAI. Según la investigación, el entrenamiento eficaz de los usuarios ha desempeñado un papel crucial en la mitigación de los riesgos de los datos, lo que ha llevado al 57% de los usuarios a modificar sus acciones después de recibir alertas de entrenamiento.
Robinson sostuvo que el informe Netscope Cloud and Threat Report: AI Apps in the Enterprise también concluye que:
- ChatGPT sigue siendo la aplicación más popular, con más del 80% de las empresas que la utilizan.
- Microsoft Copilot mostró el crecimiento más dramático en el uso desde su lanzamiento en enero del 2024, con un 57%.
- El 19 % de las organizaciones han impuesto una prohibición general de GitHub CoPilot.
Puntos clave para las empresas
Netskope recomienda a las empresas que revisen y adapten sus marcos de riesgo específicamente a la IA o a la GenIA utilizando esfuerzos como el Marco de Gestión de Riesgos de IA del NIST. Los pasos tácticos específicos para abordar el riesgo de GenAI incluyen:
- Conozca su estado actual: Comience por evaluar los usos actuales de la IA y el aprendizaje automático, las canalizaciones de datos y las aplicaciones GenAI. Identifique vulnerabilidades y brechas en los controles de seguridad.
- Implemente los controles básicos: Establezca medidas de seguridad fundamentales, como controles de acceso, mecanismos de autenticación y cifrado.
- Plan de controles avanzados: Más allá de lo básico, desarrolle una hoja de ruta para controles de seguridad avanzados. Considere el modelado de amenazas, la detección de anomalías, la supervisión continua y la detección de comportamiento para identificar movimientos de datos sospechosos en entornos de nube para generar aplicaciones de IA que se desvíen de los patrones normales de usuario.
- Medir, iniciar, revisar, iterar: Evalúe regularmente la eficacia de sus medidas de seguridad. Adáptelos y refínelos en función de las experiencias del mundo real y las amenazas emergentes.
Franca Cavassa, CTOPerú