Mitigar los riesgos de la IA generativa

Comprender los factores de riesgo y cómo controlarlos

Cuando una empresa confía a su sistema de software datos confidenciales, se espera que toda la información esté completamente protegida contra el acceso, la modificación o la exfiltración no autorizados. Si bien las vulnerabilidades tradicionales siguen siendo una preocupación, la naturaleza única de la IA generativa introduce riesgos adicionales contra los que hay que protegerse.

Además de proteger los datos confidenciales, también es importante que la IA generativa cumpla con sus acuerdos de nivel de servicio (SLA), incluidos la disponibilidad, la escalabilidad, el rendimiento, la confiabilidad y la recuperación ante desastres. También se debe demostrar que la IA generativa no afecta negativamente a los SLA de los sistemas posteriores. Comprender estas vulnerabilidades y evitar que generen exposiciones de seguridad allana el camino para hacer realidad la tremenda promesa de la IA generativa.

Algunas vulnerabilidades clave a las que hay que prestar atención son:

• Inyección rápida. Las entradas bien elaboradas pueden engañar a las aplicaciones de IA generativa para que revelen datos confidenciales o ejecuten acciones dañinas.
• Manejo inseguro de la salida. El uso ciego de los resultados de la IA sin escrutinio abre la puerta a vulnerabilidades del sistema, como el acceso no autorizado a los datos.
• Envenenamiento de datos de entrenamiento. Los datos de entrenamiento manipulados pueden corromper los componentes de la IA, introduciendo sesgos peligrosos o puertas traseras.
• Modelo de denegación de servicio. Los atacantes pueden abrumar las aplicaciones de IA generativa con solicitudes complejas, degradando o inhabilitando el servicio.
• Exceso de agencia. Dar a los componentes de la IA una autonomía incontrolada puede permitirles tomar decisiones perjudiciales basadas en razonamientos erróneos.
• Diseño de plug-in inseguro. Los componentes de IA de terceros pueden introducir vulnerabilidades graves a través del manejo de datos inseguro.
• Compromiso de la cadena de suministro. Si se piratean herramientas o fuentes de datos de terceros, estos eventos crean un riesgo dentro de la aplicación de IA generativa.
• Fuga de datos sensibles. La IA generativa puede revelar datos confidenciales de clientes o empresas a los que estuvo expuesta durante su entrenamiento.

Afortunadamente, las medidas preventivas pueden mitigar múltiples tipos de vulnerabilidades de IA. Por ejemplo, protegerse contra la inyección rápida y el envenenamiento de datos de entrenamiento también ayuda a reducir la posibilidad de divulgación de información confidencial. Un marco de identidad y acceso sólido, con una implementación de control de acceso bien pensada, es un requisito previo para protegerse contra ataques excesivos de agencias. Y las medidas de seguridad tradicionales que hemos estado practicando desde los albores de la informática proporcionan la base sobre la que se construyen las protecciones de IA generativa.

Con una postura de seguridad vigilante y medidas de defensa en profundidad, las empresas pueden darse cuenta del tremendo potencial de la IA generativa mientras salvaguardan los sistemas y la información confidencial. Asegurar la IA generativa requiere un enfoque de múltiples capas que abarque datos, entrenamiento y ajuste de modelos, infraestructura, identidades, control de acceso y, lo que es más importante, diligencia al evaluar a los proveedores. Las empresas también necesitan implementar una gobernanza integral, un riguroso control de acceso, controles de entrada y salida, monitoreo, sandboxing y protocolos de desarrollo y operaciones bien definidos.

Evalúe su posición de seguridad de IA generativa antes de sumergirse

Ya sea que las empresas estén incorporando IA generativa directamente en soluciones creadas internamente o adquiriendo estas capacidades de los proveedores, hacer las preguntas correctas es fundamental para garantizar una seguridad estricta. Las preguntas correctas pueden ayudar a guiar las conversaciones para determinar si se han implementado las protecciones adecuadas. Considere la posibilidad de cubrir las siguientes áreas temáticas:

• Seguridad de la cadena de suministro. Las empresas deben solicitar auditorías de terceros, pruebas de penetración y revisiones de código para garantizar la seguridad de la cadena de suministro. Necesitan entender cómo se evalúa a los proveedores externos, tanto inicialmente como de forma continua.
• Seguridad de los datos. Las organizaciones deben comprender cómo se clasifican y protegen los datos en función de la confidencialidad, incluidos los datos empresariales personales y propietarios. ¿Cómo se administran los permisos de los usuarios y qué medidas de seguridad existen?
• Control de acceso. Con una postura de seguridad vigilante, que incluye controles de acceso basados en privilegios y medidas de defensa exhaustivas, las empresas pueden darse cuenta del enorme potencial de la IA generativa y, al mismo tiempo, salvaguardar los sistemas y la información confidencial.
• Capacitación en seguridad de canalización. Es esencial un control riguroso en torno al entrenamiento de la gobernanza de datos, las canalizaciones, los modelos y los algoritmos. ¿Qué protecciones existen para protegerse contra el envenenamiento de datos?
• Seguridad de entrada y salida. Antes de implementar la IA generativa, las organizaciones deben evaluar los métodos de validación de entradas, así como la forma en que se filtran, desinfectan y aprueban las salidas.
• Seguridad de la infraestructura. ¿Con qué frecuencia realiza el proveedor pruebas de resiliencia? ¿Cuáles son sus SLA en términos de disponibilidad, escalabilidad y rendimiento? Esto es fundamental para evaluar la seguridad y la estabilidad de la infraestructura.
• Seguimiento y respuesta. Las empresas necesitan comprender completamente cómo se automatizan, registran y auditan los flujos de trabajo, el monitoreo y las respuestas. Todos los registros de auditoría deben ser seguros, especialmente si es probable que contengan información confidencial o personal.  
• Conformidad. Las empresas deben confirmar que el proveedor cumple con regulaciones como GDPR y CCPA, y que se han logrado certificaciones como SOC2 e ISO 27001. Deben comprender dónde se recopilarán, almacenarán y utilizarán los datos para garantizar que se cumplan los requisitos específicos del país o del estado.

Haga realidad la promesa de la IA generativa, de forma segura

La IA generativa tiene un inmenso potencial, con nuevas aplicaciones que se descubren casi a diario. Si bien las capacidades actuales ya son profundas, se avecina un potencial aún mayor.

Sin embargo, esta promesa conlleva riesgos que requieren una gobernanza prudente y continua. 

La seguridad genera confianza y permite el progreso, y la orientación de esta entrada de blog proporciona un punto de partida para que las organizaciones evalúen y aborden estos riesgos. Con diligencia, las empresas pueden adoptar la IA generativa de forma temprana y segura para adelantarse a los beneficios de la IA generativa ahora y en el futuro. La clave es equilibrar la innovación con la gobernanza a través de la colaboración continua entre los equipos de seguridad e IA.

Blue Yonder está aplicando el estándar de oro de la industria para la seguridad de IA generativa, OWASP Top 10 para modelos de lenguaje grandes, para salvaguardar nuestras soluciones. Esto significa que nuestros clientes pueden aprovechar al máximo las últimas innovaciones tecnológicas que mantienen sus negocios funcionando de manera más rápida e inteligente. Póngase en contacto con nosotros para analizar el potencial de la IA generativa segura en su cadena de suministro.