Los proveedores de prevención de pérdida de datos abordan los riesgos de la IA generativa
Las empresas están utilizando herramientas de DLP para ayudar a proteger la IA generativa y reducir los riesgos de ChatGPT y aplicaciones similares.
Los proveedores de prevención de pérdida de datos (DLP) se apresuran a agregar soporte para casos de uso de IA generativa a sus plataformas, después de la popularidad y la creciente adopción de ChatGPT desde su lanzamiento en noviembre de 2022. La herramienta se convirtió rápidamente en la aplicación de más rápido crecimiento de la historia y en un ítem de la agenda de las empresas.
Según un informe de IDC publicado en agosto, el 65% de las empresas ya ha desplegado IA generativa, el 19% la está explorando activamente y el 13% aún lo está considerando. Sólo el 3% afirma que no tiene previsto utilizar la IA generativa.
El mayor obstáculo para su adopción, según IDC, es la preocupación de que se filtre información privada en los grandes modelos lingüísticos de los proveedores de tecnología de IA generativa. "Los empleados de todas las industrias están encontrando formas nuevas e innovadoras de realizar más rápido sus tareas en el trabajo", dice Kayne McGladrey, miembro senior de IEEE y estratega de ciberseguridad en Ascent Solutions. "Sin embargo, esto puede llevar a compartir información confidencial o regulada de forma no intencionada. Por ejemplo, si un médico envía información personal de salud a una herramienta de IA para ayudar en la redacción de una carta de seguro, puede estar violando las regulaciones de HIPAA".
El problema es que muchas plataformas públicas de IA se entrenan continuamente en función de sus interacciones con los usuarios. Esto significa que si un usuario carga secretos de la empresa a la IA, ésta los conocerá y los revelará a la siguiente persona que pregunte por ellos. No sólo las IA públicas tienen este problema. Un gran modelo lingüístico interno que ingiera datos confidenciales de la empresa podría proporcionar esos datos a empleados que no deberían tener permiso para verlos.
Según un informe de Netskope publicado en julio, muchos sectores ya están empezando a utilizar herramientas de DLP para ayudar a proteger la IA generativa. En los servicios financieros, por ejemplo, el 19% utiliza herramientas de prevención de pérdida de datos y, en sanidad, la cifra es del 21%. En el sector tecnológico, el 26% de las empresas utiliza DLP para reducir los riesgos de ChatGPT y aplicaciones similares.
Cómo garantizan la seguridad las empresas que utilizan IA generativa pública y privada
La empresa de consultoría tecnológica Persistent Systems, por ejemplo, utiliza ampliamente DLP para proteger los datos sensibles de los sistemas de IA generativa. La empresa cuenta con 23.000 empleados en 21 países y, dependiendo del tipo de empleado y del tipo de trabajo que realice, existen diferentes salvaguardas para los datos confidenciales, afirma Debashis Singh, CIO de la empresa, que declinó nombrar a los proveedores específicos que la empresa utilizaba.
Los ingenieros, por ejemplo, trabajan en entornos virtuales seguros, separados de los datos de los clientes. Otras aplicaciones empresariales con componentes de IA generativa se ejecutan en entornos privados para que los modelos de IA estén completamente aislados. Bloquear todas las plataformas públicas de IA generativa no siempre es posible. Por ejemplo, el entorno privado seguro de IA podría tener un cuello de botella, dice Singh, y los empleados podrían verse obligados a utilizar la alternativa pública de IA para realizar su trabajo. "En algunos casos, permitimos que ChatGPT sea accesible, pero los documentos se filtran por clasificaciones, además de los motores DLP tradicionales", afirma.
Además, un modelo público de IA podría tener acceso a más información, o a distintos tipos de información, que uno que se ejecute en un entorno privado. "Hay múltiples proveedores, y trabajamos con todos los diferentes proveedores para crear las soluciones adecuadas con las plataformas adecuadas para alinear nuestras soluciones con las necesidades de nuestros clientes", dice Singh. "La potencia que aporta ChatGPT es algo ante lo que no puedes cerrar los ojos e ignorarlo".
Algunos proveedores tampoco son proveedores tradicionales de IA que están añadiendo chatbots de IA a sus plataformas, dice. Por ejemplo, un servicio de viajes podría añadir IA generativa para ayudar a los usuarios a elegir la mejor aerolínea. "Tenemos que ser extremadamente cuidadosos. Hemos reajustado nuestros términos legales de contratación con todos nuestros operadores de SaaS. Siempre que ofrezcas algo en SaaS y haya que integrar un entorno ChatGPT, lo queremos en un entorno privado, no en el público, para que todo quede dentro de nuestra instancia", explica Singh.
Y aunque esto cuesta dinero, Singh dice que no le importa gastar más para proteger sus datos. "Esto forma parte de nuestros criterios de selección de socios y no hacemos concesiones al respecto".
Además, con cada integración de SaaS, existen controles de DLP para ver qué tipo de datos se envían. También hay controles DLP adicionales para evitar que se corten y peguen documentos clasificados en los chatbots de IA, y hay filtros en las URL para restringir los chatbots que los empleados pueden utilizar. Por supuesto, la gente siempre puede acceder al chatbot desde sus teléfonos. Así que, para los empleados que trabajan con datos especialmente sensibles, hay controles aún más estrictos, incluida la prohibición de ciertos dispositivos en entornos seguros. "No se permiten cámaras ni móviles", dice Singh.
Ahora que aplicaciones de escritorio como Photoshop también están incorporando funciones de IA generativa, Persistent también está estudiando esos riesgos de seguridad. "Espero que muy pronto se escanee cada carácter que se escriba, cada archivo adjunto, cada imagen, cada cosa, y si se ajusta a nuestras políticas, pasará, y si no, no", dice Singh. "Llevará la DLP desde el perímetro a todas las aplicaciones que utiliza la gente". Sí, puede afectar al rendimiento, pero es algo a lo que toda la comunidad de CISO se enfrentará pronto. Los proveedores de DLP están añadiendo rápidamente herramientas de supervisión, bloqueo y control de acceso para las aplicaciones de IA generativa.
Skyhigh ya rastrea más de 500 aplicaciones de IA
Skyhigh Security tiene herramientas DLP como parte de su producto CASB, que forma parte de su plataforma SSE. La empresa ha ido añadiendo rápidamente soporte para casos de uso de IA generativa a lo largo de este último año.
Según Tracy Holden, directora de marketing corporativo de Skyhigh, la empresa cuenta ahora en su registro con más de 500 proveedores de servicios de IA en la nube. Esto supone un aumento del 130% desde enero. "Este registro en la nube identifica rápidamente las nuevas aplicaciones de IA generativa y el correspondiente nivel de riesgo de cada aplicación", afirma.
Durante el primer semestre de 2023, cerca de un millón de usuarios finales accedieron a ChatGPT a través de infraestructuras corporativas. "El volumen de usuarios ha aumentado un 1.500% de enero a junio de 2023, lo que demuestra el impulso y la adopción sin precedentes de las aplicaciones de IA generativa en todas las organizaciones e industrias", afirma Holden.
La empresa también dispone de integración API directa con muchas aplicaciones empresariales que están añadiendo funciones de IA generativa, como Box, Google, Microsoft, Salesforce, ServiceNow, Slack, Workday, Workplace y Zoom. Esto les permite conocer mejor y controlar los flujos de datos.
Dan Meacham, CSO, CISO y vicepresidente de ciberseguridad y operaciones de Legendary Entertainment, dice que utiliza tecnología DLP para ayudar a proteger a su empresa, y Skyhigh es uno de los proveedores. Legendary Entertainment es la empresa que está detrás de programas de televisión como The Expanse y Lost in Space y de películas como Batman, Superman, Watchmen, Inception, The Hangover, Pacific Rim, Jurassic World, Dune y muchas más.
La tecnología DLP está integrada en las plataformas de documentos Box y Microsoft que utiliza Legendary Entertainment. Ambas plataformas están añadiendo IA generativa para ayudar a los clientes a interactuar con sus documentos.
Meacham dice que hay dos tipos de IA generativa que le preocupan. En primer lugar, está la IA integrada en las herramientas que la empresa ya utiliza, como Microsoft Copilot. Se trata de una amenaza menor cuando se trata de datos confidenciales. "Ya tienes a Microsoft, confías en ellos y tienes un contrato", afirma. "Además, ya tienen tus datos. Ahora solo están haciendo IA generativa con esos datos".
Legendary tiene contratos con sus proveedores empresariales para garantizar que sus datos estén protegidos y que no se utilicen para entrenar IA o que se use de otras formas cuestionables. "Hay un par de productos que tenemos que añadieron IA, y no estábamos contentos con eso, y pudimos desactivarlos", dice. "Porque esas cláusulas ya estaban en nuestros contratos. Somos creadores de contenidos y somos muy sensibles a esas cosas".
En segundo lugar, y más preocupante, están las aplicaciones de IA independientes. "Cojo este guión y lo subo a la IA generativa online, y no sabes adónde va", dice. Para combatir esto, Legendary utiliza servidores proxy y herramientas DLP para proteger los datos regulados y evitar que se suban a las aplicaciones de IA. Algunos de estos datos son fáciles de detectar, afirma Meacham. "Como las direcciones de correo electrónico. O te dejo ir al sitio, pero una vez que superas esta cantidad de exfiltración de datos, te cerramos".
La empresa utiliza Skyhigh para gestionar esto. El problema de limitar los datos, admite, es que los usuarios se limitarán a trabajar en trozos más pequeños. "Necesitas inteligencia para averiguar qué están haciendo", afirma. Se acerca, dice, pero aún no ha llegado. "Estamos empezando a ver cómo se utiliza el procesamiento del lenguaje natural para generar políticas y guiones. Ahora no hace falta saber regex: lo desarrollará todo por ti".
Pero también están surgiendo casos de uso nuevos y complejos. Por ejemplo, antiguamente, si alguien quería enviar un guión supersecreto de una nueva película a una persona poco fiable, había un hash o una huella dactilar en el documento para asegurarse de que no salía a la luz.
"Llevamos unos años trabajando en la parte de colaboración externa", dice. Además de la huella digital, las tecnologías de seguridad incluyen el análisis del comportamiento de los usuarios, la supervisión de las relaciones y saber quién está en el círculo de quién. "Pero eso se refiere a los activos en sí, no a los conceptos dentro de esos activos".
Pero si alguien está discutiendo sobre el guión con una IA, eso va a ser más difícil de atrapar, dice.
Estaría bien disponer de una herramienta inteligente capaz de identificar estos temas delicados y detener la discusión. Pero no va a crear una, dice. "Preferimos trabajar en películas y dejar que otro lo haga, y se lo compramos". Dice que Skyhigh lo tiene en su hoja de ruta. Skyhigh no es el único proveedor de DLP con IA generativa en su punto de mira. La mayoría de los principales proveedores de DLP han hecho anuncios o han lanzado funciones para dar soporte a estos problemas emergentes.
Zscaler ofrece controles predefinidos de IA generativa
En mayo, Zscaler ya había identificado cientos de herramientas y sitios de IA generativa y había creado una categoría de aplicaciones de IA para facilitar a las empresas el bloqueo del acceso, la emisión de advertencias a los usuarios que visitan los sitios o la habilitación de controles de DLP precisos.
Las principales aplicaciones que las empresas quieren ver bloqueadas por la plataforma es ChatGPT, dice Deepen Desai, CISO global de Zscaler y jefe de investigación y operaciones de seguridad. Pero también Drift, una plataforma de ventas y marketing que ha añadido herramientas de IA generativa.
El gran problema, dice, es que los usuarios no se limitan a enviar archivos. "Es importante que los proveedores de DLP cubran la detección de datos sensibles en texto y formularios sin generar demasiados falsos positivos", dice.
Además, los desarrolladores están utilizando IA generativa para depurar código y escribir casos de pruebas unitarias. "Es importante detectar piezas sensibles de información en el código fuente como claves AWS, tokens sensibles, claves de cifrado y evitar que las herramientas de IA generativa aprendan estos datos sensibles", dice Desai. Las herramientas IA generativa también pueden generar imágenes y la información sensible puede filtrarse a través de estas imágenes, añade.
Por supuesto, el contexto es importante. ChatGPT, destinado al uso público, está configurado por defecto de forma que permite a la IA aprender de la información enviada por el usuario. ChatGPT en un entorno privado está aislado y no conlleva el mismo nivel de riesgo. "El contexto a la hora de actuar es fundamental con estas herramientas", afirma Desai.
El servicio DLP de CloudFlare se amplía a la IA generativa
Cloudflare amplió su plataforma SASE, Cloudflare One, para incluir la prevención de pérdida de datos para IA generativa en mayo. Esto incluye comprobaciones sencillas de números de la seguridad social o de tarjetas de crédito. Pero la empresa también ofrece escaneos personalizados para equipos específicos y reglas granulares para individuos concretos. Además, la empresa puede ayudar a las empresas a ver cuándo los empleados utilizan los servicios de IA.
En septiembre, la empresa anunció que ofrecía visibilidad de exposición de datos para OpenAI, Bard y Github Copilot y mostró un caso práctico en el que Applied Systems utilizó Cloudflare One para proteger los datos en entornos de IA, incluido ChatGPT.
Además, su pasarela de IA es compatible con proveedores de modelos como OpenAI, Hugging Face y Replicate, y tiene previsto añadir más en el futuro. Se sitúa entre las aplicaciones de IA y los modelos de terceros a los que se conectan y, en el futuro, incluirá la prevención de pérdida de datos, de modo que, por ejemplo, pueda editar solicitudes que incluyan datos sensibles como claves API, o eliminar esas solicitudes, o registrarlas y alertar sobre ellas.
Para las empresas que utilizan IA generativa y toman medidas para protegerla, los principales enfoques incluyen la ejecución de modelos de lenguaje de gran tamaño en entornos seguros, el uso de terceros de confianza que integren la IA generativa en sus herramientas de forma segura, y el uso de herramientas de seguridad como la prevención de pérdida de datos para detener la filtración de datos confidenciales a través de canales no aprobados.
Según una encuesta de Gartner publicada en septiembre, el 34% de las organizaciones ya utilizan o están implantando este tipo de herramientas, y otro 56% afirma estar explorando estas tecnologías. Están utilizando tecnologías de mejora de la privacidad que crean versiones anonimizadas de la información para su uso en el entrenamiento de modelos de IA.
Cyberhaven para la IA
En marzo de este año, el 4% de los trabajadores ya habían subido datos confidenciales a ChatGPT y, de media, el 11% de los datos que fluyen a ChatGPT son confidenciales, según Cyberhaven. En una sola semana de febrero, una empresa media de 100.000 personas sufrió 43 filtraciones de archivos sensibles de proyectos, 75 filtraciones de datos personales regulados, 70 filtraciones de datos sanitarios regulados, 130 filtraciones de datos de clientes, 119 filtraciones de código fuente y 150 filtraciones de documentos confidenciales.
Cyberhaven afirma que registra automáticamente los datos que pasan a las herramientas de IA para que las empresas puedan entender lo que está ocurriendo y les ayuda a desarrollar políticas de seguridad para controlar esos flujos de datos. Un reto particular de la prevención de pérdida de datos para la IA es que los datos sensibles suelen cortarse y pegarse desde una ventana abierta en una aplicación o documento de la empresa, directamente en una aplicación como ChatGPT. Las herramientas DLP que buscan transferencias de archivos no lo detectan.
Cyberhaven permite a las empresas bloquear automáticamente esta acción de cortar y pegar datos confidenciales y avisar a los usuarios de por qué se ha bloqueado esta acción concreta, redirigiéndoles a continuación a una alternativa segura, como un sistema de IA privado, o permitiéndoles dar una explicación y anular el bloqueo.
La Protección de Datos Sensibles de Google protege a los modelos personalizados del uso de datos sensibles
Los servicios de Protección de Datos Sensibles de Google incluyen tecnologías de Prevención de Pérdida de Datos en la Nube, lo que permite a las empresas detectar datos sensibles y evitar que se utilicen para entrenar modelos generativos de IA. "Las organizaciones pueden utilizar la Protección de Datos Sensibles de Google Cloud para añadir capas adicionales de protección de datos a lo largo del ciclo de vida de un modelo generativo de IA, desde el entrenamiento hasta el ajuste y la inferencia", dijo la compañía en una entrada de blog.
Por ejemplo, las empresas podrían utilizar transcripciones de conversaciones de atención al cliente para entrenar sus IA. Esta herramienta podría sustituir la dirección de correo electrónico de un cliente por una simple descripción del tipo de datos -como "email_address"- o sustituir los datos reales del cliente por datos aleatorios generados.
Incydr de Code42 ofrece un módulo de entrenamiento de IA generativa
En septiembre, el proveedor de DLP Code42 lanzó el programa Insider Risk Management Launchpad, que incluye recursos centrados en la IA generativa para ayudar a los clientes a "abordar el uso seguro de la IA generativa", afirma Dave Capuano, vicepresidente senior de gestión de productos de Code42. La empresa también proporciona a los clientes visibilidad sobre el uso de ChatGPT y otras herramientas de IA generativa y detecta la actividad de copiar y pegar y puede bloquearla.
Fortra añade funciones específicas de IA generativa a Digital Guardian
Fortra ya ha añadido funciones específicas relacionadas con la IA generativa a su herramienta DLP Digital Guardian, afirma Wade Barisoff, director de producto de protección de datos de Fortra. "Esto permite a nuestros clientes elegir cómo quieren gestionar el acceso de los empleados a la IA generativa, desde el bloqueo total del acceso en el extremo, hasta el bloqueo solo del contenido específico que se publica en estas diversas herramientas, o simplemente la supervisión del tráfico y el contenido que se publica en estas herramientas".
La forma en que las empresas despliegan la DLP para la IA generativa varía mucho, dice. "Las instituciones educativas, por ejemplo, están bloqueando el acceso casi al 100%", dice. "Los medios de comunicación y el entretenimiento están cerca del 100%, la manufactura -específicamente las industrias sensibles, como la militar industrial, por ejemplo- están cerca del 100%".
Las empresas de servicios se centran principalmente no en bloquear el uso de las herramientas, sino en bloquear los datos sensibles que se publican en las herramientas, dice. "Estos datos sensibles pueden incluir información sobre clientes o el código fuente de productos creados por la empresa. Las empresas de software tienden a permitir con supervisión o permitir con bloqueo".
Pero un gran número de empresas ni siquiera han empezado a controlar el acceso a la IA generativa, afirma. "El mayor reto es que sabemos que los empleados quieren utilizarla, por lo que las empresas se enfrentan a determinar el equilibrio adecuado de uso", afirma Barisoff.
DoControl ayuda a bloquear aplicaciones de IA y previene la pérdida de datos
Diferentes herramientas de IA plantean diferentes riesgos, incluso dentro de la misma empresa. "Una herramienta de IA que supervisa la escritura de un usuario en documentos en busca de problemas ortográficos o gramaticales podría ser aceptable para alguien de marketing, pero no aceptable cuando la utiliza alguien de finanzas, recursos humanos o estrategia corporativa", dice Tim Davis, líder de consultoría de soluciones en DoControl, una empresa de prevención de pérdida de datos SaaS.
DoControl puede evaluar los riesgos que entraña una determinada herramienta de IA, entendiendo no sólo la herramienta en sí, sino también la función y el nivel de riesgo del usuario. Si la herramienta es demasiado arriesgada, dice, el usuario puede recibir educación inmediata sobre los riesgos y ser guiado hacia alternativas aprobadas. "Si un usuario considera que existe una necesidad empresarial legítima para la aplicación solicitada, DoControl puede automatizar el proceso de creación de excepciones en el sistema de tickets de la organización", afirma Davis.
Entre los clientes de la empresa, hasta ahora el 100% tiene instalada alguna forma de IA generativa y el 58% tiene cinco o más aplicaciones de IA. Además, el 24% de las empresas tienen aplicaciones de IA con amplios permisos de datos, y el 12% tienen aplicaciones en la sombra de IA de alto riesgo.
Palo Alto Networks protege contra las principales aplicaciones de IA generativa
Las empresas están cada vez más preocupadas por los chatbots y asistentes basados en inteligencia artificial como ChatGPT, Google Bard y Github Copilot, dice Taylor Ettema, vicepresidente de gestión de productos de Palo Alto. " La solución de seguridad de datos de Palo Alto Networks permite a los clientes proteger sus datos confidenciales contra la filtración de datos y la exposición no intencionada a través de estas aplicaciones", afirma. Por ejemplo, las empresas pueden impedir que los usuarios ingresen datos confidenciales en estas aplicaciones, ver los datos marcados en una consola unificada o simplemente restringir por completo el uso de aplicaciones específicas.
Todos los problemas habituales de seguridad de los datos surgen con la IA generativa, dice Ettema, incluida la protección de los datos de atención médica, los datos financieros y los secretos de la empresa. “Además, estamos viendo la aparición de escenarios en los que los desarrolladores de software pueden cargar código propietario para ayudar a encontrar y corregir errores. Y los equipos de comunicaciones corporativas o marketing pueden solicitar ayuda para elaborar campañas y comunicados de prensa confidenciales”. Detectar estos casos puede plantear desafíos únicos y requiere soluciones con comprensión del lenguaje natural, análisis contextual y aplicación dinámica de políticas.
Symantec agrega clasificaciones poco comunes de IA generativa
Symantec, ahora parte de Broadcom, ha agregado soporte de IA generativa a su solución DLP en forma de capacidad fuera de lo común para clasificar todo el espectro de aplicaciones de IA generativa y monitorearlas y controlarlas individualmente o como clase, dice Bruce Ong, director de prevención de pérdida de datos de Symantec.
ChatGPT es la mayor preocupación, pero las empresas también están empezando a preocuparse por Bard de Google y Copilot de Microsoft. “A menudo, otras preocupaciones se refieren a aplicaciones nuevas y específicas de IA generativa y a la funcionalidad de IA generativa integrada en aplicaciones verticales que parecen estar en línea a diario. Además, las aplicaciones de inteligencia artificial de nivel básico, no oficiales y no autorizadas aumentan los riesgos adicionales de pérdida de datos de los clientes”, afirma Ong.
Los usuarios pueden cargar fórmulas de medicamentos, dibujos de diseños, solicitudes de patentes, códigos fuente y otros tipos de información confidencial en estas plataformas, a menudo en formatos que el DLP estándar no puede capturar. Symantec utiliza el reconocimiento óptico de caracteres para analizar imágenes potencialmente sensibles, afirma.
Forcepoint clasifica las aplicaciones de IA generativa y ofrece control granular
Para facilitar a los clientes de Forcepoint ONE SSE la gestión de los riesgos de los datos de IA generativa, Forcepoint permite a los departamentos de TI gestionar quién puede acceder a los sitios de IA generativa como una categoría o explícitamente por nombre de aplicaciones individuales. Forcepoint DLP ofrece controles granulares sobre qué tipo de información se puede cargar en estos sitios, afirma el vicepresidente de Forcepoint, Jim Fulton. Las empresas también pueden establecer restricciones sobre si los usuarios pueden copiar y pegar grandes bloques de texto o cargar archivos. "Esto garantiza que los grupos que tienen una necesidad empresarial de utilizar sitios de IA generativa puedan hacerlo sin poder cargar datos confidenciales de forma accidental o maliciosa", afirma.
GTP se concentra en el desafío ChatGPT de las firmas de abogados
En junio, dos abogados de Nueva York y su bufete de abogados fueron multados después de que presentaran un documento escrito por ChatGPT, que incluía citas de casos ficticios. Pero los riesgos de los bufetes de abogados al utilizar la IA generativa van más allá de la conocida facilidad de las aplicaciones para inventar cosas. También plantean el riesgo de revelar información confidencial del cliente a los modelos de IA.
Para abordar este riesgo, el proveedor de DLP GTB Technologies anunció en agosto una solución DLP de IA generativa diseñada específicamente para bufetes de abogados. No se trata sólo de ChatGPT. "Nuestra solución cubre todas las aplicaciones de IA", afirma la directora de GTB, Wendy Cohen. La solución evita que se compartan datos confidenciales a través de estas aplicaciones con monitoreo en tiempo real, de una manera que salvaguarda el privilegio abogado-cliente, de modo que las firmas de abogados puedan usar la IA y al mismo tiempo cumplir plenamente con las regulaciones de la industria.
Next DLP agrega plantillas de políticas para ChatGPT, Hugging Face, Bard, Claude y más
Next DLP introdujo plantillas de políticas ChatGPT en su plataforma Reveal en abril, ofreciendo políticas preconfiguradas para educar a los empleados sobre el uso de ChatGPT o bloqueando el intercambio de información confidencial. En septiembre, Next DLP, que según GigaOm es líder en el espacio DLP, continuó con plantillas de políticas para varias otras plataformas importantes de IA generativa, incluidas Hugging Face, Bard, Claude, Dall-E, Copy.AI, Rytr, Tome y lumen 5.
Además, después de revisar la actividad de cientos de empresas en julio, Next DLP descubrió que, en el 97% de las empresas, al menos un empleado usaba ChatGPT y, en general, el 8% de todos los empleados usaban ChatGPT. "La IA generativa está proliferando dentro de las organizaciones y los CISO no tienen visibilidad ni protección sobre cómo los empleados usan estas herramientas", dijo John Stringer, jefe de producto de Next DLP en un comunicado .
El futuro de DLP es la IA generativa
La IA generativa no es sólo el último caso de uso de las tecnologías DLP. También tiene el potencial de revolucionar la forma en que funciona DLP, si se usa correctamente. Tradicionalmente, DLP se basaba en reglas, lo que la hacía muy estática y requería mucha mano de obra, afirma Rik Turner, analista principal de tecnologías emergentes en Omdia. Pero la mayoría de los proveedores de DLP de la vieja escuela han sido adquiridos y ahora forman parte de plataformas más grandes o han evolucionado hacia la gestión de la postura de seguridad de los datos y utilizan la IA para aumentar o reemplazar el antiguo enfoque basado en reglas. Ahora, con la IA generativa, tienen la oportunidad de llegar aún más lejos.
Las herramientas DLP que utilizan IA generativa deben construirse de tal manera que no retengan los datos confidenciales que encuentran, dice Rebecca Herold, miembro de IEEE y experta en cumplimiento y seguridad de la información. Hasta la fecha, no ha visto a ningún proveedor lograr esto con éxito. Todos los proveedores de seguridad dicen que están agregando IA generativa, pero las primeras implementaciones parecen consistir en agregar chatbots a las interfaces de usuario, dice, y agrega que tiene la esperanza "de que haya algunas herramientas DLP documentadas y validadas para múltiples aspectos de las capacidades de IA en los próximos seis a doce meses, más allá de simplemente proporcionar capacidades de chatbot”.
Skyhigh, por ejemplo, está estudiando la IA generativa para que DLP cree nuevas políticas sobre la marcha, afirma Arnie López, vicepresidente de ingeniería de sistemas a nivel mundial de la empresa. "Aún no tenemos nada comprometido en la hoja de ruta, pero lo estamos analizando, al igual que todas las empresas". Skyhigh utiliza técnicas de inteligencia artificial más antiguas y aprendizaje automático para ayudarlo a descubrir las herramientas de inteligencia artificial utilizadas dentro de una empresa en particular, afirma. “Hay todo tipo de herramientas de inteligencia artificial y cualquiera puede acceder a ellas. Mi suegra de 70 años utiliza IA para encontrar recetas”.
Las herramientas de IA tienen aspectos únicos que las hacen detectables, especialmente si Skyhigh las ve en uso dos o tres veces, dice López. El aprendizaje automático también se utiliza para calificar el riesgo de las herramientas de inteligencia artificial.
Pero, al fin y al cabo, no existe una solución perfecta, afirma Dan Benjamin, director ejecutivo de Dig Security, una empresa de seguridad de datos en la nube. “Cualquier organización que piense que sí, se está engañando. Intentamos canalizar a las personas hacia ChatGPT privado. Pero si alguien usa una VPN o hace algo desde una computadora personal, no puedes bloquearlo del ChatGPT público”.
Una empresa debe dificultar que los empleados extraigan datos deliberadamente y brindar capacitación para que no lo hagan accidentalmente. “Pero eventualmente, si quieren, no puedes bloquearlo. Puedes hacerlo más difícil, pero no existe una solución única para la seguridad de los datos", afirma Benjamin.
