¿Cómo pueden los líderes de seguridad de la información garantizar que el uso de herramientas de inteligencia artificial por parte de los empleados para ayudar a aumentar la productividad organizacional no ponga en riesgo de fuga los datos confidenciales de la empresa? Una mirada a la mayoría de LinkedIn o a las fuentes de noticias hará que la mayoría de nosotros nos preguntemos qué aplicaciones de IA son seguras de usar, cuáles no, cuáles deberían bloquearse y cuáles deberían limitarse o restringirse.
Como informó Mashable, los empleados de Samsung filtraron inadvertidamente información confidencial de la empresa a ChatGPT 1 en al menos tres ocasiones distintas en abril, lo que llevó a la empresa a restringir inicialmente la longitud de las indicaciones de ChatGPT de los empleados a un kilobyte. Luego, el 1 de mayo decidieron prohibir temporalmente a los empleados el uso de herramientas de inteligencia artificial generativa en dispositivos propiedad de la empresa, así como en dispositivos que no son propiedad de la empresa y que se ejecutan en redes internas.
Ya sea que se trate de la necesidad de proteger la propiedad intelectual (PI), la información de identificación personal (PII) o cualquier otro dato privado o confidencial, el ejemplo de Samsung es una buena razón para que los CISO de todo el mundo analicen los riesgos de que ocurran eventos similares de fuga de datos en sus organizaciones. También crea una oportunidad para implementar tecnología, políticas y procesos para prevenirlos. Esto significa contar con capacidades sólidas de control de aplicaciones y prevención de pérdida de datos que permitan a los administradores descubrir el uso organizacional de las herramientas de inteligencia artificial, evaluar los riesgos que esas herramientas presentan para la seguridad de los datos, determinar si son seguras o deben bloquearse, y luego bloquearlas o permitir el uso, ya sea en capacidad total o limitada.
Resolviendo cuatro casos de uso de control de riesgos de ChatGPT
A medida que sus organizaciones intentan aprovechar la IA para aumentar la eficiencia y mantenerse a la vanguardia de la innovación, los líderes de seguridad de la información de todo el mundo deben preguntarse: ¿Cómo puedo permitir que mis empleados utilicen la IA para ser más productivos y al mismo tiempo me aseguro de que no pongan en riesgo accidentalmente ¿Datos confidenciales de la empresa o del cliente en las manos equivocadas?
Las capacidades de prevención de pérdida de datos (DLP) y visibilidad y control de aplicaciones en el agente de seguridad de acceso a la nube (CASB) de Cisco Umbrella pueden ayudar.
Descubra el uso de ChatGPT
A menudo se dice que el primer propósito de un CASB es permitir la visibilidad de la actividad de TI en la sombra para que los administradores de seguridad puedan comprender mejor a qué aplicaciones en la nube están accediendo (o intentando acceder) los usuarios de su organización. Umbrella incluye ChatGPT en la base de datos de su aplicación con fines de descubrimiento y lo designa como de alto riesgo debido a la facilidad con la que se puede filtrar la propiedad intelectual (IP) corporativa y otra información confidencial a través de él. Un administrador puede ver quién lo usa, con qué frecuencia y dónde.
Evaluar el riesgo de uso de ChatGPT
Tener una regla de «monitoreo» de DLP para «todos los destinos» permite a los administradores de seguridad comprender cómo se utiliza ChatGPT en su organización. Una regla existente en Umbrella reconocerá automáticamente ChatGPT sin necesidad de reconfiguración, pero los administradores también pueden crear una nueva regla muy específica compuesta por los tipos de clasificaciones de datos más preocupantes para ayudarlos a identificar mejor los eventos, el volumen de uso y más detalles sobre ese uso. . Esta mejor comprensión del riesgo y el uso de ChatGPT puede ayudar a informar cualquier cambio necesario en la política de DLP.
Bloquear el uso de ChatGPT
ChatGPT no solo se puede descubrir en Umbrella, sino que también se puede controlar gracias en parte a una nueva categoría de control de IA, y se puede bloquear tanto a través de la política de seguridad de la capa DNS de Umbrella como de la política de puerta de enlace web segura (SWG). Las organizaciones fuertemente reguladas y reacias al riesgo que a menudo tienen numerosos requisitos de cumplimiento encontrarán esta capacidad particularmente útil, al igual que muchas empresas de software que necesitan implementar medidas de seguridad para proteger el código fuente.
Permitir el uso seguro de ChatGPT
Garantizar un uso seguro y, lo que es más importante y específico, determinar con qué fines permitirlo, puede aumentar la productividad de los empleados sin sacrificar la seguridad de los datos. La funcionalidad DLP de Umbrella proporciona esta claridad para ayudar a gestionar cuidadosamente el riesgo de ChatGPT.
No hay duda de que la prevalencia de las herramientas de IA generativa aumentará con el tiempo, acompañada de un escrutinio constante de los riesgos y recompensas de aprovecharlas. Al haber configurado correctamente las reglas de DLP en Umbrella, tanto los CISO como los administradores de seguridad pueden disfrutar de la tranquilidad de saber que el uso de ChatGPT se produce de tal manera que se mitiga el riesgo de que se filtre información confidencial de la empresa.
¿Qué deberías hacer después?
Si ya está utilizando Umbrella DNS Security Essentials o DNS Security Advantage, puede comenzar a administrar el riesgo de ChatGPT en la capa DNS hoy. Si no tiene las capacidades avanzadas de control de aplicaciones y prevención de pérdida de datos que vienen con los más sólidos Umbrella SIG Essentials (como complemento) o SIG Advantage (estándar), ponete en contacto con nosotros.
