Cómo navegar el mundo del DSPM para la IA y por qué es de misión crítica para las organizaciones empresariales

La seguridad de la IA se ha convertido en una necesidad empresarial. A medida que más organizaciones utilizan la IA en sus operaciones diarias, enfrentan riesgos crecientes relacionados con datos sensibles, el cumplimiento normativo y el uso indebido de modelos.

Un enfoque eficaz para asegurar rápidamente estos entornos es ampliar los sistemas existentes de Data Security Posture Management (DSPM) para cubrir todos los flujos de trabajo de IA.

En este artículo, aprenderás por qué DSPM para IA es tan importante, cuáles son las capacidades fundamentales que necesitan las empresas, cómo soluciones como Microsoft Purview están evolucionando para abordar la seguridad de la IA y más.

Por qué DSPM para IA es crucial en 2025

Según un informe de KPMG, 67% de los ejecutivos tienen la intención de presupuestar protecciones para los modelos de IA. Este cambio demuestra que los líderes comprenden los nuevos riesgos que conllevan los sistemas de IA.

Estas son las principales razones por las que fortalecer la seguridad de la IA mediante DSPM se está convirtiendo en una prioridad máxima en 2025:

El desafío de la explosión de datos de IA

El enorme volumen y la variedad de datos (a menudo no estructurados) que generan y consumen los modelos de IA es imposible de supervisar y gestionar con las herramientas de seguridad convencionales. Además, estos conjuntos de datos pueden contener información sensible.

Sin visibilidad sobre dónde reside estos datos o cómo se están accediendo, las organizaciones enfrentan un mayor riesgo de filtración o uso indebido.

IA en la sombra y exposición de datos sin control

Impulsados por el deseo de ser más eficientes, los empleados pueden usar herramientas de IA no monitoreadas y no autorizadas, creando “IA en la sombra”. En el proceso, puede que sin darse cuenta introduzcan datos propietarios o regulados en sistemas de IA. La IA en la sombra crea puntos ciegos para tus equipos de seguridad. 

DSPM para IA cierra estas brechas al extender el descubrimiento y la supervisión a los flujos de trabajo de IA.

Presión regulatoria y brechas de cumplimiento

Para abordar adecuadamente el riesgo de la IA, los reguladores están creando nuevas reglas sobre privacidad y seguridad de datos. Muchas organizaciones batallan para mantenerse al día, especialmente cuando sus estrategias de DSPM se diseñaron solo para entornos de datos tradicionales.

DSPM para IA salva esta brecha al mapear los requisitos de cumplimiento directamente a los flujos de trabajo de IA, ayudando a las organizaciones a adherirse a marcos como el EU AI Act, NIST AI Risk Management Framework, GDPR y HIPAA.

Riesgos de los datos de entrenamiento de modelos de IA

Los datos utilizados para entrenar modelos de IA son un objetivo de alto valor para los ciberdelincuentes y una fuente importante de riesgo interno. Si la información de identificación personal (PII) o los datos confidenciales de la empresa se incluyen en los conjuntos de entrenamiento, puede provocar incumplimientos normativos, daños a la reputación e incluso ataques de envenenamiento de modelos.

DPSM para IA reduce estos riesgos al escanear conjuntos de datos de entrenamiento, clasificar información sensible y aplicar medidas de control antes de que los datos se incorporen a los modelos de IA.

Capacidades esenciales de DSPM para las organizaciones que trabajan con IA

Al configurar un DSPM para una estrategia de IA, ciertas capacidades son innegociables. Estas incluyen:

Descubrimiento y clasificación de datos con conocimiento de IA

A diferencia de las herramientas de descubrimiento tradicionales que escanean bases de datos estructuradas, el DSPM para IA necesita comprender los datos únicos utilizados en el entrenamiento y la inferencia.

Esto significa que debería:

• Identifica información sensible en conjuntos de datos estructurados, semiestructurados y no estructurados.
• Clasifica los datos con etiquetas contextuales como propietario, propósito, impacto regulatorio, y sensibilidad.
• Detecta combinaciones de conjuntos de datos aparentemente inofensivos que podrían crear problemas de cumplimiento cuando se fusionan.
• Logra alta precisión para minimizar falsos positivos y reducir el ruido para los equipos de seguridad.

Monitoreo de Interacciones de IA en Tiempo Real

Los sistemas de IA procesan los datos de manera diferente a las aplicaciones tradicionales. Sin visibilidad de las entradas y salidas, los datos sensibles pueden quedar expuestos a través de las indicaciones o las respuestas. 

Un DSPM eficaz para IA debería:

• Supervisa en tiempo real las consultas de los usuarios y los resultados generados por la IA.
• Detecta cuando se esté ingresando información regulada o sensible en los avisos.
• Señala los intentos de extraer datos confidenciales de los modelos (p. ej., inyección de prompts).

Aplicación automatizada de políticas para cargas de trabajo de IA

La supervisión manual no es suficiente a gran escala. DSPM para IA debe aplicar automáticamente reglas que se alineen con las políticas de gobernanza:

• Define qué datos se pueden o no se pueden usar para entrenamiento e inferencia.
• Integra con los controles existentes, como DLP, IAM y SIEM, para extender la seguridad en toda la pila.
• Aplica el acceso de mínimo privilegio a los conjuntos de datos y a los entornos de IA.

Mapeo y reportes de cumplimiento

Los auditores y los reguladores exigirán cada vez más pruebas del uso seguro de la IA.

DSPM para herramientas de IA debe ser capaz de:

• Genera historiales de auditoría que vinculen los conjuntos de datos con los modelos que entrenan.
• Muestra los controles implementados para evitar el acceso no autorizado o el uso indebido.
• Genera informes de cumplimiento alineados con GDPR, CCPA, HIPAA, PCI DSS, SOC 2, NIST AI RMF y las regulaciones emergentes de IA.

Microsoft Purview DSPM para IA: Capacidades y limitaciones

Microsoft Purview ha ampliado sus funciones de DSPM al ámbito de la IA, lo que lo convierte en una opción natural para los equipos que ya utilizan Microsoft 365 y Azure.

Fortalezas de la integración nativa con Microsoft 365

Fortalezas clave incluyen:

• Ofrece visibilidad de las actividades de IA, especialmente para Microsoft 365 Copilot, agentes y otras herramientas internas de IA.
• Ofrece políticas listas para usar, que permiten a los administradores activar protecciones rápidamente sin tener que construir todo desde cero.
• Ideal para flujos de trabajo centrados en Microsoft, ya que funciona con Microsoft Security Copilot, Information Protection, Insider Risk Management, DLP, etc.

Brechas de cobertura y limitaciones empresariales

Purview hace muchas cosas bien, pero hay limitaciones y brechas que debes considerar:

• Pureview tiene visibilidad limitada fuera del ecosistema de Microsoft, lo que significa que podrían necesitarse integraciones adicionales para una cobertura extra.
• Puede tener dificultades con tipos de archivos diversos, contenido multimedia o sistemas de almacenamiento que no estén totalmente conectados a sus herramientas de escaneo, lo que hace que la clasificación sea menos precisa.

Riesgos y monitoreo de plataformas de IA de terceros

Una estrategia completa de DSPM para IA debe ir más allá de los sistemas internos. Tiene que considerar cómo los empleados y las unidades de negocio interactúan con plataformas de IA externas, a menudo sin la aprobación de TI o de seguridad. Estos servicios de terceros introducen riesgos serios si no se supervisan ni se gobiernan.

Seguimiento de uso de ChatGPT Enterprise y de consumidores

La línea entre la vida personal y profesional de un usuario se difumina cuando se trata de herramientas como ChatGPT. Incluso cuando los empleados tienen acceso a ChatGPT Enterprise, pueden ingresar sin darse cuenta información sensible de la empresa en su cuenta personal.

Para abordar este riesgo, una estrategia de DSPM para IA debe:

• Detecta cuando se ingresan datos sensibles en los prompts, incluso con una cuenta empresarial.
• Supervisa las respuestas para identificar cuándo las salidas podrían contener información excesiva o propietaria.
• Aplicar controles automatizados cuando se detecte un comportamiento inseguro.

Google Bard, Claude y plataformas de IA emergentes

Más allá de los LLMs bien conocidos, muchas empresas están adoptando aplicaciones de IA más pequeñas y específicas para la industria.

Extender DSPM a estas plataformas significa:

• Buscando conexiones y tráfico de API vinculados a servicios de IA no autorizados.
• Marcar flujos de datos inusuales que sugieran que se está enviando información sensible al exterior.
• Aplicar políticas coherentes en todas las plataformas, no solo en las “más conocidas”.
• Brindar a TI y seguridad visibilidad sobre quién está experimentando con nuevas herramientas y qué datos están manejando.

Aplicaciones de IA específicas de la industria

En muchos casos, los datos de mayor riesgo no están pasando por chatbots de propósito general, sino por aplicaciones de IA específicas por sector, como:

• IA de salud que analiza los historiales clínicos de los pacientes.
• IA financiera que ejecuta modelos de evaluación de crédito o detección de fraude.
• IA industrial que procesa datos de sensores IoT de infraestructura crítica.

Una estrategia integral de DSPM para IA debe extenderse a estos entornos especializados mapeando las canalizaciones de datos a través de modelos específicos de la industria y aplicando barandillas con base en marcos de compliance específicos del sector.

Conclusión

Las iniciativas de IA empresariales solo pueden tener éxito si se construyen sobre una base de seguridad y confianza. Sin las protecciones adecuadas, los datos sensibles pueden exponerse, las obligaciones de cumplimiento pasar desapercibidas y los modelos quedar vulnerables a un uso indebido.

DSPM para IA aborda estos desafíos al brindar a las organizaciones la visibilidad y la gobernanza necesarias para gestionar los riesgos de datos de manera eficaz. Al convertir DSPM en una parte central de la estrategia de IA empresarial, las empresas pueden acelerar la adopción mientras garantizan que la innovación se mantenga segura, conforme y sostenible.

Preguntas frecuentes 

¿Qué es DSPM para IA?

DSPM para IA consiste en tomar los principios de DSPM, como el descubrimiento de datos, la clasificación y el monitoreo de cumplimiento, y aplicarlos a los sistemas de IA. Esto implica:

• Rastrear cómo fluye la información sensible a través de los entornos de entrenamiento, inferencia y almacenamiento.
• Detectar proyectos de IA en la sombra que podrían operar fuera de la gobernanza oficial.
• Aplicar el acceso de privilegios mínimos para desarrolladores, científicos de datos y operadores de IA.

¿En qué se diferencia el DSPM para IA del DSPM regular?

El DSPM tradicional se centra en los datos en reposo, monitorea los activos de datos generales para detectar brechas de seguridad y garantiza el cumplimiento. El DSPM para IA se basa en esto para abordar desafíos específicos de la IA al:

• Gestión de conjuntos de datos usados en el entrenamiento e inferencia de IA, que pueden ser grandes, no estructurados o sensibles.
• Supervisión del uso, el acceso y el posible uso indebido de modelos de IA.
• Proporcionar una evaluación continua de los flujos de trabajo de IA en lugar de solo activos de datos estáticos.

¿Es Microsoft Purview DSPM para IA suficiente para las necesidades empresariales?

La respuesta corta es: depende. El DSPM para IA de Purview ofrece capacidades sólidas, especialmente en entornos con fuerte presencia de Microsoft. Sin embargo, para empresas con necesidades de IA complejas, multinube o híbridas, puede que no cubra todo desde el primer momento.