Minimizando el radio de explosión en el mundo inexplorado de la seguridad de datos de IA.
Ya lo has oído antes. No hay ningún aspecto de tu negocio que no involucre datos de alguna manera. Ya seas el CISO de una gran ciudad del noreste responsable de proporcionar infraestructura crítica a sus ciudadanos, el minorista más grande del mundo que intenta triunfar en un mercado de comercio electrónico saturado, o una empresa de atención médica que busca una cura para el Alzheimer. Los datos son la esencia de todo.
Recordé esto al hablar con el CISO de una gran empresa de entretenimiento que desarrolla contenido en streaming para sus clientes y compite con compañías como Netflix. Me comentó que si pudiera determinar el porcentaje de su empresa que depende de los datos, el valor que obtendría sería incalculable.
Lo que realmente quería decir era: dime qué datos son los que más me importan y centraré mis esfuerzos de seguridad ahí, en lugar de intentar sobreprotegerlo todo y arriesgarme a frustrar a mis empleados. Al fin y al cabo, los datos son donde se produce el mayor daño. Sin embargo, a pesar de ser el mayor riesgo para la empresa, la mayoría de los equipos de seguridad dedican una cantidad desproporcionada de tiempo a las herramientas de seguridad auxiliares: seguridad de endpoints, controles de acceso en línea como Security Service Edge, en lugar de conocer y proteger los datos. De hecho, más del 60 % de las organizaciones sienten que carecen de la seguridad adecuada. visibilidad de los datos dentro de su entorno.
Esto sería como concentrar todos los esfuerzos de seguridad en el camión blindado, los cajeros automáticos del banco (los puntos finales) y la ruta que siguen esos camiones, pero sin proteger la bóveda del banco en sí. Sí, habrá algo de efectivo en los camiones mientras se desplazan entre las distintas sucursales o tiendas, sí, habrá algunos dólares en el cajero automático del banco, y sí, siempre es bueno asegurarse de que la ruta sea rápida y segura, pero la bóveda es donde se encuentran las verdaderas joyas de la corona.
A medida que la IA se generaliza en el entorno laboral, plantea un desafío sin precedentes para la protección de datos. La IA, que podría ser la clave de la mayor productividad de la empresa y un tema recurrente en los consejos de administración, también representa una amenaza para la compañía debido a la falta de mecanismos de control para su regulación.
Resolver este desafío requiere una mentalidad diferente. Muchos líderes de seguridad con los que hablo tienden a centrar la conversación sobre IA en garantizar que los datos confidenciales no se filtren, y vuelven a hacer preguntas sobre tecnologías como DLP (Todos sabemos lo que la gente piensa sobre DLP). Sí, proteger los datos robados es fundamental, pero DLP para IA sigue siendo solo una extensión natural de cómo siempre se han hecho las cosas, y eso no es suficiente en la era de la IA.
Un desafío adicional, y potencialmente mayor, es proteger el modelo de lógica de negocio (LLM) personalizado que su equipo está creando, evitando que se le introduzcan datos erróneos, ya sea de forma maliciosa o accidental. Imagine una empresa del sector sanitario cuyo LLM, diseñado para el fármaco más reciente contra el Alzheimer, empieza a introducir datos incorrectos. O que utiliza accidentalmente información personal identificable (PII) o datos de clientes de entornos de producción, poniendo a prueba los límites del cumplimiento normativo en IA. Esto también forma parte de la nueva frontera de la seguridad en IA, y explica por qué los enfoques tradicionales resultan ineficaces.
¿Por dónde empezar? El principal problema que observo es que la mayoría de los responsables de seguridad simplemente desconocen sus datos. Con el tiempo, han adoptado soluciones de descubrimiento de datos aisladas que varían en sus capacidades para datos estructurados, no estructurados y semiestructurados. Estas soluciones fueron diseñadas para entornos locales y, a menudo, ofrecen pocas funcionalidades de SaaS, nube pública o PaaS. Esta combinación perjudicial ha dificultado la identificación de los datos más valiosos que realmente albergan.
Dado que desconocen sus datos, no saben quién tiene acceso a ellos ni cómo se utilizan. Por lo tanto, resulta difícil establecer la conexión entre los usuarios (individuos, grupos de usuarios o entidades no humanas) y cuáles de ellos tienen acceso a los copilotos de IA o qué datos se introducen en el modelo de aprendizaje automático de IA. El impacto de la IA es una realidad innegable.
Pero no todo son malas noticias. Lo que las organizaciones deberían hacer es tomarse un respiro, comprender sus datos y luego implementar su solución Copilot. Esto les facilitará las cosas a largo plazo. ¿Por qué digo esto? La mayoría de los equipos de seguridad no comprenden cómo funcionan los Copilots con respecto a las reglas de acceso predeterminadas. Herramientas como Microsoft CoPilot, Google Gemini, Amazon Sagemaker y Salesforce Einstein son solo algunos ejemplos de lo que se convertirá en un Copilot para cada aplicación. Pero, como muchas de las grandes innovaciones del mundo, no se diseñaron teniendo en cuenta la seguridad.
Así es como funcionan todos:
- Los empleados con acceso a Copilot activan el programa LLM.
- Ese LLM tiene acceso a los mismos datos que los empleados. Estas herramientas están diseñadas para ser abiertas, no para un modelo de confianza cero. Debes deshabilitar el acceso.
- Si aún no se han implementado los controles de acceso adecuados, acaba de sufrir su primera brecha de seguridad en el ámbito de la IA.
Es así de rápido y sencillo.
Minimizar el radio de explosión: una guía de cinco pasos.
Paso 1
Para protegerse contra esto, necesita una solución que le permita descubrir y clasificar sus datos. Estas capacidades se encuentran en los servicios de gestión de la postura de seguridad de datos (DSPM). Si el proveedor ofrece una forma eficaz de utilizar IA para clasificar sus datos, mucho mejor, ya que no tendrá que depender únicamente de la clasificación basada en expresiones regulares y podrá clasificar los datos con precisión incluso a nivel de archivo u objeto. Una vez clasificados, podrá determinar la sensibilidad de los datos en su repositorio digital. Recuerde que no todo en su repositorio tiene el mismo valor (piense en el ejemplo del cliente mencionado anteriormente).
Paso 2
Luego, debes combinar la información obtenida del descubrimiento con la información sobre la identidad. Suelo referirme a este concepto como acceso a datos de confianza cero (ZTDA). ¡Quizás he pasado demasiado tiempo en el ámbito de la seguridad y ahora invento mis propios acrónimos! En cualquier caso, la idea es determinar quién tiene acceso a tus datos confidenciales y, de ellos, quién tiene acceso a tu copiloto de IA, y determinar si esto tiene sentido en función de la confidencialidad de los datos. Esto, a su vez, determina el siguiente paso.
Paso 3
Ajusta los permisos de acceso dentro de tus herramientas de IA: ¡esto te proporcionará una base mucho más sólida en materia de seguridad de la IA!
Consejo profesional: Piénsalo. Tu capacidad para mejorar la visibilidad de los datos existentes y su sensibilidad te permitió concentrarte y priorizar, y minimizar el radio de explosión potencial de una brecha de IA.
Paso 4
Depura tus datos. Mejora la higiene de tus datos. identificar y eliminar datos innecesarios Esto ayuda a reducir aún más el radio de impacto. Si esa base de datos quedó abandonada en un almacén de datos local tras una migración a la nube, elimínela. Si tiene varias copias de seguridad de los mismos datos, elimine algunas. Menos datos equivalen a una menor superficie de ataque. Además, esto significa menos costes (el responsable de infraestructura y el director financiero de su empresa se lo agradecerán).
Paso 5
Realice el monitoreo, la detección y la respuesta de su entorno de datos para una vigilancia continua sobre sus datos.
En definitiva, los responsables de seguridad deberían ver la IA con buenos ojos. Al fin y al cabo, cada CISO tiene la oportunidad de facilitar la adopción de la IA en sus empresas, pero de una forma que también les permita proteger los datos almacenados en su bóveda multi-nube.
Como en cualquier trabajo, tener las herramientas adecuadas y un plan bien definido te facilitará la vida. Te servirá para ese proyecto de mejoras en el hogar que has estado posponiendo y también te ayudará a minimizar el impacto de la IA.
Todo comienza por descubrir qué datos existen dentro de sus bóvedas. Si su empresa necesita un copiloto de IA, debería contactar con un proveedor de seguridad de datos. Nosotros, aquí en Cyera Estaría encantado de ayudar.


