En apenas dos años, la inteligencia artificial generativa ha pasado de ser una tecnología emergente a convertirse en una herramienta presente en todas las áreas de la empresa. Ya sea en el departamento comercial, el financiero, recursos humanos o atención al cliente, está transformando la manera en que se analiza la información, se generan respuestas y se automatizan tareas.
Los beneficios para la innovación y la productividad son evidentes. Sin embargo, hay una cara menos visible que muchas organizaciones todavía no están abordando con la suficiente profundidad: el incremento de los riesgos de seguridad.
Cuanto más valor aporta la IA, mayor es la necesidad de proteger la información de la que se nutre. Por ello, más allá del debate sobre su adopción, conviene preguntarse si las organizaciones están realmente preparadas para utilizarla de forma segura y evitar fugas de datos. En este contexto, Herain Oberoi, Vice President, Data and AI Security de Microsoft, lo resume con claridad: “La IA generativa y los sistemas agentes están redefiniendo cómo las organizaciones innovan y operan. Sin embargo, estas capacidades también introducen nuevas dimensiones de riesgo sobre los datos, y a medida que crece su adopción, aumenta la urgencia de reforzar la seguridad”.
Esto es algo que, sin duda, genera inquietud en el ámbito empresarial. Según el estudio ‘First Annual Generative AI Study: Business Rewards vs. Security Risks’, elaborado por ISMG, más del 80% de los líderes mencionan la fuga de datos confidenciales como su principal preocupación en torno a la adopción de la IA generativa.
Más del 80% de los líderes mencionan la fuga de datos confidenciales como su principal preocupación en torno a la adopción de la IA generativa
A menudo, la exposición de información sensible no es consecuencia de un ciberataque mediante el cual alguien roba los datos desde fuera. También puede ocurrir cuando un empleado comparte datos estratégicos con una herramienta de IA generativa, cuando un asistente inteligente accede a documentación interna o cuando una empresa desconoce qué información está circulando realmente por sus sistemas.
La adopción de la IA ha ampliado la superficie de exposición de los datos. Puesto que cada vez más personas, aplicaciones y asistentes tienen acceso a ellos, se hace más difícil supervisar quién los maneja y con qué objetivo.
Por ello, el verdadero riesgo está en que la organización pierda el control sobre cómo se comparten, se utilizan y se accede internamente a sus datos. Este es el principal activo que debe protegerse, porque los datos son el pilar sobre el que se sustenta la IA y, en gran medida, el factor que determina el valor que esta tecnología es capaz de generar.
Obviamente, no todos los datos son igual de relevantes para la compañía, y el nivel de protección que requieren dependerá de si se trata de información confidencial, estrategias comerciales o datos de clientes, entre otros.
Las empresas, que tradicionalmente han centrado sus medidas de ciberseguridad en proteger sus infraestructuras, redes, dispositivos y aplicaciones, ahora, en la era de la IA generativa, necesitan poner el foco en los datos.
Deben comprender dónde se encuentran y qué uso se hace de ellos. Para ello, deberían plantearse varias preguntas: ¿Quién está utilizando IA generativa? ¿Qué herramientas están empleando? ¿Qué datos se están compartiendo? ¿Qué información sensible está llegando a estos sistemas?
Una vez aclaradas estas cuestiones sobre los datos, se puede pensar en los mecanismos necesarios para gestionarlos y protegerlos. Y la estrategia debe ser preventiva, porque la irrupción de la IA generativa, donde la información circula de forma rápida, masiva y multidireccional, hace que los enfoques reactivos resulten insuficientes.
Resulta fundamental identificar los datos más sensibles, clasificarlos según su relevancia y establecer medidas adecuadas de protección, siempre teniendo en cuenta su nivel de sensibilidad y riesgo. Una protección efectiva no pasa por restringir indiscriminadamente el acceso a la información, sino que requiere aplicar reglas que permitan controlar quién llega a ella, desde qué dispositivos, con qué finalidad y en qué condiciones. Solo así se logrará un equilibrio entre la productividad y la innovación, por un lado, y la seguridad, por otro.
Una protección efectiva no pasa por restringir indiscriminadamente el acceso a la información, sino que requiere aplicar reglas que permitan controlar quién llega a ella
Por último, conviene subrayar que la seguridad no consiste en aplicar una medida puntual ni en simplemente responder a los incidentes cuando se producen. El dato debe estar seguro durante todo su ciclo de vida, desde su creación y almacenamiento hasta su uso, compartición o eliminación. Y eso se consigue estableciendo políticas de gobernanza claras sobre qué información puede usarse, por parte de quién y qué controles deben aplicarse en los distintos escenarios de uso de la IA.
Hoy en día, la ciberseguridad ya no se puede limitar a impedir accesos no autorizados. En la era de la IA generativa, se ha de seguir protegiendo el perímetro tradicional de la organización, pero hay que ir un paso más allá y asegurar también los datos. Además de determinar quién puede acceder a los datos, la organización debe mantener un estrecho control sobre ellos, porque ahora se mueven en un entorno cada vez más automatizado, conectado e impulsado por IA.
Esa capacidad para gobernar la información será la que marque la diferencia entre las empresas que aprovechen todo el potencial de la IA y aquellas que la perciban como una fuente adicional de riesgo y, por tanto, acaben limitando su potencial por no haber sido capaces de mantener el control sobre sus datos.
