Editor Top
El uso creciente de inteligencia artificial en el lugar de trabajo está impulsando un rápido aumento en el consumo de datos, lo que pone a prueba la capacidad corporativa para proteger datos confidenciales.
Un informe publicado en mayo por la empresa de seguridad de datos Refugio cibernéticoEl estudio, titulado “The Cubicle Culprits”, arroja luz sobre las tendencias de adopción de IA y su correlación con un mayor riesgo. El análisis de Cyberhaven se basó en un conjunto de datos de patrones de uso de tres millones de trabajadores para evaluar la adopción de IA y sus implicaciones en el entorno corporativo.
El rápido crecimiento de la IA imita cambios transformadores anteriores, como Internet y la computación en la nube. Así como los primeros en adoptar la nube se enfrentaron a nuevos desafíos, las empresas de hoy deben lidiar con las complejidades que introduce la adopción generalizada de la IA, según el director ejecutivo de Cyberhaven, Howard Ting.
“Nuestra investigación sobre el uso de la IA y sus riesgos no solo destaca el impacto de estas tecnologías, sino que también subraya los riesgos emergentes que podrían ser similares a los que se encontraron durante importantes cambios tecnológicos en el pasado”, dijo a TechNewsWorld.
Los hallazgos alertan sobre posibles abusos de la IA
El informe Cubicle Culprits revela la rápida aceleración de la adopción de IA en el lugar de trabajo y su uso por parte de los usuarios finales, que supera al de la TI corporativa. Esta tendencia, a su vez, alimenta las cuentas de riesgo de “IA en la sombra”, que incluyen más tipos de datos confidenciales de la empresa.
Los productos de tres gigantes tecnológicos de IA (OpenAI, Google y Microsoft) dominan el uso de la IA. Sus productos representan el 96 % del uso de la IA en el trabajo.
Según la investigación, los trabajadores de todo el mundo ingresaron datos corporativos confidenciales en herramientas de IA, lo que aumentó en un alarmante 485% entre marzo de 2023 y marzo de 2024. Todavía estamos en las primeras etapas de la curva de adopción. Solo el 4,7% de los empleados de las empresas financieras, el 2,8% de las farmacéuticas y las ciencias biológicas y el 0,6% de las empresas manufactureras utilizan herramientas de IA.
“Un 73,8 % del uso de ChatGPT en el trabajo se produce a través de cuentas no corporativas. A diferencia de las versiones empresariales, estas cuentas incorporan datos compartidos en modelos públicos, lo que supone un riesgo considerable para la seguridad de los datos confidenciales”, advirtió Ting.
“Una parte sustancial de los datos corporativos confidenciales se envía a cuentas no corporativas. Esto incluye aproximadamente la mitad del código fuente [50.8%]materiales de investigación y desarrollo [55.3%]y registros de RR.HH. y empleados. [49.0%],» él dijo.
Los datos compartidos a través de estas cuentas no corporativas se incorporan a los modelos públicos. El porcentaje de uso de cuentas no corporativas es incluso mayor en el caso de Gemini (94,4 %) y Bard (95,9 %).
Los datos de la IA se están desangrando sin control
Esta tendencia indica una vulnerabilidad crítica. Ting dijo que las cuentas no corporativas carecen de medidas de seguridad sólidas para proteger esos datos.
Las tasas de adopción de la IA están llegando rápidamente a nuevos departamentos y casos de uso que involucran datos confidenciales. Alrededor del 27 % de los datos que los empleados ingresan en las herramientas de IA son confidenciales, en comparación con el 10,7 % de hace un año.
Por ejemplo, el 82,8% de los documentos legales que los empleados introdujeron en herramientas de IA fueron a cuentas no corporativas, lo que potencialmente expuso la información públicamente.
Ting advirtió que incluir material patentado en el contenido generado por herramientas de IA plantea riesgos cada vez mayores. Las inserciones de código fuente generadas por IA fuera de las herramientas de codificación pueden generar el riesgo de vulnerabilidades.
Algunas empresas no tienen ni idea de cómo detener el flujo de datos confidenciales y no autorizados que se exportan a herramientas de inteligencia artificial que están fuera del alcance de TI. Dependen de herramientas de seguridad de datos existentes que solo escanean el contenido de los datos para identificar su tipo.
“Lo que faltaba era el contexto de dónde provenían los datos, quién interactuaba con ellos y dónde se almacenaban. Pensemos en el ejemplo de un empleado que pega un código en una cuenta personal de inteligencia artificial para ayudar a depurarlo”, sugirió Ting. “¿Es el código fuente de un repositorio? ¿Son datos de clientes de una aplicación SaaS?”
Es posible controlar el flujo de datos
Educar a los trabajadores sobre el problema de la fuga de datos es una parte viable de la solución si se hace correctamente, aseguró Ting. La mayoría de las empresas han implementado capacitaciones periódicas de concienciación sobre seguridad.
“Sin embargo, los videos que los trabajadores tienen que ver dos veces al año se olvidan rápidamente. La educación que mejor funciona es corregir el mal comportamiento de inmediato”, sugirió.
Cyberhaven descubrió que cuando los trabajadores reciben un mensaje emergente que los orienta durante actividades riesgosas, como pegar el código fuente en una cuenta personal de ChatGPT, el mal comportamiento continuo disminuye en un 90%”, dijo Ting.
La tecnología de su empresa, Data Detection and Response (DDR), comprende cómo se mueven los datos y utiliza ese contexto para proteger los datos confidenciales. La tecnología también comprende la diferencia entre una cuenta corporativa y una personal para ChatGPT.
Esta capacidad permite a las empresas aplicar una política que impide que los empleados peguen datos confidenciales en cuentas personales y, al mismo tiempo, permite que dichos datos fluyan a cuentas empresariales.
Un giro sorprendente en ¿Quién tiene la culpa?
Cyberhaven analizó la prevalencia de riesgos internos en función de los acuerdos laborales, incluidos los de trabajo remoto, presencial e híbrido. Los investigadores descubrieron que la ubicación de un trabajador afecta la difusión de datos cuando ocurre un incidente de seguridad.
“Nuestra investigación descubrió un giro sorprendente en la historia. Los empleados de oficina, tradicionalmente considerados la apuesta más segura, ahora lideran la fuga de datos corporativos”, reveló.
Contrariamente a lo que se podría pensar, los trabajadores que trabajan en una oficina tienen un 77 % más de probabilidades de exfiltrar datos confidenciales que sus contrapartes remotas. Sin embargo, cuando los trabajadores que trabajan en una oficina inician sesión desde fuera de la oficina, tienen un 510 % más de probabilidades de exfiltrar datos que cuando están en la oficina, lo que hace que este sea el momento más riesgoso para los datos corporativos, según Ting.
GIPHY App Key not set. Please check settings