ChatGPT, Bard, MidJourney…, a menos que haya vivido en una especie de apagón informativo durante el último año, estos nombres le resultarán muy familiares. De hecho, casi todos los negocios, profesiones y perfiles profesionales han pasado gran parte de 2023 especulando sobre cómo podrían aprovechar estas herramientas de IA generativa (GenAI).

Pero más allá del ruido mediático, ¿cómo han reaccionado las empresas a la creciente popularidad de GenAI y han sido capaces de conciliar las amenazas con los beneficios que ofrece?

Para profundizar en el tema, Zscaler ha realizado recientemente el estudio “All Eyes on Securing GenAI” con la colaboración de más de 900 responsables de TI procedentes de 10 países. El objetivo era establecer cuántas organizaciones utilizan herramientas de GenAI, cómo supervisan su uso los departamentos de TI y si han realizado la correspondiente adecuación de sus modelos de seguridad.

La rápida aceptación e integración de la GenAI

La inversión corporativa en soluciones GenAI avanza a buen ritmo en todo el mundo. IDC pronostica que entre 2023 y 2027 la inversión ascenderá a 127.000 millones de dólares, y las conclusiones a las que hemos llegado en nuestro estudio corroboran esta previsión, ya que ponen de manifiesto una fuerte adopción de las herramientas GenAI por parte de las empresas en todos los países,

Casi todos los responsables de TI entrevistados (95 %) afirman que sus organizaciones ya utilizan herramientas GenAI de alguna manera. Casi 4 de cada 5 (78 %) las emplean para el análisis de datos, su principal uso empresarial. Aproximadamente la mitad recurre a la GenAI para el desarrollo de servicios de I+D (55 %) y marketing (53 %), mientras que algo más de 2 de cada 5 han recurrido a estas herramientas para agilizar las operaciones del usuario final (44 %) y la logística (41 %).

Mantenerse a la vanguardia de la tecnología es necesario para seguir siendo competitivo en el mundo digital actual, pero un equilibrio es fundamental, y esto no olvidarse de la seguridad. La pregunta es: ¿se están precipitando demasiado pronto las organizaciones en la utilización de la GenAI en sus esfuerzos por mantenerse al día, o es su adopción precoz un riesgo calculado?

A pesar de tales cifras de utilización, un significativo 89% de los responsables de TI encuestados admite que su organización reconoce que las herramientas de GenAI son un posible riesgo para la seguridad, y casi la mitad (48 %) está de acuerdo en que la amenaza puede ser superior a las oportunidades que estas herramientas podrían llegar a ofrecer.

Esto nos lleva a una preocupante fractura entre teoría y práctica, teniendo en cuenta que apenas el 5 % afirma que su organización está frenando su utilización para ver hasta dónde llega la tecnología, o la ha bloqueado por completo. La adopción temprana de GenAI parece ser un riesgo menos controlado de lo que nos gustaría creer.

Preocupación frente al su uso de GenAI: la gran brecha

Las principales preocupaciones expresadas por las organizaciones que no utilizan GenAI son la posible pérdida de datos confidenciales, la falta de recursos para supervisar su uso y la falta de conocimientos sobre sus peligros y ventajas. Teniendo en cuenta que el 23% de las organizaciones que ya utilizan herramientas GenAI no las supervisan en absoluto, resulta evidente por qué la falta de recursos para controlar su uso se ha mencionado como una amenaza.

A la hora de implementar una nueva tecnología, es fundamental comprender los retos de seguridad específicos que plantea para que no empañen su potencial utilidad. No poner en marcha ninguna medida de seguridad adicional relacionada con GenAI, algo que un tercio de las organizaciones que la utilizan reconocen no hacer, es un paso increíblemente arriesgado que podría dejar expuestas a las organizaciones.

Y aunque el 31 % de ese mismo grupo reconoce que la seguridad debe ser una prioridad y ha incorporado soluciones específicas de GenAI a su hoja de ruta, sus buenas intenciones no responden a la realidad. Y como se suele decir, lo provisional tiende a convertirse en permanente.

Lento(s) pero constante(s)

Cuando analizamos quién estaba detrás de la adopción temprana de la GenAI, los resultados fueron sorprendentes. Curiosamente, el 59 % de los responsables de TI afirmaron que eran ellos quienes la impulsaban, mientras que solo el 21 % respondía a las solicitudes de los directivos de las empresas e incluso había menos interés por parte de los empleados en general (5 %). La situación, al parecer, tiene menos que ver con la “presión” para introducir nuevas tecnologías y más con el “deseo” de los equipos de TI de seguir el ritmo de la innovación digital.

El hecho de que sean los equipos de TI los que estén impulsando esa adopción temprana debería tranquilizar tanto a los responsables de TI como a los de las empresas. Significa que hay margen todavía para moderar estratégicamente la adopción de la GenAI, dando a los departamentos de TI tiempo suficiente, una ventana de oportunidad, para establecer un firme control de sus medidas de seguridad antes de que las situaciones de vulnerabilidad se conviertan en crisis. Pero con el 51 % de los encuestados esperando que el interés en el uso de herramientas GenAI aumente significativamente de aquí a finales de año, la ventana está reduciéndose con rapidez.

Una prohibición total de su uso no es la solución, ya que situaría a las empresas en una desventaja competitiva considerable. La mejor solución es una puesta en práctica un poco más lenta, estratégica y sistemática. Otro viejo refrán, “vísteme despacio, que tengo prisa”, es muy acertado en este caso.

GenAI: de amenaza a oportunidad

Las directrices sobre la gobernanza de GenAI son importantes porque cómo, dónde y por qué se utiliza la herramienta dependerá de cada organización. Si aún no ha definido las pautas de gestión o necesita reforzarlas, una buena forma de hacerlo es reuniendo a un grupo de expertos multifuncionales de la organización (no solo de TI) para formar un “Tiger Team”. Este grupo puede establecer normas sobre las evaluaciones de riesgos de seguridad y privacidad necesarias para los nuevos despliegues de GenAI, tomar decisiones sobre la implantación de soluciones y encargarse de resolver las posibles carencias de conocimientos sobre la tecnología.

En última instancia, la gobernanza de la GenAI es una cuestión de protección de datos, lo que hace que un primer paso vital sea su clasificación: en la actualidad, solo el 46 % de los encuestados confía en que todos sus datos estén clasificados. Los datos correctamente clasificados por categoría y nivel de confidencialidad son más fáciles de proteger, lo que permite al departamento de TI autorizar, de forma segura, qué personas, aplicaciones y dispositivos pueden acceder a ellos. Este enfoque de confianza cero será imprescindible para garantizar el uso de la GenAI.

Actualmente ya existen soluciones que permiten a los equipos de TI llevar un registro completo del uso de las herramientas, así como crear y aplicar políticas sobre los sitios GenAI que los empleados pueden visitar y cómo interactúan. Mientras tanto, productos integrados como Zscaler Data Loss Protection implementan la modalidad de confianza cero, protegiendo tres vías principales de pérdida o fuga de datos: aplicaciones no autorizadas, aplicaciones autorizadas y dispositivos.

Siempre que aparece una nueva tecnología, surgen casos de uso positivos y negativos. Pero con las adecuadas medidas de seguridad, las organizaciones pueden aprovechar el potencial de la GenAI de forma segura y responsable, haciendo que su uso deje de ser una amenaza para convertirse en una oportunidad.