Los líderes de datos están transitando una nueva realidad dual: están bajo presión para entregar datos para iniciativas de IA, pero necesitan asegurarse de que sus datos permanezcan seguros y fuera del alcance de los hackers. Desafortunadamente, la brecha entre la gobernanza de la IA y la supervisión está dejando potencialmente expuestos esos datos.
El Informe del costo de una filtración de datos de IBM, que analizó 600 organizaciones violadas en 17 industrias de todo el mundo, deja claro que esta filtración puede ser costosa en términos de datos robados, interrupción operativa y fuertes multas pagadas a los organismos reguladores. Las filtraciones de datos también pueden exponer a las empresas a daños reputacionales, erosión de la confianza entre los clientes y pérdida de clientes.
Para los directores de datos y otros líderes de datos, o cualquier otra persona responsable de la estrategia de datos, la gobernanza y la creación de valor, esta investigación es una llamada de atención. Con una interrupción operativa que afecta al 31 % de las organizaciones estudiadas y un 60 % que experimenta un compromiso directo de los datos debido a la cadena de suministro de IA y los ataques al modelo, los hallazgos son más que titulares. Son un proyecto técnico para los CDO.
La importancia de estos hallazgos va más allá de un problema de seguridad: presentan un desafío de liderazgo estratégico. El CDO se sitúa en la intersección entre la innovación y la gobernanza de datos, siendo responsable de garantizar el poder transformador de la IA y de garantizar que la transformación no se produzca a costa de la confianza, el cumplimiento o la resiliencia.
A continuación, se presentan cinco cosas que los CDO deben saber sobre la seguridad de los datos en la era de la IA, y tres cosas que deben hacer para que sus datos permanezcan seguros.
El informe del costo de una filtración de datos reveló que el 63 % de las organizaciones objeto de filtración estudiadas carecían de políticas de gobernanza de la IA, y solo el 37 % contaba con procesos de aprobación o mecanismos de supervisión. Si bien estos son desafíos directos para el equipo que lidera la gobernanza de la IA (generalmente, el equipo legal y de cumplimiento) y sus homólogos líderes de seguridad, los CDO deben ser conscientes del problema y, antes de que sus datos se utilicen para entrenar modelos o crear aplicaciones, preguntar sobre ellos.
Esto significa que deben ayudar a dar forma a esas políticas de gobernanza y supervisión, equilibrando la innovación con el cumplimiento y la gestión de riesgos, creando una estrategia unificada donde la gobernanza de la IA, la gobernanza de datos y la seguridad se complementen entre sí.
Una de cada cinco organizaciones estudiadas (20 %) experimentó violaciones vinculadas a IA en la sombra, herramientas de IA no sancionadas adoptadas por los empleados sin supervisión de TI ni de seguridad. Estos incidentes agregaron hasta 670 000 USD al costo promedio de violación y expusieron de manera desproporcionada la información de identificación personal (PII) del cliente y la propiedad intelectual.
Para que quede claro, la IA en la sombra no es solo un problema técnico, también es un problema cultural. Los empleados están bajo presión para adoptar herramientas de IA que faciliten sus trabajos, aumenten la productividad y obtengan insights valiosos sobre los clientes, las cadenas de suministro y las condiciones del mercado que cambian rápidamente. Pero sin orientación, los empleados pueden eludir inadvertidamente los protocolos de seguridad cargando PII del cliente o propiedad intelectual de la empresa.
Entre las organizaciones que informaron violaciones relacionadas con la IA, un asombroso 97 % dijo que carecían de controles de acceso adecuados. Si bien los CDO no gestionan esos controles, deben ser conscientes de esta posible falla y preguntar a sus homólogos líderes de seguridad e IA si estos controles existen y, de no ser así, por qué. Dado que los datos alimentan la IA, los controles de acceso débiles aumentan el riesgo de compromiso de datos sensibles.
Entre las organizaciones vulneradas estudiadas, más de la mitad (53 %) informaron PII de clientes comprometida. En las violaciones que involucran IA en la sombra, esa cifra aumentó a casi dos tercios (65 %). Aunque la propiedad intelectual se expuso con menos frecuencia, fue la que tuvo el mayor costo por registro (178 USD por registro) en violaciones relacionadas con IA en la sombra.
Si bien la realidad es que los datos pueden ser vulnerables independientemente de dónde se almacenan, el Informe del costo de una filtración de datos reveló que la mayoría de las filtraciones afectaban a datos distribuidos en múltiples entornos, como nubes públicas, nubes privadas e instalaciones locales. Estos sistemas de nube híbrida pueden ser convenientes, pero también pueden introducir complejidad e invitar al riesgo, lo que se traduce en costos. Las filtraciones de datos que involucran múltiples entornos cuestan un promedio de 5.05 millones de dólares, mientras que las filtraciones de datos on premises cuestan un promedio de 4.01 millones de dólares.
Trate los conjuntos de datos de IA como activos de alto valor, a la par de los registros financieros o de atención médica.
Proteger los datos de IA es esencial no solo para la privacidad y el cumplimiento, sino también para proteger la integridad de los datos, mantener la confianza organizacional y evitar compromisos de datos. Esto significa que los CDo deben tomar medidas activas para clasificar y proteger los datos confidenciales en entornos de nube, on premises e híbridos. Además, deben asegurarse de que toda la PII esté encriptada, tanto en reposo como en tránsito.
Este enfoque implica ir más allá de los controles superficiales e implementar sólidos fundamentos de la seguridad de datos: descubrimiento de datos y clasificación, así como protecciones de datos, como control de acceso, cifrado y gestión de claves.
También puede incluir el uso de datos y servicios de seguridad de la IA. Estas medidas no son exclusivas de la protección de la IA, pero el auge de la IA como vector de amenazas y auxiliar de seguridad significa que son más importantes que nunca.
La seguridad y la gobernanza de la IA son disciplinas complementarias. Cuando las organizaciones las mantienen en silos, aumentan el riesgo, la complejidad y el costo.
Las organizaciones deben asegurarse de que los equipos de CDO, directores de seguridad de la información (CISO) y cumplimiento colaboren regularmente. Invertir en software y procesos integrados de seguridad y gobernanza para reunir a estos actores transversales puede ayudar a las organizaciones a descubrir y gobernar automáticamente la IA en la sombra.
Es vital que los CDO desempeñen un papel fundamental en el establecimiento de pipelines de datos seguros para la IA, así como pautas claras de uso de la IA. También es imprescindible que gestionen el ciclo de vida completo de los modelos de IA con una gobernanza integrada en cada etapa.
Reconozca que los modelos y agentes de IA funcionan como identidades con privilegios de acceso.
Es importante que los CDO traten a los agentes de IA y a los humanos por igual desde una perspectiva de gobernanza de datos. Ambos requieren controles operativos para acceder a los sistemas, pero es vital que los agentes de IA solo tengan acceso a la tarea o flujo de trabajo específico para el que están diseñados.
Al adoptar un enfoque unificado y colaborativo de la seguridad y la gobernanza, los CDO desempeñan un papel crucial en el fortalecimiento de la seguridad de la identidad. Al igual que los usuarios humanos, los agentes de IA dependen cada vez más de las credenciales para acceder a los sistemas y realizar tareas. Por lo tanto, es esencial implementar controles operativos sólidos, o servicios que pueden ayudarle a hacerlo y mantener visibilidad en toda la actividad de identidad no humana (NHI, por sus siglas en inglés). Las organizaciones deben poder distinguir entre las NHI que utilizan credenciales gestionadas (almacenadas) y aquellos que utilizan credenciales no gestionadas.
El papel del CDO nunca ha sido más crítico. La IA está reescribiendo las reglas del liderazgo en datos, y quienes adopten la innovación responsable definirán la próxima era de empresas confiables y resilientes.
Como CDO, puede integrar la gobernanza en cada etapa del ciclo de vida de la IA, proteger los datos que impulsan la IA y liderar la colaboración interfuncional para proteger los activos más valiosos de la organización.
El informe del costo de una filtración de datos deja claro que el verdadero riesgo no es la IA en sí, sino la IA sin gobernanza.
La IA en la sombra, los controles de acceso deficientes y la fragmentación de responsabilidades están minando la confianza y aumentando los costos.
Si toman los pasos correctos, los CDO no solo pueden reducir el riesgo y el costo de las filtraciones, sino también fortalecer la capacidad de su organización para innovar con confianza.