GenAI: Un Nuevo Dolor de Cabeza para los Equipos de Seguridad de SaaS

Luis Quiles

abril 17, 2024

Seguridad SaaS, Inteligencia artificial

La introducción de ChatGPT de OpenAI fue un momento definitorio para la industria del software, desencadenando una carrera de GenAI con su lanzamiento en noviembre de 2022. Ahora, los proveedores de SaaS se están apresurando a actualizar herramientas con capacidades mejoradas de productividad impulsadas por la inteligencia artificial generativa.

Entre una amplia gama de usos, las herramientas de GenAI facilitan a los desarrolladores la construcción de software, ayudan a los equipos de ventas en la escritura de correos electrónicos mundanos, ayudan a los especialistas en marketing a producir contenido único a bajo costo y permiten a los equipos y creativos generar nuevas ideas.

Los recientes lanzamientos significativos de productos de GenAI incluyen Microsoft 365 Copilot, GitHub Copilot y Salesforce Einstein GPT. Es importante destacar que estas herramientas de GenAI de los principales proveedores de SaaS son mejoras pagas, una clara señal de que ningún proveedor de SaaS querrá perder la oportunidad de aprovechar la transformación de GenAI. Google pronto lanzará su plataforma SGE «Experiencia de Búsqueda Generativa» para resúmenes generados por IA de alta calidad en lugar de una lista de sitios web.

A este ritmo, es solo cuestión de poco tiempo antes de que algún tipo de capacidad de IA se convierta en estándar en las aplicaciones de SaaS.

Sin embargo, este progreso de IA en el panorama habilitado para la nube no viene sin nuevos riesgos y desventajas para los usuarios. De hecho, la amplia adopción de aplicaciones de GenAI en el lugar de trabajo está generando rápidamente preocupaciones sobre la exposición a una nueva generación de amenazas de ciberseguridad.

Aprenda cómo mejorar su postura de seguridad de SaaS y mitigar el riesgo de IA.

Reaccionando a los riesgos de GenAI

GenAI trabaja en la capacitación de modelos que generan nuevos datos reflejando el original basado en la información que los usuarios comparten con las herramientas.

Como ChatGPT ahora está advirtiendo a los usuarios cuando inician sesión, «No compartas información sensible» y «verifica tus hechos». Cuando se le pregunta sobre los riesgos de GenAI, ChatGPT responde: «Los datos enviados a modelos de IA como ChatGPT pueden ser utilizados para el entrenamiento y mejora del modelo, exponiéndolos potencialmente a investigadores o desarrolladores que trabajan en estos modelos».

Esta exposición amplía la superficie de ataque de las organizaciones que comparten información interna en sistemas de GenAI basados en la nube. Los nuevos riesgos incluyen el peligro de fuga de propiedad intelectual, datos sensibles y confidenciales de los clientes, y PII, así como amenazas derivadas del uso de deepfakes por parte de ciberdelincuentes que utilizan información robada para estafas de phishing y robo de identidad.

Estas preocupaciones, así como los desafíos para cumplir con los requisitos de cumplimiento y gubernamentales, están desencadenando una reacción adversa a las aplicaciones de GenAI, especialmente por parte de industrias y sectores que procesan datos confidenciales y sensibles. Según un estudio reciente de Cisco, más de una de cada cuatro organizaciones ya han prohibido el uso de GenAI debido a los riesgos de privacidad y seguridad de los datos.

La industria bancaria fue una de las primeras en prohibir el uso de herramientas de GenAI en el lugar de trabajo. Los líderes de servicios financieros tienen esperanzas sobre los beneficios de utilizar inteligencia artificial para volverse más eficientes y ayudar a los empleados a hacer su trabajo, pero el 30% aún prohíbe el uso de herramientas de IA generativa dentro de su empresa, según una encuesta realizada por Arizent.

El mes pasado, el Congreso de los Estados Unidos impuso una prohibición del uso de Microsoft’s Copilot en todas las PC emitidas por el gobierno para mejorar las medidas de ciberseguridad. «La aplicación Microsoft Copilot ha sido considerada por la Oficina de Ciberseguridad como un riesgo para los usuarios debido a la amenaza de filtrar datos de la Cámara a servicios en la nube no aprobados por la Cámara», dijo la Directora Administrativa de la Cámara, Catherine Szpindor, según un informe de Axios. Esta prohibición sigue a la decisión previa del gobierno de bloquear ChatGPT.

Lidiando con la falta de supervisión

Aun a pesar de las prohibiciones reactivas de GenAI, las organizaciones sin duda están teniendo problemas para controlar eficazmente el uso de GenAI, ya que las aplicaciones penetran en el lugar de trabajo sin capacitación, supervisión o el conocimiento de los empleadores.

Según un estudio reciente de Salesforce, más de la mitad de los adoptantes de GenAI utilizan herramientas no aprobadas en el trabajo. La investigación encontró que, a pesar de los beneficios que ofrece GenAI, la falta de políticas claramente definidas sobre su uso puede estar poniendo a las empresas en riesgo.

La buena noticia es que esto podría empezar a cambiar ahora si los empleadores siguen nuevas orientaciones del gobierno de EE. UU. para fortalecer la gobernanza de la inteligencia artificial.

En una declaración emitida a principios de este mes, la Vicepresidenta Kamala Harris ordenó a todas las agencias federales designar a un Director de Inteligencia Artificial con «experiencia, conocimientos y autoridad para supervisar todas las tecnologías de inteligencia artificial… para asegurarse de que la inteligencia artificial se utilice de manera responsable».

Con el gobierno de EE. UU. liderando para fomentar el uso responsable de la inteligencia artificial y dedicar recursos para gestionar los riesgos, el siguiente paso es encontrar métodos para gestionar de forma segura las aplicaciones.

Recuperando el control de las aplicaciones de GenAI

La revolución de GenAI, cuyos riesgos permanecen en el ámbito de lo desconocido, llega en un momento en que el enfoque en la protección del perímetro se está volviendo cada vez más obsoleto.

Los actores de amenazas hoy en día están cada vez más enfocados en los eslabones más débiles dentro de las organizaciones, como las identidades humanas, las identidades no humanas y las configuraciones incorrectas en las aplicaciones de SaaS. Los actores de amenazas estatales recientemente han utilizado tácticas como los ataques de fuerza bruta y el phishing para entregar con éxito malware y ransomware, así como llevar a cabo otros ataques maliciosos en aplicaciones de SaaS.

Complicando los esfuerzos para asegurar las aplicaciones de SaaS, las líneas entre el trabajo y la vida personal ahora están borrosas cuando se trata del uso de dispositivos en el modelo de trabajo híbrido. Con las tentaciones que vienen con el poder de GenAI, será imposible evitar que los empleados utilicen la tecnología, ya sea autorizada o no.

La rápida adopción de GenAI en la fuerza laboral debería, por lo tanto, ser una llamada de atención para que las organizaciones reevalúen si tienen las herramientas de seguridad para manejar la próxima generación de amenazas de seguridad de SaaS.

Para recuperar el control y obtener visibilidad en las aplicaciones de SaaS GenAI o aplicaciones que tienen capacidades de GenAI, las organizaciones pueden recurrir a soluciones avanzadas de confianza cero como SSPM (Gestión de Postura de Seguridad de SaaS) que pueden permitir el uso de IA mientras monitorean estrictamente sus riesgos.

Obtener una vista de cada aplicación AI habilitada conectada y medir su postura de seguridad para los riesgos que podrían socavar la seguridad de SaaS permitirá a las organizaciones prevenir, detectar y responder a amenazas nuevas y en evolución.

Aprende cómo iniciar la seguridad de SaaS para la era de GenAI.

Tags :