Desde las empresas de techado hasta las cafeterías, las empresas están repensando la ciberseguridad en la era de la IA.
por Erica Sweeney
ChatGPT, Slack y otras herramientas de colaboración de inteligencia artificial (IA) ayudaron a Lava Roofing Maui en Hawái a conectar a sus empleados y a ser más organizados y eficientes. Sin embargo, el propietario y director ejecutivo, Daniel Roberts, no anticipó que estas plataformas podrían conllevar riesgos cibernéticos.
“La seguridad no era una prioridad al principio, principalmente porque los techos y la construcción suelen estar muy alejados de las amenazas cibernéticas”, dijo Roberts.
Sin embargo, eso cambió cuando el equipo de tecnología de la información de la empresa detectó intentos de inicio de sesión inusuales en sus plataformas de colaboración con IA. Los nuevos empleados también compartieron indebidamente información confidencial de clientes en canales abiertos, añadió Roberts.
“Afortunadamente, no se produjeron infracciones graves, pero fue una clara señal de alerta para nosotros”, afirmó Roberts. La empresa incorporó la autenticación multifactor en todas sus plataformas, lo que redujo los intentos de inicio de sesión no autorizados en un 22 % durante el último año, y comenzó a impartir capacitaciones trimestrales sobre ciberseguridad a sus empleados.
La historia de Lava Roofing es común, ya que las organizaciones invierten más en estrategias de IA generativa, especialmente para la colaboración y la productividad. Una reciente encuesta trimestral de KPMG sobre IA reveló que el 82 % de los líderes prevé que la gestión de riesgos sea su mayor desafío al usar GenAI.
Esto es lo que debe saber sobre los riesgos cibernéticos de las plataformas de colaboración de IA y qué hacer al respecto.
¿Cuáles son los riesgos de seguridad de la IA?
La filtración de información confidencial es uno de los mayores riesgos de las plataformas de colaboración, afirmó Vahid Behzadan , profesor adjunto de informática y ciencia de datos en la Universidad de New Haven. Muchas organizaciones utilizan estas herramientas, junto con GenAI, para recopilar e integrar datos de múltiples fuentes, y Behzadan señaló que no siempre está claro cómo el software gestiona la confidencialidad de los datos.
Integrar múltiples herramientas sin controlar quién tiene acceso a ellas y a los datos que contienen también crea vulnerabilidades, señaló Behzadan.
Otro problema es un ataque de inyección de mensajes , en el que los hackers camuflan mensajes dañinos en un sistema GenAI para filtrar y difundir datos confidenciales. Esto puede ocurrir con chatbots utilizados para responder preguntas de RR. HH. u otros tipos de preguntas. El ataque “podría obligar a ese chatbot a exfiltrar datos, ejecutar código malicioso o filtrar propiedad intelectual protegida”, afirmó Behzadan.
El mal uso de la IA, lo que significa que los empleados (o posiblemente un actor de amenazas) usan las herramientas de manera incorrecta, intencional o no, también pone a las organizaciones en riesgo, dijo Mohamed Gebril , profesor asociado en el Departamento de Ingeniería de Seguridad Cibernética de la Universidad George Mason.
Con demasiada frecuencia, las empresas utilizan GenAI y plataformas de colaboración para crear eficiencias y aumentar la productividad, pero no anticipan completamente el riesgo cibernético, afirmó Gebril.
Riley Westbrook , copropietario de Valor Coffee en Alpharetta, Georgia, dijo que no.
La empresa de Westbrook utiliza Slack, Trello, ChatGPT y otras herramientas para una comunicación y un intercambio de datos más rápidos, el seguimiento de productos, la redacción de materiales de capacitación y la conexión de un equipo que abarca dos cafeterías y una operación de tostado, catering y venta mayorista de café.
“Los riesgos se hicieron evidentes después de que un miembro del equipo compartiera accidentalmente un documento confidencial en un canal de Slack sin protección”, dijo Westbrook. Otro empleado usó comentarios privados sobre contratación en un mensaje de ChatGPT.
“Fue entonces cuando supimos que necesitábamos medidas de seguridad”, dijo Westbrook. La organización añadió controles de acceso y software para proteger los dispositivos y cifrar los datos.
Aumento de la ciberseguridad mediante inteligencia artificial
Al igual que cualquier otro software, GenAI y las plataformas de colaboración de IA conllevan riesgos, afirmó Behzadan. Sin embargo, existen varias maneras de proteger su organización.
Comprender el problema cibernético de la IA
“Hay que ser consciente del panorama de todos los riesgos que conllevan estos sistemas”, dijo Behzadan, y esto es un “gran contribuyente” para mitigar esos riesgos.
Probar tu configuración en busca de vulnerabilidades es la mejor manera de saber qué tan segura es, afirmó Behzadan. Un método es el trabajo en equipo, que consiste en usar hackers éticos para simular un ciberataque. Podrías probar tu sistema internamente o contratar a un consultor o a un tercero para que lo haga por ti, indicó Gebril. Además, presta atención a los problemas que surjan y aprende de ellos, añadió Westbrook.
Capacita a tu equipo en ciberseguridad
Muchas filtraciones de datos y problemas de seguridad se deben a amenazas internas, incluyendo errores de los empleados, afirmó Gebril. Por eso, una capacitación atractiva e interactiva es crucial, añadió.
La capacitación de los empleados concientiza sobre los riesgos, el uso correcto del software y la gestión de datos, afirmó Gebril. La capacitación debe incluir la ayuda de los empleados para reconocer ataques de ingeniería social , como estafas de phishing que utilizan mensajes o sitios web falsos para engañar a las personas y hacer que compartan información confidencial o descarguen malware.
“La formación es fundamental, no solo para la seguridad, sino también para la usabilidad”, afirmó Behzadan. “Es fundamental garantizar que los empleados conozcan las capacidades, pero también las limitaciones, de estos sistemas”.
La capacitación trimestral de la compañía de Roberts enfatiza “el manejo adecuado de la información del cliente y el uso seguro de las herramientas”, dijo.
La capacitación de Valor Coffee se centra en las mejores prácticas de seguridad de datos , para que los empleados sepan cómo manejar información confidencial, afirmó Westbrook. El equipo ahora es mucho más consciente de los riesgos y ha tenido menos casos de intercambio accidental de datos desde que comenzó la capacitación, informó.
Implementar un plan de ciberseguridad de IA
Las medidas de ciberseguridad eficaces varían de una empresa a otra. Por eso, comprender su riesgo individual es el primer paso, afirmó Behzadan.
Por ejemplo, la organización de Westbrook utiliza la plataforma de ciberseguridad CrowdStrike Falcon en las máquinas del personal, terminales de cafeterías, computadoras portátiles y otros dispositivos para monitorear las máquinas en tiempo real y alertar a alguien cuando sucede algo inusual, como un mal uso interno, un intento de ransomware o una instalación de puerta trasera, dijo.
La empresa utiliza la Plataforma de Inteligencia Artificial Palantir para monitorear lo que generan las herramientas GenAI. Antes de enviar cualquier mensaje generado por IA, la herramienta verifica si hay datos confidenciales y bloquea cualquier información que parezca riesgosa, afirmó Westbrook.
También agregaron controles de acceso para garantizar que los empleados tengan acceso solo a lo que necesitan para su función, explicó Westbrook.
“Sin esta configuración, estaríamos ciegos a lo que la IA expone y a cómo se comportan nuestros sistemas bajo la superficie”, dijo Westbrook. “Estas herramientas detectan lo inesperado y lo detienen antes de que se propague”.
Lava Roofing utiliza software de protección de endpoints y escáneres de vulnerabilidades basados en IA para detectar amenazas antes de que se conviertan en problemas, afirmó Roberts. «En general, nuestro equipo se siente más seguro, los clientes están más tranquilos y hemos evitado que posibles problemas se conviertan en problemas mayores».
Mantener la vigilancia para detectar debilidades cibernéticas
Continuar monitoreando sus vulnerabilidades, su plan de ciberseguridad y la concientización de los empleados ayuda a mantener sus sistemas seguros, afirmó Behzadan. Realice cambios a medida que surjan nuevos riesgos o añada nuevas plataformas.
Valor Coffee implementó sistemas automatizados que monitorean la actividad en Slack y otras plataformas, y detectan cualquier intercambio sospechoso o no autorizado de datos confidenciales, afirmó Westbrook. Desde la implementación de sus medidas de ciberseguridad, el número de problemas de seguridad ha disminuido significativamente, afirmó.
En definitiva, las empresas deben ser proactivas al utilizar GenAI y las herramientas de colaboración de IA, afirmó Westbrook. Si bien son útiles, exponen a las organizaciones de todos los sectores a nuevos riesgos.
“No esperes a que algo salga mal para actuar”, dijo Westbrook. “No confíes solo en la seguridad de las herramientas. Incorpora la seguridad a tu rutina”.
Nota del editor: Lea más consejos de seguridad de IA:
- Seguridad de la IA en las comunicaciones internas: garantizar la integridad y la seguridad de los datos . El camino hacia la adopción de GenAI en las organizaciones no está bien definido, pero existen formas para que los comunicadores internos aprovechen las capacidades con mayor seguridad.
- La IA generativa está transformando el trabajo. Tu formación en ciberseguridad debería evolucionar con ella . La IA generativa promete reducir las cargas de trabajo, pero también transforma la naturaleza de los riesgos de ciberseguridad. Enseña a tus empleados a protegerse a sí mismos y a la organización.
- ¿Listo para implementar la IA generativa en el trabajo? Use estos consejos para reducir el riesgo : ¿Es posible mitigar los riesgos y perjuicios de la IA generativa lo suficiente como para aprovechar los beneficios que prometen estas herramientas?
Acerca del autor
Erica Sweeney ha sido periodista durante más de 15 años. Trabajó en medios locales en Little Rock, Arkansas, donde reside, hasta 2016, cuando se convirtió en periodista independiente a tiempo completo.
Fuente: https://www.reworked.co/digital-workplace/addressing-cyber-risks-of-ai-collaboration-tools/