¿Qué es la política de uso aceptable (AUP) de la IA?

La política de uso aceptable de la IA (AI AUP) es un conjunto formal de reglas que define la manera en que los empleados pueden utilizar las herramientas y los servicios de inteligencia artificial (IA) generativa. 

A medida que sus equipos exploran plataformas de IA como ChatGPT y otras para impulsar la creatividad y la eficacia, también pueden crear nuevos riesgos de forma involuntaria. Sin pautas claras, los empleados podrían introducir propiedad intelectual confidencial, datos de clientes o credenciales internas en modelos públicos de IA y generar una exposición cibernética considerable para su organización.

Una política para el uso aceptable de la IA eficaz crea protecciones para que su organización pueda innovar de forma segura. Establece claramente lo que se debe hacer y lo que no, protege los activos de la empresa y crea un proceso formal para evaluar las nuevas tecnologías. La política de uso de la IA define los usos permitidos y prohibidos, describe claramente las protecciones necesarias para el manejo de datos y quién puede acceder a qué herramientas, así como también el proceso de aprobación e incorporación de nuevas tecnologías de IA.

Una política sólida de uso de la IA es una parte básica de su estrategia general de ciberseguridad. También es el punto de partida para proteger la IA en toda su empresa. 

Sepa cómo la plataforma de gestión de exposición Tenable One puede ayudarle a gestionar toda su exposición y los riesgos relacionados con la IA.

Una política sólida sobre el uso de la IA debe ser clara, completa y fácil de comprender para todos. Sustituye la ambigüedad por reglas bien definidas que protegen a sus empleados y a su organización. Si bien puede adaptar la política a su sector específico y tolerancia al riesgo, debe elaborar la política de uso aceptable de la IA generativa con base en estos cinco pilares esenciales.

1. Alcance y roles

Esta sección define a quién y qué contempla la política. Debe indicar claramente qué empleados, departamentos y entornos de negocio deben cumplir las reglas. También asigna responsabilidades, ya que describe las tareas de los empleados, los gerentes y el equipo de gobierno de la IA (por ejemplo, el CIO, el departamento legal e InfoSec) para garantizar la rendición de cuentas. Definir claramente el alcance y los roles es una parte clave de cualquier política de IA para empleados.

2. Herramientas autorizadas y casos de uso prohibidos

Debe llevar una lista seleccionada de herramientas y agentes de IA aprobados que hayan sido verificados por sus equipos de seguridad y legal. Esta sección también debe incluir ejemplos concretos de actividades prohibidas, tales como el uso de plataformas de IA no aprobadas o el uso de la IA para actividades ilegales, antiéticas o que infrinjan las normas de la empresa.

3. Reglas de manejo de datos y privacidad

Las reglas de manejo de datos y privacidad se encuentran entre los componentes más críticos de la AI AUP. Debe definir explícitamente qué tipos de datos los empleados nunca deben ingresar en herramientas de IA públicas, incluyendo información de identificación personal (PII), información médica protegida (PHI), propiedad intelectual, código fuente y datos financieros corporativos. Proporcione indicaciones claras sobre cuándo y cómo utilizar técnicas de enmascaramiento o anonimización de datos.

4. El proceso de gobierno y cambio

La política de uso de la IA para empleados debe evolucionar con la misma rapidez que las tecnologías de IA. En esta sección se detalla el flujo de trabajo que deben seguir los empleados para solicitar una nueva herramienta de IA para su revisión y autorización. También debe describir los criterios de decisión que utilizará su equipo de gobierno para aprobar o rechazar una herramienta, tales como sus protocolos de seguridad de datos, política de privacidad, estabilidad de proveedores y residencia de datos.

Criterios clave de evaluación de nuevas herramientas de IA

• Protocolos de seguridad
  • Revise la postura de seguridad del proveedor.
  • ¿Tiene certificaciones como SOC 2?
  • ¿Cómo cifra los datos en tránsito y en reposo?
  • ¿Cuáles son sus procesos de gestión de vulnerabilidades y respuesta ante incidentes?
• Política de privacidad de datos
  • Comprenda cómo el proveedor maneja sus datos.
  • ¿La política del proveedor establece explícitamente cómo respalda el cumplimiento de los reglamentos pertinentes para su negocio, tales como HIPAA, PCI DSS, entre otros?
  • Fundamentalmente, ¿el proveedor utiliza las indicaciones y aportaciones de los clientes para entrenar sus modelos?
  • ¿Se puede optar por excluirse?
  • ¿Cuál es la política de retención datos del proveedor?
• Estabilidad de proveedores
  • El mercado de la IA es volátil. Pregunte a su equipo cuál es el riesgo para el negocio si se confía en una nueva herramienta de IA sin verificar.
  • Considere el financiamiento del proveedor, su reputación en el mercado y su viabilidad a largo plazo antes de integrarla en flujos de trabajo críticos.
• Residencia de datos
  • Sepa en qué lugares geográficos el proveedor almacena y procesa sus datos, lo cual es esencial para cumplir con reglamentos como el RGPD y la CCPA.
  • Asegúrese de que los centros de datos del proveedor se encuentren en regiones que cumplan con sus requisitos de cumplimiento.

5. Uso seguro 

Por último, la política debe enfocarse en los principios clave del uso seguro de la IA y servir de puente hacia ejemplos prácticos y cotidianos, en lugar de indicaciones riesgosas. Refuerza el mensaje central de que los empleados siempre deben verificar que el contenido generado por la IA sea preciso y que, en última instancia, cada miembro del equipo es responsable de su trabajo.

Una política solo es eficaz si sus empleados pueden aplicarla a su trabajo diario. Para que las reglas sean claras, proporcione ejemplos concretos que muestren comportamientos tanto seguros como inseguros al utilizar la IA. De este modo, principios abstractos como "proteger los datos de la empresa" se traducen en pautas prácticas para los diferentes roles de su organización.

Lista de verificación rápida de lo que se debe y no se debe hacer al usar la IA

Utilice esta lista de verificación como punto de partida para la capacitación de los empleados y las comunicaciones internas:

• Verifique la exactitud de todo el contenido generado por IA antes de utilizarlo.
• Utilice herramientas de IA aprobadas y validadas por la empresa para todas las tareas relacionadas con el trabajo.
• Anonimice todos los datos de negocios que utilice en indicaciones siempre que sea posible.
• NO introduzca PII de clientes, datos de empleados ni propiedad intelectual confidencial de la empresa en herramientas públicas de IA.
• NO utilice la IA para crear contenido que sea acosador, discriminatorio o que infrinja la política de la empresa.
• NO presente el contenido generado por IA como si fuera su propio trabajo original sin revisarlo y modificarlo adecuadamente.

Ejemplos basados en roles: indicaciones seguras vs. inseguras

Elección de herramientas de IA vs. seguridad de las indicaciones

Los ejemplos que se presentan a continuación muestran cómo redactar indicaciones seguras para herramientas de IA públicas o de uso general. Sin embargo, la solución más importante para los datos muy confidenciales (como el código fuente, las finanzas no públicas o la PII) no es solo la seguridad de las indicaciones, sino el riesgo de exposición de los datos.

Sus empleados nunca deben introducir propiedad intelectual en una herramienta pública de IA.

Para este tipo de datos, debe utilizar una solución segura y aprobada por la empresa. Por ejemplo, un LLM interno (por ejemplo, un modelo autohospedado) o una plataforma empresarial segura (como ChatGPT Enterprise) que garantice explícitamente que no utiliza sus datos para entrenamiento y que no es accesible fuera de la instancia de su organización.

• Escenario para marketing.
  • Indicación insegura: "Analiza la lista adjunta con las 100 direcciones de correo electrónico de nuestros principales clientes y los datos de ventas del tercer trimestre para identificar nuevas ideas para campañas de marketing".
  • Indicación segura: "Nuestra empresa vende software de ciberseguridad a gerentes de TI del sector de servicios financieros. Con base en la información pública, sugiere tres ideas para campañas de marketing que resulten atractivas para este público".
• Escenario para RR. HH.
  • Indicación insegura: "Revisa este CV adjunto de Juana Pérez y los datos de su evaluación de desempeño para redactar la descripción de puesto para un rol similar".
  • Indicación segura: "Redacta una descripción de puesto para un ingeniero de software sénior. El rol requiere cinco años de experiencia con Java, conocimientos de seguridad en la nube y sólidas habilidades de comunicación. El puesto es remoto".

La política de uso aceptable de la IA completa rige el comportamiento de los usuarios, pero eso es solo la mitad de la ecuación. 

La política también debe estar relacionada con su estrategia general de seguridad para la IA: las medidas técnicas que utiliza para proteger los modelos y la infraestructura de IA en sí mismos. 

Este abordaje garantiza una gestión integral de los riesgos relacionados con el factor humano y con la tecnología. Al hacer referencia a las normas técnicas de seguridad en su política, alinea a toda su organización en torno a un conjunto de objetivos comunes para la adopción segura de la IA.

Abordaje de los principales riesgos de seguridad de la IA

La política de uso aceptable de la IA debe reconocer las vulnerabilidades técnicas subyacentes inherentes a los sistemas de IA. 

Las10 principales vulnerabilidades de OWASP para aplicaciones de modelos de lenguaje grandes (LLM) conforman un excelente marco para comprender estas amenazas actuales. Sin embargo, a medida que la IA evoluciona de modelos simples a sistemas "agénticos" autónomos (o agentes de IA), el nuevo proyecto de seguridad de la IA agéntica de OWASP se está convirtiendo en la norma crítica para los riesgos futuros.

Riesgos como la inyección de indicaciones, la fuga de datos y el manejo inseguro de resultados pueden exponer a su organización a ataques, incluso si los empleados siguen las reglas. La política debe estipular que la organización debe evaluar todas las herramientas nuevas en función de estos riesgos de seguridad conocidos y emergentes relacionados con la IA.

La gestión eficaz de estos riesgos requiere visibilidad hacia la forma en que su organización utiliza la IA y dónde crea posibles exposiciones. Soluciones como Tenable AI Exposure pueden ayudarle a detectar y evaluar el uso de sistemas de IA a lo largo de todo su entorno, para que disponga de la información necesaria para aplicar la política de uso de la IA y proteger su infraestructura.

Poner en práctica la política de uso de la IA requiere un esfuerzo interfuncional para garantizar que las reglas sean prácticas, se comprendan bien y se apliquen de manera coherente. 

Siga este proceso de cuatro pasos para elaborar e implementar una política de uso de la IA eficaz y aceptable para su organización.

Paso 1: Reúna a su equipo de gobierno de la IA

En primer lugar, identifique a las partes interesadas clave que se encargarán de la política de uso aceptable de la IA. Por lo general, este equipo está formado por una alianza entre los departamentos de TI/seguridad, legal, RR. HH. y representantes de las unidades de negocio clave. 

Este grupo se encargará de redactar la política, evaluar las nuevas herramientas y manejar las excepciones. 

Es fundamental designar un punto de contacto claro para los empleados que tengan preguntas o necesiten enviar una nueva herramienta para su revisión.

Paso 2: Redacte la política de IA utilizando esta guía

Con los elementos esenciales descritos anteriormente, redacte una versión inicial de la política de uso de la IA. El objetivo es ser claro y directo, y evitar el lenguaje excesivamente técnico que podría confundir a los empleados que no tengan conocimientos técnicos. 

Evitar los términos demasiado técnicos es una buena guía para redactar una política de IA que la gente realmente lea. Concentrarse en proporcionar una guía práctica ayuda a los equipos a tomar decisiones inteligentes cuando utilizan la IA.

Paso 3: Establezca el nuevo proceso de solicitud de herramientas de IA

Defina y documente el proceso formal mediante el cual los empleados pueden solicitar una nueva herramienta de IA. Este flujo de trabajo debe indicar claramente qué información necesita su equipo de revisión para realizar una solicitud (por ejemplo, el propósito de la herramienta, su proveedor y un enlace a sus políticas de seguridad y privacidad) y cuál es el acuerdo de nivel de servicio (SLA) para que el equipo de gobierno tome una decisión.

Por ejemplo, su proceso podría incluir las siguientes acciones:

• Enviar un ticket a través del portal de servicios de TI estándar con una categoría especial denominada "Revisión de herramientas de IA".
• Rellenar un formulario estandarizado en la intranet que recopile toda la información necesaria para el equipo de gobierno.
• Enviar un correo electrónico a un alias específico, tal como [email protected].

Paso 4: Comunique y capacite a sus empleados

Cuando haya finalizado su política, póngala a disposición de todos. Organice sesiones de capacitación, publíquela en un lugar donde la gente la vea (no solo escondida en alguna carpeta de la intranet) y pida a sus empleados que firmen el acuse de recibo de la política de uso de la IA. La clave está en conseguir que sea relevante y genere interés.

¿Desea ahondar en la seguridad de la IA? Vea el Blog de Tenable.

Es fundamental contar con el respaldo ejecutivo, ya que esto confiere autoridad a la política de uso de la IA y garantiza que su aplicación sea una prioridad en todo el negocio. Debe enmarcar la política de IA como un facilitador estratégico, no como una restricción. 

Una política clara para los empleados respecto al uso de la IA aumenta cada vez más la adopción segura de la IA, ya que sustituye la incertidumbre por un marco de acción claro. Elimina las conjeturas de los empleados y ofrece una ruta aprobada para innovar de forma productiva y con confianza. 

Una AI AUP bien definida reduce directamente el riesgo al hacer lo siguiente:

• Prevenir fugas de propiedad intelectual en modelos públicos.
• Establecer una rendición de cuentas clara.
• Garantizar la verificación completa de las herramientas de IA para detectar amenazas a la seguridad y la privacidad antes de que sus empleados las utilicen de forma generalizada.

Obtener visibilidad total es el primer paso. 

La plataforma de gestión de exposición Tenable One ofrece a su organización una vista unificada de toda la superficie de ataque, incluyendo los riesgos de nuevas tecnologías como la IA. 

La aplicación de la política empieza por saber qué hay en su entorno. Tenable le ayuda a detectar estas herramientas y agentes de la IA oculta. Productos como Tenable AI Aware incluyen plug-ins que detectan la presencia de herramientas populares de IA y LLM, para que usted obtenga visibilidad para aplicar la política. 

El equipo de Tenable Research también detecta y divulga activamente las exposiciones del software de IA de terceros para ayudar a proteger todo su ecosistema.

Hay muchas preguntas sin respuesta sobre la IA, especialmente sobre las políticas de uso aceptable. Recopilamos algunas de las preguntas más frecuentes para usted, con el objetivo de responderlas con claridad para que pueda crear las propias.

1. ¿Cuál es la finalidad de la política de uso aceptable de la IA?

El objetivo principal de la política de uso aceptable de la IA es mitigar los riesgos de seguridad y privacidad de datos. Esta impide que los empleados introduzcan datos confidenciales de la empresa, propiedad intelectual o PII de los clientes en modelos públicos de IA, con el fin de reducir la exposición de la organización a la pérdida de datos.

2. ¿Quién es responsable de crear la política de uso aceptable de la IA?

Por lo general, la creación de una política de uso de la IA es un esfuerzo de colaboración dirigido por un equipo de gobierno que incluye a representantes de las áreas de TI/seguridad, el departamento legal y recursos humanos, con aportaciones de los departamentos clave del negocio.

3. ¿En qué se diferencia la política de uso aceptable de la IA de la política general de uso aceptable de la TI?

Mientras que la política general de TI abarca el uso general de la tecnología (correo electrónico, Internet, software), la política específica para la IA aborda los riesgos particulares de la IA generativa, tales como inquietudes sobre la privacidad de datos con entradas de indicaciones, fuga de propiedad intelectual y generación de información inexacta o sesgada.

Una política de uso aceptable de la IA completa ayuda a su organización a avanzar rápidamente con la adopción de la IA sin causar problemas. Proporciona a los equipos las protecciones que necesitan para experimentar de forma segura, mantiene protegidos sus activos más valiosos y establece un marco de gobierno de la IA que realmente se puede escalar.

Puede utilizar el marco y la lista de verificación de esta guía como componentes básicos para crear su propia plantilla de política de uso aceptable de la IA. Incluya, por ejemplo, los siguientes elementos:

• Alcance y responsabilidades de la política: define claramente quién y qué contempla la política de uso de la IA y asigna responsabilidades.
• Herramientas de IA aprobadas y restricciones de uso: detalla todas las tecnologías de IA aprobadas por la empresa y describe las formas en que sus empleados deben y no deben utilizar la IA.
• Normas de protección de datos y privacidad: establece reglas claras que explican cómo manejar la información confidencial.
• Pautas de uso seguro y responsable: ofrece consejos prácticos y ejemplos para las interacciones cotidianas con la IA.
• Gobierno y proceso de verificación de nuevas herramientas: describe el procedimiento formal de revisión y aprobación de nuevas aplicaciones de IA.

Al convertir estas pautas en políticas y prácticas coherentes, transformará los riesgos de la IA en facilitadores del negocio, que son parte fundamental de la cultura de seguridad.

Lea la guía: IA para la seguridad vs. seguridad para la IA.