Hola a todos!!
La verdad es que estaba pensando si empezar este blog (la entrada de presentación no cuenta) explicando un poco cual va a ser su propósito, que vais a poder encontrar y todo eso… O tirarme directamente al barro y he decidido que voy a hacer un poco las dos cosas. Creo que este título es perfecto para la primera entrada, porque me va a permitir contaros de que va esto y empezar a abrir el melón de lo que iremos viendo en futuras entradas.
La cuestión aquí es que cada día tenemos más información, más documentación, y nuevas formas más y más creativas de organizarla y acceder a ella.
Modo abuelo cebolleta: hace 20 años la información estaba en una NAS, organizada en carpetas, y se accedía a ella desde la red corporativa, era fácil de controlar, la mayoría de los equipos eran de sobremesa, todo el mundo trabajaba en la oficina y casi nadie tenía un dispositivo propio para acceder a la información. Alguien podía llevarse información en un USB o en un disco flexible (y rezar para que llegase sana y salva a casa), o enviarla por correo electrónico, pero era relativamente complejo hacer una exfiltración masiva. Además el control de acceso era relativamente simple, y si algo se filtraba también era relativamente simple ver quien tenía acceso y había podido ser el culpable. En algunos casos ya se empezaban a ver gestores documentales, pero de igual manera eran entornos locales, muy pocos estaban publicados en internet, y por lo tanto eran mas «controlables». Y siempre podías entrar en tu datacenter y tirar del cable (no hagáis esto en casa eh…)
Hoy en día esto no es así, la mayoría de la información está en entornos cloud, muchos en localizaciones remotas a las que no tenemos acceso físico y controladas por un hiperescalar (Microsoft, Amazon, Google, etc.) por lo que digamos que es algo más complejo mantener el gobierno de los datos, y además los fabricantes ponen en manos de los usuarios herramientas de inteligencia artificial que nos complican aun más este gobierno. Pero basta ya de lloros, que aquí hemos venido a aprender como hacer las cosas bien en esta «nueva realidad»
Y por eso me viene genial el título para contar de que va a ir el blog. especialmente con la llegada de la IA generativa, la protección de la información es cada día más importante, como decía aquel anuncio de Pirelli, «La potencia sin control no sirve de nada», pero necesitamos la potencia, es decir no podemos pretender bloquear el despliegue de soluciones GenAI, o de que nuestros usuarios no utilicen los datos que tienen a su disposición, porque entonces ¿para qué los tenemos?
Así que el reto es claro: tenemos que ser capaces de definir los mecanismos necesarios para que la explotación de los datos y la IA generativa sean lo más seguros posibles, y de eso va a ir este blog, de las capacidades que tenemos a nuestra disposición para monitorizar y controlar toda esa nueva suerte de herramientas que han llegado para quedarse, que son maravillosas, pero que como toda herramienta, se pueden utilizar de forma maliciosa.
¿Cuáles van a ser esas capacidades? Pues básicamente nos vamos a centrar en entornos Microsoft, y sobre todo en Purview, veremos desde las partes más básicas de herramientas de DLP hasta soluciones avanzadas como Insider Risk Management o Communication Compliance, y además mi intención no es sólo enseñaros a configurarlas, si no también contaros como podéis lidiar con los equipos legales, de cumplimiento y recursos humanos para que el despliegue y configuración de estas herramientas llegue a buen puerto.
Yo creo que con esto más o menos queda claro que vais a encontrar en el blog, que espero que os sea de utilidad.
Un Saludo!
Lo AsegurarIA 