Hola a todos!!
Bueno esta entrada tampoco es puramente técnica, ya llegarán, pero creo que hay que sentar unas bases primero para luego meternos en faena.
¿Cuantas veces hemos escuchado esta frase cuando alguien intenta controlar algo que se antoja dificilmente controlable? Seguramente muchas, y la verdad es que es un poco lo que nos está pasando con la IA generativa y la protección de la información. He visto muchas grandes compañias con mucho miedo a desplegar cualquier tipo de IA generativa asociada al puesto de trabajo, generalmente Copilot, por miedo a «las vergüenzas que pueda sacar», y la verdad es que es un tema espinoso.
Cuando llegamos a este dilema pueden pasar dos cosas:
- Que tengamos un modelo de gobierno sólido en nuestros entornos de colaboración
- Que tengamos un maravilloso cajón desastre
Bueno vale, también podemos estar en cualquier punto entre esos dos extremos, pero para que esto sea divertido vamos a suponer que estamos en uno de los dos extemos.
Si estoy en el primer caso, y tengo la casa ordenada y limpia (como decían en Matrix) no debería preocuparme mucho por lo que «la IA» vaya a sacar, seguramente mis usuarios tengan los permisos adecuados, y todo este organizado correctamente, pero por si acaso, voy a repasar un poco lo que significa tener un modelo de gobierno sólido y que cosas deberíamos considerar, principalmente en entornos Microsoft 365 pero extrapolable a otras plataformas:
- Modelo de creación de sitios organizado: los usuarios siguen unas normas básicas para crear sus sitios/teams, o tienen que hacer una petición para hacerlo.
- Revisión periódica de sitios: cada X tiempo se revisa si un sitio/teams sigue siendo necesario o no y el propietario del mismo tiene que confirmar, si no, estos sitios son eliminados
- Revisión periódica de grupos: para asegurarnos de que los empleados que han cambiado de departamento o de compañía han sido retirados de los grupos que les concedían acceso a determinada información.
- Políticas de retención y borrado: nos van ayudar a definir durante cuanto tiempo queremos mantener nuestros activos de información, y a evitar el síndrome de Diógenes digital.
- Opciones de compartir: deberíamos tener deshabilitada (o muy controlada) la opción de compartir con anónimos, y la opción de compartir por defecto debería ser personas específicas.
- Usuarios educados: esta es la más difícil, los usuarios deben tener la formación adecuada para saber cómo compartir la información, revisar los permisos que han dado, y retirarlos si es necesario
Si cumplimos todas estas normas, la preocupación debería ser mínima, no quiere decir que no tengamos que preocuparnos en absoluto, aun hay peligros potenciales, que repasaremos en futuras entradas, pero son relativamente bajos.
¿Qué más elementos podemos configurar para estar aun más seguros? Pues una correcta política de clasificación de la información, con etiquetado que aplique cifrado o que permita una configuración de DLP avanzada es una muy buena práctica, pero es algo complejo de llevar a cabo, especialmente si aplicamos protección en las etiquetas, ya que puede llegar a bloquear partes del negocio, así que tenemos que hacerlo con sumo cuidado, veremos opciones más adelante también. Y otra cosa que podemos hacer es monitorizar las interacciones con la IA, con Copilot es relativamente fácil, y con otras IA puede ser algo más complejo, pero también se puede conseguir. El objetivo es saber que le están preguntando los usuarios a su nuevo juguetito, y si hay alguno investigando algo que no debería…
Pero esto es lo que pasa cuando todo está ordenado, que las cosas son fáciles. Ahora bien, que pasa cuando no tenemos los mecanismos de gobierno que se indicaban arriba, es decir, mis usuarios crean sitios cada día, esos sitios nunca se revisan, cada usuario da acceso a su sitio a quien le parece, y no tengo ninguna política de revisión de sitios, grupos, etc.
Pues entonces SI tengo que estar preocupado por lo que la IA pueda obtener de mi organización si le doy acceso. Pero la solución no es «bloquear la IA» porque esto además de ir en contra de los intereses del negocio, no va a resolver el problema, solamente lo va a meter debajo de la alfombra. Si nos encontramos en esta situación, lo primero que tenemos que definir es una política de gobierno correcta, pero esta política de gobierno va a impactar a los usuarios, que hasta ahora campaban a su anchas por los mundos de Teams y SharePoint, así que es tremendamente importante una correcta gestión del cambio, o tendremos un montón de usuarios cabreados.
Una vez que tengamos un modelo de gobierno en marcha, el siguiente paso es hacer control de daños, y esto tiene que venir después de tener el modelo de gobierno, o acabaremos parcheando sitios hasta el infinito.
Y ¿en que consiste ese control de daños? Pues básicamente en repasar toooodos los sitios, teams, etc. que tenemos en el tenant, y que no tenemos ni idea de qué objetivo tienen, qué información contienen, con quién están compartidos, etc. Es decir, no va a ser fácil, ni rápido, pero es algo que debemos hacer, porque el problema ya no es la IA, la IA es algo que ha revelado una carencia seria de nuestro entorno, los usuarios ya podían acceder a esa información utilizando el buscador, de forma más compleja quizás, pero podían, así que es algo que debemos arreglar.
¿Como lo hacemos? Pues en el caso de Microsoft tenemos un par de herramientas nuevas disponibles para controlar el oversharing, tanto por la parte de SharePoint Advance Management, como por la parte de Purview DSPM, pero además es probable que necesitemos alguna herramienta adicional de terceros, o algún script en PowerShell que nos ayude con ello, mi intención es dedicar una entrada específica (o varias) para ver estas opciones.
En resumen, gran parte de la preocupación de incorporar IA en la empresa, va a venir, no por la IA en si misma, si no por cómo de ordenada este la casa en la que vamos a incorporarla, así que la pregunta es clave ¿Cómo de ordenada está tu casa?
Un Saludo!!
Lo AsegurarIA 