Hola a todos!!
He aquí la cuestión, hoy me he levantado Shakespeariano, y una de las cosas que me he planteado cuando empezamos a desplegar todo esto de la IA generativa es, si quiero saber o no saber, que están haciendo mis usuarios con ello…
Y aquí abro melon, porque todos hemos escuchado la famosa frase de «ojos que no ven, corazón que no siente» aunque me da a mí que quien la mencionó por primera vez, no había trabajado nunca en IT.
Para mi la respuesta es evidente, saber, siempre saber!! Porque no saber es peligroso, salvo que quieras tener un motivo de «negación plausible» como dicen los abogados en las pelis, es decir, que sepas que se están haciendo cosas mal, pero prefieras ignorarlas para luego poder decir aquello de «no me consta» que estuvo tan de moda hace un par de años (¿ya?)
Entonces, si queremos saber, tenemos que tener mecanismos que nos permitan saber, y ¿que mecanismos son esos?, pues como diría un buen gallego: depende. Sobre todo de que queramos saber, y esta es la clave de este melón, yo quiero saber, pero ¿qué quiero saber?
La respuesta a esta pregunta va a depender un poco del estado de mi etorno, tal como veíamos en la entrada anterior, igual que desplegar Copilot, o cualquier otra tecnología de GenAI, depende mucho de dicho estado, las cosas que me van a preocupar también se van a ver influenciadas por este mismo motivo.
Vamos con una lista de cosas que puedo querer saber, y la herramienta que va a ayudar a descubrirlas, y luego comentamos un poco de cada herramienta.
Oversharing
Si tuviera que apostar, este sería sin duda el caballo ganador de lo que quiero saber, ya lo comentamos en la entrada anterior, porque cuando vamos a desplegar principalmente Copilot, por la estrecha relación que tiene con todo el ecosistema Microsoft 365, vamos a querer saber como está de revuelto el cajón. Y para esto tenemos varias opciones, pero en M365 las más básicas son estas dos:
La primera nos va a ayudar muchísimo a mantener todo el SharePoint (que recordemos, es la base donde se almacena toda nuestra información no estructurada en M365) organizado, tenemos mecanismos para revisar sitios inactivos, comprobar que enlaces se han compartido dentro y fuera de la organización, y muchas otras cosas, mi intención es dedicarle alguna entrada en exclusiva para que veáis todo lo que se puede hacer con ello. Es cierto que si ya tenemos un plan de gobierno en marcha, y el entorno está mas o menos ordenado, esta herramienta puede ser un poco redundante, pero si no lo tenemos, nos va a facilitar la vida una barbaridad.
La segunda es clave, sobre todo si tenemos serias dudas sobre el estado de nuestra información. Nos va a permitir realizar evaluaciones periódicas sobre la información que tenemos en el entorno, como está compartida, quien ha accedido y mucha más información, pero además nos va a permitir tomar algunas acciones de remediación. Esta característica está en preview todavía, pero en mi opinión es tremendamente util.
Uso de IA «autorizada»
Esto definitivamente nos interesa, queremos saber que le andan preguntando nuestros usuarios a copilot, vale que no vamos a revisar toooooodos los prompts, pero si queremos tener una idea de si alguien anda preguntando lo que no debe, o incluso si Copilot le está contestando con información que, aunque está disponible, quizás no debería estarlo.
La misma herramienta que hemos comentado antes, DSPM for AI nos va a mostrar muchísima información de las interacciones que nuestros usuarios están teniendo con copilot, y también la información potencialmente sensible que se comparte tanto en una dirección como en la otra.
Pero a la hora de monitorizar el uso de la IA interna (Copilot, ChatGPT*) lo que realmente nos va ayudar es Communication Compliance.
Tenía dudas sobre si hablar de Communication Compliance porque es un tema espinoso, también tendrá su serie de entradas más adelante, pero creo que es imprescindible para monitorizar el uso de la IA a nivel interno. Principalmente porque nos va a permitir configurar políticas que nos alerten si algún usuario utiliza ciertas palabras clave en sus prompts, y esto es muy interesante, porque DSPM for AI nos da información muy general, pero no me alerta si alguien le está preguntando a copilot, por ejemplo, como saltarse mis políticas de DLP.
La parte negativa, aun no tenemos ningún mecanismo para bloquear prompts que no queramos que se hagan, lo cual no es ideal, pero yo espero que no tardando mucho tengamos algún avance en ese aspecto.
* este os lo cuento en cuanto consiga montarlo que de momento no estamos teniendo mucho éxito, pero se arreglará fijo
Uso de IA «no autorizada»
Este para mi, es el otro meollo de la cuestión, ¿cuantas otras aplicaciones que no tengo controladas están usando mis empleados? ya hemos debatido sobre la posibilidad de vallar el campo, difícil como mínimo, pero si que podemos monitorizar algunas y aquí también vamos a poder hasta bloquear la subida de documentos sensibles.
La monitorization la vamos a tener en DSPM for AI, pero va a estar soportada por el DLP de Endpoint, es decir que si no tenéis activado el DLP de Endpoint no vais a poder ver por donde andan navegando vuestros usuarios, y que información están subiendo a las webs.
Microsoft nos proporciona una lista de aplicaciones de IA que van actualizando regularmente, pero utilizando Defender for Cloud Apps podéis configurar una política de monitorización que revise que aplicaciones de IA se están usando más y crear vuestra propia lista.
El siguiente paso sería definir políticas de DLP de Endpoint para que se bloquee la subida de ciertos tipos de información sensible a esas aplicaciones.
Tipo de información que tengo
Por último que esto ya parece una historia de esas de «todo lo que quiso saber y nunca se atrevió a preguntar», lo siguiente que vamos a querer saber es ¿cuanta información sensible tengo por ahi repartida? ¿Donde está? ¿Está clasificada?
Es verdad que aquí las herramientas de Microsoft pinchan un poco, no tenemos una forma clara de obtener un informe de información sensible, ubicaciones, etc. Pero para eso si que hay herramientas de terceros, la que más ha gustado hasta ahora ha sido la de Synergy Advisors, sobre todo porque se integra perfectamente con Purview si ya lo tienes desplegado, pero por ejemplo herramientas como Varonis también tienen buenos informes.
Pero bueno, al final me ha quedado una entrada bastante larga, aunque la realidad es que ahora os toca decidir a vosotros, ¿que preferís, saber o no saber? ¿que otras cosas querríais saber? ¿o que preferís no saber?
Un Saludo!!
Lo AsegurarIA 