red seguridad tercer trimestre 2025 117 opinión Según un estudio de Gartner en 2024, el 73 por ciento de las empresas afirma que se utiliza IA generativa fuera de los procesos oficiales de TI, principalmente mediante herramientas como ChatGPT, Copilot o Gemini. Este fenómeno escapa en gran parte a la supervisión de los departamentos de TI y de seguridad, y expone los datos estratégicos a múltiples amenazas. Además, cuando estas herramientas son extraeuropeas, la organización tiene escasa visibilidad sobre la gestión de datos, la seguridad de los modelos y el cumplimiento de las normas europeas. Riesgos de la IA Por tanto, ¿cómo afrontar los riesgos de seguridad de la IA? Evaluar los riesgos. El riesgo cero no existe en ciberseguridad, y las organizaciones –incluso las más críticas– desean poder utilizar IA en entornos controlados. Para ello, el análisis de riesgos vinculado al uso de asistentes de IA es fundamental. Consiste en cartografiar los flujos de información confidencial y anticipar escenarios de amenaza como los mencionados anteriormente (inyección de prompts, shadow AI, fugas por plugins de terceros…). En definitiva, esta preparación permitirá actualizar los planes de gestión de crisis e integrar posibles fallos vinculados a la IA. Sensibilizar y supervisar el uso de la IA. Establecer un marco de gobernanza claro permitirá controlar mejor los usos, a través de sesiones de sensibilización interna y la adopción de políticas de uso y referencias de seguridad. Es útil formar regularmente a los equipos sobre buenas prácticas para evitar desviaciones y fomentar una adopción responsable. Asimismo, resulta clave instaurar una gobernanza compartida entre CIO, CISO y unidades de negocio para equilibrar innovación y seguridad. Priorizar soluciones soberanas y conformes. Para limitar los riesgos sin perder en productividad, es fundamental utilizar herramientas colaborativas que integren módulos de IA diseñados para proteger los datos. A diferencia de las soluciones genéricas, algunas plataformas seguras –como Tixeo– garantizan que los contenidos compartidos, resumidos o transcritos no salgan del entorno de la organización ni se utilicen para entrenar modelos. Este enfoque permite mantener el control sobre los flujos de comunicación y reducir el riesgo de fuga o explotación maliciosa de la información, además de reforzar el cumplimiento de normativas europeas como el Reglamento General de Protección de Datos y la AI Act. De hecho, la AI Act, aplicable en la Unión Europea, impone normas estrictas en materia de seguridad, transparencia y gestión del riesgo para el uso empresarial de la IA. Adoptar herramientas basadas en los principios de privacy by design y alojadas en entornos soberanos (on-premise, cloud privado o cloud europeo certificado) se convierte en una condición esencial para combinar eficacia y seguridad. El objetivo: permitir a los equipos colaborar con asistentes fiables, sin abrir brechas invisibles en el sistema de información. Conclusión En conclusión, el rápido auge de la IA generativa en los entornos colaborativos exige una respuesta ágil por parte de las organizaciones. Tal y como recomienda el Instituto Nacional de Ciberseguridad (Incibe), es imprescindible integrar la gestión de la IA en las políticas de ciberseguridad de la empresa, identificando los usos autorizados, los datos implicados y los riesgos asociados. Al dotarse de soluciones conformes y soberanas, las empresas pueden convertir la IA en un verdadero motor de rendimiento… sin poner en riesgo la seguridad.
RkJQdWJsaXNoZXIy MTI4MzQz