Prevenir fugas de datos es una tarea que ahora enfrenta un nuevo desafío: el uso de herramientas de Inteligencia Artificial. Este tipo de herramientas resuelven muchos problemas, aumentan la productividad y la eficiencia y ofrecen muchas posibilidades, hasta ahora no imaginadas.
Pero, tantas maravillas tienen un óbice: es preciso alimentar estas herramientas con fuentes de información sensible y usualmente privada, como contratos, manuales de procedimientos, fórmulas, códigos, datos personales, entre otros, que usualmente son el objetivo de la gestión para prevenir fugas de datos.
Los riesgos son altos, pero, por fortuna se cuenta con las herramientas adecuadas para prevenir fugas de datos confidenciales. A continuación, explicamos las acciones mas eficaces para evitar que esto suceda y qué aportan los estándares ISO 27001 e ISO 27701.
¿Cuáles son los puntos críticos para prevenir fugas de datos confidenciales?
Las herramientas de Inteligencia Artificial aprenden de la información pública en Internet. En el trabajo diario en una organización, los empleados que necesitan obtener asistencia de una herramienta de Inteligencia Artificial, como ChatGPT, tendrán que suministrar a la aplicación información sensible, clasificada o privilegiada.
Una posibilidad es que no sean conscientes de la calidad y la calificación del tipo de información que suministran. Otra es que no encuentren un peligro en las acciones que efectúan para interactuar con una herramienta de Inteligencia Artificial. Así es que el primer paso para prevenir fugas de datos confidenciales es entender los tipos de información que pueden contener información confidencial:
1. Contratos o documentos legales
Condiciones confidenciales, acuerdos privados, cifras y valores, cláusulas especiales, entre otras, constituyen información confidencial para la organización.
2. Códigos fuente
La divulgación del código fuente de una aplicación, de un software o de un sitio web, equivale a entregar la propiedad intelectual con las consecuencias que esto implica.
3. Información de clientes u otros terceros
La exposición de la información privada de los usuarios o clientes de una organización, además de repercusiones en la reputación, implica riesgos de cumplimiento de regulaciones estrictas, como RGPD.
4. Manuales de procedimientos o instrucciones
Este tipo de documentos pueden contener fórmulas, desarrollos tecnológicos secretos, información industrial privada, u otro tipo de datos valiosos que constituyan una ventaja estratégica para la organización.
5. Información de empleados
Los CVs, los historiales médicos o de rendimiento de los empleados, incluidos sus datos personales y familiares, conforman un paquete de datos muy apetecidos para múltiples objetivos, no todos ellos dentro de la ley.
Aprovecha estas estrategias para prevenir fugas de datos confidenciales en tu organización a través del uso de herramientas de #InteligenciaArtificial #ISO27001 #Ciberseguridad Share on X¿Cómo prevenir fugas de datos confidenciales?
ISO 27001 es el estándar internacional reconocido para la Gestión de Seguridad de la Información. La norma cuenta con un apéndice de controles prácticos y efectivos para prevenir fugas de datos confidenciales.
ISO 27701, publicada en 2019, viene a reforzar específicamente la gestión de información confidencial, privada o privilegiada. La implementación de los estándares, apoyada por plataformas que automaticen la gestión, será el punto de inicio para la eliminación de los riesgos de filtración de datos o informes confidenciales.
La gestión bajo estos estándares, ofrece mecanismos para prevenir fugas de datos confidenciales:
1. Crear una política clara de protección de datos e informes confidenciales
Las organizaciones que han implementado ISO 27001 y/o ISO 27701, ya tienen una política de seguridad de la información. Si este documento no toca directa y claramente el tema de la protección de información confidencial, es el momento de actualizarlo e incluir el tema.
La política debe considerar las necesidades de capacitación, las responsabilidades a asignar, las penalizaciones para quienes atenten contra la protección de la información confidencial, y los premios para quienes promuevan la prevención o denuncien comportamientos no adecuados.
2. Formar y capacitar a los empleados
Empleados capacitados generan cultura y conciencia de prevención de riesgos, en cualquier área. En el propósito de prevenir fugas de datos confidenciales, la formación específica en Seguridad de la Información y en el estándar ISO 27001, permitirá a la organización garantizar la efectividad de la gestión, pero también promover la transmisión del conocimiento.
3. Verificar el uso de herramientas seguras
La Inteligencia Artificial aún presenta vacíos regulatorios y de otro tipo. Uno de estos vacíos es la seguridad de la información. Uno de los controles de ISO 27001 indica evitar que los empleados hagan uso de aplicaciones, software u otro tipo de herramientas ofimáticas que no hayan sido aprobadas por el área de TI y de Seguridad de la Información de la organización. Es claro que este tipo de controles necesita hacerse extensivo a la protección de datos confidenciales.
4. Restringir el uso de herramientas de IA
No todos los empleados necesitan utilizar herramientas de IA. Es importante implementar accesos y privilegios de uso a quienes de verdad lo requieran y se comprometan al uso responsable de este tipo de aplicaciones.
5. Revisar, inspeccionar y auditar
Finalmente, el uso de herramientas de IA no se puede dejar como una rueda suelta dentro de la organización. Es importante revisar el uso que se ha hecho de la Inteligencia Artificial, analizar y evaluar el resultado que las herramientas han entregado, comprobar la implementación de controles efectivos y, con base en todo ello, ajustar los controles y los accesos y privilegios asignados.
Diplomado de Seguridad de la Información ISO/IEC 27001 Actualización 2022
El Diplomado de Seguridad de la Información ISO/IEC 27001 Actualización 2022 es el programa de formación más completo en el área disponible ahora en el mercado. Se trata de un programa de excelencia que, además de introducir a los alumnos en todas las complejidades de la seguridad de la información, la protección de datos y la prevención de fugas de información confidencial, promueve el intercambio de conocimiento con especialistas de alto reconocimiento en muchos países del planeta.
Los alumnos, además de convertirse en expertos en Seguridad de la Información, son auditores certificados, que tienen la posibilidad de obtener el certificado ERCA y así, ejercer su profesión en cualquier país de Europa o América Latina. Inicia una prometedora carrera aquí.