Por: CP Iván Rodríguez. Colaborador de Auditool.
Una de las preocupaciones que trae consigo el avance en temas tecnológicos es el uso no autorizado de este tipo de recursos. Es el caso de la inteligencia artificial (IA). Sus resultados deben usarse de manera responsable y ética; por ello, hay que reducir el riesgo de su uso no autorizado.
En primer lugar, parece ser una práctica habitual que los empleados descarguen e instalen aplicativos y programas sin la aprobación o el conocimiento de la empresa. Según lo menciona el articulo Reducing the Risk of Unauthorized AI Use, publicado en la página www.rmmagazine.com, un 75% de los empleados utilizarán los recursos de tecnología de la información (TI) sin autorización, para 2027, lo que podría tener diversos efectos negativos en la seguridad de los datos, puesto que las empresas estarán expuestas y no podrán protegerse frente a riesgos que no conocen.
Esto ocurre cada vez más, pues los empleados están usando con mayor frecuencia las tecnologías de IA como una herramienta que permite aumentar la productividad y la eficiencia; en ocasiones, las utilizan sin tener claridad sobre la autorización que deba dar el área de TI, lo que puede terminar en un riesgo o un incidente de ciberseguridad con un gran impacto.
Ahora bien, el uso de IA conlleva diferentes riesgos y desafíos, entre los que se cuentan:
- Seguridad cibernética: existen diversas maneras en que los sistemas de IA pueden ser vulnerables a ataques maliciosos, tales como la manipulación de datos de entrenamiento o el aprovechamiento de vulnerabilidades en los modelos implementados, lo que podría tener incidencia en los resultados de los modelos y consecuencias significativas en términos de seguridad.
- Privacidad y seguridad de los datos: los modelos de IA requieren alimentarse con grandes cantidades de datos, lo cual puede afectar la privacidad de estos, si no se adoptan los controles necesarios. Si los datos son utilizados de manera indebida (incluso ilegal) puede haber grandes riesgos o consecuencias no deseables.
- Afectación de la integridad de la información: dado que actualmente no existen reglas o normativas estrictas o difundidas para las tecnologías basadas en IA, es posible que los resultados que obtenga de dichas herramientas no sean completamente confiables o precisos. Dependiendo de la información que se haya utilizado para entrenar la herramienta de IA, los datos también pueden presentar sesgos.
- Sesgos y discriminación: los algoritmos de IA pueden reflejar y amplificar sesgos presentes en los datos utilizados para entrenarlos, lo que puede resultar en decisiones injustas o discriminatorias; especialmente, en áreas como la contratación, el crédito y la justicia penal.
- Dependencia excesiva: la dependencia excesiva de la IA para tomar decisiones críticas puede llevar a una pérdida de habilidades humanas importantes, así como a una falta de diversidad de pensamiento en la toma de decisiones.
Del mismo modo, hay otros riesgos al emplear IA, entre los que se destacan la filtración de información. La dificultad de entender cómo funcionan ciertos modelos afecta la confianza en los mismos y en sus resultados, lo que puede representar dificultades al momento de definir responsabilidades.
Abordar estos riesgos de una manera integral requiere un enfoque multidisciplinario, por lo que sería deseable involucrar a expertos en ética, seguridad, privacidad. También, debe considerarse la aplicación de políticas y regulaciones adecuadas para garantizar tanto el desarrollo como el uso ético y responsable de la IA.
Frente a este panorama, las organizaciones deben emplear o desarrollar soluciones de manera responsable que faciliten la innovación empresarial, aunque no haya una regulación robusta que sea referente. Algunas de las acciones que se pueden ejecutar para mitigar los riesgos originados en el uso no autorizado de la IA son:
Establecer políticas
El diseño o implementación de políticas éticas y marcos de gobernanza que orienten el desarrollo y el uso de la IA es una de las acciones iniciales en la mitigación del riesgo. Normalmente, esto incluye la creación de comités de ética o equivalentes para evaluar el impacto de las aplicaciones que utilicen esta tecnología y proporcionar orientación sobre prácticas seguras.
Capacitación
Una práctica normalmente recomendada es capacitar al personal de la organización. Con ello, se logra establecer una primera línea de defensa frente al uso incorrecto de la IA y el correspondiente riesgo. Como dijimos en el punto anterior, es conveniente que se desarrollen algunas políticas o pautas de su uso, pero también es aconsejable permitir el uso de herramientas de IA que han demostrado ser seguras, así como capacitar y exigir que se cumplan las reglas establecidas en un primer momento.
Control de acceso
Es habitual restringir o limitar el acceso a los sistemas para mitigar los riesgos derivados de un uso inapropiado. Por ello, es conveniente aplicar esta medida a las herramientas de IA y permitir su acceso solo al personal autorizado. Esto puede lograrse mediante la implementación de controles de acceso basados en roles y la gestión adecuada de credenciales de usuario.
Auditorías y supervisión
Una medida para reducir el riesgo del uso no autorizado de sistemas de IA es la realización de auditorías periódicas, con el propósito de identificar posibles vulnerabilidades y verificar el cumplimiento de las políticas de seguridad establecidas. Además, mantener una supervisión continua para detectar actividades inusuales o potencialmente maliciosas en la red interna (intranet) puede ser una medida útil.
Desarrollo responsable
Cuando se hacen desarrollos locales, es importante la incorporación de consideraciones de seguridad desde las etapas iniciales en el desarrollo de sistemas de IA. Esto incluye la realización de evaluaciones de riesgos y pruebas de seguridad durante todo el ciclo de vida del producto o servicio.
Una implementación de medidas como las anteriores, contribuye a que las organizaciones puedan reducir significativamente el riesgo de que la IA sea utilizada de manera no autorizada o maliciosa y, en ese sentido, se promueve el uso responsable de las nuevas tecnologías en beneficio de organizaciones, colaboradores y la sociedad en general. Los auditores deben tener en cuenta las prácticas antes citadas como parte de sus evaluaciones y recomendaciones. De este modo, podrán contribuir de manera más integral en el mejoramiento del control interno.

CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.
Comentarios