Cuando se trata de herramientas de inteligencia artificial como ChatGPT, el verdadero desafío no es sólo lo que pueden hacer, sino lo que deberían decir.
Las preocupaciones sobre el contenido dañino están en todas partes, pero la pregunta difícil es quién decide qué significa realmente “dañino” y quién lo ve.
Límites del filtro de seguridad
Casos de alto perfil han demostrado lo que sucede cuando las herramientas de inteligencia artificial fallan. Los informes de que ChatGPT obliga a los adolescentes a quitarse la vida han llevado a los principales proveedores a cerrar temas como el suicidio y las autolesiones. Esto ha llevado a barrer vallas y controles parentales.
Pero en la práctica, estas vallas a menudo adoptan un torpe enfoque único para todos. Se aplican las mismas reglas a todos los usuarios independientemente de su edad, habilidad o contexto. Así es como terminamos en una situación frustrante en la que los adultos son tratados como niños y los niños como adultos.
La iniciativa requiere sutileza
Dentro del lugar de trabajo, esta cuestión se vuelve aún más confusa. Un pasante de marketing, un responsable de cumplimiento y un director financiero pueden estar pidiendo ayuda al mismo sistema de inteligencia artificial. Sin embargo, la sensibilidad de lo que deberían ver puede variar dramáticamente.
Es posible que un funcionario de cumplimiento deba consultar las pautas regulatorias sobre el uso de información privilegiada. Esa misma información puede resultar peligrosa en manos de un empleado subalterno.
Un desarrollador puede necesitar un acceso profundo a la documentación de TI, pero a un usuario empresarial no se le debe permitir revelar secretos del sistema con indicaciones casuales.
Las empresas no pueden confiar en filtros de contenido estilo consumidor que tratan a todos por igual. Necesitan sistemas de inteligencia artificial que reconozcan roles, responsabilidades y límites legales.
Ingrese: control de acceso basado en personas
En lugar de restricciones generales que bloquean un tema completo para todos, las empresas pueden implementar un control de acceso basado en personas (PBAC) que refleje qué conocimiento se debe permitir ver a los diferentes usuarios.
Un sistema de inteligencia artificial que cumpla con el PBAC generará respuestas basadas en quién pregunta y qué está autorizado a saber. El mismo mensaje puede generar diferentes respuestas según la categoría del usuario, el nivel de autorización o los proyectos actuales.
Esto puede parecer un control de acceso basado en roles (RBAC) en ciberseguridad, pero RBAC responde a la pregunta: ¿A qué sistemas y archivos puede acceder este rol? Respuesta de PBAC: ¿Qué conocimiento debería ver y filtrar esta persona en este contexto particular?
Por ejemplo, con RBAC, un gerente de recursos humanos y un analista de software de recursos humanos pueden tener acceso al mismo sistema de registros de empleados según sus funciones. Si cada uno de ellos le pide a un asistente de IA el mismo mensaje, “resuma las tendencias que faltan durante los últimos seis meses”, un sistema de IA que se basa únicamente en el control RBAC dará a ambos usuarios la misma respuesta.
Esto podría incluir detalles confidenciales, como ausencias específicas de empleados, motivos de licencia o incluso notas médicas incorporadas si los registros subyacentes no se desinfectan adecuadamente.
Aunque técnicamente ambos roles tienen acceso al sistema, el resultado puede exponer inesperadamente información médica protegida (PHI) y crear posibles riesgos de cumplimiento.
Diferentes personajes
Con PBAC, el asistente de IA adaptará sus respuestas a la personalidad de cada usuario:
Para el líder de recursos humanos, cuya personalidad puede incluir no solo responsabilidades de gestión de empleados sino también el bienestar, el asistente de IA proporciona un resumen anónimo pero detallado como: “La Región A experimentó un aumento del 17 % en las licencias médicas, principalmente en funciones de atención al cliente, siendo las ausencias relacionadas con el estrés la categoría más común”.
Para el analista de datos, cuya personalidad se centra en métricas de rendimiento, el asistente de IA genera un informe de tendencias de alto nivel sin ningún contexto médico o personal: “El ausentismo aumentó un 7% intertrimestral, con el mayor aumento en el departamento de operaciones”.
Ambos usuarios hacen las mismas preguntas, pero PBAC se asegura de que cada uno reciba información adecuada al contexto de su función y necesidad de saber.
Varios proveedores de seguridad de Internet ya están probando este enfoque. Se ubican entre el modelo de lenguaje grande y el usuario final, asignando implementaciones a los requisitos de cumplimiento, privacidad y seguridad de la empresa.
El sistema se convierte en un firewall de contenido, que filtra no sólo la toxicidad, sino también temas que pueden plantear riesgos comerciales no deseados según la personalidad de cada usuario.
El contenido está fuera de control, bajo control.
PBAC sienta las bases para una mejor gobernanza de la IA. Cuando la salida de un modelo se filtra o bloquea, el sistema puede documentar por qué y proporcionar un seguimiento de auditoría que muestra qué contenido se restringió, bajo qué política y para quién.
Esta auditabilidad es crucial ya que las regulaciones de IA, como la Ley de IA de la UE y el Marco de Gestión de Riesgos de IA del NIST, impulsan a las empresas hacia una gobernanza rastreable y transparente.
Para gestionar los riesgos comerciales que plantea la adopción de la IA, las empresas deben alejarse de las viejas herramientas contundentes de moderación de contenido y adoptar otras que tengan más matices, sean más conscientes del contexto y estén más alineadas con la forma en que las empresas ya piensan sobre el control de acceso.
En otras palabras, el futuro de la gobernanza de la IA se parecerá mucho menos a los controles parentales y más a la ciberseguridad.
resultado final
A medida que la IA se integra en los flujos de trabajo empresariales, los rieles para el consumidor ya no son suficientes. Las regulaciones excesivamente restrictivas y únicas sofocan la innovación y desalientan el trabajo legítimo, mientras que las protecciones laxas o inexistentes invitan a riesgos regulatorios y de reputación.
Las empresas necesitan un sistema que comprenda quiénes son los usuarios, qué pueden ver y cuáles podrían ser las consecuencias si algo sale mal.
El control de acceso basado en personas es el siguiente paso. Aportan los matices y el contexto que la IA empresarial necesita, garantizando que estas poderosas herramientas sean seguras, útiles y alineadas con los objetivos comerciales.
Definir y documentar esta alineación es la próxima gran frontera en la gobernanza de la IA, donde la seguridad se rige por principios de necesidad de saber estructurados y bien definidos, no por una censura arbitraria.
Hemos calificado las mejores soluciones de gestión de identidad..
Este artículo se creó como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
