Cómo securiza Microsoft la IA generativa
Microsoft adopta un enfoque holístico de la seguridad de la IA generativa a través de cuatro áreas de protección.
Cómo garantiza Microsoft la seguridad en el uso de la IA generativa
Las posibilidades de la IA generativa son ilimitadas. Microsoft adopta un enfoque holístico de la seguridad de la IA generativa que tiene en cuenta la tecnología, sus usuarios y la sociedad en general a través de cuatro áreas de protección: privacidad y propiedad de los datos, transparencia y responsabilidad, orientación y política del usuario y seguridad por diseño.
Privacidad y propiedad de los datos
Microsoft aplica sus compromisos de privacidad a todas las experiencias Copilot y productos de software de IA generativa. A través de sus políticas transparentes de protección de datos y privacidad, garantizan que los datos de los clientes sigan siendo privados. Permiten a los clientes mantener el control de su información, que nunca se utilizará para entrenar modelos fundacionales ni se compartirá con OpenAI u otros clientes de Microsoft sin el permiso autorizado del usuario.
Transparencia y responsabilidad
La IA generativa a veces se equivoca. Para asegurarse de que el contenido creado por la IA generativa es creíble, es esencial que la IA:
- utiliza fuentes de datos precisas y autorizadas;
- muestra el razonamiento y las fuentes para mantener la transparencia; y
- fomenta un diálogo abierto con la provisión de retroalimentación, una vía que permita a los usuarios contribuir sustancialmente a la mejora de los resultados de la IA.
Orientación y política de usuarios
Para mitigar un posible exceso de confianza, se anima a los usuarios a reflexionar de forma crítica sobre la información que se les proporciona con la IA generativa, utilizando un lenguaje cuidadosamente meditado y citando las fuentes. También tienen en cuenta el mal uso hostil, cuando los usuarios intentan que la IA realice acciones perjudiciales, como generar código peligroso o instrucciones para construir un arma. Para evitar este tipo de uso indebido, se incorporan al sistema profundos protocolos de seguridad que establecen límites claros sobre lo que la IA puede y no puede hacer para mantener un entorno de uso seguro y responsable.
Seguridad por diseño
Para prepararse para los vectores de amenazas generativos de la IA, Microsoft ha añadido nuevos pasos a nuestro ciclo de vida de desarrollo de la seguridad, incluida la actualización del requisito SDL de modelado de amenazas para tener en cuenta las amenazas específicas de la IA y el aprendizaje automático, y la obligación de que los equipos se adhieran a la norma de IA responsable. También supervisan y registran continuamente las interacciones de sus modelos de lenguaje de gran tamaño en busca de amenazas y aplican una estricta validación de entradas y saneamiento de las prompts proporcionadas por los usuarios. Por último, someten todos sus productos de IA generativa a varias rondas de equipos rojos de IA para buscar vulnerabilidades y asegurarnos de que contamos con las estrategias de mitigación adecuadas.
Equipo rojo de IA («red teaming«)
¿Qué es el red teaming?
El red teaming en inteligencia artificial generativa es un proceso estructurado para identificar fallos y vulnerabilidades en sistemas de IA generativa. A diferencia de otros sistemas de IA, que suelen utilizarse para tomar decisiones, los sistemas de IA generativa producen contenido para sus usuarios. Esto significa que los equipos rojos deben centrarse en generar indicaciones maliciosas y realizar pruebas utilizando código tradicional para evaluar la capacidad del sistema para producir comportamientos perjudiciales o inapropiados.
El red teaming es una de las formas más efectivas de descubrir y gestionar los riesgos de la IA generativa. Este proceso no es único, sino continuo, fomentando la mejora continua y la resiliencia en el desarrollo y despliegue de estos sistemas.
El AI Red Team de Microsoft
Instituido en 2018, el AI Red Team de Microsoft refleja las tácticas y técnicas de los adversarios potenciales para encontrar y corregir vulnerabilidades. El encargo del equipo va más allá de la mera protección frente a posibles amenazas; abarca un examen crítico de otros fallos del sistema, incluida la generación de contenido potencialmente dañino, lo que nos proporciona una imagen completa de la integridad, confidencialidad y disponibilidad del sistema. El mundo de la IA está siempre en constante cambio y, como tal, los esfuerzos de red teaming de Microsoft son implacables y adaptables, abarcando un ciclo continuo de pruebas tanto antes como después del lanzamiento del producto.
Hacer que la IA sea segura para todos
Las tasas de adopción de la IA están aumentando rápidamente, a menudo sin el conocimiento o la supervisión de la dirección, y la demanda de aplicaciones de IA sigue creciendo exponencialmente. Como responsable de la toma de decisiones empresariales, adoptar la IA generativa es un movimiento estratégico que puede mejorar su organización y hacer que sus equipos sean más eficientes.
¿Está preparada tu organización? He aquí cómo empezar:
Paso 1: Implantar un modelo de seguridad de Confianza Cero
El modelo de seguridad de Confianza Cero utiliza inteligencia y análisis enriquecidos para garantizar que cada solicitud de acceso esté completamente autenticada, autorizada y encriptada antes de conceder el acceso. En lugar de asumir que todo lo que hay detrás del cortafuegos corporativo es seguro, el modelo de Confianza Cero asume la violación y verifica cada solicitud como si procediera de una red abierta.
Paso 2: Adoptar normas de ciberhigiene
El Informe de Defensa Digital 2023 de Microsoft muestra que la higiene básica de la seguridad sigue protegiendo contra el 99% de los ataques. Cumplir las normas mínimas de ciberhigiene es esencial para protegerse contra las ciberamenazas, minimizar los riesgos y garantizar la viabilidad continua de la empresa.
Paso 3: Establecer un plan de seguridad y protección de datos
Para el entorno actual, un enfoque de defensa en profundidad ofrece la mejor protección para fortificar la seguridad de los datos. Esta estrategia consta de cinco componentes, que pueden aplicarse en el orden que mejor se adapte a las necesidades específicas de su organización y a los posibles requisitos normativos.
Paso 4: Establecer una estructura de gobernanza de la IA
Para que las organizaciones estén preparadas para la IA, es fundamental que apliquen procesos, controles y marcos de responsabilidad que rijan la privacidad de los datos, la seguridad y el desarrollo de sus sistemas de IA, incluida la aplicación de normas de IA responsables.
Información basada en la publicación oficial de Microsoft: «How Microsoft Secures Generative AI«.