Dominar la gobernanza de la IA generativa: pasos clave para una adopción segura

Como
Gustó

Fecha:

Para la mayoría de las personas, el surgimiento de la IA generativa (gen AI) está indisolublemente ligado al lanzamiento de ChatGPT en noviembre de 2022, que atrajo a un millón de usuarios en cinco días.1La rápida adopción de ChatGPT entre los consumidores se ha visto reflejada por las entidades corporativas a medida que las empresas buscan comprender y aprovechar el potencial de las tecnologías de IA generativa. En pocas palabras, "si 2023 fue el año en que el mundo descubrió la IA generativa, 2024 es el año en que las organizaciones realmente comenzaron a usar esta nueva tecnología y a obtener valor comercial de ella".2Según una investigación de McKinsey & Company, la organización promedio ahora usa IA generativa en dos funciones comerciales y "el 65 por ciento de los encuestados informa que sus organizaciones usan regularmente IA generativa, casi el doble del porcentaje de nuestra encuesta anterior hace solo diez meses".2A medida que las empresas reinventan los procesos y buscan ofrecer un nuevo valor como resultado de las tecnologías de IA de última generación, se espera que las organizaciones aumenten sus inversiones en soluciones de IA de última generación: el 67 % de los encuestados anticipa que sus organizaciones realizarán inversiones adicionales en IA en los próximos años.2.

Si bien se espera que la IA de última generación aporte un enorme valor a las organizaciones, este valor se ve contrarrestado por los riesgos emergentes y los desafíos de seguridad de la información. Las organizaciones que buscan adoptar tecnologías de IA de última generación se enfrentan a riesgos que incluyen la inexactitud de los modelos de IA, la ciberseguridad, el cumplimiento normativo, las preocupaciones sobre la propiedad intelectual y los posibles impactos del sesgo.2Aunque las tecnologías de IA de última generación se encuentran en una etapa incipiente de desarrollo, los riesgos asociados son una preocupación real y ya se han detectado en algunos casos: el 44 % de los encuestados en un estudio de McKinsey indica que sus organizaciones han experimentado al menos una consecuencia negativa asociada con la IA de última generación.2No es de extrañar que los reguladores se hayan interesado por las tecnologías de IA. Por ejemplo, en febrero de 2024, la Comisión Federal de Comercio (FTC) presentó una demanda contra una empresa conocida como Automators LLC por supuestamente engañar a los consumidores; las afirmaciones de utilizar "aprendizaje automático de IA" para "maximizar los ingresos", lo que resultó en más de 22 millones de dólares en daños a los consumidores, actualmente están siendo examinadas mediante procedimientos legales.3A pesar de los riesgos asociados con la IA genérica, existe una clara brecha de gobernanza, ya que menos de 1 de cada 4 organizaciones ha establecido un proceso claro para identificar y mitigar el riesgo de la IA genérica.2Para construir sistemas habilitados para IA de manera responsable y pragmática, las organizaciones deben desarrollar un proceso claro para identificar, contextualizar y tratar los riesgos asociados con la IA general.

El mundo de la IA está lejos de ser un monolito. Existe una variación sustancial en las capacidades fundamentales de la IA, como la IA analítica frente a la IA generativa, hay ofertas comerciales equilibradas por ofertas de código abierto y hay numerosos modelos fundamentales de IA que suelen estar previamente entrenados y pueden personalizarse para adaptarse a las necesidades comerciales. Los tipos de riesgo a los que está expuesta una organización dependen en gran medida de los casos de uso previstos para la IA, que suelen variar ampliamente según la industria. La gama de riesgos y la experiencia disponible en la materia en una organización que desarrolla tecnologías de IA, como OpenAI o Anthropic, es drásticamente diferente de la de una organización típica que busca aprovechar las tecnologías de IA. McKinsey describe un modelo simple de tres niveles para comprender el panorama de la IA: los "tomadores" utilizan soluciones listas para usar, los "modeladores" personalizan las soluciones de IA con datos y sistemas patentados y, finalmente, los "creadores" desarrollan sus propios modelos fundamentales desde cero.2.

La siguiente guía está dirigida a los “tomadores” y probablemente sea útil para los “modeladores”, pero no está destinada a los “creadores” que enfrentan una variedad de riesgos nuevos que no se aplican a los otros grupos. Teniendo en cuenta que aproximadamente el 50% de las organizaciones están “utilizando modelos o herramientas listos para usar, disponibles públicamente, con poca o ninguna personalización” y que es significativamente menos probable que estas organizaciones tengan una experiencia sustancial en IA interna, la siguiente guía proporciona una base sólida para la gobernanza de la IA y la gestión de riesgos.2.

A continuación se presentan algunas prácticas recomendadas para garantizar una supervisión de gobernanza razonable y la gestión de riesgos de las tecnologías de inteligencia artificial general.

Establecer una política clara para el uso de la IA generativa

Esta política debe indicar claramente los principios para el uso de sistemas de IA, que suelen ser para promover objetivos comerciales existentes y optimizar costos. Esta política debe indicar claramente cualquier caso de uso que la organización considere inaceptablemente riesgoso o inadecuado, establecer un proceso de revisión para casos de uso potencialmente de alto riesgo y establecer requisitos para el uso y diseño de sistemas de IA generativa. Considere aprovechar su sistema interno de clasificación de datos para dirigir la conducta adecuada. Considere si todos los datos, incluidos los datos altamente confidenciales, se pueden proporcionar a sistemas de IA generativa o si ciertos elementos y categorías de datos requieren una revisión y aprobación explícitas antes de ser utilizados por tecnologías de IA generativa.

Proceso de revisión

Lo más importante es que se debe desarrollar un proceso repetible para revisar los casos de uso que puedan presentar un alto riesgo. Este proceso debe realizarse lo antes posible en el proceso de diseño y desarrollo e incluir a expertos en la materia técnica, miembros del equipo legal, personal de seguridad de la información y cumplimiento normativo, y cualquier otra persona que se considere necesaria para una revisión en particular. Las personas que realizan las revisiones deben tener la facultad de rechazar cualquier caso de uso que se considere que represente un riesgo inaceptable para la organización y la justificación para la aprobación o el rechazo de los casos de uso de IA de alto riesgo debe documentarse exhaustivamente de manera coherente.

Training

Se deben desarrollar materiales de capacitación específicos para las tecnologías de IA genérica e incluirlos en las actividades de capacitación continua. Deben reiterar los aspectos clave de la política e indicar a dónde dirigir las preguntas para su revisión. Es esencial enfatizar cualquier caso de uso de IA genérica que la empresa considere inaceptable y las organizaciones deben utilizar su sistema interno de clasificación de datos para indicar qué datos pueden y no pueden ingresarse en los sistemas de IA genérica y bajo qué condiciones.

Además de la capacitación sobre políticas y requisitos internos, también se debe brindar al personal técnico pertinente opciones de capacitación para comprender las tecnologías de inteligencia artificial de última generación y las mejores prácticas para desarrollar sistemas habilitados para inteligencia artificial de última generación. Permitir que los recursos técnicos tomen decisiones más informadas es un control simple pero eficaz para reducir los riesgos asociados con el desarrollo y la utilización de sistemas de inteligencia artificial de última generación.

Considere proveedores aprobados o preferidos

Si bien existen muchos productos de inteligencia artificial de última generación y proveedores asociados, suele ser más fácil realizar la debida diligencia e implementar controles de seguridad adecuados cuando se trabaja con una pequeña cantidad de proveedores. Al igual que los proveedores de servicios en la nube, suele ser más sensato para una empresa utilizar líderes de la industria que tengan más probabilidades de contar con programas de seguridad y cumplimiento sólidos. Considere realizar una debida diligencia exhaustiva sobre los principales proveedores de inteligencia artificial de última generación, como OpenAI o Anthropic, y luego utilizar estos proveedores para la mayoría de las necesidades de inteligencia artificial de última generación.

Comprender los controles y las opciones de configuracións

Teniendo en cuenta que muchas organizaciones simplemente utilizan productos de IA listos para usar con poca o ninguna personalización, es esencial comprender las opciones de control y configuración integradas como primera línea de defensa. Por ejemplo, OpenAI ofrece la funcionalidad para desactivar la opción "Mejorar el modelo para todos", lo que hará que los mensajes y las conversiones con ChatGPT ya no se utilicen para entrenar los modelos subyacentes.11OpenAI también ofrece una opción de “Exportar datos” que permite exportar conversaciones y mensajes y recibirlos por correo electrónico.12Examinar periódicamente los datos exportados para detectar violaciones de la política de la empresa o indicios de actividad de alto riesgo puede ser un proceso útil de seguridad y cumplimiento.

Tenga cuidado con las afirmaciones de marketing y adopte la transparencia

Como se señaló anteriormente, el mandato de la FTC de proteger a los consumidores de prácticas injustas y engañosas ya se ha extendido a las afirmaciones y prácticas comerciales de organizaciones que supuestamente ofrecen productos y servicios basados ​​en IA. Es esencial garantizar que las afirmaciones que se hacen públicas no sean exageradas, no estén probadas o se apliquen solo en determinadas condiciones. Las organizaciones también deben adoptar la transparencia y evitar engañar a los consumidores sobre cómo se obtienen y utilizan sus datos.

Tenga en cuenta los recursos de mejores prácticas

Existe una variedad de recursos de mejores prácticas que brindan información sobre todo, desde la funcionalidad básica de las tecnologías de IA de última generación hasta las mejores prácticas de seguridad y desarrollo. Las principales empresas de tecnología publican artículos disponibles públicamente sobre una variedad de temas relacionados con la IA de última generación. Recursos como el Marco de gestión de riesgos de IA del NIST y el Top 10 de OWASP para modelos de lenguaje grandes son recursos esenciales para considerar las implicaciones de riesgo y seguridad asociadas con la IA de última generación.

 

Referencias

1Lawlor, Pat y Jerry Chang. “El auge de la IA generativa: una cronología de innovaciones revolucionarias”. Tecnología inalámbrica e innovación, 2 de febrero de 2024, www.qualcomm.com/news/onq/2024/02/the-rise-of-generative-ai-timeline-of-breakthrough-innovations.

2 Singla, Alex, et al. “El estado de la IA a principios de 2024: la adopción de la IA aumenta y comienza a generar valor”. McKinsey & Company, McKinsey & Company, 30 de mayo de 2024, www.mckinsey.com/capabilities/quantumblack/our-insights/the-state-of-ai.

3Robbins, Colleen y Christopher E. Brown. Comisión Federal de Comercio contra Automators LLC, 8 de agosto de 2023, www.ftc.gov/system/files/ftc_gov/pdf/1-complaint.pdf.

4OpenAI. Preguntas frecuentes sobre controles de datos, help.openai.com/en/articles/7730893-data-controls-faq. Consultado el 2 de octubre de 2024.

Artículos relacionados

punto_img

Artículos Recientes

punto_img