La seguridad de la IA debe ser una prioridad para los programas de experiencia

Las nuevas tecnologías de IA ofrecen grandes oportunidades para transformar la forma en que las empresas pueden ofrecer experiencias a sus clientes y empleados, pero también plantean serias cuestiones de seguridad. En Medallia, nuestras principales prioridades son la privacidad y la seguridad de los datos de nuestros clientes y garantizar un uso responsable de esos datos.

Medallia lleva más de 15 años formando y empleando modelos de inteligencia artificial (IA) con Text Analytics y Speech Analytics -incluida la transcripción de voz a texto- para empresas de sectores sensibles como los servicios financieros, los seguros y la sanidad, así como para organismos públicos. 

Más de un millón de usuarios activos utilizan cada semana estas soluciones basadas en IA en casi todos los sectores para comprender y ofrecer experiencias personalizadas a clientes y empleados. Y hoy, en Experience '24, hemos anunciado cuatro innovadoras soluciones de IA generativa para acelerar estos esfuerzos. Dado que nos hemos centrado en la IA desde hace tanto tiempo, las consideraciones de seguridad son -y siempre serán- fundamentales para la forma en que diseñamos e implementamos los modelos de IA.

A la hora de implantar los últimos y mejores métodos de IA en sus programas de experiencia, es fundamental comprender los riesgos que un modelo podría suponer para la seguridad de los datos que maneja su empresa. 

Vamos a esbozar algunas de las preguntas que deberías hacerte a ti mismo y a tu posible proveedor de soluciones de IA para hacerte una idea de cómo piensan en la seguridad de la IA.

Seguridad de los datos: ¿A dónde van mis datos? ¿Quién los utiliza?

Algunos modelos lingüísticos de gran tamaño (LLM) u otros modelos complejos pueden requerir que sus datos salgan de sus propios centros de datos para ser analizados en los de quienquiera que sea el propietario del modelo. Cuando los datos "salen" de su centro de datos y "entran" en el de un tercero, los atacantes tienen la posibilidad de interceptarlos y la seguridad de sus datos queda sujeta a los controles de seguridad implementados por el tercero. 

Pero también existen otros riesgos de fuga de datos. Los datos pueden "filtrarse" en la fuente o en los subprocesadores de un tercero. Cuanto más se amplíe su red, mayor será el riesgo de fuga de datos. Por lo tanto, el flujo de sus datos -de dónde vienen y a dónde van- y los controles de seguridad en reposo y en tránsito son extremadamente importantes a la hora de considerar cómo de seguros son realmente sus datos cuando utiliza modelos de IA. 

Riesgos del modelo: ¿Para qué se utilizan mis datos? ¿Cómo se utilizan?

En un mundo ideal en el que los datos estuvieran protegidos, las empresas crearían sus propios modelos, los entrenarían con sus propios datos y evitarían que salieran de sus centros de datos. Por desgracia, la creación de modelos de IA propios diseñados específicamente para los datos y sistemas de una sola empresa requiere un tiempo y un coste prohibitivos, especialmente para aquellas que se encuentran en las primeras fases de su viaje hacia la IA. 

Para mitigar estos riesgos, muchas organizaciones pueden optar por emplear modelos internos de código abierto, es decir, modelos de código abierto alojados en sus propios centros de datos. Incluso con canalizaciones de datos extremadamente seguras, siguen existiendo riesgos; por ejemplo, modelos formados con contenidos protegidos por derechos de autor, modelos que ya no reciben soporte o actualizaciones, modelos que utilizan tecnología obsoleta, etcétera. Estos riesgos están relacionados con otro tipo de riesgo para la seguridad: la estabilidad de los modelos.

¿Cómo puedo mitigar los riesgos para la seguridad de mis datos que plantea la IA?

Entonces, ¿qué debe hacer usted, la empresa, para mitigar estos riesgos asociados a la seguridad de los modelos de IA? La respuesta es elegir socios que sean conscientes de estos riesgos y dediquen activamente a sus plataformas recursos de diseño de modelos, contratos legales, seguridad de datos, cumplimiento y otros recursos relevantes para la seguridad.

Por ejemplo, nuestros elevados estándares de almacenamiento de datos incluyen cifrado en reposo, estricto control de acceso, políticas de conservación de datos, derecho de supresión y cumplimiento de normas internacionales de seguridad de datos, como la ISO 27001. ¿Qué significa todo esto? Significa que cumplimos las normas de seguridad más estrictas, lo que incluye garantizar que los datos están encriptados, que sólo se conservan durante un periodo de tiempo determinado y que pueden eliminarse si se solicita. 

Medallia también cumple una serie de certificaciones y requisitos de seguridad extremadamente estrictos, además de normas de seguridad propias no contempladas en la normativa. Al utilizar nuestros modelos de IA - Text Analytics, Speech Analytics, conversión de voz en texto y todo lo que se alimenta de estos modelos - las empresas, los organismos públicos y los particulares están protegidos por muchas capas de seguridad, hasta en la forma en que diseñamos nuestros productos de IA.

Además, abordamos estas cuestiones de muchas maneras, entre ellas:

1. Aplicación de normas estrictas de seguridad en el almacenamiento y la transmisión de datos, en consonancia con las mejores normas, como ISO 27001 y SOC 2.

2. Alinearse con las normas de seguridad de la IA y las mejores prácticas recomendadas por el National Institute of Standards and Technology AI Risk Management Framework -también conocido como NIST AI RMF- y el ISO/IEC 23053 Framework for AI Systems Using Machine Learning (ML), algunas de las normas mundiales más sólidas.

3. Crear un Consejo de Moderación de IA interno que se encargue de supervisar todo el desarrollo de productos de IA en Medallia. 

4. Lanzamiento de una Junta Asesora de IA externa que incluirá la participación de las comunidades de clientes y socios Medallia , centrada en el uso responsable y ético de la IA, así como en el intercambio de aprendizajes, desafíos y mejores prácticas.

En segundo lugar, los proveedores deben ser siempre transparentes sobre cómo utilizarán tus datos en los contratos que firmes con ellos. Deben pedir explícitamente su consentimiento para los tipos de datos que van a utilizar y con qué fin. Medallia garantiza que los clientes dan su consentimiento de forma clara en nuestros contratos con ellos. Cuando cambiamos algo sobre el uso de los datos, avisamos a nuestros clientes con antelación. Nunca enviaremos sus datos a un subencargado del tratamiento ambiguo o a un lugar no consentido previamente en los términos del contrato.

El resultado de todo ello es una base sólida y segura para los modelos de IA pasados, presentes y futuros, así como para la estructura general de la plataforma de gestión de experiencias de Medallia. Nuestra dedicación a la creación de análisis e informes democratizados, personalizados y seguros para empresas nos obliga a estar a la vanguardia de los procesos y normativas de seguridad. Usted puede cosechar todos los beneficios de ese trabajo, sabiendo al mismo tiempo que tiene una parte interesada responsable invertida en el futuro de sus programas de experiencia impulsados por IA. 

La seguridad de los datos debe ser primordial para su proveedor de IA

La seguridad de los datos es esencial a la hora de elegir un proveedor de IA. En Medallia lo hemos aprendido trabajando en sectores sensibles durante las dos últimas décadas. Salvaguardar los datos es la base de nuestra forma de enfocar el desarrollo y la entrega de software. Al considerar las soluciones de IA, es vital sondear a los posibles proveedores sobre sus medidas de seguridad.

Las preguntas sobre la privacidad de los datos, los riesgos del modelo y las consideraciones éticas deben guiar su evaluación. Entender adónde van sus datos y cómo se utilizan es crucial. Para mitigar los riesgos es necesario seleccionar proveedores que den prioridad a la seguridad, el cumplimiento y la transparencia. Medallia Por ejemplo, la mayoría de los proveedores de servicios de Internet de la Comisión Europea, como Google, se adhieren a estrictas normas de protección de datos, cumplen la normativa internacional y garantizan el consentimiento explícito de los clientes.

Incorporar la IA a sus programas de experiencia es un paso poderoso, pero debe hacerse con cuidado. Medallia no sólo ofrece capacidades de IA de vanguardia, sino también el compromiso de que la privacidad de los datos de nuestros clientes, la seguridad y el uso responsable de esos datos son nuestras principales prioridades.