Business people attending a presentation on A.I. security systems

Una guía para gestionar los riesgos de la IA en el C-Suite

Aunque la inmensa mayoría no éramos del todo conscientes en ese momento, algo revolucionario sucedió en noviembre de 2022: nacía ChatGPT. Aunque su apariencia es la de un simple chat, la aplicación lo está cambiando todo. Cualquiera de nosotros, conectado a internet, haciendo preguntas y dando sencillas órdenes a través de una aplicación, empezábamos a experimentar, en primera persona, el poder transformador de la Inteligencia Artificial (IA).

En apenas una semana, más de un millón de personas hicieron posible que la IA redactara artículos breves en cualquier idioma, escribiera complejos códigos de programación, creara imágenes con un realismo increíble o resumiera libros completos. ¿El resultado? En muchas ocasiones, productos mucho mejores, de más calidad y más concisos que el que hubiera hecho cualquier de nosotros… Y en muchísimo menos tiempo.

Desde ese momento, que supone un hito en la llamada Revolución 4.0, las grandes empresas tecnológicas se han movilizado para lanzar productos alternativos, las startups han lanzado nuevos modelos para hacer aplicaciones a medida de ChatGPT y grandes empresas, incluida PwC, han anunciado inversiones millonarias para crear su propio “CompanyGPT”, tanto para uso interno de sus profesionales como para mejorar su oferta de servicios. El futuro ya está aquí.

Sin embargo, como ocurre ante cualquier oportunidad, también hay amenazas latentes que no hay que minusvalorar. Al mismo tiempo que conocíamos las grandes ventajas que nos iba a traer la IA, los hackers descubrían que la IA generativa podía ayudarles para crear malware, redactar correos electrónicos de phishing más creíbles o construir identidades falsas aún más convincentes, a pesar de los filtros cada vez más avanzados.

La desinformación, las violaciones de privacidad o los ataques cibernéticos han descubierto también una nueva arma muy poderosa.

Sin despreciar los grandes avances que se han visto en apenas semanas, con logros en codificación y en escritura profesional nunca vistos con tanta velocidad, lo cierto es que la Inteligencia Artificial viene con una etiqueta de advertencia: “Los sistemas de IA con inteligencia humana-competitiva pueden plantear profundos riesgos para la sociedad y la humanidad”.

Tras varios meses utilizando esta tecnología a nivel de usuario, se ha comprobado que utilizar la IA generativa -GenAI, en sus siglas en inglés-, va a exigir cambios constantes y ágiles para los desarrolladores, las empresas, los inversores, los responsables políticos y los ciudadanos, en general. Para sacar el máximo partido a esta tecnología rompedora en las empresas será necesario gestionar un amplio abanico de riesgos con una visión de conjunto y equilibrada que muestren las ventajas de su uso, generen confianza y, en definitiva, supongan una ventaja competitiva para mi compañía. Los responsables de riesgos de las empresas son claves a la hora de ayudar a las empresas a utilizar la IA generativa de forma segura y resistente.

El C-Suite ante la GenAI

Pero, ¿cómo afectan los riesgos de la IA al grupo de directivos más importantes de una compañía, el denominado C-Suite? En PwC hemos elaborado una guía donde se desgranan las principales implicaciones de la GenIA, puesto por puesto? Las resumimos a continuación:

  • Director de seguridad de información o Chief Information Officer. La IA generativa puede reducir las barreras de entrada para los hackers. ¿El riesgo más inmediato del que debe preocuparse un CISO? El phishing, cada vez más sofisticado. Señuelos personalizados más convincentes a través de chats, videos o audios “falsos” generados en vivo, haciéndose pasar por autoridades o familiares… En definitiva, para el CISO, la Inteligencia Artificial agrega un activo valioso que hay que administrar: genera oportunidades pero también grandes amenazas. Los ciberatacantes podrían manipular, por ejemplo, los sistemas de Inteligencia Artificial para hacer predicciones incorrectas o boicotear los servicios a los clientes. Sin duda alguna, se necesitarán protecciones de ciberdefensa más sólidas en sus empresas.
  • Director de datos o Chief Data Officer y director de privacidad o Chief Private Officer. Las aplicaciones de IA podrían multiplicar los riesgos en la gestión de los datos y de la privacidad. Después de todo, la promesa de los grandes modelos de lenguaje es que utilizan una cantidad ingente de datos y crean aún más datos nuevos, que por supuesto son vulnerables al sesgo, la mala calidad, el acceso no autorizado o la pérdida. Los profesionales que introducen datos confidenciales en modelos de GenAI públicos ya son un problema importante para algunas empresas. Se está comprobando cómo las nuevas aplicaciones de la IA, que almacena información de entrada de manera indefinida y que las usa para entrenar otros modelos, pueden infringir las normas de privacidad en vigor, lo que obligará al CDO y al CPO a redefinir sus roles en el corto y medio plazo.
  • Director de Cumplimiento o Chief Compliance Officer. La IA también obliga a hacer una revisión del papel que juega en las compañías el director de Compliance (CCO). En primer lugar, este directivo debe mantenerse al día con las nuevas regulaciones y hacer una vigilancia más estricta de las normas ya existentes que hay que tener en cuenta a la hora de utilizar la GenAI. Y en segundo lugar, tendrá que asignar el uso planificado de las aplicaciones de IA de su organización teniendo en cuenta las leyes y regulaciones ya existentes.
  • Director jurídico o Chief Legal Officer / Global Counsel. Sin un gobierno y una supervisión adecuados, el uso de la IA generativa por parte de tu empresa puede crear o disparar los riesgos legales. Las medidas laxas en materia de seguridad de datos, por ejemplo, pueden exponer públicamente los secretos comerciales de la empresa y otra información de propiedad, así como los datos de los clientes. Por otro lado, no revisar a fondo sus resultados generativos de IA puede dar lugar a imprecisiones, infracciones de cumplimiento, incumplimiento de contrato, infracción de derechos de autor, alertas de fraude erróneas, investigaciones internas defectuosas, comunicaciones dañinas con los clientes y daños a la reputación. Para cuestionar y defender problemas relacionados con la IA generativa, los equipos legales necesitarán una comprensión técnica cada vez más profunda, que en muchos casos aún es una tarea pendiente.
  • Directivos responsables de Auditoría interna. La auditoría interna será otro mecanismo de gobierno clave para confirmar que los sistemas de GenAI están diseñados e implementados de acuerdo con los objetivos de tu empresa. Pero para crear un plan de auditoría basado en riesgos específicos para la IA generativa, los directivos responsables de Auditoría Interna deben diseñar y adoptar nuevas metodologías, nuevas formas de supervisión y nuevas capacidades. Es difícil e ineficaz evaluar los riesgos que plantean los sistemas de IA generativa independientemente del contexto en el que se implementen. Comprender el problema que tu empresa está tratando de resolver con la IA es el punto de partida más importante.
  • Director financiero y controller o Chief Financial Officer. Sin un gobierno y una supervisión adecuados, el uso de la Inteligencia Artificial por parte de una compañía puede crear o exacerbar los riesgos financieros. Si no se usa correctamente, expone a la empresa al riesgo de “alucinaciones” sobre hechos financieros, errores de razonamiento y una dependencia excesiva de los resultados que requieren cálculos numéricos. Estos son riesgos de alto impacto a los que se enfrentan los CFO en el curso de sus funciones normales, a menudo en un entorno regulado. Los errores de información financiera no intencionados y muy visibles dan como resultado la pérdida de confianza de clientes, inversores, reguladores y otros grupos de interés, provocando un grave daño reputacional del que es costoso recuperarse.

En definitiva, para tener una IA fiable, hay que empezar por la gobernanza… Muchas personas dentro y fuera de tu organización pueden influir en su capacidad para usar la IA generativa de manera responsable: científicos e ingenieros de datos; proveedores de datos; especialistas en el campo de la diversidad, la equidad, la inclusión y la accesibilidad; diseñadores de experiencia de usuario; líderes de áreas funcionales; gerentes de producto, etcétera. Los perfiles que deberán estar presentes en tu empresa para gestionar el nuevo hito de la Revolución 4.0 se multiplican. Tener una estrategia de gobierno del uso de la Inteligencia Artificial generativa efectiva será vital.

atoca: