Parte II: Implementando IA generativa con velocidad y seguridad
Comprender y responder a los riesgos entrantes
Según nuestra experiencia, incluso mediante la creación de la propia aplicación de IA de generación de McKinsey, los riesgos relacionados con la IA de generación se pueden capturar en ocho categorías principales. Estas categorías consideran tanto los riesgos entrantes como los riesgos que resultan directamente de la adopción de herramientas y aplicaciones de IA de generación. Cada empresa debería desarrollar alguna versión de esta taxonomía central para respaldar la comprensión y la comunicación sobre los riesgos que surgen de la implementación de la IA genérica.
Decidir cómo responder a los riesgos entrantes es un tema central para muchos equipos ejecutivos y juntas directivas. Esta decisión debería servir como base para la forma en que una organización comunica sobre la generación de IA a sus empleados y partes interesadas. También debe informar el enfoque de los casos de uso.
Vemos cuatro fuentes principales de riesgo entrante por la adopción de la IA genérica:
- Amenazas a la seguridad, resultantes del mayor volumen y sofisticación de los ataques de malware habilitado para IA de generación.
- Riesgo de terceros, resultante de los desafíos para comprender dónde y cómo terceros pueden estar implementando IA genérica, creando posibles exposiciones desconocidas.
- Uso malicioso, resultante de la posibilidad de que los malos actores creen deepfakes convincentes de representantes o marcas de la empresa que resulten en un daño significativo a la reputación.
- Infracción de propiedad intelectual (PI), como resultado de que la propiedad intelectual (como imágenes, música y texto) se introduzca en motores de entrenamiento para modelos de lenguaje grandes subyacentes y se haga accesible a cualquier persona que utilice la tecnología.
La mayoría de las organizaciones se beneficiarán de un sprint centrado en investigar cómo la IA genética está cambiando su entorno externo, con dos objetivos principales. La primera es comprender las posibles exposiciones a riesgos entrantes, anclados en el perfil de riesgo de la organización (por ejemplo, cuántos terceros tienen acceso a datos sensibles o confidenciales a los que es necesario restringir el entrenamiento de modelos de IA de generación externa). El segundo objetivo es comprender la madurez y preparación del entorno de control: las capacidades técnicas y no técnicas que la organización tiene implementadas para prevenir, detectar y, en última instancia, responder a los riesgos entrantes. Estos incluyen defensas cibernéticas y contra el fraude, diligencia de terceros para identificar dónde terceros críticos pueden estar implementando IA de generación y la capacidad de limitar la extracción de propiedad intelectual de la empresa por parte de motores utilizados para entrenar grandes modelos de lenguaje.
Dada la naturaleza cambiante de la tecnología subyacente a la generación de IA y sus aplicaciones, las organizaciones deberán repetir el esfuerzo para identificar su exposición con cierta regularidad. Para la mayoría de las organizaciones, será importante actualizar este ejercicio al menos semestralmente hasta que el ritmo del cambio se haya moderado y los entornos de control y las defensas hayan madurado.
Fuente: (Marzo, 2024) : Implementando IA generativa con velocidad y seguridad https://www.mckinsey.com/capabilities/risk-and-resilience/our-insights/implementing-generative-ai-with-speed-and-safety