Asegurar el Tráfico de Aplicaciones de IA

Este artículo explica cómo mantener el acceso seguro a las aplicaciones de IA en su organización.

Resumen

Usar herramientas basadas en IA aumenta la productividad, pero también presenta nuevos desafíos y riesgos de seguridad para su organización. Por ejemplo, los usuarios pueden introducir datos propietarios en la versión gratuita de una aplicación de IA, lo que resulta en que el proveedor de la aplicación tenga el derecho de usar esta información. Los actores malintencionados podrían consultar el LLM de la aplicación de IA para extraer los datos propietarios. A medida que el número de aplicaciones de IA se expande rápidamente, los equipos de seguridad enfrentan el desafío de saber qué aplicaciones están en uso y dónde se comparten los datos sensibles.

Para proteger su organización y sus datos sensibles mientras se habilita un uso seguro de aplicaciones de IA, Cato recomienda una estrategia de tres partes:

  1. Obtener Visibilidad: Comprender qué aplicaciones de IA se están utilizando, quién las utiliza y cómo se emplean

  2. Controlar el Acceso: Implementar políticas para regular el acceso a aplicaciones de IA e imponer medidas de seguridad

  3. Proteger los Datos: Salvaguardar la información sensible al prevenir el acceso no autorizado o el intercambio dentro de las aplicaciones de IA

Aprovechar una combinación de funciones le permite implementar esta estrategia y monitorear y asegurar el tráfico de aplicaciones de IA. Puede definir reglas del Cortafuegos de Internet para controlar el acceso a una categoría de aplicaciones de IA y establecer reglas para aplicaciones de IA específicas. Además, defina la política de Control de Aplicaciones para garantizar que los usuarios solo accedan a su inquilino empresarial para una aplicación de IA o bloqueen acciones granulares, manteniendo su información propietaria segura. Como capa adicional de protección, puede configurar la política de Control de Datos para evitar la transferencia de datos sensibles a aplicaciones de IA.

Obteniendo Visibilidad de Aplicaciones de IA en su Entorno

Conocer y comprender los riesgos asociados con las aplicaciones de IA utilizadas dentro de su organización puede prevenir riesgos de filtración de datos, violaciones de cumplimiento y posibles vulnerabilidades de seguridad. Entender qué aplicaciones de IA se están utilizando, quién las está utilizando y cómo interactúan con datos sensibles le permite aplicar políticas, mitigar amenazas y asegurar una adopción responsable de la IA. La visibilidad también ayuda a evaluar los posibles riesgos de las aplicaciones de IA, mantener la gobernanza y alinear el uso de la IA con el marco de seguridad de su organización.

El Tablero de Aplicaciones GenAI y el Catálogo de Aplicaciones le proporcionan visibilidad y comprensión de las aplicaciones de IA utilizadas en su entorno.

El Tablero GenAI

El Tablero de Aplicaciones GenAI proporciona visibilidad centralizada y completa del uso de aplicaciones de GenAI integradas, incluyendo IA en la sombra. El tablero detalla qué aplicaciones de IA se están utilizando en toda su organización, por quién, y rastrea todas las interacciones de usuarios y el intercambio de datos sensibles. Con la visibilidad proporcionada por el tablero GenAI, puede prevenir proactivamente las brechas de datos identificando riesgos. Para más información, consulte Uso del Tablero de Aplicaciones GenAI.

El Catálogo de Aplicaciones

El Catálogo de Aplicaciones contiene una amplia gama de datos de seguridad, cumplimiento e información general para cientos de aplicaciones y servicios de IA. Esto incluye proporcionar todas las perspicacias para llevar a cabo la gestión de riesgo de terceros (TPRM) para evaluar el riesgo de utilizar esta aplicación. Puede usar el catálogo para aprender más sobre una aplicación y decidir cómo usarla en su organización. Para más información, consulte Uso del Catálogo de Aplicaciones.

Las Actividades de Auditoría Soportan Aplicaciones GenAI

Las Actividades de Auditoría le proporcionan visibilidad fuera de banda de toda la actividad realizada por cualquier usuario en una aplicación SaaS conectada, incluso si un usuario no está conectado a la Nube Cato. Microsoft Copilot y ChatGPT pueden ser integrados con Cato para proporcionarle visibilidad de los chats y datos que se están compartiendo con estas aplicaciones. Para más información, consulte ¿Qué es el Control de Aplicaciones vía API con Actividades de Aplicaciones?.

Caso de Uso - Identificación de IA en la Sombra

La empresa ABC revisa el Tablero de Aplicaciones GenAI e identifica una herramienta de análisis de código basada en IA desconocida. Buscan la aplicación en el Catálogo de Aplicaciones y encuentran que tiene una puntuación de riesgo de 6. Para evitar el riesgo de que se divulgue información sensible, crean un rol de Control de Aplicaciones para bloquear el acceso a la aplicación.

Controlando el Acceso a Aplicaciones de IA

Sin los controles de acceso adecuados, los usuarios pueden introducir involuntariamente información confidencial en modelos de IA, lo que puede provocar fugas de datos o violaciones regulatorias. Además, las aplicaciones de IA no verificadas podrían introducir vulnerabilidades de seguridad, exponer código propietario o generar contenido engañoso o perjudicial. Al imponer políticas de acceso estrictas, puede asegurarse de que solo los usuarios autorizados interactúen con herramientas de IA autorizadas, minimizando el riesgo al tiempo que permite la adopción de IA.

Controlando el Acceso a Categorías de Aplicaciones

Cato mantiene 8 categorías del sistema para aplicaciones de IA además de la categoría general de Herramientas de IA Generativa. Estas pueden usarse en el Cortafuegos de Internet para controlar el acceso a una categoría de aplicaciones de IA, por ejemplo, aplicaciones de asistentes de código, o para las aplicaciones de IA más populares, incluidas ChatGPT, AgentGPT, Google Bard, Elicit AI, MagicPen AI, Poe AI, OpenAI, y más.

También puede definir reglas para aplicaciones de IA específicas o categorías de aplicaciones. Por ejemplo, después de crear una regla que bloquea el tráfico a la categoría Herramientas de IA Generativa, puede crear una regla con mayor prioridad que permita el tráfico a ChatGPT para un grupo específico de usuarios que necesitan acceso. Para más información, consulte ¿Qué es el Cortafuegos de Internet de Cato?.

El siguiente ejemplo de reglas de Firewall de Internet permite al Grupo de Usuarios Equipo de Investigación acceder a ChatGPT, mientras bloquea todo otro acceso a la categoría Herramientas de IA Generativa:

Regla_FW_Herramientas_AI.png

La Política de Control de Aplicaciones le permite controlar de manera granular el acceso a aplicaciones según criterios específicos, como la puntuación de riesgo de una aplicación o su nivel de cumplimiento. Para más información sobre cómo configurar reglas de Control de Aplicaciones, consulte Gestionar la Política de Control de Aplicaciones.

Controlando el Acceso a Inquilinos

Para prevenir la exposición de información propietaria en la versión gratuita de una aplicación, puede crear reglas en la política de Control de Aplicaciones que bloqueen a los usuarios de acceder a cuentas privadas y solo permitan acceso a su inquilino empresarial. Por ejemplo, puede definir reglas para la aplicación OpenAI que solo permitan actividad de inicio de sesión a su inquilino de la organización, y bloqueen todos los demás inicios de sesión (por ejemplo, iniciar sesión con una dirección de correo electrónico privada).

A continuación se muestra una base de reglas de ejemplo donde la primera regla permite inicio de sesión a OpenAI para nombres de usuario que incluyen el dominio de la empresa, luego las siguientes reglas bloquean todo inicio de sesión en OpenAI a través de autenticación directa y de terceros.

Reglas_CASB_Herramientas_AI.png

Controlando Actividades Granulares

Para mayor granularidad, para algunas aplicaciones puede equilibrar seguridad con productividad permitiendo a los usuarios acceder a una aplicación necesaria mientras se bloquean actividades riesgosas dentro de ella. Para hacer esto, puede crear reglas en la política de Control de Aplicaciones, que incluyen actividades granulares. Por ejemplo, puede permitir el acceso a Wordtune, pero bloquear a los usuarios para que no suban archivos.

Gran_actv.png

Protegiendo Datos Sensibles

Las aplicaciones GenAI a menudo procesan entradas de usuarios de manera que podrían conducir a fugas de datos, como que los usuarios compartan sin querer código propietario, información de identificación personal (PII) o datos comerciales confidenciales. El servicio DLP de Cato escanea el contenido e impone políticas en una aplicación de IA para ayudarle a evitar que los usuarios comprometan datos sensibles al usar la aplicación. Al crear reglas DLP para aplicaciones GenAI, puede imponer políticas que detecten y bloqueen la entrada de datos sensibles en modelos de IA.

Perfiles de Datos Predefinidos

El servicio DLP de Cato utiliza docenas de modelos capaces de detectar datos sensibles en el flujo de tráfico utilizando técnicas avanzadas. Esto incluye categorías como Finanzas, Legal, Recursos Humanos, Inmigración y Medicina. Además, DLP también incluye Tipos de Datos para su uso con aplicaciones GenAI. Por ejemplo, el Perfil de Datos de PII incluye Tipos de Datos como información de tarjeta de crédito y licencias de conducir. Esto le permite crear una política granular que solo se aplica a los datos sensibles pertinentes y previene que sean utilizados en una aplicación de IA.

Si los perfiles de datos predefinidos pueden proporcionar sus propios archivos/datos para entrenar un modelo de ML personalizado. Los motores de IA avanzados aprenden de esta entrada, deducen el contexto y luego detectan datos sensibles dentro del mismo dominio.

Para más información, consulte Trabajando con Tipos de Datos Personalizados para DLP.

Monitorización de Violaciones de Datos Predefinidos

Nota

Nota: Esta función está disponible por defecto para cuentas creadas después del 25 de marzo de 2025. Para cuentas creadas antes de esta fecha, puede crear manualmente los Tipos de Datos. Para más información, consulte Reglas DLP Recomendadas para Monitorear Aplicaciones de IA.

La política de Control de Aplicaciones y DLP incluye reglas predefinidas recomendadas por Cato. Incluidas en estas están las reglas para proteger sus aplicaciones de IA. Por defecto, DLP monitorea y crea eventos para los siguientes Tipos de Datos que se suben a herramientas GenAI:

  • PII

  • Datos financieros

  • Claves de acceso & tokens

  • Datos legales

Caso de Uso - Identificar Violaciones de Políticas de Datos

La empresa ABC está firmando un acuerdo para suscribirse a una nueva aplicación SaaS. Se les envía el contrato para firmar y un usuario lo sube al nivel gratuito de una aplicación GenAI de alto riesgo para revisarlo y resumir el contrato. La regla DLP Predefinida crea un Evento para alertar al equipo de seguridad de esta violación de la política.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 4 de 4

0 comentarios