La popularidad de la inteligencia artificial (IA) generativa ha creado un terreno complicado para las organizaciones. Por un lado, existe esta tecnología transformadora con el potencial de reducir costes y aumentar los ingresos; por otro lado, el uso indebido de la IA puede trastornar industrias enteras, provocar desastres de relaciones públicas, insatisfacción de clientes y empleados, y violaciones de seguridad. Por no hablar del dinero que se desperdicia en proyectos de IA fallidos.
Los investigadores no se ponen de acuerdo sobre el rendimiento que están obteniendo las empresas de sus inversiones en IA, pero las encuestas muestran un aumento de la adopción de la IA generativa en más casos de uso empresarial y un crecimiento constante de los proyectos que pasan de la fase piloto a la de producción. Un informe sobre seguridad de la IA de Zscaler, publicado a finales de marzo, observó un aumento del 3464% en la actividad de la IA en las empresas.
Pero con la creciente conciencia del potencial de la IA generativa, también aumenta la conciencia de sus riesgos. Por ejemplo, según Zscaler, las empresas bloquean actualmente el 60% de todas las transacciones de IA, siendo ChatGPT la aplicación individual bloqueada con más frecuencia. ¿Una de las razones? Según Zscaler, solo en ChatGPT se registraron alrededor de 3 millones de intentos de usuarios de cargar datos confidenciales.
Una política de uso de la IA cuidadosamente pensada puede ayudar a una empresa a establecer criterios de riesgo y seguridad, proteger a los clientes, a los empleados y al público en general, y ayudar a la empresa a centrarse en los casos de uso de la IA más prometedores. “No adoptar la IA de forma responsable supone, en realidad, reducir la ventaja competitiva en el mercado”, afirma Bhrugu Pange, director general que dirige el grupo de servicios tecnológicos de AArete, una empresa de consultoría de gestión.
Según una encuesta realizada a más de 300 ejecutivos de alto nivel por el bufete de abogados Littler, especializado en derecho laboral, el 42% de las empresas contaba con una política de IA en septiembre de 2024, frente a solo el 10% un año antes. Otro 25% de las organizaciones está trabajando actualmente en políticas de IA y un 19% está considerando la posibilidad de adoptarlas.
Si todavía está trabajando en su política de IA, o está actualizando la que ya tiene, aquí tiene diez áreas clave que debe cubrir.
Definición clara de IA
La IA significa cosas diferentes para cada persona. Los motores de búsqueda tienen IA. También los correctores gramaticales y Photoshop. Casi todos los proveedores empresariales están ocupados añadiendo funcionalidades de IA a sus plataformas. Incluso cosas que apenas tienen inteligencia se están rebautizando como IA para llamar la atención y conseguir financiación.
Es útil tener una definición común de IA cuando se discuten los riesgos, los beneficios y las inversiones.
Aflac comenzó a crear su política oficial de IA a principios de 2024, según Tera Ladner, subdirectora de Seguridad de la Información Global de Aflac, basándose en sus marcos normativos existentes. Aflac no es la única empresa que se ha dado cuenta de que IA puede ser un término muy vago.
Kathy Kay, CIO de Principal Financial Group, afirma que también tuvieron que elaborar una definición clara de IA, porque se dieron cuenta muy rápidamente de que la gente hablaba de IA de forma diferente. La empresa tuvo que desarrollar una definición de lo que significaba IA en el contexto de la empresa, para que, cuando se hablara de IA, todos estuvieran en sintonía.
Y, dado que la IA puede significar cosas diferentes para diferentes personas, es útil contar con una variedad de puntos de vista en el debate.
Aportaciones de todas las partes interesadas
En Aflac, el equipo de seguridad tomó la iniciativa inicial en el desarrollo de la política de IA de la empresa. Pero la IA no es solo una cuestión de seguridad. «Y no es solo una cuestión legal», afirma Ladner. “No es solo una cuestión de privacidad. No es solo una cuestión de cumplimiento normativo. Es necesario reunir a todas las partes interesadas. También recomiendo encarecidamente que la política sea sancionada o aprobada por algún tipo de comité o órgano rector, para que tenga el peso necesario”.
Una política de IA debe servir a toda la empresa, incluidas las unidades de negocio individuales.
En Principal Financial, Kay afirma que ella y el director de cumplimiento normativo de la empresa fueron los patrocinadores ejecutivos de su política de IA. “Pero contamos con representantes de las unidades de negocio, del departamento jurídico, del departamento de cumplimiento normativo y de los tecnólogos, e incluso participamos al departamento de RR. HH.”, añade. “Todos aprenden juntos y se pueden alinear los resultados que se quieren conseguir”.
Intuit también formó un equipo multidisciplinar para crear su política de IA. Esto ayudó a la empresa a crear políticas de gobernanza para toda la empresa y a cubrir los requisitos legales, los estándares del sector y las mejores prácticas, según Liza Levitt, vicepresidenta y consejera general adjunta de Intuit. “El equipo incluye personas con experiencia en privacidad de datos, IA, ciencia de datos, ingeniería, gestión de productos, asuntos legales, cumplimiento normativo, seguridad, ética y políticas públicas”.
Empieza por los principios básicos de la organización
Una política de IA debe partir de los valores fundamentales de la organización en materia de ética, innovación y riesgo. “No se limite a redactar una política para cumplir con los requisitos de cumplimiento”, afirma Avani Desai, directora ejecutiva de Schellman, una empresa de ciberseguridad que colabora con otras empresas en la evaluación de sus políticas e infraestructura de IA. “Cree un marco de gobernanza que sea resistente, ético, fiable y seguro para todos, no solo para que usted tenga algo que nadie va a mirar”.
Empezar por los valores fundamentales ayudará a crear el resto de la política de IA. “Hay que establecer directrices claras”, afirma Desai. “Es importante que todo el mundo, desde los altos cargos hasta los empleados, esté de acuerdo en que la IA debe utilizarse de forma responsable y debe ajustarse a la ética empresarial”.
Contar con estos principios también ayudará a las empresas a adelantarse a la normativa.
Alinearse con los requisitos normativos
Según Gartner, la gobernanza de la IA será un requisito de todas las leyes y normativas soberanas sobre IA en todo el mundo para 2027.
La mayor normativa sobre IA que ya está en vigor es la Ley de IA de la UE. “La Ley de IA de la UE es el único marco que he visto que lo cubre todo”, afirma Desai, de Schellman. Y se aplica a todos los países que suministran sus productos en la UE o a los ciudadanos de la UE.
La ley establece ciertos estándares mínimos que todas las empresas de cierto tamaño deben cumplir, afirma. “Es muy similar a lo que ocurrió con el RGPD. Las empresas estadounidenses se vieron obligadas a cumplirlo porque no podían bifurcar los datos de quién está en la UE y quién no. No quieres crear un nuevo sistema solo para los datos de la UE”.
El RGPD no es la única normativa que se aplica a otros, hay muchas normativas en todo el mundo que tratan cuestiones de privacidad de datos, que también son relevantes para el despliegue de la IA. Y, por supuesto, existen normas de privacidad de datos específicas para cada sector, como las de la sanidad y los servicios financieros.
Algunos reguladores y organismos normativos ya han comenzado a estudiar cómo actualizar sus políticas para la IA generativa. “Nos basamos en gran medida en las directrices de la NAIC específicas para las compañías de seguros”, afirma Ladner, de Aflac. “Queríamos asegurarnos de que estábamos captando las directrices y las medidas de protección que prescribía la NAIC y de que se aplicaban”.
Establecer directrices claras sobre el uso responsable
¿Pueden los empleados utilizar chatbots públicos de IA o solo herramientas seguras y aprobadas por la empresa? ¿Pueden las unidades de negocio crear y desplegar sus propios agentes de IA? ¿Puede RR. HH. activar y utilizar las nuevas funciones basadas en IA en su software de RR. HH.? ¿Pueden los departamentos de ventas y marketing utilizar imágenes generadas por IA? ¿Deben los seres humanos revisar todos los resultados de la IA, o solo es necesario revisarlos en casos de uso de alto riesgo?
Este es el tipo de preguntas que se incluyen en la sección de uso responsable de la política de IA de una empresa y que dependen de las necesidades específicas de la organización.
Por ejemplo, en Principal Financial, el código generado por la IA debe ser revisado, afirma Kay. “No nos limitamos a lanzar el código al mercado. Contamos con una persona que actúa como intermediario”. Del mismo modo, si la empresa crea una herramienta de IA para los empleados que atienden al cliente, habrá una persona que compruebe los resultados, afirma.
Adoptar un enfoque basado en el riesgo para la IA es una buena estrategia, afirma Rohan Sen, director de Riesgo de Datos y Privacidad de PwC. “No conviene restringir en exceso las cosas de bajo riesgo”, afirma. “Si se utiliza Copilot para transcribir una entrevista, el riesgo es relativamente bajo. Pero si se utiliza la IA para tomar una decisión sobre un préstamo o para decidir cuál debe ser la tarifa de un seguro, las consecuencias son mayores y es necesario que haya una revisión humana”.
No hay que olvidar el impacto de los terceros
Si algo sale mal debido a un problema relacionado con la IA, al público no le importará que no haya sido culpa suya, sino de un proveedor o contratista. Ya se trate de una violación de datos o de una ley de préstamos justos, la responsabilidad recaerá sobre usted.
Esto significa que una política de IA no puede limitarse a cubrir los sistemas internos y los empleados de una empresa, sino que también debe incluir la selección y la supervisión de los proveedores.
Algunos proveedores ofrecen indemnización y protección contractual. Evitar la dependencia de un proveedor también ayudará a reducir el riesgo de terceros. Si un proveedor incumple la política de IA de sus clientes, puede ser difícil cambiar de proveedor.
En lo que respecta a los proveedores de modelos de IA, ser agnóstico desde el principio ayudará a gestionar ese riesgo. Esto significa que, en lugar de codificar de forma rígida una IA u otra en el flujo de trabajo de la empresa, la elección del modelo se deja flexible, de modo que se pueda cambiar más adelante.
Aunque requiere más trabajo inicial, hay otras ventajas empresariales además de la reducción del riesgo. “La tecnología está cambiando”, afirma Sen, de PwC. “No se sabe si un modelo será mejor que otro dentro de dos años”.
Establecer una estructura de gobernanza clara
Una política de IA que establezca expectativas claras es la mitad del camino, pero la política no será especialmente eficaz si no establece también cómo se va a aplicar.
Solo el 45% de las organizaciones se encuentran en un nivel de madurez de gobernanza de la IA en el que su política de IA está alineada con su modelo operativo, afirma Lauren Kornutick, analista de Gartner, citando una encuesta de Gartner de 2024. “El resto puede tener una política sobre lo que se considera un uso aceptable, o una política de IA responsable, pero no la ha puesto en práctica de forma eficaz en toda la organización”, afirma.
¿Quién decide si un caso de uso concreto cumple las directrices de la empresa y quién se encarga de hacer cumplir esta decisión?
“Las políticas están muy bien, pero no son suficientes”, afirma. “Es algo que escucho constantemente de nuestros directores de seguridad de la información y nuestros responsables de privacidad”. Según ella, es muy importante aclarar este punto. Las empresas que lo hacen de forma eficaz están un 12% más avanzadas en la implementación de tecnología.
Y el primer paso, según Sanjeev Vohra, director de Tecnología e Innovación de Genpact, es averiguar qué IA tiene ya la empresa. “Muchas empresas no tienen un inventario completo de su uso de la IA. Eso es lo que recomendamos como primera medida, y se sorprenderán de lo mucho que lleva”.
Utilizar la tecnología para garantizar el cumplimiento
Una forma de comprobar si se está siguiendo una política de IA es utilizar sistemas automatizados. “Estamos viendo surgir tecnología para apoyar la aplicación de las políticas”, afirma Kornutick, de Gartner.
Por ejemplo, un flujo de trabajo impulsado por IA puede incluir un paso de revisión manual, en el que interviene una persona para comprobar el trabajo. O bien, se pueden utilizar herramientas de prevención de pérdida de datos para garantizar que los empleados no suban datos confidenciales a chatbots públicos.
“Todos los clientes con los que trabajo tienen capacidades de supervisión para ver dónde se produce la filtración de datos, qué se descarga en su entorno y disponen de medios para bloquear el acceso a sitios que no han sido aprobados o que representan un riesgo para las empresas”, afirma Dan Priest, director de IA de PwC. “El riesgo es real, pero hay buenas formas de gestionarlo”.
Planifique todas las posibilidades, incluidas las peores
Las cosas pasan. Por muy buena y completa que sea una política de IA, habrá infracciones y habrá problemas. Un chatbot de la empresa dirá algo embarazoso o hará una promesa que la empresa no podrá cumplir porque no se activaron las medidas de seguridad adecuadas.
“Se oyen ejemplos interesantes y divertidos de casos en los que la IA ha fallado”, afirma Priest. “Pero se trata de una parte muy pequeña de la conversación, porque hay formas razonables de gestionar esos riesgos. Y si se manifiesta algún volumen de esos riesgos, se activan contramedidas en la capa arquitectónica, en la capa de políticas y en la capa de formación”.
Y, al igual que una empresa necesita contar con medidas técnicas para cuando la IA se desvía de su curso, una política de IA también debe incluir la respuesta a incidentes en caso de que el problema sea mayor, y la respuesta de la dirección para los casos en que los empleados, los clientes o los socios comerciales violen deliberada o accidentalmente la política.
Por ejemplo, los empleados de un departamento concreto pueden olvidar habitualmente revisar los documentos antes de enviarlos a los clientes, o una unidad de negocio puede crear un sistema de IA paralelo que ignore los requisitos de privacidad o seguridad de los datos.
“¿A quién se llama?”, pregunta Desai, de Shellman.
Es necesario contar con un proceso y formación para garantizar que se dispone de personal para hacer frente a las infracciones y que este tiene la autoridad necesaria para corregir la situación. Y si hay un problema con todo el proceso de IA, debe haber una forma de apagar el sistema sin causar daños a la empresa.
Planificar el cambio
La tecnología de IA avanza rápidamente. Eso significa que gran parte de lo que se incluye en la política de IA de una empresa debe revisarse y actualizarse periódicamente.
“Si diseñas una política que no tiene fecha de finalización, te estás perjudicando a ti mismo”, afirma Rayid Ghani, profesor de la Universidad Carnegie Mellon. Eso podría significar que ciertas disposiciones se revisen cada año, o cada trimestre, para asegurarse de que siguen siendo pertinentes.
“Cuando diseñas la política, debes señalar los aspectos que pueden cambiar y requieren actualizaciones”, afirma. Los cambios pueden ser el resultado del progreso tecnológico, de nuevas necesidades empresariales o de nuevas regulaciones.
Al fin y al cabo, una política de IA debe impulsar la innovación y el desarrollo, no obstaculizarlos, afirma Sinclair Schuller, director de EY. “Quienquiera que esté al frente, ya sea el director ejecutivo o el director de seguridad, debe decir: ‘Vamos a implantar una política de IA para que podáis adoptar la IA, no para impedir que la adoptéis’”, afirma.
Leave a Reply