¿Cómo implementar Microsoft Copilot de forma segura y minimizar los riesgos asociados? Las empresas deben tomar ciertas medidas antes y después de implementar Copilot para proteger mejor sus datos confidenciales.
Copilot, el nuevo asistente de inteligencia artificial de Microsoft, está disponible para empresas desde noviembre de 2023. Su objetivo es facilitar el trabajo de los usuarios y aumentar significativamente su productividad.
A diferencia de otras herramientas de inteligencia artificial como ChatGPT, Copilot tiene acceso a todos los datos confidenciales a los que puede acceder el usuario. Esto plantea importantes preocupaciones sobre la seguridad de los datos, especialmente teniendo en cuenta que, en promedio, cada empleado tiene acceso a alrededor del 10% de los datos de Microsoft 365 de una empresa.
Microsoft dice que Copilot combina el poder de los grandes modelos de lenguaje (LLM) con datos empresariales, convirtiéndolo en una de las «herramientas de productividad más poderosas del mundo».
Copilot puede buscar y compilar datos de documentos, presentaciones, correos electrónicos, calendarios, notas y contactos, lo que permite a los usuarios mejorar su creatividad, productividad y habilidades.
Sin embargo, esto plantea dos problemas importantes: Copilot utiliza los derechos de acceso existentes para determinar qué datos puede ver una persona, sin cuestionar si esa persona realmente debería tener acceso a esa información. Además, con Copilot es muy fácil crear contenido nuevo que contenga información confidencial, lo que aumenta la necesidad de protección.
Cuando las empresas proporcionan a sus empleados nuevas herramientas para acceder y utilizar datos, deben garantizar que los datos estén seguros. Gestionar permisos en plataformas de datos colaborativas y no estructuradas como M365 es una pesadilla para todos. Los riesgos de exposición de datos por parte de la IA aumentan significativamente si estos problemas no se abordan antes de utilizar herramientas de IA generativa.
Siete pasos para estar preparado para Microsoft Copilot
Entonces, ¿cómo podemos implementar Copilot de forma segura y minimizar los riesgos asociados? Las empresas deben tomar ciertas medidas antes y después de implementar Copilot para proteger mejor sus datos confidenciales.
Antes de la implementación
Antes de integrar Copilot, es imperativo asegurarse de que los datos confidenciales de la empresa estén protegidos adecuadamente. Dado que los derechos de acceso son la base para el funcionamiento del asistente de IA, los responsables de seguridad deben prestar especial atención a esta área y garantizar la transparencia, la implementación del principio de privilegio mínimo, el monitoreo continuo y el uso seguro de la Prevención de pérdida de datos (DLP). como Purview.
Paso 1: mejorar la transparencia
Para proteger los datos, es esencial saber qué datos existen, dónde se almacenan, qué información es importante o sensible, qué controles existen y cómo y quién los utiliza. Los escaneos inteligentes pueden responder estas preguntas, identificando dónde se encuentran los datos confidenciales, quién tiene acceso a ellos, cómo se utilizan y si están etiquetados adecuadamente.
Paso 2: agregar y corregir etiquetas
El uso que hace Microsoft de la función de seguridad de datos de Purview requiere archivos correctamente etiquetados. La automatización inteligente, basada en reglas precisas, puede escanear cada archivo para detectar y etiquetar automáticamente datos confidenciales, mejorando la eficiencia de las comprobaciones DLP posteriores.
Paso 3: Elimina los permisos que sean demasiado amplios
Siguiendo un modelo de Confianza Cero, las empresas sólo deberían otorgar acceso a los datos a las personas que realmente los necesitan para su trabajo, no a toda la empresa ni a todos los usuarios de Internet. La eliminación automatizada de enlaces y permisos demasiado amplios es esencial para garantizar la seguridad de la información confidencial.
Paso 4: verificar el acceso a datos críticos
Es fundamental que los responsables de seguridad verifiquen la idoneidad de los derechos de acceso, especialmente para los datos más importantes, como la propiedad intelectual secreta o los datos personales sensibles. Las soluciones inteligentes pueden identificar estos datos críticos e indicar quién tiene acceso a ellos y en qué medida, proporcionando la visibilidad necesaria.
Paso 5: Eliminar el acceso riesgoso adicional
Una vez que se implementen los primeros pasos, la automatización se puede utilizar para eliminar continuamente los derechos de acceso obsoletos o riesgosos, minimizando el riesgo de fugas de datos.
Después de la implementación
Una vez que Copilot esté activo, es crucial garantizar que el radio de explosión, es decir, el daño que puede causar una cuenta comprometida, no se expanda y que los datos sigan utilizándose de forma completamente segura.
Paso 6: Monitoreo y alerta continuos
La supervisión exhaustiva del uso de datos es esencial para detectar rápidamente cualquier comportamiento malicioso o riesgoso. Al monitorear cada interacción con los datos, los administradores de seguridad pueden reducir el tiempo de detección y el tiempo de respuesta ante cualquier amenaza potencial.
Paso 7: Automatizar las políticas de control de acceso
La automatización continua de las políticas de control de acceso es necesaria para mantener la seguridad y eficacia de Copilot a largo plazo. Al continuar monitoreando todos los datos y sus usos, los administradores de seguridad pueden garantizar que Copilot se utilice de manera consistente, segura y eficiente.
Microsoft Copilot, basado en el poder de los LLM y la IA generativa, puede hacer que los empleados sean más productivos. Sin embargo, un gran poder también conlleva un gran riesgo. Si las empresas no toman en serio los riesgos de seguridad de los datos relacionados con la IA y no toman las medidas necesarias, las herramientas de IA generativa pueden revelar datos confidenciales y crear fácilmente nuevos conocimientos, dejando a las empresas expuestas a los riesgos de pérdida, robo y uso indebido de los datos.
La transparencia total en el uso de datos y la automatización inteligente pueden proteger eficazmente datos comerciales valiosos en M365 sin comprometer la productividad. Fuente: NetMedia-Francia(JS), traducido al español.
Contacto