Riesgos y precauciones al usar IA para desarrollo de software en entornos organizacionales
El auge de herramientas de desarrollo de software basadas en IA plantea un creciente riesgo para la seguridad de las organizaciones.
Muchos desarrolladores se ven tentados a utilizar indiscriminadamente estas nuevas herramientas de IA para mejorar la calidad y productividad de su software, sin considerar los riesgos que esto puede implicar para la organización en la que trabajan. La novedad y rápida evolución de estas tecnologías dificultan su gestión por parte de algunas organizaciones.
El problema radica en la protección de la información, ya que actualmente casi ninguna de estas herramientas cumple con la certificación SOC 2 Type 2, lo cual representa un grave riesgo. La falta de esta certificación impide garantizar que los datos o códigos compartidos para entrenar el contexto o servir como parámetros de entrada para la IA se utilicen de forma correcta y confidencial. Solo algunas herramientas, bajo contrato empresarial, cuentan con esta certificación.
Utilizar herramientas gratuitas sin la aprobación del área de InfoSec (seguridad de la organización) pone en riesgo a la empresa e incluso nuestro empleo, ya que el código de una organización es propiedad intelectual y puede contener reglas de negocio de gran importancia y valor, que no deben compartirse con terceros, especialmente con la competencia.
Si bien la mayoría de las IA no identifican al usuario o el origen de los datos, esto no elimina el riesgo, ya que estamos entrenando una IA de uso masivo sobre el funcionamiento de nuestro software. Por lo tanto, es fundamental contar con un contrato de confidencialidad de los datos y que la empresa proveedora del servicio cuente con la certificación SOC 2 Type 2, incluso para definir las responsabilidades en caso de incumplimiento.
Una IA para desarrollo de software que opera en un entorno empresarial debe contar con la certificación SOC 2 Type 2 actualizada, lo que garantiza la confidencialidad del contexto y los datos compartidos.
¿Cuándo debemos utilizar herramientas de IA gratuitas o que no cumplen con SOC 2 Type 2?
Su uso es apropiado en proyectos de código abierto (open source) o para fines de aprendizaje (siempre y cuando se trabaje con código independiente y no perteneciente a ninguna organización). Si el repositorio Git es público, podemos utilizar la IA sin inconvenientes.
Conclusión
Utilicen las herramientas de IA para desarrollo de software, pero con responsabilidad y en el entorno correcto. Si tiene dudas, consulte con el área de seguridad de su organización (InfoSec) sobre la conveniencia de utilizar tal recurso, preferiblemente por correo electrónico, para tener un respaldo.
Es fundamental que las organizaciones que deseen incorporar IA en sus procesos contraten un servicio adecuado y verifiquen que la empresa proveedora cuente con la certificación SOC 2 Type 2. Además, es importante que el contrato incluya cláusulas de responsabilidad e indemnización en caso de cualquier incidente.