Los responsables de TI se enfrentan a la IA en la sombra

Max Chan sabía que tenía que hacer algo. Poco después de que ChatGPT irrumpiera en escena en noviembre de 2022, Chan se dio cuenta de que la inteligencia artificial (IA) generativa supondría mucho más que el último grito en tecnología. Las tecnologías de IA generativa, como ChatGPT de OpenAI y Bard de Google, son capaces de ingerir instantáneamente grandes cantidades de datos utilizando grandes modelos lingüísticos (LLM), lo que permite elaborar informes, contratos y códigos de aplicaciones que superan con creces a las tecnologías anteriores en velocidad, precisión y minuciosidad. Resultado: un aumento espectacular de la productividad y una ventaja empresarial que puede cambiar las reglas del juego.

"Los empleados van a utilizar esto. Si no hacemos nada al respecto, no tendrán más remedio que utilizarlo por su cuenta", afirma Chan, CIO de Avnet, proveedor de piezas y servicios tecnológicos. Michele Goetz, vicepresidenta y analista principal de Forrester Research, está de acuerdo. "Hay miedo a perderse algo. Aunque digas: 'No lo uses', tus empleados o clientes lo van a usar", afirma. "Se ha abierto la caja de Pandora, así que es mejor asociarse con los empleados para que no tengan que ocultar lo que están haciendo".

A pesar de su inmensa promesa, la IA generativa puede exponer a la luz pública información sensible y sujeta a derechos de propiedad. Esto podría poner en peligro la propiedad intelectual y acarrear sanciones normativas. Además, los resultados de la IA generativa a veces pueden ser tremendamente erróneos, dando lugar a "confabulaciones" o "alucinaciones". Y dado que los modelos de IA generativa se nutren de innumerables fuentes, la incorporación de resultados de IA generativa en el contenido corporativo de una organización podría dar lugar a una infracción de los derechos de autor.

Algunos de estos peligros se hicieron realidad en abril de 2023, cuando los empleados de Samsung filtraron inadvertidamente datos internos confidenciales a ChatGPT, lo que llevó a la empresa a prohibir temporalmente a sus empleados el uso de la tecnología de IA generativa, un incidente que puso a los responsables de TI en alerta máxima sobre el inminente aumento de la IA en la sombra, que pronto podría arraigar en sus organizaciones si no se adelantan a ella.

Estrategia a dos bandas

Con todo lo que está en juego, para Chan era impensable adoptar un enfoque de no intervención. En su lugar, está aplicando una estrategia doble: limitar la utilización de la IA generativa mediante políticas estrictas, al tiempo que se desarrollan y prueban rápidamente aplicaciones aprobadas y seguras. "Si alguien quiere probarla, tiene que presentar una solicitud y nosotros tenemos que revisarla, y trabajaremos con ellos para construir un producto mínimo viable", explica. A su vez, el MVP podría evolucionar hacia una prueba de concepto (POC), y de ahí, normalmente con la ayuda de un socio estratégico, a una aplicación de producción. Estas primeras aplicaciones están a punto de dar sus frutos. "Sin duda, un par de ellas estarán en producción a finales de año", avanza Chan.

Otros directores de informática han adoptado estrategias similares. "Nuestro enfoque es de cauteloso interés", afirma Robert Pick, vicepresidente ejecutivo y CIO de Tokio Marine North America, multinacional aseguradora con sede en Japón. Aunque Pick anima a los empleados de la aseguradora a experimentar, insiste en que se supervisen sus actividades. "En los seguros, vivimos en los datos todo el tiempo -y en los datos de terceros-, lo que es diferente de algunas industrias. Nos sentimos cómodos con la idea de que nuestros datos vayan a algún sitio para ser procesados y luego vuelvan. Si damos a los profesionales las herramientas y la orientación adecuadas, tomarán la decisión correcta", afirma Pick.

A pesar de los esfuerzos de Chan y Pick, Gartner prevé que el uso no autorizado será imposible de evitar. La consultora predijo en marzo de 2023 que, para 2026, el 5% de los empleados harán un uso no autorizado de la IA generativa en sus organizaciones. "En todo caso, el 5% es conservador. Todos los días recibo llamadas de personas que quieren saber cómo impedir que sus empleados utilicen ChatGPT", afirma Avivah Litan, distinguida vicepresidenta analista de Gartner.

Los CIO son conscientes de que, a menos que apliquen rápidamente políticas que permitan e incluso fomenten el uso de la IA generativa para algunos fines, perderán el control sobre una tecnología transformadora en sus organizaciones. Según IDC, los CIO han dejado de estar al margen y ahora se están poniendo al frente del desfile. En marzo de 2023, el 54% afirmó que aún no estaba haciendo nada con respecto a la IA generativa, pero en junio de 2023, solo el 23% hizo esa admisión. "En algunos casos, la gente está bloqueando; en otros, están adoptando políticas; y en otros casos, están llevando a cabo pilotos intencionados", afirma Daniel Saroff, vicepresidente de grupo de Consultoría e Investigación de IDC.

Un ‘hackathon’ saca a la luz las vulnerabilidades

En Parsons Corp., un proveedor de soluciones globales en los mercados de seguridad nacional e infraestructuras críticas, los primeros casos de IA en la sombra suscitaron una conversación entre Karen Wright, vicepresidenta de Estrategia, Productos y Comercialización de TI, y su homólogo de Ciberseguridad en Parsons. Esto siguió a un hackathon de ChatGPT para identificar riesgos de seguridad. "Fue un enfoque realmente bueno para comprender las implicaciones de la tecnología", dice Wright.

El hackathon demostró a Wright y a sus compañeros responsables de TI de Parsons que ChatGPT no era cualitativamente diferente de algunas herramientas basadas en web que los empleados ya utilizaban, como los servicios en línea de Adobe Acrobat, en los que los datos se envían fuera de una organización para ser procesados. En consecuencia, Parsons se decantó por el uso de herramientas de prevención de pérdida de datos (DLP) para evitar la exfiltración de datos mediante IA generativa.

"Nuestro objetivo es adoptar y acelerar el uso de la inteligencia artificial, gestionándola al mismo tiempo con herramientas DLP para garantizar la seguridad", afirma Wright. La educación también desempeñará un papel fundamental en la toma de control sobre la IA generativa en Parsons. "Nuestro enfoque es educar a los empleados sobre las mejores prácticas y herramientas para lograr sus objetivos al tiempo que protegen a la empresa", insiste.

Las aseguradoras entienden el riesgo

Como aseguradora global con presencia en muchos países, las unidades internacionales de TMG han estado experimentando con la IA generativa. "Vimos que había una enorme cantidad de experimentación personal. Pero como somos conscientes del riesgo, no había prisa por ponerlo todo en ChatGPT. La reacción fue rápida y clara: educación y supervisión", dice Pick. TMG ha creado grupos de trabajo en sus distintas empresas para examinar casos de uso como la redacción de cartas y contenidos de marketing para dar a los humanos una ventaja en el proceso, según Pick. Otro posible caso de uso de la IA generativa es que las distintas unidades de negocio redacten informes sobre las condiciones y el rendimiento del mercado. 

"Cualquier empresa con muchas unidades de negocio puede beneficiarse de la capacidad de la IA generativa para resumir la información", señala Pick. "Tomar un manual de suscripción y resumirlo en lenguaje sencillo podría llevar segundos o minutos para llegar a un primer borrador, en lugar de días o semanas", dice. "Eso nos permitirá concentrar nuestros recursos humanos de forma más eficiente en el futuro".

Además de ingerir y generar contenido escrito, la IA generativa muestra un gran potencial en el desarrollo de aplicaciones, según Pick. La capacidad de traducir casi en tiempo real un procedimiento almacenado de un lenguaje a otro con una tasa de precisión de quizá el 60%, incluyendo comentarios, aumentará enormemente la eficiencia de los desarrolladores, afirma. "Un programador podría tardar semanas en hacer lo mismo. Eso reportará dividendos durante años", defiende.

Asimismo, el uso de LLM privados resulta inmediatamente atractivo para un proveedor de seguros como TMG. "Existe la esperanza de que pueda encontrar cosas que los humanos no notarían. También nos interesan los 'pequeños LLM', si podemos llegar a ese estado, porque no necesitaríamos un centro de datos en la nube. En su lugar, utilizaríamos sandboxes acordonados para administrar los datos", explica Pick. Pero incluso con los LLM privados, la regulación entra en juego, dice el CIO. "Para que una empresa global como TMG utilice un LLM privado, los datos tendrían que cargarse en un sistema inquilino que esté dentro del área regulada por normativas específicas, como el GDPR en Europa", explica.

Aprovechar el POC

La búsqueda de Chan tanto de seguridad como de oportunidades resulta prometedora en varios POC. "Estamos formando a Azure OpenAI con toda la información de producto de que disponemos, de modo que una persona de negocios puede hacer una búsqueda rápida para encontrar un conector concreto y obtener varios ejemplos, incluidos los que están en stock. Ahorra tiempo porque la gente ya no tiene que llamar al equipo de materiales", dice Chan.

Azure OpenAI también genera contratos personalizados con rapidez. "Al cargar los últimos 10 años de contratos en el repositorio, podemos decir: 'Necesito un contrato para un proyecto concreto con tales y tales condiciones', y el sistema genera un contrato completo en cuestión de segundos", explica. Los ejecutivos de ventas pueden revisar y retocar el contrato antes de enviarlo al cliente. Se espera que la rapidez de respuesta redunde en una conversión más rápida de clientes potenciales en ventas, así como en clientes más satisfechos.

El proceso es similar con las solicitudes de propuestas (RFP), en las que los analistas empresariales especifican lo que necesitan y la IA generativa crea la RFP en cuestión de segundos. "El analista de negocio solo tiene que revisar y hacer cambios. Esto supone un enorme aumento de la productividad", comenta Chan. Los ingenieros también pueden recurrir a la IA generativa para encontrar posibles soluciones a las demandas de los clientes, como reducir la huella física de una placa de circuitos sustituyendo determinados componentes de la lista de materiales, al tiempo que se acorta el plazo de salida al mercado. "Devolverá opciones. Eso es enorme en términos de valor".

Un reto que merece la pena asumir

En general, los CIO consideran que las ventajas de la productividad de la IA generativa justifican enfrentarse a los retos de controlarla. "Nos aseguramos de que los datos de la empresa están a salvo, pero la IA no carece de capacidades para que los empleados de TI y de la empresa innoven", defiende Chan.

Según Pick, la IA generativa no dejará obsoletos a los trabajadores humanos, sino que los hará más productivos. "No la consideramos una tecnología que sustituya a las personas. Sigue necesitando un cuidador humano", dice. "Pero puede acelerar el trabajo, eliminar la monotonía y permitir a nuestros empleados hacer cosas de orden superior, de modo que en el futuro podamos concentrar mejor los recursos humanos". Lo más importante, considera Pick, es que la IA generativa tiene mucho más potencial que las tecnologías anteriores de las que tanto se ha hablado. "No se trata del próximo blockchain, sino de algo que será realmente valioso".

Para extraer ese valor, Goetz, de Forrester, cree que establecer políticas para la IA generativa es cuestión de definir claramente qué hacer y qué no hacer. Ella recomienda, como Chan, seguir una estrategia dual en la que las aplicaciones de IA generativa aprobadas y los conjuntos de datos se pongan a disposición de los empleados, mientras que las aplicaciones de IA y los casos de uso que podrían poner en peligro los datos se prohíban. Seguir las directrices, según Goetz, hará posible un uso seguro y de autoservicio de la IA generativa en una organización.

Mientras tanto, a la hora de desarrollar o desplegar capacidades de IA generativa, Saroff, de IDC, recomienda evaluar los controles que implementan las herramientas de IA generativa, así como los riesgos imprevistos que podrían derivarse del uso de dichas herramientas de IA.