El uso de ChatGPT está aumentando exponencialmente en las empresas, con los usuarios enviando información sensible al chatbot, incluyendo código fuente propietario, contraseñas y claves, propiedad intelectual y datos regulados. En respuesta a este dinamismo, muchas compañías han decidido implantar controles para limitar su uso.
A la cabeza se encuentran los servicios financieros, donde una de cada cuatro organizaciones ha desplegado medidas para regular su empleo. Como consecuencia, la adopción de ChatGPT es más baja en este sector, lo que pone de manifiesto que los controles establecidos son, en gran medida, preventivos a fin de bloquear el acceso de sus usuarios a la plataforma.
Las organizaciones tecnológicas figuran en segundo lugar, con una de cada cinco empresas introduciendo controles para refrenar su uso. Sin embargo, esta medida, en contra de lo que cabría esperar, no ha tenido el mismo efecto que en el caso anterior, ya que la adopción de ChatGPT en este es mayor. ¿Cómo puede ser? La respuesta está en los tipos de controles que se han implementado.
Las organizaciones optan por cuatro tipos diferentes de controles para supervisar y vigilar el uso de ChatGPT.
El primero hace referencia a las políticas de alerta, controles informativos que proporcionan visibilidad sobre cómo interactúan los usuarios con ChatGPT. Estos controles, a menudo se combinan con políticas DLP, para obtener visibilidad de los datos potencialmente sensibles publicados en ChatGPT. Las políticas de alerta suelen convertirse en políticas de bloqueo, tras una fase de aprendizaje en la que se comprueba la eficacia y el impacto de un control de bloqueo.
Las políticas de asesoramiento proporcionan contexto a los usuarios que las activan, permitiéndoles decidir si desean continuar o no. Como en el caso anterior, esta medida suele combinarse con políticas DLP, para notificar sobre datos que parecer ser sensibles por naturaleza. En esta tipología, los usuarios hacen clic en continuar el 57% de las veces.
Las políticas de DLP permiten a las organizaciones acceder a ChatGPT, pero controlan la publicación de datos confidenciales en las instrucciones de entrada. Las políticas DLP son configuradas por la organización para que se activen en cada envío a ChatGPT e inspeccionen el contenido antes de permitir su paso. Las políticas más comunes se centran en código fuente propietario, contraseñas y claves, propiedad intelectual y datos regulados.
Por último, la política más rigurosa es la que bloquea totalmente el uso de ChatGPT. A los usuarios no se les permite ninguna interacción con la aplicación: no pueden iniciar sesión, enviar instrucciones o, a veces, ni siquiera visitar la propia página de inicio de sesión.
Como se decía, los servicios financieros están a la cabeza en cuanto a políticas de bloqueo, con casi el 17% de las organizaciones bloqueando directamente ChatGPT. Las políticas de DLP que controlan exactamente lo que se puede publicar también son las más populares entre el sector bancario y el sanitario, ambas industrias muy reguladas.
Mientras, los gobiernos estatales, locales y las instituciones educativas (SLED) tienen la adopción general más baja de controles de ChatGPT y también la menor en cuanto a políticas de asesoramiento de usuarios, de DLP y de bloqueo.
Entonces, ¿cómo es que las empresas tecnológicas lideran en términos de uso de ChatGPT y son las segundas en términos de controles de ChatGPT? Los tipos de controles que aplican suelen ser menos severos que los de otras organizaciones.
Las organizaciones tecnológicas lideran en cuanto a políticas de sólo alerta diseñadas para proporcionar únicamente visibilidad y sólo los gobiernos locales, estatales e instituciones educativas tienen un porcentaje menor de organizaciones que promulgan políticas de bloqueo. Así, utilizan DLP y políticas de asesoramiento de usuarios en porcentajes similares a los de otros sectores.
En resumen, lo que esto significa es que las organizaciones tecnológicas tienen como objetivo permitir a sus usuarios el acceso a ChatGPT, al tiempo que supervisan de cerca su uso e implementan controles específicos cuando sea necesario.
*** Miguel Ángel Martos es director general de Netskope España y Portugal.