Además de tener un inventario de las herramientas existentes en uso, también debe haber un proceso para incorporar y retirar herramientas y servicios futuros del inventario de la organización de forma segura.
Capacitación en seguridad y privacidad de la IA
A menudo se bromea diciendo que “los humanos son el eslabón más débil”, sin embargo, ese no tiene por qué ser el caso si una organización integra adecuadamente la capacitación en seguridad y privacidad de la IA en su proceso de adopción de la IA generativa y el LLM.
Esto implica ayudar al personal a comprender las iniciativas generativas de IA/LLM existentes, así como la tecnología más amplia y su funcionamiento, y consideraciones clave de seguridad, como la fuga de datos. Además, es clave establecer una cultura de confianza y transparencia, para que el personal se sienta cómodo compartiendo qué herramientas y servicios de IA generativa y LLM se utilizan, y cómo.
Una parte clave para evitar IA en la sombra El uso será esta confianza y transparencia dentro de la organización; de lo contrario, las personas continuarán usando estas plataformas y simplemente no informarán sobre ellas a los equipos de TI y Seguridad por temor a las consecuencias o el castigo.
Establecer casos de negocio para el uso de la IA
Esto puede resultar sorprendente, pero al igual que con la nube anterior, la mayoría de las organizaciones en realidad no establecen casos de negocios estratégicos coherentes para el uso de nuevas tecnologías innovadoras, incluida la IA generativa y el LLM. Es fácil quedar atrapado en el revuelo y sentir que necesita unirse a la carrera o quedarse atrás. Pero sin un argumento comercial sólido, la organización corre el riesgo de obtener malos resultados, mayores riesgos y objetivos opacos.
Gobernancia
Sin gobernanza, la rendición de cuentas y los objetivos claros son casi imposibles. Esta área de la lista de verificación implica establecer un gráfico AI RACI para los esfuerzos de IA de la organización, documentar y asignar quién será responsable de los riesgos y la gobernanza y establecer políticas y procesos de IA en toda la organización.
Legal
Si bien obviamente requiere el aporte de expertos legales más allá del dominio cibernético, no se deben subestimar las implicaciones legales de la IA. Están evolucionando rápidamente y podrían afectar a la organización desde el punto de vista financiero y reputacional.
Esta área implica una lista extensa de actividades, como garantías de productos que involucran IA, EULA de IA, derechos de propiedad para el código desarrollado con herramientas de IA, riesgos de propiedad intelectual y disposiciones de indemnización contractual, solo por nombrar algunas. Para decirlo de manera sucinta, asegúrese de involucrar a su equipo legal o expertos para determinar las diversas actividades centradas en lo legal que la organización debería realizar como parte de su adopción y uso de IA generativa y LLM.
Regulador
Para aprovechar los debates legales, las regulaciones también están evolucionando rápidamente, como la Ley de IA de la UE, a la que sin duda pronto seguirán otras. Las organizaciones deben determinar los requisitos de cumplimiento de la IA de su país, estado y gobierno, dar consentimiento sobre el uso de la IA para fines específicos, como el seguimiento de los empleados, y comprender claramente cómo sus proveedores de IA almacenan y eliminan datos, así como regulan su uso.
Usar o implementar soluciones LLM
El uso de soluciones LLM requiere consideraciones y controles de riesgo específicos. La lista de verificación destaca elementos como control de acceso, seguridad de canales de capacitación, mapeo de flujos de trabajo de datos y comprensión de vulnerabilidades existentes o potenciales en modelos LLM y cadenas de suministro. Además, existe la necesidad de solicitar auditorías de terceros, pruebas de penetración e incluso revisiones de código para los proveedores, tanto inicialmente como de forma continua.
Pruebas, evaluación, verificación y validación (TEVV)
El proceso TEVV es uno recomendado específicamente por NIST en su Marco de IA. Esto implica establecer pruebas, evaluaciones, verificación y validación continuas a lo largo de los ciclos de vida del modelo de IA, así como proporcionar métricas ejecutivas sobre la funcionalidad, seguridad y confiabilidad del modelo de IA.
Tarjetas modelo y tarjetas de riesgo.
Para implementar éticamente los LLM, la lista de verificación exige el uso de modelos y tarjetas de riesgo, que pueden usarse para que los usuarios comprendan y confíen en los sistemas de inteligencia artificial, así como para abordar abiertamente consecuencias potencialmente negativas, como los prejuicios y la privacidad.
Estas tarjetas pueden incluir elementos como detalles del modelo, arquitectura, metodologías de datos de entrenamiento y métricas de rendimiento. También se hace hincapié en tener en cuenta las consideraciones y preocupaciones sobre la IA responsable en torno a la equidad y la transparencia.
RAG: optimizaciones LLM
La generación de recuperación aumentada (RAG) es una forma de optimizar las capacidades de los LLM cuando se trata de recuperar datos relevantes de fuentes específicas. Es parte de la optimización de modelos previamente entrenados o del reentrenamiento de modelos existentes con nuevos datos para mejorar el rendimiento. La lista de verificación recomendaba implementar RAG para maximizar el valor y la eficacia de los LLM para fines organizacionales.
Equipo rojo de IA
Por último, la lista de verificación destaca el uso de equipos rojos de IA, que emula ataques adversarios de sistemas de IA para identificar vulnerabilidades y validar los controles y defensas existentes. Enfatiza que el equipo rojo por sí solo no es una solución o enfoque integral para asegurar la IA generativa y los LLM, sino que debería ser parte de un enfoque integral para asegurar la adopción de la IA generativa y los LLM.
Dicho esto, vale la pena señalar que las organizaciones deben comprender claramente los requisitos y la capacidad de reunir servicios y sistemas de proveedores externos de IA generativa y LLM para evitar violar las políticas o incluso encontrarse también en problemas legales.