El cicle de la falsa seguretat
Una empresa implementa una política de "Responsible AI Use":
- Workshop de 2 hores per a tots els empleats
- Guia escrita sobre "No compartir dades sensibles amb IA"
- Certificat en línia per a empleats
- Sense controls tècnics
Dins de 2 setmanes, els empleats han filtrat dades sensibles. Per què?
Factors psicològics:
- Els empleats oblidaran la política
- Els empleats crearan excepcions per a situacions "especials"
- Els empleats tindran pressa i prendran dreceres
- Els empleats no comprenen l'impacte de les filtracions de dades
Case study: Assegurança financera, Q1 2025
- Política: "No compartir dades de clients amb ChatGPT"
- Training: Workshop de 2 hores, certificat en línia
- Realitat: Un agent de suport al client va compartir informació de comptes de 50 clients amb ChatGPT per a procés de suport accelerat
- Resultat: Les 50 comptes van ser exposades en els logs de ChatGPT. Alguém va descobrir les dades. Notificació de brea de dades, GDPR multa $1.2M.
Solució: Controls tècnics
En lloc de training sense controls:
- Proxy intern de IA: Totes les sol·licituds de ChatGPT passen per un proxy intern
- Redacció automàtica: Totes les PII es redacten automàticament
- Encriptació de dades: Totes les dades es xifren en transit i en repòs
- Auditoria: Totes les sol·licituds es registren per a auditoria posterior
Aquesta arquitectura permet que els empleats utilitzin ChatGPT sense exposar dades sensibles.