Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las regulaciones y estándares de inteligencia artificial están emergentes en regiones y sectores, lo que proporciona un marco sólido para que las organizaciones evalúen, implementen y prueben sus controles para desarrollar y usar inteligencia artificial confiable. Este artículo ayuda a los equipos de riesgo y cumplimiento a prepararse para el esfuerzo de cumplimiento. Describe cómo:
- Evaluar y reforzar su postura de cumplimiento con respecto a las regulaciones.
- Implemente controles para controlar el uso de aplicaciones y datos de inteligencia artificial.
Este es el cuarto artículo de una serie. Si aún no ha realizado las tareas de Preparación para la seguridad de la inteligencia artificial, Detección de aplicaciones y datos de IA y Protección de aplicaciones y datos de IA, comience con estos artículos para preparar el entorno con funcionalidades prescritas en este artículo.
Use este artículo junto con estos recursos:
- Escenario empresarial del marco de adopción de Confianza cero: cumplir los requisitos normativos y de cumplimiento con Confianza cero
- Cloud Adoption Framework (CAF) for AI: proceso para controlar la IA
¿Cuáles son las nuevas consideraciones para gobernar las aplicaciones y los datos de inteligencia artificial?
Al igual que la inteligencia artificial introduce nuevas superficies de ataque que cambian el panorama de riesgos, la inteligencia artificial también introduce nuevos métodos de procesamiento y uso de datos que afectan al cumplimiento normativo. Estas nuevas características de la inteligencia artificial afectan tanto a las normativas existentes, como las normativas de privacidad, como las nuevas regulaciones dirigidas específicamente al uso de inteligencia artificial.
En la ilustración siguiente se resaltan las normativas emergentes de inteligencia artificial, incluida la Ley de inteligencia artificial y datos (AIDA) en Norteamérica, la Ley de inteligencia artificial de la UE, el plan de acción de ia en Australia y los estándares globales producidos por ISO.
En general, la gobernanza de la inteligencia artificial para el cumplimiento normativo incluye:
- Registro y retención de interacciones de IA.
- Detección de un posible uso no conforme.
- Uso de herramientas, como eDiscovery en interacciones de IA, cuando sea necesario.
Esto ayuda a las organizaciones a cumplir sus requisitos de cumplimiento y a responder a posibles litigios de forma eficaz.
Para las organizaciones que crean inteligencia artificial, riesgos y equipos de cumplimiento deben permitir que los equipos de desarrollo documenten sus detalles del proyecto, como el nombre del modelo, la versión, el propósito de los sistemas de inteligencia artificial y sus métricas de evaluación para abordar los riesgos de calidad, seguridad y seguridad. Este esfuerzo puede ayudar a los equipos de riesgo y cumplimiento a tener un formato estandarizado de información para prepararse para las auditorías y responder a las solicitudes normativas.
Otro procedimiento recomendado es usar evaluaciones de impacto en la privacidad, un control que muchas empresas ya han implementado para normativas como el RGPD, para asegurarse de que las aplicaciones de inteligencia artificial tienen todas las evaluaciones y controles implementados para proteger la privacidad. Microsoft proporciona funcionalidades como las Evaluaciones de privacidad Priva que se pueden integrar fácilmente en el ciclo de vida de desarrollo de IA para garantizar que los desarrolladores mantengan la privacidad en primer lugar.
Por último, para crear aplicaciones de inteligencia artificial responsables y cumplir los nuevos requisitos normativos, las organizaciones deben crear barreras de protección para detectar y bloquear contenido dañino, como violencia, odio, sexual y contenido autolesivo. Además, quiere que las aplicaciones de inteligencia artificial generen contenido confiable. Las barreras de protección deben ayudar a detectar y corregir información incorrecta para reducir el riesgo de decisiones incorrectas basadas en resultados infundados. También deben identificar el contenido que infringe los derechos de autor. Estos límites de protección pueden ayudar a las organizaciones a crear aplicaciones de inteligencia artificial responsables y de confianza.
Funcionalidades para gobernar aplicaciones y datos de inteligencia artificial
Microsoft incluye funcionalidades para ayudar a las organizaciones a conectar los puntos entre los estándares normativos y las soluciones tecnológicas.
En los pasos siguientes se describe la ilustración y también se describen los pasos de implementación de estas funcionalidades.
| Paso | Tarea | Ámbito |
|---|---|---|
| 1 | Compilación y administración de evaluaciones en el Administrador de cumplimiento de Microsoft Purview | Toda la empresa |
| 2 | Uso de Defender for Cloud Apps para administrar aplicaciones de inteligencia artificial en función del riesgo de cumplimiento | Aplicaciones de IA de SaaS |
| 3 | Uso de Cloud Security Posture Management (CSPM) para cargas de trabajo de IA para detectar y administrar aplicaciones personalizadas basadas en el riesgo de cumplimiento | Aplicaciones de IA personalizadas basadas en Azure |
| 4 | Configuración del cumplimiento de comunicaciones de Purview para minimizar los riesgos de comunicación al ayudarle a detectar, capturar y actuar sobre mensajes potencialmente inapropiados en su organización | Aplicaciones y servicios de Microsoft 365 Aplicaciones de inteligencia artificial conectadas por conectores de Mapa de datos de Microsoft Entra o Microsoft Purview Servicios de Azure AI |
| 5 | Configure la administración del ciclo de vida de datos de Purview para conservar el contenido que necesita y eliminar el contenido que no necesita. | Las directivas de retención para aplicaciones de IA incluyen consultas de usuarios y respuestas para Microsoft 365 Copilot y Copilot Studio, así como consultas de usuarios y respuestas de otros Copilots de Microsoft y aplicaciones de IA generativas cuando tienen una directiva de recopilación con la configuración para capturar contenido. Estos mensajes se pueden conservar y eliminar por motivos de cumplimiento. Para integrar aplicaciones de inteligencia artificial desarrolladas en otros proveedores de nube, use el SDK de Purview. |
| 6 | Use eDiscovery junto con los registros de auditoría de Microsoft 365 Copilot para las investigaciones, según sea necesario. | Los registros de auditoría se generan automáticamente cuando un usuario interactúa con Copilot o con una aplicación de IA. Para integrar aplicaciones de inteligencia artificial desarrolladas en otros proveedores de nube, use el SDK de Purview. |
| 7 | Uso de las evaluaciones de privacidad de Priva para iniciar evaluaciones de impacto en la privacidad para las aplicaciones de inteligencia artificial que cree | Cualquier aplicación, cualquier ubicación |
| 8 | Uso de informes de IA en AI Foundry para documentar los detalles del proyecto de IA para las aplicaciones que desarrolle | Aplicaciones de IA en Azure |
| 9 | Implementar Azure AI Content Safety para bloquear el contenido dañino y detectar y corregir respuestas infundadas. | Aplicaciones de IA en Azure |
Paso 1: Compilación y administración de evaluaciones en el Administrador de cumplimiento de Microsoft Purview
Microsoft Purview Compliance Manager es una solución que le ayuda a evaluar y administrar automáticamente el cumplimiento en el entorno multinube. El Administrador de cumplimiento puede ayudarle a lo largo del proceso de cumplimiento, desde realizar un inventario de los riesgos de protección de datos hasta administrar las complejidades de la implementación de controles, estar al corriente de las normativas y certificaciones e informar a los auditores.
Actualmente, el Administrador de cumplimiento incluye plantillas normativas para las siguientes regulaciones relacionadas con la inteligencia artificial:
- Ley de inteligencia artificial de la UE
- ISO/IEC 23894:2023
- ISO/IEC 42001:2023
- Marco de administración de riesgos de NIST AI (RMF) 1.0
Use los siguientes recursos para empezar a trabajar con el Administrador de cumplimiento.
| Tarea | Recursos recomendados |
|---|---|
| Más información y introducción | Administrador de cumplimiento de Microsoft Purview Introducción al Administrador de cumplimiento de Microsoft Purview Compilación y administración de evaluaciones en el Administrador de cumplimiento de Microsoft Purview |
| Consulte si el Administrador de cumplimiento incluye una plantilla para una regulación. | Lista de regulaciones |
| Creación de una evaluación personalizada | Crear evaluaciones personalizadas (versión preliminar) en el Administrador de cumplimiento de Microsoft Purview |
Paso 2: Uso de Defender for Cloud Apps
Use Defender for Cloud Apps para administrar aplicaciones de inteligencia artificial en función del riesgo de cumplimiento. En los artículos anteriores de esta serie se describe cómo usar Defender for Cloud Apps para detectar, administrar y proteger el uso de aplicaciones de inteligencia artificial. El cumplimiento normativo introduce criterios adicionales para priorizar y evaluar el riesgo de estas aplicaciones.
Después de crear una o varias evaluaciones para normativas específicas en el Administrador de cumplimiento de Purview, trabaje con el equipo de Defender for Cloud Apps para integrar sus obligaciones de cumplimiento en los criterios para evaluar el riesgo de aplicaciones de inteligencia artificial, autorizar o bloquear estas aplicaciones y aplicar directivas de sesión para controlar cómo se puede acceder a estas aplicaciones (por ejemplo, solo con un dispositivo compatible).
Consulte los artículos anteriores de esta serie para comenzar a usar Defender for Cloud Apps.
| Tarea | Recursos recomendados |
|---|---|
| Detección, autorización y bloqueo de aplicaciones de inteligencia artificial con Microsoft Defender for Cloud Apps | Consulte el paso 3 en Detección de aplicaciones y datos de IA. |
| Uso de Defender for Cloud Apps para evaluar y proteger el uso de aplicaciones de inteligencia artificial | Consulte Obtención del máximo partido de la protección contra amenazas para la inteligencia artificial en Protección de aplicaciones y datos de IA |
Paso 3: Uso de cloud Security Posture Management (CSPM) para cargas de trabajo de IA
Use el plan de Administración de posturas de seguridad en la nube (CSPM) de Defender en Microsoft Defender for Cloud para detectar y administrar aplicaciones personalizadas basadas en el riesgo de cumplimiento. Al igual que Defender for Cloud Apps, el cumplimiento normativo presenta criterios adicionales para evaluar el riesgo de las aplicaciones desarrolladas personalizadas con CSPM para IA.
Trabaje con el equipo de Defender for Cloud para integrar sus obligaciones de cumplimiento en los criterios para evaluar el riesgo de y gobernar las aplicaciones personalizadas.
Consulte los artículos anteriores de esta serie para comenzar y utilizar Defender for Cloud.
| Tarea | Recursos recomendados |
|---|---|
| Detección de cargas de trabajo de IA implementadas en su entorno y obtención de información de seguridad con Microsoft Defender for Cloud | Consulte el paso 4 en Detección de aplicaciones y datos de IA] |
| Aplicación de protecciones de IA en Defender for Cloud | Consulte el paso 2 sobre cómo sacar el máximo partido a la protección contra amenazas para la inteligencia artificial en Protección de aplicaciones y datos de IA. |
Paso 4: Configurar el cumplimiento normativo de comunicaciones en Purview
Para minimizar los riesgos de comunicación, configure Cumplimiento de comunicaciones de Purview para ayudar a detectar, capturar y tomar medidas en mensajes potencialmente inapropiados en su organización. En el caso de la inteligencia artificial generativa, puede usar directivas de cumplimiento de comunicación para analizar las interacciones (solicitudes y respuestas) introducidas en aplicaciones de inteligencia artificial generativas para ayudar a detectar interacciones inapropiadas o arriesgadas o compartir información confidencial. Se ofrece cobertura para Microsoft 365 Copilot, los copilotos creados con Microsoft Copilot Studio, aplicaciones de inteligencia artificial conectadas mediante conectores de Microsoft Entra o de Mapa de Datos de Microsoft Purview, entre otros.
Use los siguientes recursos para empezar.
Paso 5: Configurar la administración del ciclo de vida de los datos de Purview
La administración del ciclo de vida de los datos de Microsoft Purview proporciona herramientas y funcionalidades para conservar el contenido que necesita guardar y eliminar el contenido que no necesita. La eliminación proactiva del contenido que ya no necesita para mantener ayuda a reducir el riesgo de sobreexposición de datos en las herramientas de inteligencia artificial. Entre las características clave se incluyen:
- Directivas de retención y etiquetas de retención
- Archivado de buzones e buzones inactivos: los buzones de usuario incluyen una carpeta oculta con avisos y respuestas de Copilot
Use los siguientes recursos para empezar.
| Tarea | Recursos recomendados |
|---|---|
| Más información y introducción | Más información sobre la administración del ciclo de vida de datos de Microsoft Purview Introducción a la administración del ciclo de vida de los datos |
| Más información sobre la retención de aplicaciones de IA & de Copilot | Obtenga información sobre cómo funciona la retención con aplicaciones de IA |
| Para las aplicaciones de inteligencia artificial desarrolladas en otros proveedores de nube, integre con el SDK de Purview. | Más información sobre el SDK de Microsoft Purview |
Paso 6: Uso de eDiscovery junto con registros de auditoría para Microsoft 365 Copilot
Utilice Microsoft Purview eDiscovery para buscar palabras clave en las solicitudes y respuestas de Copilot que podrían ser inapropiadas. También puede incluir esta información en un caso de exhibición de documentos electrónicos para revisar, exportar o poner estos datos en espera para una investigación legal en curso.
Use los registros de auditoría de Microsoft Purview para identificar cómo, cuándo y dónde se produjeron las interacciones de Copilot y a qué elementos se accedió, incluidas las etiquetas de confidencialidad de esos elementos.
| Tarea | Recursos recomendados |
|---|---|
| Obtenga información sobre dónde se almacenan los datos de uso de Copilot y cómo puede auditarlos. | Arquitectura de protección de datos y auditoría de Microsoft 365 Copilot |
| Introducción a eDiscovery | Más información sobre las soluciones de eDiscovery |
| Más información sobre los registros de auditoría de Purview | Información sobre las soluciones de auditoría de Microsoft Purview |
| Más información sobre los registros de auditoría de las aplicaciones de IA | Obtenga información sobre qué actividades de administrador y usuario se registran para las aplicaciones de IA. |
| Para las aplicaciones de inteligencia artificial desarrolladas en otros proveedores de nube, integre con el SDK de Purview. | Más información sobre el SDK de Microsoft Purview |
Paso 7: Uso de evaluaciones de privacidad Priva
Use las evaluaciones de privacidad de Priva (versión preliminar) para iniciar evaluaciones de impacto en la privacidad para las aplicaciones de inteligencia artificial que cree. Esto ayuda a garantizar que las aplicaciones de inteligencia artificial se compilan de forma respetuosa con la privacidad. Las evaluaciones de privacidad automatizan la detección, la documentación y la evaluación del uso de datos personales en todo el patrimonio de datos.
Use los siguientes recursos para empezar a trabajar con Las evaluaciones de privacidad de Priva y para iniciar una evaluación de impacto en la privacidad.
| Tarea | Recursos recomendados |
|---|---|
| Más información y introducción | Más información sobre las evaluaciones de privacidad Introducción a las evaluaciones de privacidad |
| Crear una valoración | Creación y administración de evaluaciones de privacidad |
Paso 8: Uso de informes de IA en AI Foundry
Los informes de IA en Azure AI Foundry pueden ayudar a los desarrolladores a documentar sus detalles del proyecto. Los desarrolladores pueden crear un informe que muestre todos los detalles de un proyecto de INTELIGENCIA ARTIFICIAL, como tarjetas de modelo, versiones del modelo, configuraciones de filtro de seguridad de contenido y métricas de evaluación. Este informe se puede exportar en formatos PDF o SPDX, lo que ayuda a los equipos de desarrollo a demostrar la preparación de producción dentro de los flujos de trabajo de gobernanza, riesgo y cumplimiento (GRC) y facilitar auditorías continuas y sencillas de las aplicaciones en producción.
Use los siguientes recursos para empezar.
| Tarea | Recursos recomendados |
|---|---|
| Obtenga información sobre los informes de IA en AI Foundry (blog) | Informes de IA: Mejora de la gobernanza de la inteligencia artificial y GenAIOps con documentación coherente |
| Más información y introducción a AI Foundry | ¿Qué es Azure AI Foundry? |
Paso 9: Implementación de la seguridad del contenido de Azure AI
Seguridad del contenido de Azure AI es un servicio de IA que detecta contenido perjudicial generado por usuario y generado por inteligencia artificial en aplicaciones y servicios. Seguridad del contenido de Azure AI incluye varias API de texto e imagen que permiten detectar todo aquel material que sea perjudicial. Content Safety Studio es interactivo y le permite ver, explorar y probar código de ejemplo para detectar contenido perjudicial en diferentes modalidades.
Use los siguientes recursos para empezar.
| Tarea | Recursos recomendados |
|---|---|
| Más información y introducción | ¿Qué es Seguridad del contenido de Azure AI? - Servicios de Azure AI | Microsoft Learn Uso de la seguridad del contenido en el portal de Azure AI Foundry |
Paso siguiente para proteger la inteligencia artificial
Continúe progresando en la seguridad de un extremo a otro con recursos de Confianza cero: