La seguridad de los datos y el uso ético de la IA han sido consideraciones críticas para Thomson Reuters a medida que desarrollamos soluciones como CoCounsel, nuestro asistente de IA generativa (GenAI) para profesionales legales, fiscales y contables.
hablamos con carter cousineauvicepresidenta de gobernanza de modelos y datos de Thomson Reuters, para analizar cómo su empresa garantiza a los usuarios de su tecnología de inteligencia artificial que sus datos se mantienen a salvo de los ciberdelincuentes. El trabajo de Carter incluye la creación de programas de ética y seguridad de datos de IA de Thomson Reuters.
Preguntas y respuestas con Carter
¿Qué medidas implementa Thomson Reuters para proteger los datos de los usuarios y cumplir con las normas de privacidad de datos?
Cualquier tipo de proyecto que implique la creación y el uso de IA y casos de uso de datos pasa por lo que llamamos una «evaluación del impacto de los datos». Este término hace que parezca simple en comparación con lo que realmente cubre. El modelo de evaluación del impacto de los datos que hemos desarrollado incorpora gobernanza de datos, gobernanza de modelos, cuestiones de privacidad, las preguntas que ha planteado el asesor general de Thomson Reuters, cuestiones de propiedad intelectual y gestión de riesgos de seguridad de la información. Comenzamos nuestro proceso de desarrollo para la evaluación del impacto de los datos incorporando nuestra evaluación del impacto en la privacidad en la primera versión.
En una evaluación del impacto de los datos, utilizamos el término “caso de uso” para un proyecto o iniciativa empresarial de Thomson Reuters. Le haremos a la empresa varias preguntas en nuestro proceso de evaluación, tales como:
- ¿Cuáles son los tipos de datos en este caso de uso?
- ¿Cuáles son los tipos de algoritmos?
- ¿Cuál es la jurisdicción donde intenta aplicar este caso de uso?
- En definitiva, ¿cuáles son los fines previstos del producto?
En términos de identificación de riesgos, aquí es donde entran en vigor muchas cuestiones de privacidad y gobernanza.
Luego, desarrollamos planes y técnicas de mitigación claros asociados con cada uno de los diferentes riesgos. Este proceso incluye garantizar que los datos sean anónimos cuando sea necesario, que exista acceso y seguridad adecuados y que se hayan establecido acuerdos para compartir datos. Desde una perspectiva de privacidad, trabajamos para comprender la sensibilidad de los datos cuando un caso de uso utiliza, por ejemplo, datos personales. Luego, aplicamos los controles necesarios.
¿Con qué frecuencia audita y actualiza las medidas de seguridad?
Cuando surgió la IA generativa, desarrollamos una guía específica para Thomson Reuters. Hay documentos procesales que actualizamos constantemente a lo largo del año, y esos documentos también incluyen respuestas de mitigación. Trazamos cada una de nuestras declaraciones estándar de acuerdo con el conjunto de controles que se aplicarían o podrían aplicarse según el escenario de riesgo, y cada una de esas declaraciones se somete a revisiones y evaluaciones mucho más frecuentes.
También tenemos lo que llamamos Centro de IA responsableque captura todo en una vista centralizada para generar confianza. Realizamos algunas de nuestras auditorías y actualizaciones anualmente, mientras que muchas otras son muy frecuentes. Realizamos un seguimiento de las mitigaciones semanalmente, si no diariamente, según la tarea y el equipo.
¿Qué medidas de seguridad utiliza para evitar el acceso no autorizado o el uso indebido de los datos?
Nuestro estándar de gestión y seguridad del acceso a datos se integra directamente en nuestra política de gobernanza de datos. En pocas palabras, nos aseguramos de que el propietario que proporciona acceso a su conjunto de datos proporcione la menor cantidad de información necesaria para el uso de quien la solicite. Hemos integrado muchos de nuestros controles de seguridad de datos en nuestro entorno de plataforma de datos y tenemos una herramienta específica que crea un acceso de seguridad basado en roles.
¿Qué logros le gustaría destacar?
Estoy muy orgulloso de nuestro equipo por combinar estos conceptos éticos y estos riesgos de la IA. Los riesgos de los datos en el ámbito de la ética son especialmente difíciles de identificar con claridad. Son difíciles de definir en toda la gestión de riesgos de un extremo a otro, y el equipo creó el Centro de IA responsable prácticamente desde cero. Pasamos mucho tiempo conversando sobre cómo identificar y analizar la amplitud y profundidad de los riesgos de la IA. Hemos dedicado aún más tiempo a hacer que esos riesgos cobren vida en cuanto a cómo podemos tomar medidas al respecto y cómo se ve esa acción desde una perspectiva de mitigación de riesgos.
Creo que el trabajo que hemos realizado durante los últimos tres años nos ha permitido controlar los riesgos de la IA un poco más rápido que la mayoría de las empresas.
Puedes conocer más sobre cómo la IA ha ido cambiando el futuro de los profesionales y cómo trabajan.