Seguridad de la IA en Salud: 6 Claves para una Adopción Segura

En medio de la persistente escasez de médicos y el aumento de los costos de atención, las herramientas de inteligencia artificial están surgiendo como una solución convincente para las organizaciones de atención médica. Estas tecnologías prometen aumentar las capacidades de médicos, enfermeras, equipos de TI y personal de apoyo, agilizando los flujos de trabajo diarios y mejorando la eficiencia. Sin embargo, la integración de la IA en entornos de atención médica conlleva implicaciones significativas para la seguridad de los datos del paciente, lo que requiere un enfoque riguroso en la implementación para salvaguardar la información sensible y, críticamente, los resultados de los pacientes.

Clara Lin Hawking, cofundadora y directora ejecutiva de Kompass Education, enfatiza que la seguridad de la IA trasciende las medidas tradicionales como los firewalls o las contraseñas seguras. En cambio, destaca la imperativa de una comprensión holística de los riesgos inherentes, las oportunidades y las limitaciones asociadas con la implementación de la IA, señalando que esta conciencia debe permear todos los niveles de una organización.

Una estrategia fundamental para asegurar la IA en los hospitales implica el despliegue de instancias privadas o altamente controladas de herramientas de IA. Pete Johnson, CTO de campo de inteligencia artificial de CDW, aboga por soluciones internas que permitan a los médicos y al personal experimentar con aplicaciones de IA sin exponer los datos del paciente a plataformas públicas. Alternativamente, las organizaciones pueden aprovechar los modelos de nube pública de proveedores líderes como Amazon, Microsoft y Google, que a menudo incluyen acuerdos robustos de privacidad de datos. Johnson señala que estos acuerdos suelen garantizar que los datos proporcionados por el usuario, como indicaciones o consultas, no se utilizarán para reentrenar los modelos de IA subyacentes, ofreciendo una capa de protección incluso cuando el programa de IA no está alojado directamente en las instalaciones de una organización.

Más allá de las medidas preventivas, un plan de acción robusto para posibles incidentes de seguridad es primordial. Este plan debe detallar meticulosamente las respuestas a eventos como filtraciones de datos o intentos generalizados de phishing dirigidos al fraude financiero. Hawking subraya la necesidad crítica de que los profesionales de TI comprendan a fondo estas superficies de ataque en evolución y construyan marcos integrales para abordarlas. Dichos marcos deben abarcar todas las facetas del ecosistema de TI —hardware, software, arquitectura— junto con políticas y regulaciones claras diseñadas para mitigar estas amenazas emergentes.

A medida que las organizaciones de atención médica se embarcan en su viaje con la IA, es aconsejable un enfoque medido e incremental. En lugar de exponer vastos repositorios de datos sensibles a nuevos sistemas de IA, Johnson sugiere empezar poco a poco y centrarse en problemas específicos y bien definidos. Los ejemplos incluyen el uso de tecnologías de escucha ambiental o sistemas de documentación inteligentes, que pueden reducir significativamente la carga administrativa de médicos y clínicos sin integrar inmediatamente la totalidad de los datos de una organización.

Otra medida de seguridad crucial implica exigir el uso de cuentas organizacionales para todas las interacciones con herramientas de IA. Hawking advierte contra el uso de cuentas de correo electrónico personales, ya que esto puede crear inadvertidamente puntos de entrada no autorizados para el intercambio de datos, lo que podría permitir que la información sensible se utilice para el entrenamiento de modelos sin consentimiento u supervisión explícitos.

Además, un equipo de supervisión dedicado es esencial para verificar todas las herramientas de IA, independientemente de dónde o cómo se utilicen dentro de la organización. Hawking recomienda que este equipo sea multidisciplinario, incorporando a las partes interesadas de TI, departamentos clínicos e incluso grupos de defensa del paciente. El objetivo no es sofocar la innovación bloqueando toda la IA, sino garantizar una comprensión profunda de qué herramientas se están utilizando exactamente y por qué, fomentando una cultura de adopción informada y responsable.

Finalmente, una evaluación integral de riesgos junto con una auditoría completa de los sistemas de IA constituye la piedra angular de una gobernanza sólida. Esto permite a las organizaciones de atención médica identificar proactivamente posibles riesgos de cumplimiento normativo y desarrollar políticas y procedimientos apropiados para el uso responsable de la IA generativa y otras herramientas avanzadas. Hawking afirma que una visión general tan exhaustiva es el punto de partida indispensable para establecer una gobernanza efectiva de la IA en cualquier institución de atención médica.