El informe
«Estado de la IA en las empresas» del MIT reveló que, si bien el 40% de las organizaciones han
adquirido suscripciones LLM empresariales, más del 90 % de los empleados
utilizan activamente herramientas de IA en su trabajo diario. De igual manera,
un estudio de Harmonic Security reveló que el
45,4% de las interacciones sensibles con IA provienen de cuentas de correo
electrónico personales [PDF], donde los empleados eluden por completo los controles corporativos.
Esto, comprensiblemente, ha generado mucha preocupación en torno a la
creciente «economía de la IA en la sombra». Pero ¿qué significa esto y cómo
pueden los equipos de seguridad y gobernanza de la IA superar estos desafíos?
Antes, 5 mitos referidos a l IA
-
La IA reemplazará la mayoría de los empleos en los próximos años. Un estudio
reveló despidos limitados en GenAI, y solo en industrias que ya se
ven significativamente afectadas por la IA. No hay consenso entre los
ejecutivos sobre los niveles de contratación para los próximos 3 a 5 años. -
La IA generativa está transformando los negocios. La adopción es alta, pero
la transformación es poco frecuente. Solo el 5% de las empresas tienen
herramientas de IA integradas en flujos de trabajo a escala y 7 de 9
sectores no muestran un cambio estructural real. -
Las empresas son lentas en la adopción de nuevas tecnologías. Las
empresas están sumamente interesadas en adoptar la IA y el 90% ha
considerado seriamente la posibilidad de adquirir una solución de IA. -
El principal obstáculo para la IA es la calidad del modelo, los aspectos
legales, los datos y el riesgo. Lo que realmente la frena es que la mayoría
de las herramientas de IA no aprenden ni se integran bien en los flujos de
trabajo. -
Las mejores empresas están desarrollando sus propias herramientas. Las
compilaciones internas fallan el doble de veces.
¿Los empleados usan demasiadas herramientas de IA?
Sí, al menos desde el punto de vista de la seguridad y la visibilidad. El
promedio de 254 aplicaciones con IA por empresa no solo representa
diversidad, sino también un caos para los equipos de gobernanza y gestión de
riesgos. Muchas de estas aplicaciones no están autorizadas. Algunas están
conectadas a servicios en la nube con políticas de retención de datos poco
claras. Algunas se desarrollan en el extranjero, con un cumplimiento
cuestionable de las leyes regionales de privacidad de datos.
Entre los hallazgos más sorprendentes del primer trimestre:
-
El 7% de los usuarios accedió a herramientas de IA desarrolladas en
China, como DeepSeek, Ernie Bot y Qwen Chat, herramientas que a menudo
incluyen políticas de gestión de datos poco claras o estatales. -
Los archivos de imagen representaron el 68,3 % de las subidas a ChatGPT,
lo que sugiere una creciente aceptación de la subida de contenido
multimedia a los LLM, independientemente de las políticas. -
Los formatos de documentos estándar como .DOCX, .PDF y .XLSX siguen
fluyendo libremente en los modelos públicos, incluso cuando contienen
datos empresariales confidenciales.
El uso de la IA lo impulsan los empleados, no los comités
Las empresas consideran erróneamente el uso de la IA como algo que se impone
desde arriba, definido por sus propios líderes empresariales visionarios.
Ahora sabemos que esto es un error. En la mayoría de los casos, los
empleados impulsan la adopción desde abajo, a menudo sin supervisión,
mientras que los marcos de gobernanza aún se definen desde arriba. Incluso
si cuentan con herramientas aprobadas por la empresa, a menudo las descartan
en favor de otras más nuevas, más adecuadas para mejorar su productividad.
Por qué falla el bloqueo de IA
Muchas organizaciones han intentado afrontar este reto con una estrategia de
«bloqueo y espera». Este enfoque busca restringir el acceso a plataformas de
IA conocidas y esperar que su adopción se ralentice.
La realidad es diferente
La IA ya no es una categoría que se pueda aislar fácilmente. Desde
aplicaciones de productividad como Canva y Grammarly hasta herramientas de
colaboración con asistentes integrados, la IA está integrada en casi todas las
aplicaciones SaaS. Bloquear una herramienta solo lleva a los empleados a otra,
a menudo a través de cuentas personales o dispositivos domésticos, lo que
impide que la empresa conozca su uso real.
Por supuesto, esto no ocurre en todas las empresas. Los equipos de seguridad y
gobernanza de IA con visión de futuro buscan comprender de forma proactiva qué
utilizan los empleados y para qué casos de uso. Buscan comprender qué está
sucediendo y cómo ayudar a sus empleados a utilizar las herramientas de la
forma más segura posible.
Descubrimiento de IA en la sombra como imperativo de gobernanza
Un inventario de activos de IA es un requisito normativo, no algo que se desea
tener. Marcos como la Ley de IA de la UE exigen explícitamente a las
organizaciones mantener la visibilidad de los sistemas de IA en uso, ya que
sin descubrimiento no hay inventario, y sin inventario no puede haber
gobernanza. La IA en la sombra es un componente clave para ello.
Distintas herramientas de IA presentan distintos riesgos. Algunas pueden
entrenarse discretamente con datos confidenciales, otras pueden almacenar
información sensible en jurisdicciones como China, lo que genera exposición a
la propiedad intelectual. Para cumplir con las regulaciones y proteger el
negocio, los responsables de seguridad deben primero descubrir el alcance
completo del uso de la IA, abarcando tanto las cuentas empresariales
autorizadas como las personales no autorizadas.
Una vez dotadas de esta visibilidad, las organizaciones pueden separar los
casos de uso de bajo riesgo de aquellos que involucran datos sensibles, flujos
de trabajo regulados o exposición geográfica. Solo entonces podrán implementar
políticas de gobernanza significativas que protejan los datos y fomenten la
productividad de los empleados.
En lugar de depender de listas de bloqueo estáticas, se debe obtener
visibilidad del uso de IA, tanto autorizado como no autorizado, y aplicar
políticas inteligentes basadas en la confidencialidad de los datos, el rol
del empleado y la naturaleza de cada herramienta.
Esto significa que un equipo de marketing podría tener permiso para introducir
información específica en herramientas específicas para la creación de
contenido, mientras que los equipos de RR.HH. o legales tienen prohibido usar
cuentas personales para información confidencial de los empleados. Esto se
sustenta en modelos que pueden identificar y clasificar la información a
medida que los empleados la comparten. Esto permite a los equipos aplicar las
políticas de IA con la precisión necesaria.
El camino a seguir
La IA en la sombra llegó para quedarse. A medida que más aplicaciones SaaS
integren IA, su uso no gestionado no hará más que expandirse. Las
organizaciones que no aborden el descubrimiento hoy se verán incapaces de
gestionarlo mañana.
El camino a seguir es gestionarlo inteligentemente, en lugar de bloquearlo. El
descubrimiento de IA en la sombra proporciona a los CISO la visibilidad que
necesitan para proteger datos confidenciales, cumplir con los requisitos
normativos y capacitar a los empleados para que aprovechen de forma segura los
beneficios de productividad de la IA.
Para los CISO, ya no se trata de si los empleados utilizan IA en la sombra…
sino de si pueden verlo.
Fuente:
THN