El informe "Estado de la IA en las empresas" del MIT reveló que, si bien el 40% de las organizaciones han adquirido suscripciones LLM empresariales, más del 90 % de los empleados utilizan activamente herramientas de IA en su trabajo diario. De igual manera, un estudio de Harmonic Security reveló que el 45,4% de las interacciones sensibles con IA provienen de cuentas de correo electrónico personales [PDF], donde los empleados eluden por completo los controles corporativos.
Esto, comprensiblemente, ha generado mucha preocupación en torno a la creciente "economía de la IA en la sombra". Pero ¿qué significa esto y cómo pueden los equipos de seguridad y gobernanza de la IA superar estos desafíos?
Antes, 5 mitos referidos a l IA
- La IA reemplazará la mayoría de los empleos en los próximos años. Un estudio reveló despidos limitados en GenAI, y solo en industrias que ya se ven significativamente afectadas por la IA. No hay consenso entre los ejecutivos sobre los niveles de contratación para los próximos 3 a 5 años.
- La IA generativa está transformando los negocios. La adopción es alta, pero la transformación es poco frecuente. Solo el 5% de las empresas tienen herramientas de IA integradas en flujos de trabajo a escala y 7 de 9 sectores no muestran un cambio estructural real.
- Las empresas son lentas en la adopción de nuevas tecnologías. Las empresas están sumamente interesadas en adoptar la IA y el 90% ha considerado seriamente la posibilidad de adquirir una solución de IA.
- El principal obstáculo para la IA es la calidad del modelo, los aspectos legales, los datos y el riesgo. Lo que realmente la frena es que la mayoría de las herramientas de IA no aprenden ni se integran bien en los flujos de trabajo.
- Las mejores empresas están desarrollando sus propias herramientas. Las compilaciones internas fallan el doble de veces.
¿Los empleados usan demasiadas herramientas de IA?
Sí, al menos desde el punto de vista de la seguridad y la visibilidad. El promedio de 254 aplicaciones con IA por empresa no solo representa diversidad, sino también un caos para los equipos de gobernanza y gestión de riesgos. Muchas de estas aplicaciones no están autorizadas. Algunas están conectadas a servicios en la nube con políticas de retención de datos poco claras. Algunas se desarrollan en el extranjero, con un cumplimiento cuestionable de las leyes regionales de privacidad de datos.
Entre los hallazgos más sorprendentes del primer trimestre:
- El 7% de los usuarios accedió a herramientas de IA desarrolladas en China, como DeepSeek, Ernie Bot y Qwen Chat, herramientas que a menudo incluyen políticas de gestión de datos poco claras o estatales.
- Los archivos de imagen representaron el 68,3 % de las subidas a ChatGPT, lo que sugiere una creciente aceptación de la subida de contenido multimedia a los LLM, independientemente de las políticas.
- Los formatos de documentos estándar como .DOCX, .PDF y .XLSX siguen fluyendo libremente en los modelos públicos, incluso cuando contienen datos empresariales confidenciales.
El uso de la IA lo impulsan los empleados, no los comités
Las empresas consideran erróneamente el uso de la IA como algo que se impone desde arriba, definido por sus propios líderes empresariales visionarios. Ahora sabemos que esto es un error. En la mayoría de los casos, los empleados impulsan la adopción desde abajo, a menudo sin supervisión, mientras que los marcos de gobernanza aún se definen desde arriba. Incluso si cuentan con herramientas aprobadas por la empresa, a menudo las descartan en favor de otras más nuevas, más adecuadas para mejorar su productividad.
Por qué falla el bloqueo de IA
Muchas organizaciones han intentado afrontar este reto con una estrategia de "bloqueo y espera". Este enfoque busca restringir el acceso a plataformas de IA conocidas y esperar que su adopción se ralentice.
La realidad es diferente
La IA ya no es una categoría que se pueda aislar fácilmente. Desde aplicaciones de productividad como Canva y Grammarly hasta herramientas de colaboración con asistentes integrados, la IA está integrada en casi todas las aplicaciones SaaS. Bloquear una herramienta solo lleva a los empleados a otra, a menudo a través de cuentas personales o dispositivos domésticos, lo que impide que la empresa conozca su uso real.
Por supuesto, esto no ocurre en todas las empresas. Los equipos de seguridad y gobernanza de IA con visión de futuro buscan comprender de forma proactiva qué utilizan los empleados y para qué casos de uso. Buscan comprender qué está sucediendo y cómo ayudar a sus empleados a utilizar las herramientas de la forma más segura posible.
Descubrimiento de IA en la sombra como imperativo de gobernanza
Un inventario de activos de IA es un requisito normativo, no algo que se desea tener. Marcos como la Ley de IA de la UE exigen explícitamente a las organizaciones mantener la visibilidad de los sistemas de IA en uso, ya que sin descubrimiento no hay inventario, y sin inventario no puede haber gobernanza. La IA en la sombra es un componente clave para ello.
Distintas herramientas de IA presentan distintos riesgos. Algunas pueden entrenarse discretamente con datos confidenciales, otras pueden almacenar información sensible en jurisdicciones como China, lo que genera exposición a la propiedad intelectual. Para cumplir con las regulaciones y proteger el negocio, los responsables de seguridad deben primero descubrir el alcance completo del uso de la IA, abarcando tanto las cuentas empresariales autorizadas como las personales no autorizadas.
Una vez dotadas de esta visibilidad, las organizaciones pueden separar los casos de uso de bajo riesgo de aquellos que involucran datos sensibles, flujos de trabajo regulados o exposición geográfica. Solo entonces podrán implementar políticas de gobernanza significativas que protejan los datos y fomenten la productividad de los empleados.
En lugar de depender de listas de bloqueo estáticas, se debe obtener visibilidad del uso de IA, tanto autorizado como no autorizado, y aplicar políticas inteligentes basadas en la confidencialidad de los datos, el rol del empleado y la naturaleza de cada herramienta.
Esto significa que un equipo de marketing podría tener permiso para introducir información específica en herramientas específicas para la creación de contenido, mientras que los equipos de RR.HH. o legales tienen prohibido usar cuentas personales para información confidencial de los empleados. Esto se sustenta en modelos que pueden identificar y clasificar la información a medida que los empleados la comparten. Esto permite a los equipos aplicar las políticas de IA con la precisión necesaria.
El camino a seguir
La IA en la sombra llegó para quedarse. A medida que más aplicaciones SaaS integren IA, su uso no gestionado no hará más que expandirse. Las organizaciones que no aborden el descubrimiento hoy se verán incapaces de gestionarlo mañana.
El camino a seguir es gestionarlo inteligentemente, en lugar de bloquearlo. El descubrimiento de IA en la sombra proporciona a los CISO la visibilidad que necesitan para proteger datos confidenciales, cumplir con los requisitos normativos y capacitar a los empleados para que aprovechen de forma segura los beneficios de productividad de la IA.
Para los CISO, ya no se trata de si los empleados utilizan IA en la sombra... sino de si pueden verlo.
Fuente: THN