Cuando las herramientas de IA generativas se hicieron ampliamente disponibles a fines de 2022, no solo los tecnólogos prestaron atención. Los empleados de todas las industrias reconocieron inmediatamente el potencial de la IA generativa para impulsar la productividad, optimizar la comunicación y acelerar el trabajo. Al igual que muchas oleadas de innovación de TI de consumo antes de él, plataformas de intercambio de archivos, almacenamiento en la nube y colaboración, AI aterrizó en la empresa no a través de canales oficiales, sino a través de manos de empleados ansiosos por trabajar de manera más inteligente.
Ante el riesgo de que los datos confidenciales se alimentaran en interfaces de IA públicas, muchas organizaciones respondieron con urgencia y fuerza: bloquearon el acceso. Si bien es comprensible como una medida defensiva inicial, bloquear las aplicaciones de IA públicas no es una estrategia a largo plazo, es un StopGap. Y en la mayoría de los casos, ni siquiera es efectivo.
Shadow AI: el riesgo invisible
El equipo ZSCALER AMENAZLABZ ha estado rastreando AI y tráfico de aprendizaje automático (ML) En todas las empresas, y los números cuentan una historia convincente. Solo en 2024, Amenselabz analizó 36 veces más tráfico de IA y ML que en el año anterior, identificando más de 800 aplicaciones de IA diferentes en uso.
El bloqueo no ha impedido que los empleados usen AI. Envían por correo electrónico archivos a cuentas personales, usan sus teléfonos o dispositivos de inicio, y capturan capturas de pantalla para ingresar a los sistemas de IA. Estas soluciones mueven interacciones sensibles a las sombras, fuera de la vista desde el monitoreo y las protecciones empresariales. El resultado? Un punto ciego en crecimiento se conoce como Shadow AI.
El bloqueo de las aplicaciones de IA no aprobadas puede hacer que el uso parezca caer en cero en los paneles de informes, pero en realidad, su organización no está protegida; Es solo ciego a lo que realmente está sucediendo.
Lecciones de la adopción de SaaS
Hemos estado aquí antes. Cuando surgió el software temprano como una herramienta de servicio, los equipos de TI se apresuraron a controlar el uso no autorizado de aplicaciones de almacenamiento de archivos basadas en la nube. Sin embargo, la respuesta no fue prohibir el intercambio de archivos; Más bien era ofrecer una alternativa segura, perfecta y de una sola señal que igualara las expectativas de los empleados por conveniencia, usabilidad y velocidad.
Sin embargo, esta vez, las apuestas son aún más altas. Con SaaS, la fuga de datos a menudo significa un archivo fuera de lugar. Con IA, podría significar inadvertidamente capacitar a un modelo público en su propiedad intelectual sin forma de eliminar o recuperar esos datos una vez que se haya ido. No hay botón «deshacer» en la memoria de un modelo de idioma grande.
Visibilidad primero, luego política
Antes de que una organización pueda gobernar de manera inteligente el uso de la IA, debe entender lo que realmente está sucediendo. Bloquear el tráfico sin visibilidad es como construir una cerca sin saber dónde están las líneas de propiedad.
Hemos resuelto problemas como estos antes. La posición de ZScaler en el flujo de tráfico nos da un punto de vista incomparable. Vemos a qué aplicaciones se accede, por quién y con qué frecuencia. Esta visibilidad en tiempo real es esencial para evaluar el riesgo, dar forma a la política y permitir la adopción de IA más inteligente y segura.
A continuación, hemos evolucionado cómo tratamos con la política. Muchos proveedores simplemente darán las opciones en blanco y negro de «permitir» o «bloque». El mejor enfoque es la gobernanza consciente del contexto, impulsada por las políticas que se alinea con los principios de confianza cero que no asumen confianza implícita y demanda de evaluación contextual continua. No todos los usos de IA presentan el mismo nivel de riesgo y políticas deben reflejar eso.
Por ejemplo, podemos proporcionar acceso a una aplicación AI con precaución para el usuario o permitir la transacción solo en el modo de aislamiento del navegador, lo que significa que los usuarios no pueden pegar datos potencialmente confidenciales en la aplicación. Otro enfoque que funciona bien es redirigir a los usuarios a una aplicación alternativa aprobada por la empresa que se administra en las instalaciones. Esto permite a los empleados obtener beneficios de productividad sin arriesgar la exposición a los datos. Si sus usuarios tienen una forma segura, rápida y sancionada de usar IA, no necesitarán que lo rodeen.
Por último, las herramientas de protección de datos de Zscaler significan que podemos permitir a los empleados usar ciertas aplicaciones de IA públicas, pero evitar que envíen inadvertidamente información confidencial. Nuestra investigación muestra más de 4 millones de violaciones de prevención de pérdidas de datos (DLP) en la nube ZScaler, que representa casos en las que los datos empresariales confidenciales, como datos financieros, información de identificación personal, código fuente y datos médicos, se pretendía ser enviados a una aplicación de IA, y esa transacción fue bloqueada por la política de ZSCaler. La pérdida de datos real habría ocurrido en estas aplicaciones de IA sin la aplicación DLP de ZSCALER.
Equilibrio de equilibrio con protección
No se trata de detener la adopción de AI, se trata de darle forma responsable. La seguridad y la productividad no tienen que estar en desacuerdo. Con las herramientas y la mentalidad adecuadas, las organizaciones pueden lograr ambos: empoderar a los usuarios y proteger los datos.
Obtenga más información en zscaler.com/security