Cuando un empleado instala un asistente de escritura con IA, conecta un copiloto de codificación a su IDE o comienza a resumir reuniones con una nueva herramienta de navegador, está haciendo exactamente lo que debería hacer un empleado productivo: encontrar formas más rápidas de trabajar.
Hoy en día, en la mayoría de las organizaciones, los empleados utilizan de tres a cinco herramientas de inteligencia artificial en un día determinado. La mayoría nunca fueron revisadas por TI. Una parte importante se conecta a los datos corporativos a través de tokens OAuth o sesiones de navegador, dándoles acceso a unidades compartidas, correos electrónicos y documentos internos que el empleado nunca tuvo la intención específica de exponer. Los equipos de seguridad a menudo no tienen visibilidad de nada de esto.
Esta es la brecha de la IA en la sombra, y se está ampliando rápidamente. La mayoría de las herramientas de seguridad se crearon para monitorear el correo electrónico y el tráfico de red que fluye a través de la red corporativa. Una herramienta de inteligencia artificial basada en navegador que se conecta a los datos de la empresa a través de una rápida aprobación de inicio de sesión evita esos controles por completo, porque nunca pasa a través de la red corporativa. Según Gartner, el 69% de las organizaciones sospecha o ha confirmado que los empleados están utilizando herramientas de IA prohibidas en el trabajo, y sólo el 37% cuenta con una política de gobernanza de la IA. El resultado es una desconexión cada vez mayor entre la forma en que trabajan los empleados y lo que pueden ver los equipos de seguridad.
Un programa que canaliza la adopción de la IA hacia un camino seguro, visible y aprobado brinda a los equipos de seguridad la visibilidad que necesitan y a los empleados las herramientas que desean. Los cinco pasos siguientes muestran exactamente cómo construir uno.
Paso 1: cree una imagen completa de lo que se está ejecutando
Un programa de seguridad sólo puede gestionar lo que puede ver. El primer paso es descubrir qué herramientas de IA se utilizan en toda la organización, y la mayoría de los equipos de seguridad encontrarán la respuesta sorprendente.
Tres áreas representan la mayor parte de la actividad de la IA en la sombra.
- Conexiones OAuth. La mayoría de las herramientas de inteligencia artificial solicitan acceso a Google Workspace o Microsoft 365 a través de OAuth, lo que les otorga permisos de lectura o escritura sobre datos corporativos. Una auditoría trimestral de aplicaciones de terceros conectadas, clasificadas por alcance de permiso, generalmente muestra docenas de herramientas que el equipo de seguridad nunca revisó.
- Extensiones del navegador. Muchas herramientas de inteligencia artificial se ejecutan como extensiones del navegador y nunca tocan el sistema operativo, por lo que las herramientas tradicionales de administración de terminales las pasan por alto por completo. Una solución de administración de navegador o un agente liviano instalado en los dispositivos de los empleados puede buscar e identificar qué extensiones están activas en toda la organización.
- Funciones de IA incluidas en herramientas ya aprobadas. Microsoft Copilot, Google Gemini y Salesforce Einstein son ejemplos de capacidades de IA que pueden haberse introducido después de la revisión original del proveedor, a menudo sin una evaluación de seguridad separada.
También vale la pena realizar una sencilla encuesta a los empleados. Una encuesta enmarcada en ayudar a los empleados a trabajar de forma más segura tiende a obtener respuestas sinceras. Muchas herramientas ocultas surgen a través de encuestas que el descubrimiento automatizado pasa por alto por completo.
El objetivo de este paso es un inventario actual y preciso: cada herramienta de IA en uso, quién la usa y a qué datos tiene acceso.
Paso 2: escriba una política que funcione con los empleados
La mayoría de las políticas de uso aceptable de la IA se estancan por la misma razón: brindan a los empleados una lista de herramientas prohibidas sin orientación sobre cuál es la ruta aprobada. Una política diseñada como una guía práctica, que identifique las herramientas aprobadas y proporcione un proceso claro para solicitar otras nuevas, es la base que los empleados necesitan para tomar buenas decisiones.
Una política eficaz de gobernanza de la IA abarca cinco aspectos.
- Una lista actualizada de herramientas aprobadas y dónde encontrarlas.
- Reglas claras de clasificación de datos que especifican qué categorías de datos, incluidos registros de clientes, código fuente e información financiera, nunca deben ingresarse en ninguna herramienta de inteligencia artificial.
- Un estado de exclusión voluntaria de la capacitación de datos verificado para cada herramienta aprobada. Muchas herramientas de IA utilizan aportaciones de la empresa para mejorar sus modelos de forma predeterminada, a menos que la configuración empresarial esté configurada explícitamente de otra manera. La aprobación debe requerir una exclusión voluntaria confirmada de cualquier herramienta que maneje datos confidenciales.
- Un proceso definido para solicitar nuevas herramientas, con un tiempo de respuesta objetivo.
- Una explicación en lenguaje sencillo de por qué existen las pautas.
Ese último elemento importa más de lo que parece. Los empleados que entienden por qué las conexiones OAuth conllevan un riesgo de exposición de datos aplican ese razonamiento a cada decisión que toman sobre herramientas. La política se convierte en una forma de educación cuando se incluye el razonamiento.
Paso 3: cree una vía rápida para solicitudes de nuevas herramientas
Shadow AI crece más rápido en organizaciones donde el proceso de aprobación oficial no puede seguir el ritmo de la tasa de lanzamientos de productos de IA. Un empleado que necesita una herramienta hoy y se enfrenta a una revisión de seguridad de seis semanas encontrará una solución en cuestión de días. El objetivo de este paso es eliminar esa fricción.
- La mayoría de las solicitudes de herramientas de IA no justifican una revisión completa de la adquisición. Para la mayoría de las herramientas de menor riesgo es suficiente un formulario de admisión estructurado con criterios de evaluación definidos.
- Un formulario de admisión estructurado y un conjunto definido de criterios de evaluación hacen posible tomar decisiones más rápidas. Para herramientas con acceso limitado a datos, muchas organizaciones consideran factible un plazo de entrega más corto una vez que los criterios de evaluación están documentados y aplicados de manera consistente.
- Los criterios de evaluación deben cubrir el alcance del acceso a los datos, las prácticas de seguridad del proveedor, el estado de exclusión voluntaria de la capacitación en datos, las certificaciones de cumplimiento y si la herramienta ya tiene un equivalente funcional en la lista aprobada.
Los equipos de seguridad que publican abiertamente su lista de herramientas aprobadas y la mantienen actualizada suelen ver una reducción significativa en el uso de la IA en la sombra. Cuando los empleados saben dónde encontrar las herramientas adecuadas, las utilizan.
Paso 4: utilice la supervisión como capa de seguridad compartida
La visibilidad continua del uso de herramientas de IA en una organización sirve a dos grupos simultáneamente.
- Los equipos de seguridad obtienen la imagen en tiempo real que necesitan para identificar y abordar la exposición antes de que se convierta en un incidente.
- Los empleados obtienen una forma de protección que a menudo no tienen por sí solos: una señal cuando una herramienta que están utilizando puede estar poniendo en riesgo sus credenciales o los datos de la empresa.
Un enfoque de monitoreo nativo del navegador brinda a los equipos de seguridad visibilidad de la actividad de la IA sin desviar el tráfico web de los empleados ni agregar fricción al trabajo diario. Las señales que captura se alimentan del perfil de riesgo más amplio de cada empleado, junto con los resultados de la simulación de phishing y los datos de finalización de la capacitación en un solo lugar.
Esa visión combinada es importante porque los comportamientos riesgosos se agravan. Un empleado que hace clic en enlaces de phishing, se salta la capacitación y ejecuta herramientas de inteligencia artificial no aprobadas con acceso a datos confidenciales presenta un riesgo mucho mayor de lo que indicaría cualquier comportamiento individual. Ver el panorama completo en un solo lugar ayuda a los equipos de seguridad a centrarse en los empleados que más necesitan atención.
Paso 5: Facilite el buen comportamiento de seguridad
Los programas de seguridad que hacen que la elección segura sea la opción más fácil son los que siguen los empleados. En el contexto de la gobernanza de la IA, hay dos cosas que lo impulsan: el asesoramiento justo a tiempo y la capacitación que explica el razonamiento detrás de las reglas.
El coaching justo a tiempo ofrece un mensaje breve y contextual en el momento en que un empleado intenta utilizar una herramienta no autorizada. Esto es más efectivo que los módulos de capacitación trimestrales, porque la intervención ocurre en el momento de la decisión. Un mensaje bien diseñado le dice al empleado cuál es la preocupación, lo dirige a una alternativa aprobada y tarda menos de treinta segundos en leerse.
La capacitación que explica el razonamiento detrás de las políticas de gobernanza de la IA genera el tipo de juicio que los empleados pueden aplicar en cualquier situación que encuentren, incluidas las herramientas y amenazas que surgen mucho después de la capacitación misma. El panorama de las herramientas de IA está cambiando lo suficientemente rápido como para que ningún programa de capacitación pueda anticipar cada caso específico. Un empleado que comprenda que las conexiones OAuth al Google Workspace corporativo pueden exponer toda la unidad compartida a un proveedor externo aplicará ese conocimiento a herramientas que no existían hace seis meses.
Creación de un programa de seguridad basado en cómo funcionan los equipos
La adopción de la IA es una señal de que los equipos productivos están haciendo bien su trabajo. Las empresas que crean programas prácticos en torno a ese impulso, con caminos claros hacia herramientas aprobadas y visibilidad en tiempo real para los equipos de seguridad, tienden a manejarlo mejor.
Los equipos de seguridad que cierran esa brecha descubren que el uso de la IA en la sombra disminuye orgánicamente con el tiempo. La visibilidad nativa del navegador, los caminos claros hacia las herramientas aprobadas y el asesoramiento justo a tiempo en el momento del riesgo son lo que lo hacen posible. Cuando los empleados tienen acceso a herramientas efectivas y aprobadas y a un camino rápido y transparente para revisar las nuevas, el incentivo para evitar el sistema desaparece en gran medida.
El producto AI Governance de Adaptive Security brinda a los equipos de seguridad visibilidad en tiempo real de cada herramienta de AI y aplicación paralela que se ejecuta en su organización, con políticas automatizadas y capacitación integrada para empleados justo a tiempo. Obtenga más información en adaptivesecurity.com.