Cuando los empleados instalan un asistente de escritura de IA, conectan Coding CoPilot a su IDE o comienzan a resumir una reunión utilizando una nueva herramienta de navegador, están haciendo exactamente lo que los empleados productivos deberían hacer: encontrar formas de trabajar más rápido.
Hoy en día, en la mayoría de las organizaciones, los empleados utilizan de tres a cinco herramientas de inteligencia artificial al día. La mayoría nunca fueron revisadas por TI. Una parte importante se conecta a los datos corporativos a través de tokens OAuth o sesiones de navegador, lo que brinda a los empleados acceso a unidades compartidas, correos electrónicos y documentos internos que nunca tuvieron la intención específica de hacer públicos. Los equipos de seguridad a menudo no tienen idea al respecto.
Esta es la brecha de la IA en la sombra, y está creciendo rápidamente. La mayoría de las herramientas de seguridad están diseñadas para monitorear el correo electrónico y el tráfico de red que fluye a través de las redes corporativas. Las herramientas de inteligencia artificial basadas en navegador que se conectan a los datos corporativos mediante aprobaciones rápidas de inicio de sesión nunca atraviesan la red corporativa y, por lo tanto, eluden por completo estos controles. Según Gartner, el 69% de las organizaciones sospecha o ha confirmado que los empleados están utilizando herramientas de IA prohibidas en el lugar de trabajo, y sólo el 37% cuenta con políticas de gobernanza de la IA. Como resultado, existe una desconexión cada vez mayor entre la forma en que trabajan los empleados y lo que perciben los equipos de seguridad.
Un programa que guía la adopción de la IA por un camino seguro, visible y aprobado brinda a los equipos de seguridad la visibilidad que necesitan y brinda a los empleados las herramientas que necesitan. Los cinco pasos siguientes le muestran exactamente cómo construirlo.
Paso 1: cree una imagen completa de lo que se está ejecutando
Un programa de seguridad sólo puede gestionar lo que puede ver. El primer paso es descubrir qué herramientas de IA se utilizan en su organización, y la respuesta será sorprendente para la mayoría de los equipos de seguridad.
Tres áreas representan la mayor parte de la actividad de la IA en la sombra.
Conexión OAuth. La mayoría de las herramientas de inteligencia artificial solicitan acceso a Google Workspace o Microsoft 365 a través de OAuth, lo que les otorga permisos de lectura o escritura sobre datos corporativos. Las auditorías trimestrales de aplicaciones de terceros conectadas clasificadas por rango de permisos suelen revelar docenas de herramientas que los equipos de seguridad no han revisado. Extensión del navegador. Muchas herramientas de inteligencia artificial se ejecutan como extensiones del navegador y nunca tocan el sistema operativo, lo que hace que las herramientas tradicionales de administración de terminales las pasen por alto. Una solución de administración de navegador o un agente liviano instalado en los dispositivos de los empleados puede escanear e identificar extensiones activas en toda su organización. Las capacidades de IA ya están incluidas con herramientas aprobadas. Microsoft Copilot, Google Gemini y Salesforce Einstein son ejemplos de capacidades de IA que pueden haberse introducido después de la revisión del proveedor original, a menudo sin una evaluación de seguridad separada.
También vale la pena realizar una sencilla encuesta a los empleados. Las encuestas destinadas a ayudar a los empleados a trabajar de forma más segura tienden a arrojar respuestas más sinceras. A través de la investigación surgen muchas herramientas ocultas que la detección automatizada pasa completamente por alto.
El objetivo de este paso es crear un inventario actual y preciso de todas las herramientas de IA en uso, quién las utiliza y a qué datos tienen acceso.
Paso 2: cree políticas que funcionen para sus empleados
La mayoría de las políticas de uso aceptable de la IA se estancan por la misma razón. Los empleados reciben una lista de herramientas prohibidas sin ninguna orientación sobre cuál es el camino aprobado. Diseñada como una guía práctica, la política identifica las herramientas aprobadas y proporciona un proceso claro para solicitar nuevas herramientas, brindando a los empleados la base que necesitan para tomar buenas decisiones.
Una política eficaz de gobernanza de la IA incluye cinco cosas.
Lista actual de herramientas aprobadas y sus ubicaciones. Reglas claras de clasificación de datos que especifican categorías de datos que nunca deben incluirse en herramientas de inteligencia artificial, como registros de clientes, código fuente e información financiera. Estado de exclusión voluntaria de la capacitación de datos validados para cada herramienta aprobada. Muchas herramientas de inteligencia artificial utilizan información de la empresa de forma predeterminada para mejorar sus modelos, a menos que la configuración de la empresa esté configurada explícitamente. La aprobación requiere una exclusión voluntaria confirmada de las herramientas que manejan datos confidenciales. Un proceso definido para solicitar nuevas herramientas con un tiempo de respuesta objetivo. Explique claramente por qué existen las pautas.
Ese último elemento es más importante de lo que piensas. Los empleados que comprendan por qué las conexiones OAuth conllevan el riesgo de fuga de datos aplicarán ese razonamiento a cada decisión que tomen sobre sus herramientas. La política, incluida su evidencia, se convierte en educación.
Paso 3: cree una vía rápida para solicitudes de nuevas herramientas
Shadow AI crece más rápido en organizaciones donde los procesos de aprobación formales no pueden seguir el ritmo de los lanzamientos de productos de IA. Los empleados que necesitan una herramienta ahora y se enfrentan a una revisión de seguridad de seis semanas probablemente encontrarán una solución en unos días. El propósito de este paso es eliminar esa fricción.
La mayoría de las solicitudes de herramientas de inteligencia artificial no justifican una revisión completa de las adquisiciones. Un formulario de admisión estructurado con criterios de evaluación definidos es suficiente para la mayoría de las herramientas de bajo riesgo. Los formularios de entrada estructurados y un conjunto definido de criterios de evaluación permiten una toma de decisiones más rápida. Para herramientas con acceso limitado a datos, muchas organizaciones creen que es posible trabajar más rápido si los criterios de evaluación se documentan y aplican de manera consistente. Los criterios de evaluación deben incluir el alcance del acceso a los datos, las prácticas de seguridad de los proveedores, el estado de exclusión voluntaria de la capacitación en datos, la certificación de cumplimiento y si ya hay una herramienta funcionalmente equivalente en la lista aprobada.
Los equipos de seguridad que mantienen su lista de herramientas aprobadas abiertamente disponibles y actualizadas generalmente ven un uso significativamente reducido de la IA en la sombra. Los empleados utilizarán las herramientas adecuadas si saben dónde encontrarlas.
Paso 4: Utilice la monitorización como capa de seguridad compartida
La visibilidad continua del uso de herramientas de IA en toda su organización le permite atender a dos grupos simultáneamente.
Los equipos de seguridad tienen la visibilidad en tiempo real necesaria para identificar y abordar las exposiciones antes de que se conviertan en incidentes. Los empleados obtienen una forma de protección que no obtendrían por sí solos. En otras palabras, es una señal de que la herramienta que estás utilizando puede estar poniendo en riesgo tus credenciales o los datos de tu empresa.
Un enfoque de monitoreo nativo del navegador brinda a los equipos de seguridad visibilidad de la actividad de la IA sin desviar el tráfico web de los empleados ni agregar tensión a su trabajo diario. Las señales capturadas alimentan el perfil de riesgo más amplio de cada empleado y se almacenan en un solo lugar junto con los resultados de la simulación de phishing y los datos de finalización de la capacitación.
El comportamiento riesgoso ocurre de múltiples maneras, por lo que es importante una perspectiva combinada. Cuando los empleados hacen clic en enlaces de phishing, se saltan la capacitación y ejecutan herramientas de inteligencia artificial no autorizadas para acceder a datos confidenciales, representan un riesgo mucho mayor de lo que sugeriría cualquier acción individual. Ver el panorama general en un solo lugar permite a los equipos de seguridad centrarse en los empleados que necesitan más atención.
Paso 5: Facilite el buen comportamiento de seguridad
El programa de seguridad que facilita a sus empleados tomar decisiones seguras es el que siguen sus empleados. En el contexto de la gobernanza de la IA, dos cosas la impulsan: el entrenamiento justo a tiempo y la capacitación que explica el razonamiento detrás de las reglas.
El coaching justo a tiempo proporciona indicaciones breves y contextuales en el momento en que un empleado intenta utilizar una herramienta no aprobada. Esto es más efectivo que los módulos de capacitación trimestrales porque la intervención ocurre en el momento de la toma de decisiones. Un mensaje bien diseñado comunica inquietudes a los empleados, los dirige a alternativas aprobadas y tarda menos de 30 segundos en leerse.
La capacitación que explica el razonamiento detrás de las políticas de gobernanza de la IA genera juicios que los empleados pueden aplicar a cualquier situación que encuentren, incluidas las herramientas y amenazas que surgen mucho después de la capacitación misma. El panorama de las herramientas de IA está cambiando rápidamente, por lo que ningún programa de formación puede predecir cada caso específico. Los empleados que comprendan que una conexión OAuth al Google Workspace de una empresa puede potencialmente exponer todo su disco compartido a proveedores externos aplicarán ese conocimiento a herramientas que no existían hace seis meses.
Crear un programa de seguridad basado en cómo trabaja su equipo
La introducción de la IA muestra que los equipos más productivos hacen mejor su trabajo. Las empresas que aprovechan este impulso con programas prácticos, con un camino claro hacia herramientas aprobadas y visibilidad en tiempo real para sus equipos de seguridad, tienden a estar en mejores condiciones de capitalizar este impulso.
Los equipos de seguridad que cierran esta brecha han descubierto que el uso de la IA en la sombra ha disminuido naturalmente con el tiempo. La visibilidad nativa del navegador, un camino claro hacia las herramientas aprobadas y el asesoramiento justo a tiempo en el momento del riesgo lo hacen posible. Cuando los empleados tienen acceso a herramientas efectivas y aprobadas y a un camino rápido y transparente para revisar las nuevas herramientas, hay pocos incentivos para eludir el sistema.
Los productos de gobernanza de IA de Adaptive Security incluyen políticas automatizadas y capacitación de empleados justo a tiempo, lo que brinda a los equipos de seguridad visibilidad en tiempo real de todas las herramientas de IA y aplicaciones paralelas que se ejecutan en toda la organización. Para obtener más información, visite adaptivesecurity.com.
Source link
