Cuando las herramientas de IA de la generación estuvieron ampliamente disponibles en la segunda mitad de 2022, no fueron solo los ingenieros los que prestaron atención. Los empleados en todas las industrias se dieron cuenta rápidamente del potencial de la IA del generador para aumentar la productividad, agilizar la comunicación y acelerar el trabajo. Al igual que muchas oleadas de innovación de TI del consumidor, incluida el intercambio de archivos, el almacenamiento en la nube, las plataformas de colaboración, la IA ha aterrizado en las empresas a través de manos de los empleados en lugar de canales oficiales.
Muchas organizaciones respondieron con urgencia y fuerza ante el riesgo de que los datos confidenciales se entregaran a las interfaces públicas de IA. Bloquearon el acceso. Si bien puede entenderlo como su primera defensa, bloquear las aplicaciones públicas de IA no es una estrategia a largo plazo. Esta es una parada. Y en la mayoría de los casos ni siquiera es efectivo.
Shadow AI: riesgos invisibles
El equipo Zscaler Amenazlabz rastrea el tráfico de IA y Machine Learning (ML) en toda la empresa, con números que contienen historias convincentes. Solo en 2024, Amenazlabz analizó 36 veces más tráfico de IA y ML que el año anterior, identificándolo utilizando más de 800 aplicaciones de IA.
El bloqueo no evita que los empleados usen AI. Envían por correo electrónico los archivos a sus cuentas personales, usan su teléfono o dispositivo de inicio, capturan capturas de pantalla e ingresan en el sistema AI. Estas soluciones mueven interacciones sensibles a las sombras desde una perspectiva de monitoreo y protección empresarial. ¿resultado? Los puntos ciegos en crecimiento se conocen como Shadow AI.
Bloquear una aplicación de IA no aprobada a veces puede parecer reducir el uso a cero en los informes del tablero, pero en realidad, su organización no está protegida. Ciega lo que realmente está sucediendo.
Lecciones aprendidas de la adopción de SaaS
Estábamos aquí antes. Cuando el software temprano como herramienta de servicio surgió, el equipo se apresuró a controlar el uso no autorizado de aplicaciones de almacenamiento de archivos basadas en la nube. La respuesta no fue prohibir el intercambio de archivos. Más bien, era ofrecer una alternativa segura y perfecta de inicio de sesión que alinee las expectativas de los empleados por conveniencia, facilidad de uso y velocidad.
Sin embargo, esta vez es aún más alto en torno a las apuestas. Con SaaS, la fuga de datos a menudo significa archivos equivocados. El uso de AI puede significar que una vez que se han ido esos datos, no hay forma de eliminarlos o recuperarlos, y capacita incorrectamente modelos públicos de propiedad intelectual. No hay un botón «deshacer» en la memoria para modelos de idiomas grandes.
Visibilidad primero, luego política
Antes de que las organizaciones puedan administrar de manera inteligente su uso de IA, necesitan comprender lo que realmente está sucediendo. Bloquear el tráfico sin visión es como construir una cerca sin saber dónde está la línea de propiedad.
Hemos resuelto este problema antes. La ubicación de ZScaler en el flujo de tráfico le da un punto de vista incomparable. Puede ver a qué aplicaciones se accede, a quién se accede y con qué frecuencia. Esta visibilidad en tiempo real es esencial para evaluar las políticas de riesgo, dar forma y permitir la adopción de IA más inteligente y segura.
A continuación, hemos evolucionado formas de lidiar con las políticas. Muchos proveedores simplemente ofrecen opciones en blanco y negro para «permiso» o «bloqueo». Un mejor enfoque es la gobernanza con el contexto que responde a políticas que es consistente con los principios de confianza cero que no asumen la confianza implícita y requieren una evaluación contextual continua. No todo el uso de IA presenta el mismo nivel de riesgo, y las políticas deben reflejar eso.
Por ejemplo, los usuarios pueden tener cuidado de proporcionar acceso a aplicaciones de IA o permitir transacciones solo en el modo de ecuación del navegador. Esto significa que los usuarios no pueden pegar datos confidenciales en la aplicación. Otro enfoque que funciona bien es redirigir a los usuarios a una aplicación alternativa administrada en las empresas y la aplicación aprobada por la empresa. Esto permite a los empleados disfrutar de los beneficios de productividad sin arriesgar la exposición a los datos. Si los usuarios tienen una forma segura, rápida y autorizada de usar AI, no tienen que rodearlo.
Finalmente, las herramientas de protección de datos de Zscaler significan que los empleados pueden hacer uso de ciertas aplicaciones públicas de IA, pero pueden evitar que envíen información confidencial accidentalmente. Nuestra investigación muestra más de 4 millones de violaciones de prevención de pérdidas de datos (DLP) en la nube de ZScaler, que muestran casos en los que los datos empresariales confidenciales, como datos financieros, información de identificación personal, código fuente y datos médicos, se envían a aplicaciones y transacciones de IA son bloqueados por las políticas ZSCALER. Estas aplicaciones de IA tuvieron pérdida de datos reales sin la aplicación DLP de ZSCALER.
Balance de habilitación y protección
Esto no es para detener la adopción de IA, sino moldearla de manera responsable. La seguridad y la productividad no tienen que estar en desacuerdo. Con las herramientas y la mentalidad adecuadas, las organizaciones pueden empoderar a los usuarios y asegurar sus datos.
Para obtener más información, visite zscaler.com/security
Source link
