La IA en la sombra es un problema de seguridad. Cuando los empleados utilizan herramientas de inteligencia artificial no autorizadas sin supervisión formal, la información confidencial puede terminar en plataformas que la empresa no ha autorizado, monitoreado o protegido.
Los riesgos que rodean la protección de datos, el cumplimiento y la gobernanza son reales y las organizaciones hacen bien en tomarlos en serio.
Pero si vemos la IA en la sombra sólo a través de una lente de seguridad, corremos el riesgo de tratar el síntoma en lugar de la causa.
Team Manager Confianza y seguridad del cliente, TeamViewer.
La mayoría de los empleados no intentan intencionalmente eludir las políticas ni crear riesgos.
En la mayoría de los casos, intentan resolver un problema rápidamente y hacer avanzar su trabajo. Cuando las herramientas autorizadas son lentas, de difícil acceso, de funcionalidad limitada o poco claras de usar, las personas naturalmente buscan alternativas que les ayuden a realizar su trabajo.
Eso significa que la IA en la sombra no es sólo un desafío de seguridad. También es una señal de que la tecnología en el lugar de trabajo no satisface las necesidades de los empleados.
Para las organizaciones, la lección es clara: reducir la IA en la sombra requiere más que una regulación estricta. Esto requiere proporcionar a los trabajadores equipos seguros y accesibles que realmente puedan respaldar la forma en que se realiza el trabajo.
Muchas organizaciones todavía consideran el uso no autorizado de la IA como una falla en el comportamiento de los empleados. Desde esa perspectiva, la respuesta parece simple: promulgar políticas más estrictas, bloquear más herramientas y recordar a la gente los riesgos.
Esto puede reducir cierta exposición a corto plazo, pero rara vez resuelve el problema subyacente. Los empleados están recurriendo a herramientas de inteligencia artificial porque brindan velocidad, conveniencia y asistencia con tareas que los sistemas oficiales no pueden manejar bien.
El desafío no es sólo que los empleados estén utilizando el equipo incorrecto. Es que puede no parecer lo suficientemente práctico utilizar la ruta autorizada.
Esa distinción es importante. Si el proceso oficial es demasiado lento, la gente puede pasarlo por alto. Si las directrices son demasiado vagas, los partidos pueden tomar sus propias decisiones. Si las herramientas autorizadas no satisfacen las necesidades comerciales reales, las no oficiales llenarán el vacío.
Por lo tanto, la IA en la sombra no es sólo un signo de cumplimiento deficiente, sino que también puede ser una señal de fricción subyacente.
La fricción digital crea riesgos ocultos
La fricción digital se refiere a los obstáculos tecnológicos cotidianos que dificultan que los empleados realicen su trabajo de manera eficiente. Podría ser un proceso de inicio de sesión que lleva demasiado tiempo, una plataforma bloqueada que impide una tarea simple, un flujo de trabajo de aprobación que ralentiza un proyecto o una herramienta de aprobación cuya funcionalidad no requiere personal.
En persona, estos problemas pueden parecer menores. Juntos, dan forma al comportamiento de los empleados.
Cuando la tecnología en el lugar de trabajo dificulta el trabajo, es más probable que los empleados encuentren sus propias soluciones. Las investigaciones muestran que el 80% de los empleados pierden tiempo debido a una TI ineficaz, lo que les cuesta un promedio de 1,3 días laborales al mes. Aproximadamente la mitad también dice que ha retrasado operaciones o proyectos críticos.
El riesgo no es sólo la pérdida de productividad. La fricción digital también puede socavar la confianza en los sistemas autorizados, empujando el trabajo a entornos menos visibles donde los equipos de seguridad tienen menos supervisión.
Es por eso que bloquear herramientas que no abordan las necesidades de los empleados puede resultar contraproducente. Puede hacer que el comportamiento desaparezca de la vista en lugar de controlarlo.
La seguridad no puede triunfar si compite con la productividad
A lo largo de los años, los empleados suelen considerar la seguridad como algo que obstaculiza el trabajo.
Los restablecimientos de contraseñas, las solicitudes de acceso, las cadenas de autorización y las restricciones de herramientas existen por razones válidas, pero cuando están mal diseñados aún pueden parecer un obstáculo.
Lo mismo se aplica a la gobernanza de la IA. Es poco probable que sea suficiente una política que simplemente establezca qué herramientas no pueden utilizarse. Los empleados necesitan orientación práctica sobre lo que pueden utilizar, qué información se puede introducir y adónde acudir si no están seguros.
La ruta segura debe ser lo suficientemente clara para seguirla y lo suficientemente útil para ser elegida.
Esto no significa que la seguridad esté comprometida. Esto significa diseñar la seguridad en torno a cómo se realizará realmente el trabajo. Los controles más estrictos suelen ser aquellos que los empleados pueden seguir sin sentir que se ven obligados a elegir entre seguridad y productividad.
La autenticación es un ejemplo útil. Las contraseñas han sido durante mucho tiempo una fuente de frustración para los empleados y una vulnerabilidad conocida para las organizaciones. Métodos como la confianza cero y la autenticación biométrica pueden fortalecer la seguridad y al mismo tiempo mejorar la experiencia del usuario.
El principio es simple: una buena seguridad debería reducir el riesgo sin agregar fricciones innecesarias.
La IA requiere un dueño para gobernar
Una de las razones por las que la IA en la sombra puede crecer tan rápidamente es que la responsabilidad a menudo no está clara.
Las herramientas de IA pueden ingresar a una organización a través de diferentes equipos por diferentes motivos. Una pequeña prueba en un departamento puede convertirse en parte de un flujo de trabajo central antes de que alguien evalúe el riesgo, acuerde la propiedad o defina reglas.
A medida que crece la adopción, esa brecha de gobernanza se vuelve más difícil de ignorar. Esto es especialmente cierto cuando los trabajadores ya se preguntan si las rutas oficiales podrán seguir el ritmo. El estudio encontró que el 62% de los empleados no confía en que sus equipos de TI estén proporcionando las últimas herramientas digitales y de inteligencia artificial, mientras que el 57% no confía en que su equipo de TI resuelva los problemas de manera rápida o efectiva, y el 47% teme que su equipo de TI no proteja adecuadamente los datos personales o relacionados con el trabajo.
Los equipos de seguridad tienen un papel importante que desempeñar, pero no pueden resolverlo solos. El gobierno de la IA requiere aportes de TI, departamento legal, cumplimiento, recursos humanos y líderes de toda la organización. Debería convertirse en una parte central del modelo operativo de la organización en lugar de una política independiente.
Esto significa establecer una propiedad clara sobre cómo se introduce, utiliza y gestiona la IA en toda la organización. También significa reconocer que la disciplina no se trata sólo de detener comportamientos inseguros. Se trata de permitir que los comportamientos seguros crezcan.
La vigilancia humana es esencial. La IA puede procesar información rápidamente, pero no puede comprender todos los contextos comerciales, requisitos regulatorios o consecuencias para la reputación. La gente todavía necesita cuestionar los resultados y asumir la responsabilidad de las decisiones que tienen implicaciones en el mundo real.
Los empleados necesitan orientación que realmente puedan utilizar
Los principios de la IA a menudo fallan porque son demasiado abstractos. Es posible que se solicite a los empleados que eviten compartir datos confidenciales y que utilicen herramientas aprobadas, pero eso no siempre ayuda en este momento.
Un equipo bajo presión necesita respuestas prácticas. ¿Se puede subir este documento? ¿Se puede acortar esta pregunta del cliente? ¿Se puede analizar este conjunto de datos? ¿Qué herramienta está aprobada para este trabajo? ¿A quién se le debe preguntar si la respuesta no es clara?
Las directrices deben ser específicas, accesibles y fáciles de aplicar durante el horario laboral. Si los empleados tienen que buscar en documentos de políticas extensos o esperar días para obtener una respuesta, es posible que opten por la opción de disponibilidad rápida.
Aquí es donde la confianza se vuelve importante. Es más probable que los empleados sigan las pautas de seguridad cuando creen que los sistemas aprobados les ayudarán a realizar su trabajo de manera eficaz. Si consideran que los procesos oficiales son lentos, restrictivos o desconectados de la realidad, es más probable que busquen en otra parte.
La confianza también depende de la transparencia. Las personas deben comprender por qué ciertas herramientas están restringidas, cómo se protegen los datos y para qué está diseñada la ruta autorizada. Una política que simplemente dice “no utilices esta herramienta” no genera confianza. Hace una regla. Las reglas son importantes, pero funcionan mejor cuando los empleados comprenden la razón detrás de ellas.
La seguridad por diseño debe aplicarse en el lugar de trabajo
La seguridad por diseño se analiza a menudo en el desarrollo de productos y software, pero el mismo principio debería aplicarse al lugar de trabajo digital.
A menudo, la seguridad se fortalece después de que ya se ha adoptado una herramienta o proceso. En ese punto, los controles pueden parecer una capa adicional en lugar de una parte natural del flujo de trabajo. Incorporar la seguridad a la conversación antes ayuda a las organizaciones a identificar los riesgos antes de que los comportamientos se incorporen.
Para la IA, esto significa involucrar a los equipos de seguridad, TI y gobierno antes de que las herramientas se implementen ampliamente. Esto significa escuchar a los empleados sobre lo que necesitan de esas herramientas.
Si los sistemas de IA autorizados son demasiado limitados, los empleados trabajarán para evitarlos. Si el proceso de acceso es demasiado lento, la adopción se fragmentará. Si las directrices no son claras, las partes interpretarán las reglas de manera diferente.
Comprender estas presiones es fundamental para reducir el riesgo.
El camino más fácil debería ser el más seguro.
Shadow AI muestra que los sistemas del lugar de trabajo tienen dificultades para mantenerse al día con los cambios en el trabajo. Cuando los empleados recurren a herramientas no autorizadas, a menudo indica una brecha entre lo que las personas necesitan para hacer su trabajo y lo que los sistemas autorizados les permiten hacer.
Las empresas que respondan bien no serán aquellas que simplemente agreguen controles más estrictos. Serán ellos quienes hagan que sea más fácil adoptar comportamientos seguros que soluciones inseguras.
Esto requiere una propiedad clara, herramientas prácticas, pautas accesibles y procesos de seguridad diseñados en torno a flujos de trabajo prácticos.
En la era de la IA, reducir el riesgo significa brindar a los trabajadores rutas seguras que sean lo suficientemente prácticas para usar. Cuando la ruta autorizada es también la más fácil, las empresas pueden proteger los datos sin ralentizar a las personas.
Hemos revisado y clasificado los mejores administradores de contraseñas..
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: