Líderes de opinión

Iluminando el camino sobre la Inteligencia Artificial en las Sombras

mm
Publicado el
Actualizado el

A lo largo de las industrias, los trabajadores están utilizando cada vez más herramientas de inteligencia artificial (IA) para transformar las operaciones diarias. Ya sea que los profesionales de marketing utilicen ChatGPT para crear campañas o que los ingenieros de software escriban código con herramientas generativas, la IA se está integrando silenciosamente en casi todos los aspectos de los negocios. De hecho, el Proyecto NANDA de MIT encontró que en más del 90% de las organizaciones, los empleados están utilizando cuentas personales de chatbot para apoyar su trabajo diario, a menudo sin la supervisión de TI, sin embargo, solo el 40% de las empresas tienen suscripciones oficiales a herramientas de modelo de lenguaje grande (LLM). Esta desconexión entre el uso de IA sancionado y secreto ha abierto un nuevo punto ciego de seguridad: la IA en las sombras. 

Sin supervisión, los datos sensibles pueden ser compartidos con modelos externos, los resultados pueden ser inexactos o sesgados, y los equipos de cumplimiento pierden la visibilidad sobre dónde y cómo se está procesando la información. A medida que los empleados continúan experimentando con herramientas fuera de los canales aprobados, las organizaciones necesitan reimaginear su estrategia para gestionar la IA, o estos riesgos continuarán surgir. Para los directores de informática, prohibir las herramientas de IA en su totalidad no es la solución, ya que podría afectar la capacidad competitiva. En su lugar, el enfoque debería ser en guardrails adaptables que equilibren la innovación con la gestión de riesgos responsables.

Para mantenerse un paso adelante de los riesgos relacionados con la IA, las organizaciones deben establecer políticas de IA que promuevan la adopción responsable. Estas directrices deben alentar a los empleados a utilizar la IA con moderación, y cualquier política establecida debe estar alineada con los valores y el apetito de riesgo de la empresa. Para lograr un programa exitoso, las organizaciones deben ir más allá de los modelos de gobernanza obsoletos y las herramientas heredadas que no detectan ni rastrean el uso de la IA en toda su empresa.

Mientras que establecer una política de IA es un paso importante, la verdadera clave es asegurarse de que estén diseñadas para ser prácticas, ejecutables y alineadas con la visión innovadora y las necesidades de cumplimiento de cada negocio, sin obstaculizar su progreso.

Aquí hay cuatro pasos que las organizaciones pueden tomar:

1. Determinar el mejor marco

Las empresas no tienen que empezar desde cero. Varias instituciones líderes ya han desarrollado marcos que ofrecen puntos de referencia valiosos. Los recursos de la Organización para la Cooperación y el Desarrollo Económicos (OCDE), el Instituto Nacional de Estándares (NIST), y ISO/IEC, pueden proporcionar orientación sobre cómo gestionar la IA de manera segura y efectiva. Además, los organismos gubernamentales están comenzando a intervenir. Las nuevas regulaciones de la Unión Europea (UE) están estableciendo expectativas en torno a la transparencia, la rendición de cuentas y la gobernanza. Juntos, estos recursos ayudarán a proporcionar una base sólida para que las empresas construyan y perfeccionen sus propios marcos para guiar la adopción responsable de la IA.

2. Aumentar la visibilidad de la IA

A medida que las organizaciones trazan su camino hacia la gestión efectiva de riesgos de IA, es esencial que los líderes de seguridad desarrollen una comprensión firme de cómo se está utilizando la IA en realidad en toda su empresa. Deben invertir en herramientas que ayuden a proporcionar visibilidad en la actividad a través de las funciones. Estas herramientas pueden monitorear y acceder al comportamiento de los usuarios, y no dejarán piedra sin levantar cuando se trate de identificar dónde se está utilizando la IA generativa. Esta información es vital cuando se trata de encontrar el uso de IA en las sombras, y ayudar a los líderes a evaluar los riesgos y abordarlos.

3. Formar un Consejo de IA

Una vez que se establece la visibilidad, los líderes de seguridad pueden utilizarla para informar nuevas políticas. Dado que el uso de la IA afecta a toda la empresa, no deben siloizar el proceso de toma de decisiones. Los directores de seguridad deben considerar la formación de un consejo de IA que reúna a partes interesadas clave de seguridad, legal, TI y la alta dirección. De hecho, Gartner informa que el 55% de las organizaciones ya han establecido una junta de IA, mientras que el 54% ha designado a un jefe de IA o líder de IA dedicado para supervisar la estrategia y la implementación.

Estos grupos interfuncionales pueden evaluar tanto los riesgos como las oportunidades presentadas por las herramientas de IA, ya sean autorizadas o no, que están comenzando a infiltrarse en sus entornos de negocio. Luego pueden moldear nuevas políticas juntas que aborden las necesidades de sus empresas y equilibren el riesgo.

Por ejemplo, si el consejo identifica una herramienta de IA popular que se está utilizando sin aprobación y que plantea preocupaciones de seguridad, puede recomendar prohibir esa aplicación mientras aprueba una alternativa más segura. Estas políticas deben estar respaldadas por inversiones en controles de seguridad y plataformas de IA aprobadas que cumplan con los estándares de cumplimiento. A medida que surgen nuevas innovaciones, el consejo también puede introducir un proceso formal para que los empleados propongan herramientas para su evaluación, lo que ayudará a la organización a mantenerse ágil y en cumplimiento con su estrategia de IA.

4. Fortalecer la educación en IA

Educación y compromiso con los empleados sobre la IA serán otra parte esencial para lograr el compromiso a nivel de toda la organización y reducir el uso de IA en las sombras. Incluso con los modelos de gobernanza adecuados en su lugar, el éxito depende de cómo bien los empleados entienden y adoptan estos modelos.

En una encuesta de Pew Research, entre los trabajadores que habían recibido capacitación en el trabajo (51%), solo una cuarta parte (24%) dijo que estaba relacionada con el uso de la IA. Las organizaciones deben asegurarse de que tengan programas de capacitación en IA en su lugar, ya que pueden ayudar a los empleados a comprender las oportunidades y funcionalidades disponibles para ellos. Una mayor capacitación también puede ayudarlos a crecer en su carrera y sentirse más satisfechos en su posición.

Los programas de capacitación en IA deben tener un enfoque que vaya más allá del uso básico y el cumplimiento para ayudar a los equipos a comprender el contexto más amplio de la IA y cómo opera en el ecosistema de sus empresas. Los temas que se deben cubrir incluyen por qué es importante el uso responsable de la IA, qué políticas existen para proteger tanto a la empresa como a sus clientes, y cómo identificar posibles riesgos de manejo de datos o privacidad. Cuando los empleados están equipados con los conocimientos adecuados, están facultados para convertirse en socios activos en la innovación segura.

Forjando el futuro de la IA responsable 

La IA en las sombras no desaparecerá pronto. A medida que las tecnologías generativas se integran más en los flujos de trabajo diarios, los desafíos para las organizaciones solo se intensificarán. Los líderes ahora enfrentan la elección de tratar la IA en las sombras como una amenaza incontrolable o reconocerla como una oportunidad para maximizar la eficiencia y la productividad, siempre que se gestione adecuadamente.

Desarrollar una política de IA o una junta no es un acto de una sola vez. Al igual que la IA está evolucionando rápidamente, también debe evolucionar la estrategia de la organización. La IA puede guiar decisiones más inteligentes, acelerar la innovación y mejorar la productividad en todas las funciones. Pero para mantener esas ganancias, los empleados deben entender qué herramientas están disponibles para ellos y cómo utilizarlas de manera responsable. Aquellos que tengan éxito permanecerán ágiles, refinando proactivamente sus políticas para mantenerse por delante del cambio, en lugar de perseguirlo.

mm

Art Gilliland es CEO en Delinea y aporta éxito probado en la industria de software empresarial global, liderando grandes organizaciones en desarrollo de productos, infraestructura empresarial, ciberseguridad, estrategia de llegar al mercado y operaciones de SaaS. Recientemente fue SVP/GM de la División Empresarial Symantec de Broadcom, informando al CEO, donde lideró la integración y las operaciones comerciales después de la adquisición. Antes de Symantec, Art ocupó puestos ejecutivos en Skyport Systems, HP, Symantec y IMlogic.