Contáctenos

El peligro del no a la IA

Líderes del pensamiento

El peligro del no a la IA

mm
Publicado

La semana pasada, me uní a la llamada de la empresa de un cliente potencial. Estaban todos los profesionales de seguridad y redes, además de la gerencia. Diferentes presentadores cubrían los temas del momento. Entonces, alguien empezó a explicar cómo sus equipos técnicos usan la IA en su trabajo diario.

El presentador estaba entusiasmado. Había encontrado la manera de reducir tres días de trabajo manual de copiar y pegar a un par de minutos usando herramientas de IA. Genial, ¿verdad? Entiendo lo que hacía y por qué lo hacía. ¡Esta es la promesa de la IA!

Pero como el personal de seguridad en la sala, pienso: "¡Dios mío!". "¿Qué herramienta es esa? ¿Quién es el dueño de esa herramienta?". Porque está introduciendo información de clientes en estas plataformas: datos de precios. ¿Quizás información financiera? Lo que sea. Todo para agilizar su flujo de trabajo.

Así que hice la pregunta obvia: "¿Tienen una política de IA?". Buscamos información. Encontramos una nota sobre el uso aceptable. Algo vago sobre las herramientas de IA. ¿Alguien lo lee? Probablemente no. Se firma durante la incorporación y listo.

Su gente ya está usando IA

Esto es lo que he aprendido hablando con empresas de todos los sectores: la IA ya está en todas partes, lo reconozcas o no. Investigaciones recientes confirman esta realidad.El 75% de los trabajadores ahora utilizan IA en el trabajo, casi duplicándose en sólo seis meses.

La semana pasada en Houston, conocí a un hombre cuya empresa perfora en busca de petróleo. Tienen una plataforma de IA que analiza la composición del suelo y los patrones climáticos para optimizar las ubicaciones de perforación. Me explicó cómo tienen en cuenta los datos de lluvia: «Sabíamos que llovió 18 días más que en esta zona, así que la capacidad petrolera probablemente sea mayor, lo que permite que las perforadoras lleguen a mayor profundidad».

Mientras tanto, estoy usando IA para crear un itinerario por Alemania. He hablado con empresas del sector salud que la utilizan para plataformas de telesalud. Equipos financieros que ejecutan modelos de riesgo. Incluso conocí a alguien que dirige un negocio de limonada y que, de alguna manera, está aprovechando la IA.

La cuestión es que la IA está presente en todas las industrias y en todos los flujos de trabajo. No es algo que venga, sino que ya está aquí. Y la mayoría de estas organizaciones están en la misma situación que nosotros. Saben que su gente la usa. Simplemente no saben cómo gestionarla.

La TI en la sombra se vuelve peligrosa rápidamente

¿Sabes qué pasa cuando le dices a la gente que no puede usar IA? Es como decirle a tu hijo adolescente que nunca beba. ¡Felicidades! Ahora serán ellos los que beban de forma más peligrosa, porque has creado una prohibición.

Los números prueban esta realidad: El 72% del uso de IA generativa en las empresas es TI en la sombra, con empleados que utilizan cuentas personales para acceder a aplicaciones de IA.

La gente compra su segunda laptop. Usan su teléfono personal, que no está protegido por la seguridad de la empresa. Y aun así, usan la IA. De repente, pierden visibilidad y crean las mismas brechas que intentaban evitar.

Ya he visto este patrón. Los equipos de seguridad que dicen "no" a todo acaban obligando a la gente a ocultarse y pierden toda la supervisión de lo que realmente ocurre.

La seguridad se convierte en el enemigo

Existe la percepción de que los equipos de seguridad son "los tipos malos del sótano". La gente piensa: "Ah, seguridad probablemente dirá que no de todas formas, así que no les hagas caso. Lo haré de todas formas".

Hemos creado ese malentendido. Y con la IA, la gente tiende a asumir que les vamos a silenciar, así que ni se molestan en preguntar. Eso arruina la comunicación que realmente quieres.

Un desarrollador se me acercó después de una presentación en una conferencia. Usa API a diario y había estado intentando que su equipo de seguridad se interesara por las pruebas y la validación. Pero decidió no preguntar porque pensó que simplemente le dirían que no.

El déficit de confianza te cuesta todo

Esta es la conversación que buscas: alguien de marketing se acerca y te dice: "Oye, quiero usar esta herramienta de IA. ¿Cuál es nuestra postura al respecto? ¿Cómo la uso de forma segura?". Esa es la forma correcta de colaborar con el departamento de seguridad.

Lo vamos a evaluar. Entendemos que la IA va a formar parte del negocio. No vamos a negarnos; queremos que la gente la use de forma segura. Pero primero necesitamos esa conversación.

Cuando las personas asumen que la seguridad lo bloqueará todo, dejan de preguntar. Se registran con correos electrónicos personales, empiezan a introducir datos de la empresa en plataformas no verificadas, y se pierde toda visibilidad y control. El resultado es predecible: El 38% de los empleados comparten información laboral confidencial con herramientas de IA sin el permiso de su empleador..

Las organizaciones seguirán utilizando la IA pase lo que pase. La pregunta es: ¿cómo podemos garantizar que nuestros empleados puedan aprovecharla de forma segura sin poner en riesgo los datos, la privacidad ni la seguridad de la empresa?

Comience con síes inteligentes, no con noes generalizados

Esto es lo que realmente funciona: comunicación proactiva. Envíe boletines informativos o realice seminarios web de 30 minutos diciendo: "Estamos permitiendo la IA en la organización. Aquí te explicamos cómo hacerlo de forma segura". Grabe las sesiones para quienes se las pierdan.

Muestre ejemplos de empleados que colaboraron con seguridad con éxito. Haga visibles esas colaboraciones en lugar de ser una entidad oculta que la gente asume que las detendrá.

Es necesario generar confianza con el tiempo entre seguridad y empleados. Al fin y al cabo, todos usamos la IA, en grandes y pequeñas cosas. La usé para planificar mi viaje a Alemania: le pedí que creara un itinerario de tres días y el viaje fue espectacular.

Desde una perspectiva organizacional, necesitamos reconocer el lugar que ocupa la IA en el negocio. ¿Aumentará los ingresos? Probablemente. El argumento comercial es claro: La IA ha pasado de ser un «experimento» a ser algo «esencial» y el gasto empresarial ha aumentado un 130 %.Entonces, ¿qué hacemos? ¿Cómo brindamos protección y, al mismo tiempo, fomentamos la productividad?

El objetivo no es un control perfecto, eso es imposible. El objetivo es la adopción informada de IA con medidas de seguridad que realmente funcionen en la práctica. El nuevo riesgo para la seguridad es aislarse del uso de la IA, un uso que se produce con o sin usted.

Para las organizaciones que realmente desean hacer esto bien, los expertos recomiendan desarrollar Políticas claras de gobernanza de la IA que equilibren las necesidades comerciales con los requisitos de seguridad antes de que el uso de la IA en la sombra se salga completamente de control.

Temas relacionados:
mm

Jeremy Ventura es CISO de campo en un integrador de sistemas global Miríada360, donde ayuda a las organizaciones a afrontar desafíos de seguridad complejos en la nube, la seguridad de API y las tecnologías emergentes.