El grave riesgo de mirar para otro lado, Shadow AI

En el último año, el ecosistema empresarial español ha abrazado la Inteligencia Artificial con un entusiasmo sin precedentes, algo lógico, no hacerlo puede dejarte fuera del mercado. Sin embargo, bajo el pretexto de la innovación o la productividad, surge un riesgo silencioso que amenaza con dinamitar los marcos de cumplimiento empresarial, el Shadow AI o IA en la sombra.

Sin reglas jugamos con fuego

Shadow AI surge cuando los empleados usan herramientas de IA generativa sin aprobación de la alta dirección. Una dirección que debe ser garante del cumplimiento y responsable de lo que sucede con su información y con los datos bajo su custodia.

En España, un elevado número de personas trabajadoras admite este uso no autorizado, lo que dispara riesgos de fugas de datos, incumplimientos en materia de protección de datos personales y vulnerabilidades de ciberseguridad. Estudios recientes de IBM, ESET o CISCO, revelan la gran cantidad de organizaciones que sufren brechas ligadas a un uso de software sin supervisión y por supuesto provocadas también por shadow AI. Los posibles impactos económicos y reputacionales pueden ser devastadores, agravados por el hecho de que muchos de los dispositivos ni siquiera están gestionados por la organización. Si, si se está usando un dispositivo personal para trabajar, debe regularse a nivel interno.

Estos riesgos no son teóricos, están ocurriendo desde hace meses, seamos sinceros ¿podemos afirmar que alguien en la organización no ha subido un archivo corporativo a una IA generativa sin permiso?

Exposición de propiedad intelectual, decisiones basadas en resultados no verificados o contrastados por un área experta y ataques a modelos generativos, comprometen sectores regulados como finanzas, educación o la salud. En empresas españolas, las potenciales sanciones por falta de un análisis de riesgos, evaluación de impacto a derechos fundamentales o deficientes controles de seguridad acabarán llegando, eso es innegable.

Ausencia de Visibilidad y Control

Dosis de realidad, la gran mayoría de empresas carecen de herramientas para evitar o monitorear el uso de herramientas de IA no autorizadas, una Pyme tiene difícil disponer de tecnología que le permita una vigilancia efectiva a tiempo real.

Esto, genera personas trabajadoras que pueden introducir contenido no verificado en las bases de datos de la empresa o ejecutar acciones no autorizadas, provocando errores críticos en procesos vitales, como recursos humanos, ventas o atención al cliente.

Herramientas de ciberseguridad como un DLP endpoint (Data Loss Prevention), combinado con CASB (Cloud Access Security Broker) o SWG (Secure Web Gateway) que categoriza aplicaciones GenAI para detectar y bloquear subidas de datos sensibles en tiempo real, o utilizar la supervisión de DNS y proxy web pueden ser grandes opciones. Pero, es cierto que son herramientas costosas, o que precisan de un servicio gestionado si no se dispone de personal especializado para su control e implementación. Por eso, la herramienta más importante desde el primer momento es la gobernanza real.

(Imagen: E&J)

Esta es una de las razones por la que urge empezar por las bases, establecer reglas de uso, explicar las herramientas que pueden ser usadas y concienciar en la materia, si no hay recursos, al menos, es prioritario tener cimientos.

La lógica es clara, sin inventarios de herramientas IA o casos de uso documentados, las políticas de seguridad o de TI fallan, permitiendo que los empleados usen IA sin supervisión. Las empresas deben enfrentar esta realidad incómoda, la innovación sin gobernanza es caminar por la cuerda floja, evidentemente, sin red.

Es una necesidad urgente

La gobernanza de IA no es opcional, no abordarla es una temeridad empresarial que acabará pasando factura más pronto que tarde.

¿Cómo podemos empezar? Disponemos de un reciente ejemplo, la Agencia Española de Protección de datos, en un gran ejercicio de transparencia ha publicado su política de uso de IA generativa, además de la innegable ayuda de las 16 guías publicadas por AESIA, la Agencia Española de Supervisión de Inteligencia Artificial.

Estas 16 guías técnicas no son vinculantes, pero son innegablemente prácticas para establecer un marco estructurado de gestión en la empresa. Disponer de un sistema de gestión no es solo tener documentos y políticas, es supervisión, proactividad, roles y responsabilidad real.

Estrategias prácticas para empresas, pasemos a la acción

Debemos saber donde poner el foco y como evitar estos riesgos empresariales. Prohibir no suele ser la solución, esto da paso a los intentos por saltarse los procedimientos de seguridad, algo muy cotidiano. Lo más inteligente es integrar soluciones IA aprobadas y evaluadas previamente.

No se puede gobernar lo que no se conoce. La respuesta al Shadow AI no debe ser el bloqueo sistemático, sino la implementación de un marco de gobierno robusto basado en unos pasos coherentes:

• Alfabetización en IA: El primer paso es que la capa directiva y los empleados entiendan qué se puede hacer y como debe hacerse, no solo en términos de cumplimiento, si vamos a usar una herramienta lo mejor es optimizarla para tener resultados. Ayudemos a que sepan usarla, para crear productividad real.
• Inventario y Clasificación: Las empresas deben realizar un mapeo de las herramientas que se están usando y clasificarlas según su nivel de riesgo. Establecer casos de uso claros y realizar un análisis de riesgos transversal. Tener en cuenta en el análisis de riesgos tanto los riesgos corporativos como los riesgos que el uso de la IA puede causar en los derechos y libertades de los usuarios.
• Establecer Listas Blancas: Proporcionar alternativas seguras y corporativas que cumplan con los estándares de transparencia y precisión.
• Monitorizar y supervisar, no basta con proponer un uso aceptable, hay que velar porque se cumplan las reglas definidas.

Las políticas y procedimientos no son exclusivos de grandes empresas, todas las organizaciones deben velar, en la medida de sus posibilidades, por un uso responsable de la tecnología por parte de sus personas trabajadoras. No hacerlo es una negligencia, a la larga puede costar dinero, reputación y un problema de seguridad insalvable. Ahora vamos a preguntarnos ¿Queremos gobernar el barco o queremos tapar vías de agua?