Explorando el impacto de Shadow AI en los negocios: riesgos, estrategias y la búsqueda de un futuro seguro e innovador. ¿Cómo navegarán las empresas esta nueva frontera?
En diciembre de 2023, Amazon presentó su último proyecto de inteligencia artificial , Q, que promete una alternativa más segura a los chatbots centrados en el consumidor como ChatGPT. Sin embargo, la emoción duró poco. Apenas tres días después del anuncio, Amazon Q se vio envuelto en una controversia. Los empleados estaban alarmados por sus inadecuadas medidas de seguridad y privacidad, revelando que Q no cumplía con los estrictos estándares corporativos de Amazon. Los críticos destacaron su tendencia a tener "alucinaciones" y filtrar información confidencial, incluidas ubicaciones de centros de datos de AWS, características de productos inéditas y programas de descuentos internos. Los ingenieros de Amazon se vieron obligados a adoptar el modo de control de daños, abordando problemas críticos etiquetados como una emergencia "sev 2" para evitar futuras consecuencias.
Casi al mismo tiempo, Samsung Electronics Co. lidiaba con su propio dolor de cabeza inducido por la IA. Un código fuente interno confidencial llegó a ChatGPT, destacando evidentes vulnerabilidades de seguridad. La respuesta fue rápida: a través de un memorando interno se comunicó la prohibición de las herramientas de IA generativa en toda la empresa. La decisión de Samsung subrayó las dificultades de gestionar datos en plataformas externas de inteligencia artificial, como Google Gemini y Microsoft Copilot, donde el control sobre la recuperación y eliminación de datos es difícil de alcanzar. Esta medida reflejó las preocupaciones del 65% de los empleados de Samsung , que veían estos servicios de IA como un caballo de Troya digital. A pesar del impacto de la prohibición en la productividad, Samsung se mantuvo firme y optó por desarrollar soluciones internas de IA para traducción, resumen de documentos y desarrollo de software hasta que se pudiera establecer un entorno seguro de uso de IA.
Apple también se unió a la refriega, prohibiendo a sus empleados usar ChatGPT y herramientas similares impulsadas por IA. La prohibición fue impulsada en parte por las afiliaciones de las herramientas con Microsoft, un competidor directo, lo que avivó los temores sobre la seguridad de los datos confidenciales de Apple. Esta tendencia no era exclusiva de los gigantes tecnológicos; Gigantes financieros como JPMorgan Chase , Deutsche Bank, Wells Fargo y otros también limitaron el uso de chatbots de IA, con el objetivo de proteger la información financiera confidencial de los ojos de terceros.
Sin embargo, estas restricciones generaron inadvertidamente una cultura de "IA en la sombra", donde los empleados usan sus dispositivos personales en el trabajo en su búsqueda de eficiencia y ahorro de tiempo, lo que pone de relieve una importante brecha entre políticas y prácticas en el uso de la IA.
Aunque los datos concretos son escasos, numerosas personas en empresas con restricciones de IA han confesado haber empleado este tipo de soluciones: ¡ésas son sólo las que se muestran abiertas al respecto! Este uso de la IA en la sombra prevalece en muchas organizaciones, fomentando el uso de la IA de maneras que contradicen o violan las políticas de la empresa, convirtiéndose así en una actividad que los empleados se sienten obligados a ocultar.
A medida que profundicé en este tema, encontré algunos estudios recientes que confirman que a pesar de numerosas historias sobre empresas que restringen el uso de genAI en el lugar de trabajo, los empleados no parecen estar usándolo menos . Una investigación reciente de Dell indica que el 91% de los encuestados ha incursionado en la IA generativa en sus vidas de alguna manera, y otro 71% informa que la ha utilizado específicamente en el trabajo.
El estudio realizado por ISACA destaca una brecha significativa entre la adopción de la IA en el lugar de trabajo y las políticas formales que rigen su uso en Australia y Nueva Zelanda. Si bien el 63 % de los empleados en estas regiones utilizan la IA para diversas tareas, solo el 36 % de las organizaciones lo permiten oficialmente. La encuesta revela que la IA se está aplicando para crear contenido escrito (51%), mejorar la productividad (37%), automatizar tareas repetitivas (37%), mejorar la toma de decisiones (29%) y el servicio al cliente (20%). Sin embargo, sólo el 11% de las organizaciones tiene una política integral para el uso de la IA y el 21% no tiene intención de establecer ninguna.
Además, el estudio de ISACA indica una falta de formación relacionada con la IA dentro de las organizaciones, ya que solo el 4% la ofrece a todo el personal y el 57% no proporciona ninguna formación, ni siquiera a aquellos directamente afectados por las tecnologías de IA. Esta situación genera preocupaciones similares a las relacionadas con la TI en la sombra, donde los empleados utilizan los recursos de TI sin aprobación formal, lo que potencialmente pone en riesgo la seguridad y la gobernanza de la organización.
Al igual que Shadow IT se coló en las empresas, Shadow AI ya está presente, lo que obliga a las organizaciones a enfrentar su postura GenAI de frente y al mismo tiempo descubrir cómo usarla.
Los expertos creen que las barreras de seguridad no impedirán que los empleados utilicen herramientas de inteligencia artificial, ya que mejoran significativamente la productividad y ahorran tiempo. Por lo tanto, los CIO de las empresas deben afrontar este problema y explorar estrategias de mitigación que se alineen con la tolerancia al riesgo de su organización. Inevitablemente, los empleados con buenas intenciones utilizarán estas herramientas para aumentar su eficiencia, de modo que los líderes tecnológicos corporativos puedan prevenir cualquier daño potencial a la organización abordando proactivamente esta tendencia y administrándola de manera efectiva.
La interacción de cada empleado con las herramientas de IA puede ser un punto potencial de vulnerabilidad.
La historia de Shadow IT está marcada por importantes violaciones de datos, como los infames incidentes que involucraron depósitos no seguros de Amazon S3 , que llevaron a la exposición pública de los datos personales de 30.000 personas. Estos precedentes históricos sirven como advertencia y enfatizan la necesidad de una gobernanza de datos rigurosa en la era de la IA.
Shadow AI es un desafío más formidable que Shadow IT por varias razones. En primer lugar, la naturaleza descentralizada del uso de herramientas de IA significa que el potencial de uso indebido o fuga de datos no se limita a un subconjunto técnico de empleados (por ejemplo, desarrolladores), sino que se extiende a toda la organización. Además, los modelos AIaaS (IA como servicio) aprenden inherentemente de los datos que procesan, lo que crea una doble capa de riesgo: la posibilidad de que los proveedores de IA accedan a datos confidenciales y la capacidad mejorada de los malos actores para descubrir y explotar datos expuestos.
Según Amir Sohrabi , vicepresidente regional de EMEA y Asia y jefe de transformación digital de SAS, los líderes tecnológicos con una mentalidad centrada en los datos podrán impulsar mayores eficiencias en 2024 y más allá. Esto se debe a que maximizar los beneficios de las herramientas de IA generativa depende de datos bien organizados, lo que requiere prácticas sólidas de gestión de datos que abarquen el acceso, la higiene y la gobernanza de los datos.
En su artículo para CIO.com, Nick Brackney, líder de Gen AI y Cloud Evangelist en Dell Technologies, señala "tres formas prescriptivas" que las empresas deberían utilizar para combatir con éxito la Shadow AI.
En primer lugar, establecer una estrategia centralizada para el uso generativo de la IA, que involucre al liderazgo ejecutivo para definir casos de uso, crear acceso seguro y proteger los datos. Este enfoque simplifica la aplicación y la ampliación en toda la organización, al tiempo que requiere esfuerzo para generar e identificar resultados fáciles que garanticen el éxito.
En segundo lugar, mantenga sus datos organizados y comprenda qué tipos no deben colocarse en ofertas de IA en la nube pública o privada alojada, como secretos comerciales e información confidencial. Utilice soluciones de inteligencia artificial que permitan un control total o no retengan registros de conversaciones para este tipo de datos.
En tercer lugar, controle el servicio de IA llevándolo a sus datos, ya sea localmente o mediante soluciones seguras en la nube, para aprovechar las ventajas en gobernanza, productividad de los empleados y acceso seguro a los datos. Este enfoque mejora la experiencia del usuario final, asegurando el cumplimiento y reduciendo el riesgo de exposición de datos.
Elaborar una política clara de uso aceptable de la IA es crucial para delinear prácticas inadecuadas de IA que podrían dañar potencialmente a su organización y para guiar la integración de aplicaciones de IA de acuerdo con los protocolos de seguridad de datos y las estrategias de gestión de riesgos. Esta política sirve como punto de referencia, permitiendo a los tomadores de decisiones evaluar el uso de herramientas de inteligencia artificial dentro de la organización en comparación con las pautas establecidas, identificar rápidamente cualquier exposición a riesgos y determinar las acciones correctivas necesarias.
Ethan Mollick, profesor de la Wharton School de la Universidad de Pensilvania, ofrece otro enfoque que invita a la reflexión. Él cree que los métodos tradicionales para integrar nuevas tecnologías son ineficaces para la IA debido a su naturaleza centralizada y su ritmo lento, lo que dificulta que los departamentos de TI desarrollen modelos de IA internos competitivos o que los consultores brinden orientación específica. El potencial real de la aplicación de la IA reside en los empleados que son expertos en sus propios trabajos, lo que sugiere que para que las organizaciones se beneficien verdaderamente de la IA, deben involucrar a su fuerza laboral (también conocida como "Cyborgs secretos") en el uso de tecnologías de IA.
En primer lugar, las marcas deben reconocer que los empleados de cualquier nivel pueden poseer valiosas habilidades de IA, independientemente de su función formal o desempeño anterior. Una vez detectados los cyborgs secretos entre sus empleados conocedores de la IA, las empresas deben fomentar un entorno de aprendizaje colectivo, como bibliotecas de información interactiva y crear una cultura que disminuya la aprensión en torno a la IA ofreciendo garantías contra la pérdida de empleo debido a la IA, promoviendo el uso de IA para eliminar tareas mundanas y fomentar un trabajo más atractivo.
Establecer seguridad psicológica es crucial para fomentar el uso abierto de la IA entre los empleados.
Los empleadores deberían poder ofrecer recompensas sustanciales por identificar oportunidades significativas en las que la IA pueda ayudar a la organización. Esto podría incluir incentivos financieros, promociones o condiciones de trabajo flexibles y manejarse mediante gamificación.
Las organizaciones de hoy deben actuar con rapidez para determinar cómo se utilizarán las ganancias de productividad de la IA, cómo se deben reorganizar los procesos de trabajo a la luz de las capacidades de la IA y cómo gestionar los riesgos potenciales asociados con el uso de la IA, como las alucinaciones de datos y las preocupaciones sobre la propiedad intelectual. Esto exige un enfoque proactivo para elaborar políticas integrales de IA, involucrar a los empleados de todos los niveles para aprovechar sus conocimientos y fomentar una cultura que recompense la innovación impulsada por la IA.
A medida que los tecnófilos y las empresas navegan por las complejidades de la integración de la IA, ¿qué estrategias implementará para aprovechar de manera responsable e innovadora esta tecnología transformadora dentro de su organización o proyectos personales, garantizando un enfoque equilibrado de la privacidad, la seguridad y la eficiencia?