0 minutos de lectura
Shadow AI: Qué es y cómo prevenirlo
La innovación tecnológica tiene la costumbre de actuar como la pata de un mono.
La innovación tecnológica tiene la costumbre de actuar como la pata de un mono.
No busque más allá de la inteligencia artificial para el último ejemplo. Los chatbots populares y las aplicaciones impulsadas por IA han dado paso a la shadow AI, que se refiere al uso corporativo no aprobado de IA generativa y software de IA.
La shadow AI, al igual que la shadow IT, generalmente adopta la forma de una actividad aparentemente inofensiva, como pedirle a ChatGPT que resuma un correo electrónico. Sin embargo, las repercusiones de usar software no aprobado para interactuar con información sensible pueden tener, comprensiblemente, consecuencias de largo alcance para la seguridad de los datos y el cumplimiento normativo.
Los equipos de TI más experimentados están abordando estos riesgos a través de una mejor visibilidad y control de la shadow AI. Así es cómo.
Los cuatro principales riesgos de la Shadow AI
Comprender dónde residen los riesgos en la shadow AI es el primer paso para prevenirlos. Aunque la shadow AI presenta desafíos únicos para la seguridad de los datos, en esencia no es diferente al uso no autorizado de aplicaciones en la nube que todo administrador de TI conoce muy bien.
El uso de software no autorizado crea inherentemente un riesgo de pérdida de datos, ya que el equipo de seguridad no ha tenido la oportunidad de evaluar los controles que el proveedor tiene implementados para prevenir dicha pérdida. Mientras que organizaciones maduras como Microsoft, Salesforce o ServiceNow cuentan con documentación extensa sobre cómo protegen la información sensible utilizada en sus plataformas, hay –especialmente en el caso de startups de IA– miles más que no cuentan con estas garantías.
De manera similar, si el equipo de seguridad no tiene un control estricto sobre cómo y dónde interactúa la IA con los datos, las empresas corren el riesgo de incumplir regulaciones locales e internacionales. Los legisladores buscan cada vez más establecer límites sobre cómo la IA almacena y utiliza los datos, y las organizaciones tienen la responsabilidad de garantizar que los datos bajo su gestión se manejen correctamente.
Por supuesto, también existen riesgos únicos asociados a la IA. Por ejemplo, algunos modelos de inteligencia artificial se entrenan mediante las entradas del usuario. En casos donde los empleados comparten registros financieros o información de clientes para obtener ayuda con análisis o respuestas, esto puede, de forma inadvertida, provocar una filtración de datos. En tales casos, las empresas deben garantizar que la IA no entrene utilizando esos datos –una tarea difícil con la shadow AI–, o podría proporcionar esa información como parte de una respuesta a otro usuario.
Los desafíos que enfrentan las empresas no se limitan únicamente a las entradas de la IA, sino también a sus salidas. El contenido escrito y el código generado por la GenAI plantean riesgos de derechos de autor y marcas registradas, y las inyecciones de prompts hacen que aplicar ese código a un producto insignia sea un peligro en sí mismo, ya que podría proporcionar una puerta trasera al software o representar una amenaza para la seguridad.
Cómo obtener visibilidad y control de la Shadow AI
Prevenir la shadow AI requiere un enfoque en múltiples capas. Por supuesto, las organizaciones deben tomarse el tiempo para desarrollar una política de uso aceptable que establezca claramente qué aplicaciones de IA pueden ser utilizadas y el proceso para evaluar nuevas propuestas de software.
Proteger la información sensible contra la pérdida o fuga de datos debe ser una prioridad en el contexto de la shadow AI—una razón fundamental por la cual la visibilidad de los datos es tan crítica. Forcepoint Data Security Posture Management (DSPM) permite el descubrimiento y clasificación de datos en toda la empresa, permitiendo que la seguridad de los datos entienda qué datos existen y dónde se están utilizando. Cuando se trata de asegurar datos en ChatGPT, Forcepoint DSPM puede ver los datos que se comparten con el chatbot en tiempo real y puede revocar esos datos de la aplicación.
Forcepoint Data Loss Prevention ayuda a las organizaciones a crear, gestionar y aplicar políticas diseñadas para evitar que se compartan información sensible, como PII, PHI y otros tipos de datos regulados o propietarios con IA. Estas políticas ofrecen un control sin igual al bloquear el copiado y pegado de datos en GenAI para detener actividades riesgosas con shadow AI en tiempo real.
Por último, Forcepoint Cloud Access Security Broker (CASB) y Forcepoint Secure Web Gateway (SWG) pueden usarse en conjunto para controlar el acceso a aplicaciones de IA en la nube y la web. Puede limitar el acceso según factores como la posición o el equipo del usuario, y dirigir a los empleados hacia software aprobado donde haya superposición—por ejemplo, de Gemini a ChatGPT.
Hable con un experto hoy mismo para explorar todas las formas en que Forcepoint puede ofrecer visibilidad y control sobre la shadow AI para mantener los datos de su organización seguros.
Bryan Arnott
Leer más artículos de Bryan ArnottBryan Arnott is a Senior Content Marketer and Digital Strategist at Forcepoint.
- 5 Steps to Secure Generative AI
En este post
- 5 Steps to Secure Generative AILeer el Libro Electrónico
X-Labs
Get insight, analysis & news straight to your inbox
Al Grano
Ciberseguridad
Un podcast que cubre las últimas tendencias y temas en el mundo de la ciberseguridad
Escuchar Ahora