Cuando las herramientas de IA generativas se hicieron ampliamente disponibles a fines de 2022, no solo los tecnólogos prestaron atención. Los empleados de todas las industrias reconocieron inmediatamente el potencial de la IA generativa para impulsar la productividad, optimizar la comunicación y acelerar el trabajo. Al igual que muchas oleadas de innovación de TI de consumo antaño de él, plataformas de intercambio de archivos, almacenamiento en la estrato y colaboración, AI aterrizó en la empresa no a través de canales oficiales, sino a través de manos de empleados ansiosos por trabajar de guisa más inteligente.
En presencia de el aventura de que los datos confidenciales se alimentaran en interfaces de IA públicas, muchas organizaciones respondieron con emergencia y fuerza: bloquearon el ataque. Si perfectamente es comprensible como una medida defensiva original, aislar las aplicaciones de IA públicas no es una táctica a dilatado plazo, es un StopGap. Y en la mayoría de los casos, ni siquiera es efectivo.
Shadow AI: el aventura invisible
El equipo ZSCALER AMENAZLABZ ha estado rastreando AI y tráfico de enseñanza forzoso (ML) En todas las empresas, y los números cuentan una historia convincente. Solo en 2024, Amenselabz analizó 36 veces más tráfico de IA y ML que en el año inicial, identificando más de 800 aplicaciones de IA diferentes en uso.
El retiro no ha impedido que los empleados usen AI. Envían por correo electrónico archivos a cuentas personales, usan sus teléfonos o dispositivos de inicio, y capturan capturas de pantalla para ingresar a los sistemas de IA. Estas soluciones mueven interacciones sensibles a las sombras, fuera de la olfato desde el monitoreo y las protecciones empresariales. El resultado? Un punto ciego en crecimiento se conoce como Shadow AI.
El retiro de las aplicaciones de IA no aprobadas puede hacer que el uso parezca caer en cero en los paneles de informes, pero en existencia, su ordenamiento no está protegida; Es solo ciego a lo que positivamente está sucediendo.
Lecciones de la apadrinamiento de SaaS
Hemos estado aquí antaño. Cuando surgió el software temprano como una útil de servicio, los equipos de TI se apresuraron a controlar el uso no calificado de aplicaciones de almacenamiento de archivos basadas en la estrato. Sin requisa, la respuesta no fue prohibir el intercambio de archivos; Más perfectamente era ofrecer una alternativa segura, perfecta y de una sola señal que igualara las expectativas de los empleados por conveniencia, usabilidad y velocidad.
Sin requisa, esta vez, las apuestas son aún más altas. Con SaaS, la fuga de datos a menudo significa un archivo fuera de espacio. Con IA, podría significar inadvertidamente capacitar a un maniquí sabido en su propiedad intelectual sin forma de eliminar o recuperar esos datos una vez que se haya ido. No hay tallo “deshacer” en la memoria de un maniquí de idioma espacioso.
Visibilidad primero, luego política
Antaño de que una ordenamiento pueda manejar de guisa inteligente el uso de la IA, debe entender lo que positivamente está sucediendo. Sitiar el tráfico sin visibilidad es como construir una cerca sin retener dónde están las líneas de propiedad.
Hemos resuelto problemas como estos antaño. La posición de ZScaler en el flujo de tráfico nos da un punto de olfato incomparable. Vemos a qué aplicaciones se accede, por quién y con qué frecuencia. Esta visibilidad en tiempo efectivo es esencial para evaluar el aventura, dar forma a la política y permitir la apadrinamiento de IA más inteligente y segura.
A continuación, hemos evolucionado cómo tratamos con la política. Muchos proveedores simplemente darán las opciones en blanco y triste de “permitir” o “pedrusco”. El mejor enfoque es la gobernanza consciente del contexto, impulsada por las políticas que se alinea con los principios de confianza cero que no asumen confianza implícita y demanda de evaluación contextual continua. No todos los usos de IA presentan el mismo nivel de aventura y políticas deben reflectar eso.
Por ejemplo, podemos proporcionar ataque a una aplicación AI con precaución para el favorecido o permitir la transacción solo en el modo de aislamiento del navegador, lo que significa que los usuarios no pueden pegar datos potencialmente confidenciales en la aplicación. Otro enfoque que funciona perfectamente es redirigir a los usuarios a una aplicación alternativa aprobada por la empresa que se administra en las instalaciones. Esto permite a los empleados obtener beneficios de productividad sin arriesgar la exposición a los datos. Si sus usuarios tienen una forma segura, rápida y sancionada de usar IA, no necesitarán que lo rodeen.
Por extremo, las herramientas de protección de datos de Zscaler significan que podemos permitir a los empleados usar ciertas aplicaciones de IA públicas, pero evitar que envíen inadvertidamente información confidencial. Nuestra investigación muestra más de 4 millones de violaciones de prevención de pérdidas de datos (DLP) en la estrato ZScaler, que representa casos en las que los datos empresariales confidenciales, como datos financieros, información de identificación personal, código fuente y datos médicos, se pretendía ser enviados a una aplicación de IA, y esa transacción fue bloqueada por la política de ZSCaler. La pérdida de datos efectivo habría ocurrido en estas aplicaciones de IA sin la aplicación DLP de ZSCALER.
Inmovilidad de firmeza con protección
No se tráfico de detener la apadrinamiento de AI, se tráfico de darle forma responsable. La seguridad y la productividad no tienen que estar en desacuerdo. Con las herramientas y la mentalidad adecuadas, las organizaciones pueden obtener entreambos: empoderar a los usuarios y proteger los datos.
Obtenga más información en zscaler.com/security
