A medida que las herramientas de IA se vuelven más accesibles, los empleados las adoptan sin la aprobación formal de los equipos de seguridad y TI. Si proporcionadamente estas herramientas pueden aumentar la productividad, automatizar tareas o satisfacer vacíos en los flujos de trabajo existentes, igualmente operan fuera de la visibilidad de los equipos de seguridad, eludiendo los controles y creando nuevos puntos ciegos en lo que se conoce como IA en la sombra. Si proporcionadamente es similar al engendro de la TI en la sombra, la IA en la sombra va más allá del software no consentido al involucrar sistemas que procesan, generan y potencialmente retienen datos confidenciales. El resultado es una categoría de aventura que la mayoría de las organizaciones aún no están preparadas para tramitar: exposición incontrolada de datos, superficies de ataque ampliadas y seguridad de identidad debilitada.
¿Por qué la IA en la sombra se está extendiendo tan rápidamente?
La IA en la sombra se está expandiendo rápidamente en todas las organizaciones porque es dócil de adoptar y útil al instante, aunque en gran medida no está regulada. A diferencia del software empresarial tradicional, la mayoría de las herramientas de inteligencia químico requieren poca o ninguna configuración, lo que permite a los empleados comenzar a utilizarlas de inmediato. Según una sondeo de Salesforce de 2024, el 55% de los empleados informaron que utilizaban herramientas de inteligencia químico que no habían sido aprobadas por su estructura. Cubo que muchas organizaciones carecen de políticas claras de uso de la IA, los empleados deben atreverse por sí mismos qué herramientas usar y cómo usarlas, a menudo sin comprender las implicaciones de seguridad.
Los empleados pueden utilizar herramientas de IA generativa como ChatGPT o Claude en los flujos de trabajo cotidianos y, si proporcionadamente esto puede mejorar la productividad, puede dar circunstancia a que datos confidenciales se compartan externamente sin supervisión. El hecho de que el proveedor de IA utilice o no esos datos para la capacitación del maniquí depende de la plataforma y el tipo de cuenta, pero en cualquier caso, los datos han surgido de los límites de seguridad de la estructura.
A nivel de unidad, la IA en la sombra puede aparecer cuando los equipos integran API de IA o modelos de terceros en aplicaciones sin una revisión de seguridad formal. Estas integraciones pueden exponer datos internos e introducir nuevos vectores de ataque que los equipos de seguridad no pueden ver ni controlar. En circunstancia de intentar eliminar por completo la IA en la sombra, las organizaciones deben tramitar activamente los riesgos que crea.
Cómo la IA en la sombra es un problema de seguridad
La IA en la sombra a menudo se plantea como una cuestión de gobernanza, pero en esencia es un problema de seguridad. A diferencia de la TI en la sombra tradicional, donde los empleados adoptan software no consentido, la IA en la sombra implica sistemas que procesan y almacenan datos activamente más allá del gravedad de los equipos de seguridad, lo que convierte el uso no calificado de la IA en un aventura más amplio de exposición a los datos y uso indebido del camino.
La IA en la sombra puede provocar fugas de datos imposibles de rastrear
Los empleados pueden compartir datos de clientes, información financiera o documentos comerciales internos con herramientas de inteligencia químico para completar tareas de modo más válido. Los desarrolladores que solucionan problemas de código pueden pegar sin darse cuenta scripts que contienen claves API codificadas, credenciales de bases de datos o tokens de camino, exponiendo credenciales confidenciales sin darse cuenta. Una vez que los datos llegan a una plataforma de inteligencia químico de terceros, las organizaciones pierden visibilidad de cómo se almacenan o utilizan. Como resultado, los datos pueden dejar a una estructura sin un rastra de auditoría, lo que hace difícil, si no ficticio, rastrear o contener una infracción. Según el RGPD y la HIPAA, este tipo de transferencia de datos incontrolada puede constituir una infracción denunciable.
Shadow AI expande rápidamente la superficie de ataque
Cada aparejo de IA crea un nuevo vector de ataque potencial para los ciberdelincuentes. Cuando se adoptan herramientas no aprobadas sin supervisión, pueden incluir API o complementos no aprobados que son inseguros o maliciosos. Los empleados que acceden a las plataformas de IA a través de cuentas o dispositivos personales colocan esa actividad completamente fuera de los controles de seguridad de la estructura, y el monitoreo de red tradicional no puede verla. A medida que las organizaciones comienzan a implementar agentes de IA que operan de forma autónoma adentro de los flujos de trabajo, el aventura se vuelve aún más importante. Estos sistemas interactúan con múltiples aplicaciones y plataformas, creando vías complejas y en gran medida ocultas que los ciberdelincuentes pueden servirse.
Shadow AI elude los controles de seguridad tradicionales
Los controles de seguridad tradicionales no se crearon para manejar el uso contemporáneo de la IA. La mayoría de las plataformas de IA operan a través de HTTPS, lo que significa que las reglas de firewall normalizado y el monitoreo de red no pueden inspeccionar el contenido de esas interacciones sin una inspección SSL, un control que muchas organizaciones no han implementado. Las interfaces de IA conversacional siquiera se comportan como aplicaciones tradicionales, lo que dificulta que las herramientas de seguridad monitoreen o registren la actividad. Correcto a esto, los datos se pueden compartir con sistemas de inteligencia químico externos sin activar ninguna alerta.
La IA en la sombra afecta la seguridad de la identidad
Shadow AI presenta serios desafíos en la papeleo de identidades y accesos (IAM). Por ejemplo, los empleados pueden crear varias cuentas en plataformas de inteligencia químico, lo que genera identidades fragmentadas y no administradas. Los desarrolladores pueden incluso conectar herramientas de inteligencia químico a sistemas mediante cuentas de servicio, creando identidades no humanas (NHI) sin la supervisión adecuada. Si las organizaciones carecen de una gobernanza centralizada, estas identidades pueden terminar mal monitoreadas y ser difíciles de tramitar durante todo su ciclo de vida, lo que aumenta el aventura de camino no calificado y exposición a dadivoso plazo.
Cómo las organizaciones pueden sujetar el aventura de la IA en la sombra
A medida que la IA se integra más en los flujos de trabajo diarios, las organizaciones deben apuntar a sujetar el aventura y al mismo tiempo permitir un uso seguro y productivo. Esto requiere que los equipos de seguridad pasen de circunvalar por completo las herramientas de inteligencia químico a cuidar cómo se utilizan en el circunstancia de trabajo, enfatizando la visibilidad y el comportamiento del afortunado. Las organizaciones pueden sujetar el aventura de la IA en la sombra siguiendo estos pasos:
- Establezca políticas claras de uso de IA: Defina qué herramientas de IA están permitidas y qué datos se pueden compartir. Las políticas de seguridad deben ser fáciles de seguir e intuitivas, ya que las reglas demasiado restrictivas sólo empujarán a los empleados a utilizar herramientas no autorizadas.
- Proporcionar alternativas de IA aprobadas: Cuando los empleados no tienen camino a herramientas bártulos, es más probable que encuentren las suyas propias. Ofrecer soluciones de IA seguras y aprobadas que cumplan con los estándares organizacionales reduce la penuria de IA en la sombra.
- Mejore la visibilidad de los patrones de uso de la IA: Si proporcionadamente no siempre es posible una visibilidad total, las organizaciones deben monitorear el tráfico de la red, el camino privilegiado y la actividad de API para comprender mejor cómo los empleados usan la IA.
- Educar a los empleados sobre los riesgos de seguridad de la IA: Muchos empleados se centran nada más en las ventajas de productividad de las herramientas de inteligencia químico en circunstancia de en los riesgos de seguridad. Proporcionar capacitación sobre el uso seguro de la IA y el manejo de datos puede sujetar drásticamente la exposición involuntaria.
Beneficios de tramitar eficazmente la IA en la sombra
Las organizaciones que gestionen proactivamente la IA en la sombra obtendrán un viejo control sobre cómo se utiliza la IA en sus entornos. La papeleo eficaz de la IA en la sombra proporciona varios beneficios, entre ellos:
- Visibilidad total de qué herramientas de IA están en uso y a qué datos acceden
- Reducción de la exposición regulatoria en marcos como GDPR, HIPAA y la Ley de IA de la UE
- Acogida de IA más rápida y segura con herramientas examinadas y directrices exhaustivas
- Longevo apadrinamiento de herramientas de IA aprobadas, lo que reduce la dependencia de alternativas inseguras
La seguridad debe tener en cuenta la IA en la sombra
La apadrinamiento de la IA se está normalizando en el circunstancia de trabajo y los empleados seguirán buscando herramientas que les ayuden a trabajar más rápido. Cubo lo dócil que es obtener a las herramientas de IA y cuán rara vez las políticas de uso siguen el ritmo de la apadrinamiento, es obligatorio cierto calidad de IA en la sombra en cualquier estructura holgado. En circunstancia de intentar circunvalar por completo las herramientas de IA, las organizaciones deberían centrarse en permitir su uso seguro mejorando la visibilidad de la actividad de la IA y garantizando que tanto las identidades humanas como las de las máquinas estén gobernadas adecuadamente.
Keeper® respalda este enfoque directamente, ayudando a las organizaciones a controlar el camino privilegiado a los sistemas con los que interactúan las herramientas de IA, imponer el camino con privilegios mínimos para todas las identidades, incluidos los usuarios humanos y los agentes de IA, y sostener un seguimiento de auditoría completo de la actividad en toda la infraestructura crítica. A medida que los agentes de IA se vuelven más frecuentes en los flujos de trabajo empresariales, guiar las identidades y las rutas de camino de las que dependen se vuelve tan importante como guiar las herramientas mismas.
Nota: Este artículo fue escrito cuidadosamente y contribuido para nuestra audiencia por Ashley D’Andrea, redactora de contenido de Keeper Security.
