A medida que nos acercamos al final de 2025, hay dos verdades incómodas sobre la IA que todo CISO debe considerar.
Verdad #1: Cada empleado que puede está utilizando recursos generativos. Herramientas de IA por tu trabajo. Incluso cuando su empresa no les proporciona una cuenta, incluso cuando su póliza lo prohíbe, incluso cuando el empleado tiene que pagar de su bolsillo.
Vicepresidente de Producto de 1Password y fundador de Kolide.
Verdad #2: Cada empleado que utilice IA generativa proporcionará (o probablemente ya haya proporcionado) a esta IA información interna y confidencial de la empresa.
Si bien usted puede oponerse a mi uso de “todos”, los datos de consenso se están moviendo rápidamente en esa dirección. De acuerdo a microsoftEn 2024, tres cuartas partes de los trabajadores del conocimiento del planeta ya utilizan IA generativa en el trabajo, y el 78% de ellos ha traído sus propias herramientas de IA al trabajo.
Mientras tanto, casi un tercio de todos los usuarios de IA admiten haber pegado material confidencial en público. robots de chat; entre ellos, el 14% admite haber filtrado voluntariamente secretos comerciales de la empresa. La mayor amenaza de la IA está relacionada con una expansión general de la “brecha entre acceso y confianza”.
En el caso de la IA, se refiere a la diferencia entre las aprobadas aplicaciones empresariales aplicaciones confiables para acceder a los datos de la empresa y el creciente número de aplicaciones no confiables y no administradas que tienen acceso a estos datos sin el conocimiento de los equipos de TI o de seguridad.
Los empleados como dispositivos no monitoreados
Básicamente, los empleados utilizan dispositivos no supervisados, que pueden contener cualquier cantidad de aplicaciones de IA desconocidas, y cada una de estas aplicaciones puede plantear muchos riesgos para los datos corporativos confidenciales.
Con estos hechos en mente, consideremos dos empresas ficticias y su uso de la IA: llamémoslas Empresa A y Empresa B.
En las empresas A y B, los representantes de desarrollo empresarial están tomando capturas de pantalla de fuerza de ventas y entréguelos a la IA para crear el resultado perfecto correo electrónico a su próximo objetivo potencial.
Los directores ejecutivos lo están utilizando para acelerar la diligencia debida sobre los recientes objetivos de adquisición que se están negociando. Ventas Los representantes transmiten audio y video desde llamadas de ventas a aplicaciones de inteligencia artificial para brindar capacitación personalizada y manejo de objeciones. Las operaciones del producto se están cargando. Sobresalir Hojas de cálculo con datos recientes de uso de productos con la esperanza de encontrar información clave que todos se perdieron.
Para la empresa A, el escenario anterior representa un informe entusiasta para la junta directiva sobre el progreso de las iniciativas internas de IA de la empresa. Para la Empresa B, el escenario representa una lista impactante de violaciones graves de políticas, algunas con graves consecuencias legales y de privacidad.
¿La diferencia? La empresa A ya ha desarrollado e implementado su plan de habilitación de IA y su modelo de gobernanza, y la empresa B todavía está debatiendo qué debería hacer con respecto a la IA.
Gobernanza de la IA: del “si” al “cómo” en seis preguntas
En pocas palabras, las organizaciones no pueden esperar más para controlar la gobernanza de la IA. El “Informe sobre el costo de una filtración de datos” de IBM de 2025 destaca el costo de no gobernar y proteger adecuadamente la IA: el 97% de las organizaciones que sufrieron una filtración relacionada con la IA no tenían controles de acceso a la IA.
Así que ahora la tarea es diseñar un plan de habilitación de la IA que promueva el uso productivo y frene el comportamiento imprudente. Para comprender cómo puede ser la capacitación segura en la práctica, comienzo cada taller de la junta directiva con seis preguntas:
1. ¿Qué casos de uso empresarial merecen el poder de la IA? Piense en casos de uso específicos de la IA, como “elaborar un boletín de vulnerabilidad de día cero” o “resumir una conferencia telefónica sobre resultados”. Céntrese en los resultados, no sólo en utilizar la IA por sí misma.
2. ¿Qué herramientas examinadas distribuiremos? Busque herramientas de IA probadas con controles de seguridad básicos, como niveles empresariales que no utilizan datos de la empresa para entrenar sus modelos.
3. ¿A dónde llegamos a las cuentas personales de IA? Formalizar las reglas para el uso de IA personal en portátiles de negociosdispositivos personales y dispositivos de proveedores de servicios.
4. ¿Cómo protegemos los datos de los clientes y cumplimos con todas las cláusulas contractuales mientras aprovechamos los beneficios de la IA? Mapear los insumos del modelo con las obligaciones de confidencialidad y las regulaciones regionales.
5. ¿Cómo identificaremos aplicaciones web de IA no autorizadas, aplicaciones nativas y complementos de navegador? Busque el uso de Shadow AI aprovechando agentes de seguridad, registros CASB y herramientas que proporcionan extensiones de inventario detalladas y complementos en navegadores y editores de código.
6. ¿Cómo enseñaremos la política antes de que ocurran errores? Después de implementar políticas, capacite proactivamente a los empleados sobre ellas; Las barandillas son inútiles si nadie las ve hasta la entrevista de salida.
Sus respuestas a cada pregunta variarán según su apetito por el riesgo, pero la alineación entre los equipos legal, de producto, de recursos humanos y de seguridad no debería ser negociable.
Básicamente, cerrar la brecha entre el acceso y la confianza requiere que los equipos comprendan y permitan el uso de aplicaciones de IA confiables en toda la empresa para que los empleados no sean engañados para que utilicen aplicaciones que no son confiables y no monitoreadas.
Gobernanza que aprende en el trabajo
Una vez que lance su política, trátela como cualquier otra pila de control: evalúe, informe y perfeccione. Parte de un plan de empoderamiento es celebrar los triunfos y la visibilidad que conllevan.
A medida que aumente su comprensión del uso de la IA en su organización, deberá revisar ese plan y mejorarlo continuamente con las mismas partes interesadas.
Una reflexión final para la sala de juntas
Piense en mediados de la década de 2000, cuando SaaS penetró en las empresas a través de informes de gastos y rastreadores de proyectos. TI intentó incluir en la lista negra dominios no verificados, el sector financiero se resistió a la expansión de las tarjetas de crédito y el departamento legal cuestionó si los datos de los clientes pertenecían a “la computadora de otra persona”. Con el tiempo, aceptamos que el lugar de trabajo había evolucionado y que SaaS se había vuelto esencial para los negocios modernos.
La IA generativa sigue la misma trayectoria a cinco veces más velocidad. Los líderes que recuerden la curva de aprendizaje de SaaS reconocerán el patrón: gobernar temprano, evaluar continuamente y transformar la experiencia del mercado gris de ayer en la ventaja competitiva del mañana.
Consulte nuestra lista del mejor software de gestión de empleados.
