A medida que nos acercamos al final de 2025, hay dos verdades incómodas sobre la IA que todo CISO debe tomar en serio.
Hecho #1: Todos los empleados que pueden utilizar herramientas de inteligencia artificial generativa para su trabajo. Incluso cuando su empresa no les proporciona una cuenta, incluso cuando su póliza lo prohíbe, incluso cuando el empleado tiene que pagar de su bolsillo.
Vicepresidente de Producto en 1Password y fundador de Collide.
Hecho #2: Cada empleado que utilice IA generativa (o quizás ya lo haga) proporcionará a esta IA información interna y confidencial de la empresa.
Si bien usted puede oponerse a mi uso de “todos”, los datos de consenso se están moviendo rápidamente en esta dirección. Según Microsoft, tres cuartas partes de los trabajadores del conocimiento del planeta ya utilizarán IA generativa en el trabajo en 2024, y el 78% de ellos traerán sus propias herramientas de IA al trabajo.
Mientras tanto, casi un tercio de todos los usuarios de IA admiten que han pegado material confidencial en chatbots públicos; Entre ellos, el 14% admitió haber divulgado voluntariamente secretos comerciales de la empresa. La mayor amenaza de la IA se relaciona con la ampliación general de la “brecha entre acceso y confianza”.
En el caso de la IA, esto significa la diferencia entre aplicaciones comerciales autorizadas y confiables para acceder a los datos de la empresa y el creciente número de aplicaciones no confiables y no administradas que acceden a esos datos sin el conocimiento de los equipos de TI o de seguridad.
Los empleados como dispositivos de seguimiento
Básicamente, los empleados utilizan dispositivos no monitoreados, que pueden contener cualquier cantidad de aplicaciones de inteligencia artificial desconocidas, y cada una de esas aplicaciones puede presentar una gran cantidad de riesgos para los datos corporativos confidenciales.
Con estos hechos en mente, consideremos dos empresas hipotéticas y su uso de la IA: las llamaremos Empresa A y Empresa B.
En las empresas A y B, los representantes de desarrollo empresarial toman capturas de pantalla de Salesforce y las envían a la IA para crear el correo electrónico saliente perfecto para su próximo cliente potencial.
Los directores ejecutivos lo están utilizando para acelerar la debida diligencia sobre adquisiciones recientes que se están discutiendo. Los representantes de ventas transmiten audio y video desde llamadas de ventas a aplicaciones de inteligencia artificial para obtener capacitación personalizada y manejo de objeciones. Product Operations está cargando hojas de Excel con datos recientes de uso del producto con la esperanza de encontrar información clave que todos los demás se perdieron.
Para la empresa A, el escenario anterior presenta un informe entusiasta a la junta directiva sobre cómo están progresando las iniciativas internas de IA de la empresa. Para la Empresa B, la situación presenta una lista condenatoria de graves violaciones de políticas, algunas con graves consecuencias legales y de privacidad.
¿La diferencia? La empresa A ya ha desarrollado y puesto en marcha su plan de capacidades de IA y su modelo de gobernanza, y la empresa B todavía está debatiendo qué debería hacer con respecto a la IA.
Gobernanza de la IA: del “si” al “cómo” en seis preguntas
En pocas palabras, las organizaciones ya no pueden esperar para controlar la gobernanza de la IA. El informe “Cost of Data Breach Reporting” de IBM de 2025 subraya el costo de no gestionar y proteger adecuadamente la IA: el 97% de las organizaciones que han sufrido una violación relacionada con la IA carecen de controles de acceso a la IA.
Así que ahora la tarea es crear un plan de habilitación de la IA que fomente el uso productivo y limite el comportamiento imprudente. Para que fluya la idea de cómo puede ser la capacidad segura en la práctica, comienzo cada taller de la junta directiva con seis preguntas:
1. ¿Qué casos de uso empresarial merecen la potencia de la IA? Piense en casos de uso específicos de la IA, como “redactar un boletín de vulnerabilidad de día cero” o “realizar una llamada informativa sobre ganancias”. Céntrese en los resultados, no utilice la IA por sí sola.
2. ¿Qué equipo probado entregamos? Busque herramientas de IA comprobadas con controles de seguridad básicos, como Enterprise Tier, que no utilizan datos de la empresa para entrenar sus modelos.
3. ¿Dónde llegamos a las cuentas personales de IA? Formalice reglas para el uso de IA personal en portátiles empresariales, dispositivos personales y dispositivos de contratistas.
4. ¿Cómo protegemos los datos de los clientes y cumplimos con cada cláusula del contrato mientras aprovechamos la IA? Mapear los aportes del modelo con las obligaciones de confidencialidad y las regulaciones regionales.
5. ¿Cómo encontramos aplicaciones web de IA no autorizadas, aplicaciones nativas y complementos de navegador? Encuentre el uso de Shadow AI utilizando agentes de seguridad, registros CASB y herramientas que proporcionan extensiones y complementos de inventario detallados en navegadores y editores de código.
6. ¿Cómo enseñamos principios antes de que salgan mal? Una vez que tenga políticas implementadas, capacite a los empleados de manera proactiva; Las barandillas no sirven de nada si nadie las ve hasta la entrevista de salida.
La respuesta a cada pregunta variará según su apetito por el riesgo, pero la alineación entre los equipos legal, de producto, de recursos humanos y de seguridad no debe ser negociable.
Básicamente, reducir la brecha entre el acceso y la confianza requiere que los equipos comprendan y permitan el uso de aplicaciones de IA confiables en toda la empresa, de modo que los empleados no se vean obligados a utilizar aplicaciones que no son de confianza y no están reguladas.
La gobernanza es un aprendizaje que funciona
Una vez que haya implementado su política, úsela como cualquier otra pila de control: mida, informe y perfeccione. Parte de un plan de activación es celebrar la victoria y la visibilidad que conlleva.
A medida que comprenda el uso de la IA en su organización, debería revisar este plan y perfeccionarlo continuamente con las mismas partes interesadas.
Una reflexión final para la sala de juntas
Piense en mediados de la década de 2000, cuando SaaS entró en la empresa con informes de gastos y rastreadores de proyectos. TI ha tratado de incluir en una lista negra dominios no auditados, los derrames de tarjetas de crédito han interrumpido el financiamiento y las dudas legales sobre si los datos de los clientes están “en la computadora de otra persona”. Finalmente, aceptamos que el lugar de trabajo ha evolucionado y SaaS se ha vuelto esencial para las empresas modernas.
La IA generativa sigue la misma trayectoria a cinco veces más velocidad. Los líderes que recuerden la curva de aprendizaje de SaaS reconocerán el patrón: administrar temprano, medir continuamente y convertir las pruebas del mercado gris de ayer en la ventaja competitiva del mañana.
Consulte nuestra lista del mejor software de gestión de empleados.
