Diez formas de evitar las consecuencias de un uso sin control de la IA en las empresas

Como todo lo relacionado con la tecnología, la llamada ‘TI en la sombra’ o ‘shadow IT’, es decir, el uso de la tecnología por parte de los empleados sin que el área de TI tenga visibilidad y control sobre ello, también ha evolucionado. Ya no hablamos sólo de una aplicación SaaS (de software como servicio) que satisface una necesidad específica de un trabajador o de unos cuantos dispositivos BlackBerry personales que los comerciales introducen a hurtadillas para acceder a los archivos de trabajo sobre la marcha: en la actualidad, lo más probable es que las TI en la sombra impliquen el uso de la inteligencia artificial (IA), ya que los empleados prueban todo tipo de herramientas relacionadas con esta tecnología sin el conocimiento ni el beneplácito del departamento de TI.

El volumen de la ‘IA en la sombra’ es sorprendente, según un estudio de Cyberhaven, fabricante de software de protección de datos. Según su informe de primavera 2024 AI Adoption and Risk Report, el 74% del uso de ChatGPT en el trabajo se realiza a través de cuentas no corporativas; ocurre igual con Google Gemini en el 94% de los casos y con Bard en el 96%. En definitiva, la IA no autorizada por el área de TI está tragándose los datos corporativos, debido a que muchos empleados están introduciendo documentos legales, datos de recursos humanos, código fuente y otra información empresarial delicada en este tipo de herramientas de IA generativa sin control.

La IA en la sombra es prácticamente inevitable, afirma Arun Chandrasekaran, vicepresidente y analista de la firma de investigación Gartner. “Los trabajadores sienten curiosidad por las herramientas de IA, ya que las ven como una forma de descargarse de trabajo y aumentar la productividad. Otros quieren dominar su uso, con el fin de evitar ser desplazados por la tecnología. Y otros se sienten cómodos con la IA para tareas personales y ahora quieren la tecnología en el trabajo”.

¿Qué podría salir mal?

Esas razones parecen tener sentido, reconoce Chandrasekaran, pero no justifican los riesgos que la IA ‘en la sombra’ crea para la organización. “La mayoría de las organizaciones quieren evitar la ‘IA en la sombra’ porque los riesgos son enormes”, afirma. Por ejemplo, añade, hay muchas posibilidades de que se expongan datos confidenciales, y que los datos de propiedad puedan ayudar a un modelo de IA (sobre todo si es de código abierto) a ser más inteligente, ayudando así a los competidores que puedan utilizar el mismo modelo.

Al mismo tiempo, muchos trabajadores carecen de los conocimientos necesarios para utilizar la IA con eficacia, lo que aumenta aún más el nivel de riesgo. Es posible que no estén lo suficientemente capacitados para alimentar el modelo de IA con los datos adecuados para generar resultados de calidad; para incitar al modelo con las entradas correctas para producir resultados óptimos; y para verificar la exactitud de los resultados. Por ejemplo, los trabajadores pueden utilizar la IA generativa para crear código informático, pero no pueden comprobar de forma eficaz si hay problemas en ese código si no entienden su sintaxis o su lógica. “Eso podría ser muy perjudicial”, afirma Chandrasekaran.

Mientras tanto, la ‘IA en la sombra’ podría causar problemas entre la mano de obra, afirma, ya que los trabajadores que están utilizando subrepticiamente la IA podrían tener una ventaja injusta sobre aquellos empleados que no han incorporado este tipo de herramientas. “Todavía no es una tendencia dominante, pero es una preocupación que escuchamos en nuestras conversaciones [con líderes de organizaciones]”, dice Chandrasekaran.

Este uso sin control de la IA también podría plantear problemas legales. Por ejemplo, la IA no autorizada podría haber accedido ilegalmente a la propiedad intelectual de otros, dejando a la organización como responsable de la infracción. Podría introducir resultados sesgados que contravinieran las leyes antidiscriminación y las políticas de la empresa. O podría producir resultados con errores que se transmiten a los clientes. Todas estas situaciones podrían generar responsabilidades para la empresa, que tendría que responder de cualquier infracción o daño causado como consecuencia de ello.

De hecho, las organizaciones ya se enfrentan a consecuencias cuando fallan los sistemas de IA, como ocurrió con un tribunal canadiense que dictaminó el pasado mes de febrero que Air Canada era responsable de la información errónea proporcionada a un consumidor por su chatbot de IA. En ese caso, el chatbot era una pieza de tecnología autorizada, lo que, según los responsables de TI, demuestra que los riesgos ya son suficientemente altos para la tecnología que se emplea de forma oficial, así que ¿para qué añadir aún más desafíos?

Cómo evitar el desastre

Al igual que ocurría antaño con la gestión de las ‘TI en la sombra’, no existe una solución única que pueda evitar el uso de tecnologías de IA no autorizadas o las posibles consecuencias de su uso. Sin embargo, los CIO pueden adoptar varias estrategias para ayudar a eliminar su uso, prevenir desastres y limitar el radio de exposición si algo sale mal.

1. Establecer una política de uso aceptable de la IA

Un primer gran paso es trabajar con otros ejecutivos para crear una política de uso aceptable que describa cuándo, dónde y cómo se puede utilizar la IA y reiterar las prohibiciones generales de la organización contra el uso de tecnología que no haya sido aprobada por TI, dice David Kuo, director ejecutivo de cumplimiento de privacidad en Wells Fargo y miembro del Grupo de Trabajo de Tendencias Emergentes en la asociación de gobierno sin fines de lucro ISACA. Suena obvio, pero la mayoría de las organizaciones aún no lo tienen. Una encuesta de ISACA de marzo de 2024 a 3.270 profesionales de la confianza digital concluyó que solo el 15% de las organizaciones tienen políticas de IA (incluso cuando el 70% de los encuestados dijo que su personal usa IA y el 60% dijo que los empleados están usando IA generativa).

2. Crear conciencia sobre los riesgos y las consecuencias

Kuo reconoce los límites del paso 1: “Aunque se establezca una política de uso aceptable, la gente va a romper las reglas”. Hay que advertir, por tanto, qué puede ocurrir. “Tiene que haber más concienciación en toda la organización sobre los riesgos de la IA y los CIO tienen que ser más proactivos a la hora de explicar estos desafíos y difundirlos por toda la organización”, indica Sreekanth Menon, líder global de servicios de IA/ML en Genpact, una firma global de servicios y soluciones profesionales. “Hay que subrayar los riesgos asociados a la IA en general, así como los mayores desafíos que conlleva el uso no autorizado de la tecnología”.

Kuo añade: “No puede ser una formación única, y no puede limitarse a decir ‘No hagas esto’. Hay que educar a los trabajadores. Es necesario explicarles los problemas que pueden tener utilizando indebidamente la IA y las consecuencias de su mal comportamiento”.

3. Gestionar las expectativas

Aunque la adopción de la IA está aumentando rápidamente, la investigación muestra que los ejecutivos confían menos en aprovechar el poder de estas tecnologías inteligentes, señala Fawad Bajwa, responsable global de práctica de IA en Russell Reynolds Associates, una firma de asesoría de liderazgo. Bajwa cree que este descenso se debe en parte a la divergencia entre las expectativas de la IA y lo que realmente puede ofrecer.

Además, aconseja a los CIO que se informen sobre dónde, cuándo, cómo y hasta qué punto la IA puede aportar valor. “Tener esa alineación en toda la organización sobre lo que se quiere conseguir permitirá calibrar la confianza”, afirma. Eso, a su vez, podría evitar que los trabajadores busquen soluciones de IA por su cuenta con la esperanza de encontrar una panacea para todos sus problemas.

4. Revisar y reforzar los controles de acceso

Uno de los mayores riesgos en torno a la IA es la fuga de datos, dice Krishna Prasad, director de estrategia y CIO de UST, empresa de soluciones de transformación digital. Sin duda, ese riesgo existe en los despliegues planificados de IA, pero en esos casos los CIO pueden trabajar con compañeros de las áreas de negocio, datos y seguridad para mitigar los riesgos. Sin embargo, no tienen las mismas oportunidades de revisión y mitigación de riesgos cuando los trabajadores despliegan la IA sin su participación, lo que aumenta las posibilidades de que los datos sensibles queden expuestos.

Para ayudar a evitar estos escenarios, Prasad aconseja a los equipos de tecnología, datos y seguridad que revisen sus políticas y controles de acceso a datos, así como su programa general de prevención de pérdida de datos y capacidades de monitorización de estos para garantizar que sean lo suficientemente sólidos como para evitar fugas con despliegues de IA no autorizados.

5. Bloquear el acceso a las herramientas de IA

Otro paso que puede ayudar, dice Kuo, es poner en una lista negra las herramientas de IA, como ChatGPT de OpenAI, y disponer de una regla de firewall para evitar que se acceda a esas herramientas desde los sistemas de la empresa.

6. Conseguir aliados en el esfuerzo

Los CIO no deben ser los únicos que trabajen para evitar la IA en la sombra, afirma Kuo. Deben aliarse con otros directivos (a quienes les interesa proteger a la organización contra cualquier consecuencia negativa) para educar al personal sobre los riesgos de usar herramientas de IA que van en contra de las políticas oficiales de compra de TI y uso de IA. “Una mejor protección requiere un pueblo”, añade Kuo.

7. Crear una hoja de ruta de IA de TI que impulse las prioridades y estrategias de la organización

Los empleados normalmente adoptan tecnologías porque creen que pueden ayudarles a hacer mejor su trabajo, no lo hacen porque estén tratando de perjudicar a sus empleadores. Así que los CIO pueden reducir la demanda de IA no autorizada ofreciendo las capacidades de IA que mejor ayuden a los trabajadores a alcanzar las prioridades establecidas para sus funciones.

Bajwa dice que los CIO deben ver esto como una oportunidad para guiar a sus organizaciones hacia éxitos futuros mediante la elaboración de hojas de ruta de IA que no solo se alineen con las prioridades empresariales, sino que realmente den forma a las estrategias. “Este es un momento de redefinición empresarial”, afirma Bajwa.

8. El de TI no tiene que ser el “departamento del no”

Los expertos subrayan que los CIO (y los directivos de otras áreas) no pueden dar largas a la adopción de la IA porque perjudica la competitividad de la organización y aumenta las posibilidades de la ‘IA en la sombra’. Sin embargo, según Genpact y HFS Research, esto está ocurriendo en cierta medida en muchos lugares. Su informe de mayo de 2024 reveló que el 45% de las organizaciones han adoptado una postura de “esperar y observar” en lo que respecta a la IA generativa, mientras que el 23% niegan ser escépticos sobre esta tecnología.

“Limitar el uso de la IA es completamente contraproducente hoy en día”, afirma Prasad. En cambio, dice que los CIO deben habilitar las capacidades de IA que se ofrecen dentro de las plataformas que ya se utilizan en la empresa y capacitar a los trabajadores para que las usen.

9. Permitir que los trabajadores utilicen la IA como deseen

La encuesta de marzo de ISACA descubrió que el 80% de entrevistados cree que muchos puestos de trabajo cambiarán debido a la IA. “Si ese es el caso, dé a los trabajadores las herramientas para que usen la IA de forma que realicen las transformaciones necesarias para mejorar sus puestos de trabajo”, dice Beatriz Sanz Sáiz, líder global de datos e IA en EY Consulting. La portavoz aconseja a los CIO que proporcionen a los trabajadores de todas sus organizaciones (no sólo a los de TI) las herramientas y la formación necesarias para crear o cocrear con TI algunos de sus propios asistentes inteligentes. También aconseja a los CIO que construyan tecnología flexible para que puedan apoyar y habilitar rápidamente tales esfuerzos, así como pivotar a los nuevos grandes modelos de lenguaje (LLM, por sus siglas en inglés) y otros componentes inteligentes a medida que surjan las demandas de los trabajadores, lo que hace que los empleados sean más propensos a recurrir a TI (en lugar de fuentes externas) para crear soluciones.

10. Estar abierto a usos nuevos e innovadores

La IA no es nueva, pero el rápido ritmo de adopción está mostrando más de sus problemas y potenciales. Los CIO que quieran ayudar a sus organizaciones a aprovechar el potencial (sin todos los problemas) deben ser receptivos a las nuevas formas de utilizar la IA para que los empleados no sientan que tienen que hacerlo solos.

Bajwa ofrece un ejemplo en torno a las alucinaciones de la IA: sí, las alucinaciones han tenido una mala reputación casi universal, pero estas podrían ser útiles en espacios creativos como el marketing. “Las alucinaciones pueden aportar ideas en las que ninguno de nosotros había pensado antes”, afirma.

Los directores de sistemas de información que se muestren abiertos a estas posibilidades y establezcan las barreras adecuadas, como normas sobre el nivel de supervisión humana necesario, tendrán más probabilidades de que las áreas de TI participen en la innovación de la IA en lugar de ser excluidas de ella. ¿Y no es ese el objetivo?