Cuando un empleado instala un asistente de escritura de IA, conecta un copiloto de codificación a su IDE o comienza a resumir reuniones con una nueva herramienta de navegador, está haciendo exactamente lo que un empleado productivo debería hacer: encontrar formas más rápidas de trabajar. En la mayoría de las organizaciones hoy en día, los empleados utilizan de tres a cinco herramientas de IA al día. La mayoría nunca fueron revisadas por TI. Una parte significativa se conecta a datos corporativos a través de tokens OAuth o sesiones de navegador, lo que les da acceso a unidades compartidas, correos electrónicos y documentos internos que el empleado nunca tuvo la intención específica de exponer. Los equipos de seguridad a menudo no tienen visibilidad de nada de esto. Esta es la brecha de la IA sombra, y se está ampliando rápidamente. La mayoría de las herramientas de seguridad fueron diseñadas para monitorear el tráfico de correo electrónico y de red que fluye a través de la red corporativa. Una herramienta de IA basada en navegador que se conecta a datos de la empresa a través de una rápida aprobación de inicio de sesión elude esos controles por completo, ya que nunca pasa por la red corporativa en absoluto. Según la investigación de **Adaptive Security**, el 80% de los empleados utilizan actualmente aplicaciones de IA generativa no aprobadas en el trabajo, y solo el 12% de las empresas tienen una política formal de gobernanza de IA implementada. El resultado es una creciente desconexión entre cómo trabajan los empleados y lo que los equipos de seguridad pueden ver. Un programa que canaliza la adopción de IA hacia un camino seguro, visible y aprobado brinda a los equipos de seguridad la visibilidad que necesitan y a los empleados las herramientas que desean. Los cinco pasos a continuación muestran exactamente cómo construir uno. ## Paso 1: Construir una Imagen Completa de lo que se está Ejecutando Un programa de seguridad solo puede administrar lo que puede ver. El primer paso es descubrir qué herramientas de IA se están utilizando en toda la organización, y la mayoría de los equipos de seguridad encontrarán la respuesta sorprendente. Tres áreas representan la mayoría de la actividad de IA sombra. * **Conexiones OAuth.** La mayoría de las herramientas de IA solicitan acceso a **Google Workspace** o **Microsoft 365** a través de OAuth, lo que les otorga permisos de lectura o escritura sobre datos corporativos. Una auditoría trimestral de aplicaciones de terceros conectadas, ordenada por el alcance de los permisos, generalmente revela docenas de herramientas que el equipo de seguridad nunca revisó. * **Extensiones de navegador.** Muchas herramientas de IA se ejecutan como extensiones de navegador y nunca tocan el sistema operativo, por lo que las herramientas de administración de endpoints tradicionales no las detectan. Una solución de administración de navegadores o un agente ligero instalado en los dispositivos de los empleados puede escanear e identificar qué extensiones están activas en toda la organización. * **Funciones de IA integradas en herramientas ya aprobadas.** **Microsoft Copilot**, **Google Gemini** y **Salesforce Einstein** son ejemplos de capacidades de IA que pueden haberse introducido después de la revisión original del proveedor, a menudo sin una evaluación de seguridad separada. Una simple encuesta a los empleados también vale la pena. Una encuesta enmarcada en ayudar a los empleados a trabajar de manera más segura tiende a obtener respuestas sinceras. Muchas herramientas sombra surgen a través de encuestas que el descubrimiento automatizado no detecta. El objetivo de este paso es un inventario actual y preciso: cada herramienta de IA en uso, quién la está usando y a qué datos tiene acceso. ## Paso 2: Escribir una Política que Funcione con los Empleados La mayoría de las políticas de uso aceptable de IA se estancan por la misma razón: dan a los empleados una lista de herramientas prohibidas sin ninguna guía sobre cómo es el camino aprobado. Una política diseñada como una guía práctica, que identifica las herramientas aprobadas y proporciona un proceso claro para solicitar nuevas, es la base que los empleados necesitan para tomar buenas decisiones. Una política de gobernanza de IA efectiva cubre cinco aspectos. * Una lista actualizada de herramientas aprobadas y dónde encontrarlas. * Reglas claras de clasificación de datos que especifican qué categorías de datos, incluidos registros de clientes, código fuente e información financiera, nunca deben ingresarse en ninguna herramienta de IA. * Un estado de exclusión voluntaria de datos verificado para cada herramienta aprobada. Muchas herramientas de IA utilizan las entradas de la empresa para mejorar sus modelos por defecto, a menos que la configuración empresarial se configure explícitamente de otra manera. La aprobación debe requerir la exclusión voluntaria confirmada para cualquier herramienta que maneje datos confidenciales. * Un proceso definido para solicitar nuevas herramientas, con un tiempo de respuesta objetivo. * Una explicación en lenguaje claro de por qué existen las directrices. Este último elemento es más importante de lo que parece. Los empleados que entienden por qué las conexiones OAuth conllevan riesgos de exposición de datos aplican ese razonamiento a cada decisión de herramienta que toman. La política se convierte en una forma de educación cuando se incluye el razonamiento. ## Paso 3: Crear un Carril Rápido para Solicitudes de Nuevas Herramientas La IA sombra crece más rápido en organizaciones donde el proceso de aprobación oficial no puede seguir el ritmo de la tasa de lanzamiento de productos de IA. Un empleado que necesita una herramienta hoy y se enfrenta a una revisión de seguridad de seis semanas encontrará una solución alternativa en pocos días. El objetivo de este paso es eliminar esa fricción. * La mayoría de las solicitudes de herramientas de IA no justifican una revisión completa de adquisición. Un formulario de ingreso estructurado con criterios de evaluación definidos es suficiente para la mayoría de las herramientas de menor riesgo. * Un formulario de ingreso estructurado y un conjunto definido de criterios de evaluación permiten tomar decisiones más rápidas. Para herramientas con acceso limitado a datos, muchas organizaciones encuentran factible un tiempo de respuesta más corto una vez que los criterios de evaluación están documentados y se aplican de manera consistente. * Los criterios de evaluación deben cubrir el alcance del acceso a los datos, las prácticas de seguridad del proveedor, el estado de exclusión voluntaria de datos, las certificaciones de cumplimiento y si la herramienta ya tiene un equivalente funcional en la lista aprobada. Los equipos de seguridad que publican su lista de herramientas aprobadas abiertamente y la mantienen actualizada suelen ver una reducción significativa en el uso de IA sombra. Cuando los empleados saben dónde encontrar las herramientas adecuadas, las utilizan. ## Paso 4: Utilizar el Monitoreo como una Capa de Seguridad Compartida La visibilidad continua del uso de herramientas de IA en toda una organización sirve a dos grupos simultáneamente. * Los equipos de seguridad obtienen la imagen en tiempo real que necesitan para identificar y abordar la exposición antes de que se convierta en un incidente. * Los empleados obtienen una forma de protección que a menudo no tienen por sí solos: una señal cuando una herramienta que están utilizando puede estar poniendo en riesgo sus credenciales o los datos de la empresa. Un enfoque de monitoreo nativo del navegador brinda a los equipos de seguridad visibilidad de la actividad de IA sin redirigir el tráfico web de los empleados ni agregar fricción al trabajo diario. Las señales que captura alimentan el perfil de riesgo más amplio de cada empleado, junto con sus resultados de simulación de phishing y datos de finalización de capacitación en un solo lugar. Esa vista combinada es importante porque los comportamientos de riesgo se acumulan. Un empleado que hace clic en enlaces de phishing, omite la capacitación y utiliza herramientas de IA no aprobadas con acceso a datos confidenciales presenta un riesgo mucho mayor que cualquier comportamiento individual. Ver la imagen completa en un solo lugar ayuda a los equipos de seguridad a centrarse en los empleados que más necesitan atención. ## Paso 5: Hacer que el Buen Comportamiento de Seguridad Sea Fácil Los programas de seguridad que hacen que la elección segura sea la más fácil son los que los empleados siguen. En el contexto de la gobernanza de IA, dos cosas impulsan eso: la capacitación contextual justo a tiempo y la capacitación que explica el razonamiento detrás de las reglas. La capacitación contextual justo a tiempo ofrece una indicación breve y contextual en el momento en que un empleado intenta usar una herramienta no autorizada. Esto es más efectivo que los módulos de capacitación trimestrales, porque la intervención ocurre en el punto de decisión. Una indicación bien diseñada le dice al empleado cuál es la preocupación, lo dirige a una alternativa aprobada y tarda menos de treinta segundos en leerse. La capacitación que explica el razonamiento detrás de las políticas de gobernanza de IA construye el tipo de juicio que los empleados pueden aplicar en cualquier situación que encuentren, incluidas las herramientas y amenazas que surgen mucho después de la capacitación en sí. El panorama de las herramientas de IA está cambiando lo suficientemente rápido como para que ningún programa de capacitación pueda anticipar cada caso específico. Un empleado que entiende que las conexiones OAuth a **Google Workspace** corporativo pueden exponer toda la unidad compartida a un proveedor externo aplicará esa comprensión a herramientas que no existían hace seis meses. ## Construir un Programa de Seguridad Basado en Cómo Trabajan los Equipos La adopción de IA es una señal de equipos productivos que hacen bien su trabajo. Las empresas que construyen programas prácticos en torno a ese impulso, con caminos claros hacia herramientas aprobadas y visibilidad en tiempo real para los equipos de seguridad, tienden a manejarlo mejor. Los equipos de seguridad que cierran esa brecha encuentran que el uso de IA sombra disminuye orgánicamente con el tiempo. La visibilidad nativa del navegador, los caminos claros hacia herramientas aprobadas y la capacitación contextual justo a tiempo en el momento del riesgo son lo que hace que eso sea posible. Cuando los empleados tienen acceso a herramientas efectivas y aprobadas y a un camino rápido y transparente para que se revisen las nuevas, el incentivo para eludir el sistema en gran medida desaparece. El producto AI Governance de **Adaptive Security** brinda a los equipos de seguridad visibilidad en tiempo real de cada herramienta de IA y aplicación sombra que se ejecuta en su organización, con políticas automatizadas y capacitación contextual justo a tiempo para los empleados integrada.