Los negocios son competitivos y, a veces, se requieren riesgos para tener éxito, pero una nueva investigación ha revelado que algunos empleados pueden estar asumiendo más riesgos de los que creen.
La TI en la sombra, o el software y los servicios que los empleados utilizan sin el permiso del departamento de TI, pueden amenazar los datos comerciales y de los clientes e incluso aumentar el riesgo de un ciberataque.
No es ningún secreto que los empleados están ansiosos por servicios que les permitan ahorrar tiempo y mejorar la productividad, pero si las empresas no los ofrecen, los empleados tendrán que descubrirlo por sí mismos.
La lucha contra la TI en la sombra
La inteligencia artificial, para bien o para mal, se ha convertido en parte del día a día de muchos trabajadores. Esto puede ayudar a que un correo electrónico enojado sea más amigable para la empresa o ayudar a organizar tareas para mejorar la gestión del tiempo y la productividad.
Pero si las empresas adoptan estas herramientas de IA no es una cuestión que pase por la cabeza de muchas personas, porque a menudo el pensamiento principal es ahorrar tiempo, especialmente si un servicio puede facilitar el trabajo. Las políticas y la gobernanza a menudo no forman parte del proceso de pensamiento.
De hecho, el informe anual 2025 de 1Password encontró que más de la mitad (52%) de los empleados han descargado aplicaciones en algún momento sin la aprobación de TI, y aunque se anima a casi tres cuartos (73%) de los empleados a utilizar herramientas de IA, al igual que el 33% no sigue una política empresarial de IA.
Muchas herramientas y software de inteligencia artificial tomarán datos e información de los usuarios para utilizarlos como material de capacitación, lo que es especialmente peligroso para los datos de las empresas y los clientes. Por ejemplo, si una herramienta de inteligencia artificial recibe una tabla de nombres, direcciones, correos electrónicos y otra información, puede generar un mensaje cuidadosamente elaborado.
Pero este no es el único riesgo que presenta la TI en la sombra. El software de seguridad actual tiene dificultades para hacer frente a los dispositivos utilizados por los empleados durante su jornada laboral y, en algunos casos, no puede brindar protección, especialmente si un empleado está usando una aplicación no autorizada.
«La gente siempre evitará fricciones y creará sus propias soluciones cuando el soporte no esté claro. Hoy esto se nota en la complejidad de implementar SaaS e IA», dijo Dave Lewis, CISO de Consultoría Global de 1Password.
«El problema no son las herramientas SaaS y de IA que las empresas utilizan en sus entornos corporativos; es nuestra percepción. Las organizaciones exigen las herramientas de identidad de ayer para gestionar un lugar de trabajo nativo de la nube y acelerado por IA. Esta desconexión ha llevado a una brecha de confianza en el acceso. Si las organizaciones quieren tratar el contexto y la velocidad de la industria como acceso continuo, la industria debe comportarse como acceso y velocidad continuos. En gran medida impredecible, cada aplicación, cada dispositivo, y proteger cada identidad mientras permite a los empleados trabajar.
El problema del CISO
El problema de la TI en la sombra es más que un simple problema empresarial: en algunos casos es parte de un medio de vida.
Los estudios han demostrado que los profesionales de la ciberseguridad están cada vez más estresados por la variedad de amenazas que las empresas enfrentan ahora desde el exterior, por lo que enfrentar una amenaza desde adentro tampoco ayuda.
Esto es especialmente cierto para los CISO, quienes ahora enfrentan el desafío de adoptar una ola de nuevas herramientas para uso empresarial mientras continúan su eterna batalla contra las fuerzas del mal.
Asistió a una rueda de prensa TechRadar ProMark Hazelton, CSO de Oracle Red Bull Racing, señaló: «La gran amplitud de lo que hay ahí fuera y lo que nuestros empleados salen a buscar: el noventa y nueve por ciento de las veces, es por propósitos puramente comerciales y con absoluto sentido común. Pero, ¿esos sitios son tan seguros como uno quiere, y esa es una tarea difícil?».
En muchos casos, un empleado puede encontrar una herramienta que mejore significativamente su productividad, pero la herramienta debe ser investigada, probada y aprobada en un proceso que puede llevar semanas. Entonces, para obtener beneficios inmediatos, pueden simplemente usar la herramienta sin considerar los riesgos.
Mark Hallick, CISO de BRICS, se hizo eco de los sentimientos de Hazleton y agregó: «Es muy importante. Se intenta habilitar el negocio, pero tampoco se corren riesgos innecesarios. Y al igual que Red Bull, tenemos empleados que son muy seguros. Así que, mientras quieren innovar y quieren moverse, tenemos un problema de retención».
Una lección que aprender
Las herramientas de seguridad a menudo carecen de visibilidad de la TI en la sombra, especialmente si un empleado ingresa información de la empresa en una aplicación en un dispositivo personal. De hecho, el informe de 1Password encontró que el 43% de los empleados usan aplicaciones de IA en dispositivos personales y el 25% usa aplicaciones de IA no aprobadas en el lugar de trabajo.
Además, el 22 % de los empleados ha compartido datos de la empresa con una herramienta de inteligencia artificial, el 24 % ha compartido datos telefónicos de los clientes y el 19 % ha compartido datos de los empleados.
Cuando se trata de herramientas de seguridad que utilizan principalmente los empleados, como el inicio de sesión único (SSO), el 74% de los profesionales de seguridad y TI dicen que no son suficientes para proteger a los empleados y la empresa, y el 30% de las aplicaciones permanecen fuera de la burbuja del SSO. Los empleados también están recurriendo a herramientas o datos proporcionados por lugares de trabajo anteriores, y el 34% admite esta práctica.
Entonces, ¿qué se puede hacer?
La solución a este problema, como suele ocurrir, pasa por la educación. Los empleados deben tener una comprensión clara de qué dispositivos pueden usar, qué datos pueden ingresar y cómo obtener la aprobación de un dispositivo o aplicación para su uso en el trabajo. Pero los equipos de seguridad también tienen lagunas en sus conocimientos.
Susan Chiang, CISO de Headway, abordó este punto durante una conferencia de prensa y dijo: «Creo que, en general, hay muchas palancas y puntos de vista tradicionales en los que estamos acostumbrados a confiar, aunque sean defectuosos, que cada vez más no se adaptan a la nueva era de adopción de software».
Los profesionales de TI y seguridad utilizan cada vez más las herramientas de IA para mejorar la visibilidad y la detección de amenazas, y el C-Suite debe ser especialmente consciente tanto de las amenazas como de los beneficios de un AI-CISO.
«Usted es el líder del negocio, por lo que debe pensar en cómo motivar realmente a su equipo para que se comporte de una manera basada en la curiosidad y el aprendizaje», explicó Hallick. Helic explicó. «Creo que, en última instancia, para ir un poco más allá, la próxima generación de CISO heredará el panorama original de la IA, por lo que tendrán que centrarse en cómo la IA puede ser una solución, no un problema».
