Un día hubo una avería. Mientras esperaban que llegara el equipo de reparación del proveedor, algunos de los trabajadores de la línea de montaje intentaron desmantelar las máquinas y descubrieron los micrófonos. El gerente de la línea de ensamblaje estaba furioso porque el proveedor nunca informó, y mucho menos preguntó, antes de instalar lo que él consideraba dispositivos espías en su entorno.
Las herramientas GenAI se están incorporando a los productos a un ritmo mucho mayor. Para ser justos, los proveedores generalmente anuncian que ahora están utilizando IA, especialmente cuando en realidad lo hacen. no usándolo. Pero rara vez son lo suficientemente específicos como para que un equipo de TI empresarial pueda tomar una decisión informada. Y ciertamente no es lo suficientemente específico como para responder las preguntas de ningún regulador.
Desde la perspectiva de TI, la diferencia entre Shadow AI y Sneaky AI es enorme. TI puede exigir que los empleados y contratistas no utilicen sistemas no autorizados, pero la administración de TI no tiene las herramientas ni el tiempo para investigar los abusos de la sombra. Sinceramente, si un empleado toma su teléfono, accede a ChatGPT y luego usa esa respuesta en su documento, ¿cómo podría saberlo alguien en TI?
Pero Sneaky AI involucra a los proveedores que TI pagan. Aunque TI puede implicar una amenaza de despido para los empleados si participan en Shadow AI, pocos empleados creen en esa amenaza. Sin embargo, si un proveedor mete a la empresa en problemas de cumplimiento porque no cumplió con todas las divulgaciones contractuales y otras obligaciones, el temor de no ser renovado (y tal vez ser demandado) es bastante real.
He escuchado a una amplia gama de proveedores describir este problema de SneakyAI, pero lo etiquetan como ShadowIT. Más allá de la clara cuestión de la definición, al agrupar falsamente los dos, los proveedores están haciendo que sea más difícil encontrar una manera de solucionarlo. Quizás hacerlo ya esté fuera de nuestro alcance, pero al menos intentemos minimizar un poco la pesadilla.
La posibilidad de TI furtiva debería abordarse directamente en los contratos con los proveedores. El objetivo es lograr que los responsables de la toma de decisiones de TI en las empresas vuelvan a saber qué están comprando e instalando en sus sistemas. Eso significa ir mucho más allá de la notificación y exigir una notificación temprana y solicitar permiso.