Según una nueva encuesta de Next DLP, casi tres cuartas partes (73 %) de los profesionales de la ciberseguridad han utilizado aplicaciones no autorizadas, incluida la IA, en el último año. El proveedor de seguridad entrevistó a 250 profesionales de seguridad en los recientes eventos de la industria Infosecurity Europe y RSA Conference, en el Reino Unido y los EE. UU. respectivamente. Sus hallazgos revelaron que la mayoría de los profesionales de la industria no practican lo que predican cuando se trata de TI en la sombra. La mayoría reconoció la pérdida de datos (65 %), la falta de visibilidad y control (62 %) y las violaciones de datos (52 %) como los principales riesgos del uso de herramientas no autorizadas. Otro 10 % admitió que el uso de SaaS y herramientas de IA en la sombra condujo a una violación de datos, según el estudio. Muchos equipos de seguridad de TI han señalado el uso de IA como un riesgo de seguridad potencial, y la mitad de los encuestados afirman que se ha restringido a roles específicos en la organización, y casi una quinta parte (16 %) lo ha prohibido por completo. Otro 46 % dijo que ha implementado herramientas y políticas para controlar el uso de IA generativa por parte de los empleados. Sin embargo, en general, Next DLP descubrió que los equipos de TI no están siendo lo suficientemente proactivos a la hora de gestionar el uso de aplicaciones potencialmente riesgosas por parte de los empleados. En concreto: Solo el 37 % de los profesionales de seguridad afirmó haber desarrollado políticas para el uso de estas herramientas Solo la mitad recibió orientación y políticas actualizadas sobre Shadow SaaS e IA en los últimos seis meses Una quinta parte afirmó que nunca había recibido políticas/orientación sobre shadow SaaS e IA Una quinta parte de los encuestados desconocía las políticas corporativas o la formación para mitigar el riesgo de shadow IT Es hora de un plan de shadow IT «Está claro que existe una disparidad entre la confianza de los empleados en el uso de estas herramientas no autorizadas y la capacidad de la organización para defenderse de los riesgos», argumentó el director de seguridad de Next DLP, Chris Denbigh-White. «Los equipos de seguridad deben evaluar el alcance del uso de shadow SaaS e IA, identificar las herramientas de uso frecuente y proporcionar alternativas aprobadas. Esto limitará los riesgos potenciales y garantizará que la confianza sea merecida, no injustificada». El desafío de la shadow IT ha crecido hasta el punto de que el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido publicó una guía en 2023 sobre cómo gestionarla. Según Kaspersky, alrededor del 11% de las organizaciones que experimentaron incidentes de ciberseguridad entre 2021 y 2023 vincularon su experiencia con el uso de TI en la sombra.