Una integración de terceros no debería ser una puerta trasera. Pero para Jornada laboral Clientes, eso es exactamente lo que pasó.
Tras una serie de ataques dirigidos al ecosistema en la nube de Salesforce, el gigante tecnológico de RR. HH. Workday ha confirmado una filtración de datos. Según se informa, la exposición se debe a un agente malicioso que abusa de los datos autorizados. acceso de terceros — un duro recordatorio de que la IA en la sombra, las API con demasiados permisos y los flujos de datos no controlados crean las condiciones ideales para las infracciones.
En la empresa híbrida actual, impulsada por la IA, la seguridad no se limita al perímetro. Necesita visibilidad, gobernanza y control sobre todos los sistemas que interactúan con sus datos confidenciales.
El riesgo del acceso de terceros y la IA en la sombra
Según Computadora que suenaLos atacantes accedieron a los datos de los clientes de Workday utilizando credenciales legítimas de un sistema externo conectado a Salesforce. Si bien los sistemas internos de Workday no sufrieron vulneraciones, sí se comprometieron datos confidenciales de los empleados y del proceso de contratación, probablemente incluyendo información personal identificable (PII) e historial laboral.
Lo que esta filtración pone de relieve:
- Aplicaciones de terceros puede ser tu eslabón más débil
- IA de sombra y las integraciones no registradas aumentan la exposición
- El acceso no autorizado a datos confidenciales (incluso a través de aplicaciones “autorizadas”) sigue siendo una violación de la confianza y, a menudo, del cumplimiento.
Por qué es importante para la Ley de IA de la UE y el cumplimiento global
Bajo leyes como la Ley de AI de la UE y emergentes Regulaciones de inteligencia artificial y transferencia de datos de EE. UU.Las organizaciones deben demostrar un control total sobre los datos que procesan sus sistemas (y proveedores). BigID permite a los equipos legales, de privacidad y seguridad reducir este riesgo antes de que se convierta en noticia de primera plana. Ley de AI de la UE En particular, eleva el nivel de responsabilidad de la IA, al exigir a las empresas clasificar los niveles de riesgo, rastrear el linaje de los datos, aplicar limitaciones de propósito y documentar el comportamiento del sistema a lo largo de todo el ciclo de vida de la IA. Sin la capacidad de descubrir, gestionar e informar automáticamente sobre los datos que impulsan la IA, las organizaciones se enfrentan a sanciones regulatorias, daños a la reputación y un estancamiento de la innovación.
Cómo BigID ayuda a cerrar las brechas
BigID ayuda a las empresas a gobernar lo ingobernable, con visibilidad y control automatizado en sistemas de IA internos y de terceros.
Así es como BigID aborda riesgos como los de la violación de Workday:
- Descubra y clasifique datos confidenciales en todas las integraciones: Identifique automáticamente información personal identificable (PII), datos de RR. HH. e información regulada en Salesforce, Workday y aplicaciones conectadas, incluidos complementos y copilotos impulsados por IA.
- Detectar IA de sombras y herramientas de terceros: Aparecen herramientas de inteligencia artificial no autorizadas, integraciones de modelos y bases de datos vectoriales, incluidas aquellas que extraen o procesan silenciosamente datos confidenciales.
- Implementar controles de acceso y uso basados en propósitos: Aplique políticas dinámicas para garantizar que solo las aplicaciones y los usuarios autorizados puedan acceder a datos específicos, lo que reduce el exceso de permisos y el uso indebido posterior.
- Monitorear flujos de datos riesgosos: Realice un seguimiento de cómo se mueven los datos confidenciales a través de los sistemas conectados, detectando transferencias sospechosas, acceso excesivo o comportamiento anómalo de la API.
- Documentar el comportamiento del sistema de IA para el cumplimiento: Genere automáticamente documentación lista para auditoría sobre a qué datos acceden los sistemas de IA, cómo los usan y cómo se abordan las violaciones de políticas.
Para ver cómo BigID puede ayudar a su organización a controlar el riesgo de la IA, proteger datos confidenciales y obtener visibilidad: Reserve una demostración 1:1 hoy.