拉美地区的影子AI：73%的认证组织在无监管情况下运行AI

对阿根廷、巴西、哥伦比亚、墨西哥和秘鲁的140家拥有有效ISO 27001认证的组织进行的调查发现，73%的组织在没有安全部门正式批准的情况下，至少在运营中使用了一种生成式AI工具。未经授权采用率最高的部门是市场营销（89%）、人力资源（71%）和财务（54%）。最常见的工具是ChatGPT（直接使用企业API）、未授权的Copilot以及嵌入电子表格的语言模型自动化。ISO 27001:2022附录A中与资产管理和访问控制相关的61%的控制措施被证明不足以检测这些工具，因为它们未将AI资产识别为一个类别。确定了四个主要的数据泄露载体：包含客户机密数据的提示词（42%）、将内部文档上传到公共AI平台（38%）、使用AI生成包含敏感数据的代码（12%）以及未记录日志即向外部API发送数据的自动化（8%）。开发的补救模型将影子AI分为三个风险等级，并提出了与ISO 27001和ISO 42001兼容且不限制生产力的控制措施。