Zašto se baš sada suočavamo sa ovim izazovom?

Identifikujemo tri ključna razloga:

1. Korisničko iskustvo

   Generativni AI alati su brzi, „pričaju” jezikom korisnika i rešavaju mikrozadatke mnogo bolje nego mnogi interni alati u kompanijama. Time postaju izuzetno primamljivi za zaposlenog koji želi brz rezultat, često ne gledajući na bezbednosne implikacije.

2. Praznine u politici i procesu

   Prema istraživanjima, tek oko polovina kompanija ima formalnu politiku za upotrebu AI alata, a čak manji procenat ima odobrene korporativne alternative. Zaposleni, sa nedostatkom jasnih pravila ili dostupnih sigurnih opcija, skloniji su da koriste lične naloge, tj. alate (Ja ću brzo ovo na ChatGPT), i pređu u „sivi” prostor.

3. Novi rizici i pomeranje
   napadačke površine

Ranije se brinulo o fajlovima koji se postavljaju (aplouduju), endpoint uređajima, imejlovima. Danas, kod generativnih alata – rizični su kopiraj/zalepi (copy/paste) promptovi, deep automations, zero-click ranjivosti i aploudi koji zaobilaze tradicionalne zaštite. Prema LayerX-u, 77 odsto zaposlenih koristi copy/paste za AI alate, a 82 odsto tog toka dolazi preko ličnih naloga.

Nije (samo) IT problem

U sferi employer brandinga, poverenje i bezbedan tretman podataka postaju valuta. Razmotrite sledeći scenario: HR tim unosi interne tabele plata, CV-jeve kandidata, evaluacije performansi u ChatGPT nalog sa privatnog imejla. Rezultat: reputacioni udar, nepoverenje kandidata, ali i zaposlenih. Ako HR ne učestvuje u kreiranju politike za generativni AI, rizik će se materijalizovati upravo u domenu HR-a kroz kandidate, procese, ugovore, interne dokumente.

Četiri stuba za zatvaranje curenja podataka

Politika koja podnosi realnost

Zabrane, same po sebi, guraju ljude u „podzemlje”. Umesto apsolutnog „zabranjujemo sve”, predlažem trozonsku klasifikaciju:

• Crvena zona: ono što nikada ne ide u AI alat (lični i finansijski podaci, medicinski zapisi, plate, tajni ugovori, izvorni kod, interni KPI-jevi).
• Žuta zona: sve što može da se koristi samo kroz odobrene alate i korporativne naloge, uz obaveznu oznaku da je sadržaj nastao u saradnji sa AI-jem.
• Zelena zona: ideje, opšti sadržaj, niskorizični tekstovi. Ipak, čak i tu mora postojati ljudska verifikacija pre objave.

Prema kandidatima budite transparentni na karijernim stranicama i u oglasima navedite šta automatizujete, a šta ne automatizujete, kao i kako čuvate njihove podatke. To gradi poverenje mnogo više nego bilo koja kampanja.

Edukacija koja menja navike

„Shadow AI” nije neka zlobna namera – to je navika. Zato implementirajte kratke, ritmične mikromodule kvartalno:

• šta nikad ne unosimo u AI;
• kako prepoznati osetljiv podatak;
• kako proveravamo tačnost AI odgovora.

Podsećajte zaposlene da su copy/paste i screenshot često kanali „odlivanja” informacija. Delite realne, anonimne primere (uključujući slučajeve velikih kompanija koje su „proklizale” kroz ChatGPT). Kad tim vidi da se to dešava i najboljima, ozbiljnije prihvata praksu.

Tehničke kontrole koje zatvaraju rupe

• Nemojte reći samo „zabranjeno je sve”: ponudite odobrene korporativne verzije sa SSO-om, audit logovima, „no-training” klauzulama i skladištenjem podataka u propisanoj regiji.
• Otkrivajte lično korišćene naloge koji zaobilaze politiku i elegantno preusmeravajte korisnike na korporativne alate.

Human in the loop, trag u sistemuSvaki AI tok koji dodiruje HR podatke – od sourcinga i screeninga do internog helpdeska – mora imati ljudsku verifikaciju. Sve mora biti logovano, promptovi i odgovori verzionisani. Na taj način sprečavate greške, ubrzavate učenje tima, ispunjavate očekivanja u pogledu transparentnosti i odgovornosti kroz ceo lanac obrade.

Poruka tržištu i kandidatima je jasna: ne samo da koristimo AI – koristimo ga bezbedno, odgovorno i po pravilima. To je employer branding u praksi, a ne samo u sloganu.

Shadow AI neće nestati

Neophodno je da kanali budu bezbedni, a ponašanja oblikovana. Kada HR, pravni i bezbednosni tim sednu za isti sto i ponude odobrene AI alatke koje su jednako dobre kao „divlje”, curenja naglo padaju. To je i suština modernog employer brandinga.