La promesa y el riesgo de la creación de aplicaciones de IA con Microsoft 365 Copilot

El nuevo Creador de aplicaciones y flujos de trabajo en Microsoft 365 Copilot brindan la creación de aplicaciones sin código a los trabajadores del conocimiento, pero las organizaciones deben establecer primero barreras de protección claras.

por David Barry

Microsoft actualizó Microsoft 365 Copilot el 28 de octubre con la introducción de los agentes App Builder y Workflows y una versión ligera del creador de agentes de Copilot Studio. Las tres herramientas tienen como objetivo convertir a los empleados en desarrolladores ciudadanos.

La promesa es similar a los creadores de aplicaciones sin código anteriores, solo que con un toque de IA generativa. Las tareas que antes tomaban semanas esperando en los trabajos pendientes de TI ahora se realizan en minutos a través de una simple conversación. Sin embargo, el nuevo poder viene con responsabilidades que muchas organizaciones no están preparadas para administrar.

Un creador de aplicaciones sin código para la era de la IA

Durante años, los empleados han vivido con una frustración familiar. Ven ineficiencias en todas partes: un proceso manual que pide automatización, una necesidad de seguimiento que una simple aplicación podría resolver. Pueden imaginar la solución, pero convertirla en realidad significaba enviar un ticket, esperar semanas o meses para recibir la atención de un equipo de TI ocupado y, a menudo, descubrir que cuando llegó la solución, el problema había cambiado.

El nuevo App Builder y los agentes de flujos de trabajo cambian esta dinámica. Los equipos de marketing ahora ponen en marcha aplicaciones de seguimiento personalizadas por sí mismos. Los gerentes de instalaciones crean sistemas de reserva de habitaciones a través de una conversación natural. Los equipos de servicio al cliente crean agentes de base de conocimientos que extraen de SharePoint y transcripciones de reuniones sin esperar ciclos de integración.

App Builder y el nuevo Agente de flujos de trabajo están actualmente disponibles para los clientes de Microsoft 365 en el programa Frontier, lo que amplía su capacidad para crear aplicaciones y automatizar tareas con indicaciones simples en lenguaje natural.

Así es como Charles Lamanna, presidente de copiloto de negocios e industria de Microsoft, explicó los dos lanzamientos:

• Creador de aplicaciones: Permite a los usuarios crear e implementar aplicaciones interactivas sin necesidad de configurar la base de datos. Se integra con el contenido de Microsoft 365 y usa Microsoft Lists para el almacenamiento de datos. Previsualiza, refina y comparte aplicaciones con un enlace.

• Agente de flujos de trabajo: Automatiza tareas como el envío de mensajes de correo electrónico, la administración de calendarios y el uso compartido de actualizaciones en Outlook, Teams, SharePoint y otros servicios de Microsoft. Los usuarios describen el flujo de trabajo en un lenguaje sencillo, ven cada paso a medida que se crea y lo editan en tiempo real. Es fácil de usar pero se basa en la misma infraestructura que Agent Flows de Copilot Studio.

App Builder y los flujos de trabajo se centran en los trabajadores del conocimiento

Esta versión está dirigida a los trabajadores del conocimiento que tienen una visión clara de cómo mejorar su trabajo. Las ofertas difieren de Copilot Studio completo en su base específica dentro del entorno de Microsoft 365 y la relativa simplicidad de las herramientas que se pueden crear. Copilot Studio, por el contrario, proporciona capacidades multiagente, integraciones más amplias y funcionalidades más avanzadas, y un modelo de licencia diferente.

Esto es una evolución para un tipo específico de empleado, dijo Tom Keuten, vicepresidente senior y líder de comercialización de Microsoft para Rightpoint.

“Esto se siente como algo que será utilizado por ‘usuarios avanzados’, que la mayoría de las empresas e incluso la mayoría de los grandes departamentos tienen”, dijo. “No se sientan en TI, pero crean bases de datos, flujos de trabajo y soluciones que son específicas para sus trabajos y resuelven problemas que el equipo de TI de la empresa no suele admitir”.

Los usuarios avanzados siempre han existido en las organizaciones. Ahora están obteniendo herramientas de IA de nivel empresarial diseñadas para sus flujos de trabajo. La ventaja es inmediata: la agencia, la capacidad de resolver sus propios problemas y la reducción de retrasos frustrantes que han plagado el trabajo del conocimiento durante décadas.

Los riesgos de la creación de aplicaciones de IA

Pero esta liberación tiene un costo que solo se está haciendo evidente a medida que los profesionales de la seguridad examinan las implicaciones.

“La IA acelera significativamente el desarrollo, lo que aumenta rápidamente el despliegue de sistemas nuevos, desconocidos y no administrados, a menudo denominados ‘Shadow IT'”, dijo Dan Andrew, jefe de seguridad de Intruder.

La TI en la sombra ha plagado la seguridad empresarial durante años, y la creación de aplicaciones de IA amenaza con convertir un goteo en una inundación. Los riesgos se multiplican en varias dimensiones:

Exposición de datos

Cuando los trabajadores construyen sistemas a través de la conversación, la transparencia tradicional de la revisión del código desaparece. “El problema no es necesariamente el acceso que Copilot obtiene a los datos corporativos”, explicó Andrew. “Es la abstracción de la escritura de código lo que hace que sea menos transparente a dónde van esos datos y cómo se protegen”. Esta capa de abstracción, la característica misma que hace que la tecnología sea accesible, se convierte en una responsabilidad de seguridad.

Las implicaciones de cumplimiento son igualmente preocupantes. La velocidad del desarrollo generado por IA supera la capacidad de una organización para mantener la supervisión. “La IA puede generar rápidamente nuevas API, activos en la nube o puntos finales de datos que quedan fuera de su alcance de cumplimiento o escaneo de seguridad”, advirtió Andrew. Particularmente para las industrias reguladas, esto representa un riesgo existencial.

“Con el auge de la IA y los LLM, las plataformas empresariales pasaron a aprovechar los datos no estructurados para obtener información”, dijo Anand Narasimhan, CTO de S-Docs y ex vicepresidente de transformación de Salesforce. Los datos no estructurados, como los mensajes de correo electrónico, los mensajes de chat y las transcripciones de reuniones, representan ahora la mayor parte de la información que fluye a través de las organizaciones.

“Un ejemplo notable de esto es la violación de datos de Disney en 2024, donde la computadora portátil de un empleado comprometido condujo a la exfiltración de cantidades significativas de datos de los canales internos de Slack de Disney”, dijo Narasimhan. “Sin medidas sólidas de seguridad y gobernanza de datos, las organizaciones son vulnerables a fugas de datos y violaciones de cumplimiento”.

Este es el entorno en el que ahora opera la creación de aplicaciones de IA, donde las herramientas de IA recuperan y manipulan datos de colaboración vulnerables en aplicaciones creadas por los empleados.

Calidad y confiabilidad

“Teniendo en cuenta que Microsoft Copilot ya experimentó una falla crítica a principios de este año, las noticias de flujos de trabajo automatizados que surgen de las indicaciones conversacionales no son reconfortantes”, dijo Andrew. “Estas innovaciones requerirán un humano en el circuito para garantizar que los flujos de trabajo sean precisos y protejan los datos confidenciales”.

En el lado defensivo, Andrew ofrece una realidad aleccionadora: “La realidad con la IA es que hace que la piratería sea tan fácil como automatizar los mecanismos de defensa. El uso indebido o las violaciones de seguridad continuarán ocurriendo y pueden ocurrir a un ritmo mayor considerando que hay menos supervisión humana”.

Fomentar la innovación de los desarrolladores ciudadanos dentro de las barandillas

Las organizaciones se enfrentan a una pregunta incómoda: ¿Cómo capturar los beneficios de productividad sin exponerse a fallas catastróficas?

El director de transformación de IA de Visium, Michael Hunkeler, ve tanto promesas como peligros. “Con Apps & Workflows, Microsoft está introduciendo características de Copilot que permiten a los empleados construir directamente sobre los datos de su empresa”, dijo. “La ventaja es clara: si se ejecuta dentro del ecosistema de Microsoft, las organizaciones pueden confiar en los modelos de permisos existentes, la auditabilidad y los controles de protección de datos en lugar de unir nuevas herramientas de terceros”.

Sin embargo, Hunkeler agrega una advertencia: “Como regla general, las empresas deben tener cuidado con las primeras versiones de las nuevas funciones de IA. No busque más allá de las recientes lecciones de seguridad de los navegadores de IA”. Se refiere a incidentes recientes en los que las funciones del navegador impulsadas por IA expusieron inadvertidamente los datos de los usuarios, historias con moraleja que deberían informar cómo las organizaciones abordan esta capacidad.

“Definitivamente debería probarlo si tiene una estrategia y una gobernanza claras de IA, y los empleados están bien capacitados en el uso de la IA”, aconsejó Hunkeler. Pero “si” está haciendo mucho trabajo en esa oración: si tienes estrategia, gobernanza y capacitación. Sin esos cimientos, las organizaciones se están poniendo en riesgo.

Cinco pasos para la creación de aplicaciones de IA

Según esta guía, las organizaciones deben seguir estos pasos antes de dar rienda suelta a la creación de aplicaciones de IA:

1. Establecer límites: “TI también deberá ser muy claro en términos de lo que TI admite y no admite”, dijo Keuten. Defina explícitamente lo que pueden hacer las soluciones creadas por los empleados frente a lo que requiere la participación de TI. Cree un sistema de clasificación para aplicaciones y haga que estos límites sean visibles en toda la organización.
2. Implemente el descubrimiento continuo: Las organizaciones necesitan soluciones “adecuadamente integradas en los procesos continuos de gestión de la exposición a amenazas o de gestión de vulnerabilidades”, dijo Andrew. Implemente el análisis automatizado para descubrir aplicaciones creadas por IA a medida que se crean. Su equipo de seguridad no puede proteger lo que no sabe que existe.
3. Fundamentos de la gobernanza de datos: “La clave es comenzar con datos limpios y bien gobernados y definir claramente qué tareas realmente requieren IA frente a la automatización simple”, dijo Narasimhan. Audite y limpie sus datos antes de dar acceso a ellos a las herramientas de IA. “Sin esa base, incluso las herramientas de IA más prometedoras pueden amplificar los errores en lugar de reducirlos”.
4. Capacidad y responsabilidad: No solo enseñe a los empleados cómo crear aplicaciones, dijo Narasimhan. Enséñeles los conceptos básicos de seguridad de datos, los requisitos de cumplimiento y por qué ciertas prácticas son importantes. Haga que la capacitación sea obligatoria antes de otorgar acceso.
5. Revisión humana: Andrew es inequívoco: “Estas innovaciones requerirán un humano en el circuito para garantizar que los flujos de trabajo sean precisos y protejan los datos confidenciales”, dijo. Implemente la supervisión de cualquier aplicación creada por IA que maneje datos confidenciales, tome decisiones automatizadas que afecten a las personas o se integre con los sistemas comerciales centrales.

Las organizaciones que tengan éxito aprovecharán la tecnología mientras construyen marcos de gobernanza sólidos. Invertirán en capacitación y mantendrán la supervisión humana adecuada. “Las empresas deben ver esto como una oportunidad para acelerar la innovación, pero deben hacerlo con los ojos bien abiertos a los riesgos y la gobernanza adecuada para asegurarse de que el trabajo realizado en cualquier aplicación y flujo de trabajo creados por IA brinde los resultados previstos”, dijo Keuten.

El superpoder es real. Microsoft ha cambiado lo que es posible que creen los empleados comunes. Pero las organizaciones deben definir cómo es la responsabilidad antes de que todos comiencen a construir. La elección no es entre innovación y seguridad, sino entre gobernanza planificada y gestión de crisis.

Nota del editor: ¿De qué otra manera ha cambiado la IA generativa el desarrollo de ningún código?

• La IA y la innovación low-code remodelan los servicios de contenido y la colaboración — Con la automatización de la IA, la innovación accesible de bajo código y la escalabilidad nativa de la nube, las plataformas CSC están cambiando la forma en que las organizaciones crean, gestionan y activan el contenido.
• Cómo la IA generativa y el low-code pueden trabajar juntos — ¿La IA hará obsoletas las plataformas low-code y no-code? No tan rápido. Los desarrollos recientes sugieren que pueden ser una combinación hecha en el cielo de la tecnología.
• La codificación de Vibe está convirtiendo a todos en desarrolladores: la codificación de Vibe reduce la barrera para la creación de aplicaciones al permitir que los no desarrolladores describan soluciones a problemas comunes en el lugar de trabajo en un lenguaje sencillo.

Sobre el autor

David es un periodista con sede en Europa de 35 años que ha pasado los últimos 15 siguiendo el desarrollo de las tecnologías en el lugar de trabajo, desde los primeros días de la gestión de documentos, la gestión de contenido empresarial y los servicios de contenido. Ahora, con el desarrollo de nuevos modelos de trabajo remoto e híbrido, cubre la evolución de las tecnologías que permiten la colaboración, las comunicaciones y el trabajo, y recientemente ha dedicado mucho tiempo a explorar los alcances de la IA, la IA generativa y la IA general.

Fuente: https://www.reworked.co/digital-workplace/the-promise-and-risk-of-ai-app-building-with-microsoft-365-copilot/