Puntos Clave
- Los marcos de gobernanza de la IA establecen la base para un despliegue seguro, ético y fiable de la IA al alinear el uso de la tecnología con los objetivos empresariales, los requisitos normativos y la tolerancia al riesgo de la organización.
- Las organizaciones sin marcos de gobernanza de la IA se exponen al aumento de la IA en la sombra, la fuga de datos, infracciones normativas, resultados sesgados y una falsa confianza en las decisiones automatizadas.
- Una gobernanza de la IA eficaz depende de barreras de protección por capas, incluidos parámetros técnicos para la seguridad del sistema, directrices éticas para la toma de decisiones responsable y controles normativos que sigan el ritmo de los requisitos legales cambiantes.
Durante mi etapa en Ivanti, he comprobado de primera mano cómo la IA actúa como multiplicador de fuerza en las organizaciones empresariales. Cuando se despliega de forma estratégica, la IA acelera la toma de decisiones y la ejecución operativa a escala de una manera que los equipos sencillamente no pueden mantener manualmente. Sin embargo, sin barreras de protección de la IA claras y aplicables, implementar la IA expone a las organizaciones a nuevos riesgos graves.
Informe sobre el estado de la ciberseguridad 2026 de Ivanti destaca una desconexión creciente que he observado en todo el sector: el optimismo en torno a la IA aumenta, pero la gobernanza y la preparación no avanzan al mismo ritmo. Actualmente, solo el 50 % de las organizaciones afirma contar con barreras de protección formales para guiar el despliegue y el funcionamiento de sistemas y agentes de IA.
A medida que la adopción avanza más rápido que la gobernanza, veo que las organizaciones se enfrentan a riesgos internos cada vez mayores: uso de IA en la sombra, calidad de datos inconsistente, resultados sesgados y formación desigual de los empleados, por citar algunos.
Desde mi perspectiva, que abarca las áreas jurídica, de seguridad y de RR. HH., puedo afirmar lo siguiente: la gobernanza de la IA no es un ejercicio abstracto de cumplimiento. Es un requisito esencial para la confianza, la responsabilidad y el control.
El estado de la IA empresarial: un terreno arriesgado y sin reglas claras
La IA responsable a escala requiere una gobernanza deliberada con barreras de protección aplicables para todos los empleados. Si se ignora esto, el uso de IA en la sombra seguirá creciendo. Nuestro informe de investigación Technology at Work 2025 reveló que el 46 % de los empleados de oficina utilizan IA que no proporciona su empresa. Más preocupante aún: casi un tercio de los empleados (32 %) oculta a sus empleadores el uso de herramientas de IA en el trabajo.
Demasiadas organizaciones están desplegando IA sin una gobernanza general, y las consecuencias de este enfoque son reales. Las organizaciones pueden exponer datos sensibles. Pueden incumplir obligaciones normativas. Esto podría erosionar la confianza del mercado. Un equipo despliega una plataforma de IA sin las barreras de protección adecuadas y, de repente, aparecen resultados sesgados o un rendimiento degradado. Sin supervisión humana, los sistemas de IA generan recomendaciones inexactas o desencadenan acciones inapropiadas. Esto crea una peligrosa falsa confianza en los resultados impulsados por la IA.
¿Qué es un marco de gobernanza de la IA?
Un marco de gobernanza de la IA es la hoja de ruta que define cómo diseñamos, desplegamos y supervisamos los sistemas de IA durante todo su ciclo de vida. Su propósito es alinear el uso de la IA con los objetivos empresariales, las obligaciones legales y la tolerancia al riesgo de la organización, incorporando transparencia y responsabilidad desde el primer día.
En Ivanti, nuestro marco aclara:
- Quién es responsable de las decisiones y los resultados de la IA
- Cómo se identifican los riesgos, se evalúan y se mitigan
- Qué barreras de protección deben estar implementadas antes de que los sistemas de IA entren en producción
- Cómo el rendimiento, el comportamiento y el impacto de la IA se supervisan a lo largo del tiempo
En la práctica, la gobernanza permite escalar. Los marcos claros nos permiten ir más allá de pilotos fragmentados y operacionalizar la IA en toda la empresa. Sin ellos, la adopción se estanca.
Nuestra postura es sencilla: la gobernanza no bloquea la innovación. Hace que la innovación sea sostenible.
3 capas de barreras de protección de la IA en un marco de gobernanza de la IA
Como parte del Consejo de Gobernanza de la IA de Ivanti, he aprendido que un marco integral requiere varias capas de barreras de protección. Cada una aborda una categoría de riesgo distinta. Juntas, constituyen la base para un uso seguro y fiable de la IA.
Barreras de protección técnicas
Las barreras de protección técnicas mantienen los sistemas de IA dentro de parámetros operativos y de seguridad predefinidos.
Barreras de protección de datos: Las barreras de protección de datos protegen la integridad de los datos y garantizan que los sistemas de IA se entrenen y operen con entradas fiables. Estas barreras de protección suelen ser responsabilidad de los equipos de datos y seguridad, que establecen estándares para el origen, la validación, los controles de acceso y la supervisión continua de la calidad de los datos. La mala calidad de los datos sigue siendo una barrera importante para el despliegue eficaz de la IA, especialmente en seguridad, donde datos incompletos, sesgados o no validados pueden distorsionar los resultados y degradar la precisión de la detección con el tiempo.
Barreras de protección de modelos: Las barreras de protección de modelos abordan la robustez, la explicabilidad y la detección de sesgos para garantizar que los sistemas de IA se comporten como está previsto a lo largo del tiempo. Estas barreras de protección suelen diseñarlas los equipos de seguridad, ciencia de datos y plataforma, que definen requisitos de prueba para la deriva, el sesgo y la degradación del rendimiento antes del despliegue y de forma continua después, especialmente a medida que los modelos se reentrenan o se exponen a datos operativos cambiantes.
Barreras de protección de aplicaciones y resultados: Las barreras de protección de aplicaciones y resultados validan los resultados generados por la IA, especialmente en escenarios de apoyo a la toma de decisiones o de respuesta automatizada. Estas barreras de protección suelen implementarlas los equipos de seguridad y operaciones, que definen umbrales de aprobación, vías de escalado y controles con intervención humana. Sin ellas, los sistemas pueden generar recomendaciones inexactas o realizar acciones inapropiadas, reforzando una falsa confianza en la automatización.
Barreras de protección de infraestructura: las barreras de protección de infraestructura protegen los sistemas que alojan y respaldan las cargas de trabajo de IA y suelen ser responsabilidad de los equipos de TI y seguridad. Estos equipos aplican prácticas de despliegue seguro, controles de acceso, registro y auditabilidad en entornos cloud y locales, al tiempo que garantizan que los servicios de IA se integren en la supervisión de seguridad existente y en los flujos de trabajo de respuesta a incidentes.
Barreras de protección éticas
Las barreras de protección éticas alinean el comportamiento de la IA con los estándares organizativos y definen la responsabilidad cuando la IA afecta a personas, clientes o resultados empresariales.
El Consejo de Gobernanza de la IA de Ivanti desempeña aquí un papel central. Abordamos las zonas grises de los agentes autónomos. Reunimos a líderes jurídicos, de seguridad, de RR. HH. y de negocio para definir el uso aceptable, las vías de escalado y la responsabilidad. ¿Cuándo deben intervenir las personas? ¿Cómo se auditan las decisiones? ¿Quién asume en última instancia el resultado cuando algo sale mal?
Cuando falta esa gobernanza, las consecuencias se agravan rápidamente.
Incidentes recientes muestran el coste de unas barreras de protección éticas poco claras. Por ejemplo, Grok, un chatbot de IA desarrollado por xAI, recibió críticas generalizadas tras generar imágenes inapropiadas de personas reales sin su consentimiento. El fallo no fue solo técnico: también estuvo relacionado con la gobernanza, debido a límites éticos que no estaban suficientemente definidos.
El mismo problema surge dentro de las empresas. Cuando la IA bloquea una cuenta de usuario, marca a un empleado o restringe el acceso de un cliente, debemos saber quién es responsable de la decisión si es errónea. Tanto si la IA se utiliza en seguridad, RR. HH. o sistemas orientados al cliente, los principios éticos son coherentes. La gobernanza garantiza que la responsabilidad esté definida antes de que la automatización cause daños.
Barreras de protección normativas y legales
Las barreras de protección normativas y legales garantizan que el uso de la IA cumpla las regulaciones globales en evolución, las normas sectoriales y las leyes de protección de datos. Dado que estos requisitos cambian rápidamente, los equipos no pueden operar en silos funcionales.
El área jurídica debe liderar la gobernanza de la IA desde el principio. En Ivanti, trabajamos estrechamente con seguridad y TI para interpretar las obligaciones y traducirlas en controles aplicables. El éxito depende de alinearse desde el inicio para garantizar que los requisitos de cumplimiento se incorporen al diseño y al despliegue de la IA.
Incidentes recientes muestran por qué las barreras de protección normativas no pueden dejarse para más adelante. Los reguladores europeos y del Reino Unido confirmaron que las operaciones de reconocimiento facial de Clearview AI, basadas en la recopilación automatizada de miles de millones de imágenes, estaban sujetas a leyes de privacidad como el RGPD y adoptaron medidas de aplicación por infracciones, lo que demuestra el riesgo legal al que se enfrentan las organizaciones cuando la gobernanza no se alinea con las expectativas normativas.
La lección es clara. Los equipos jurídicos y de desarrollo de productos deben trabajar juntos desde el principio para incorporar las obligaciones normativas al diseño, el despliegue y las operaciones de la IA. La gobernanza garantiza que los requisitos de cumplimiento se apliquen por defecto, no de forma retroactiva cuando comienza el escrutinio regulatorio.
Gobernanza de la IA frente a gestión de riesgos de la IA
La gobernanza y la gestión de riesgos están estrechamente relacionadas, pero son distintas. Mi visión es la siguiente: la gobernanza establece las reglas y las estructuras de responsabilidad. La gestión de riesgos se centra en identificar y mitigar amenazas específicas relacionadas con la IA durante todo el ciclo de vida del sistema.
Los riesgos habituales de la IA incluyen la fuga de datos, los sesgos, los resultados poco fiables, la dependencia excesiva de decisiones automatizadas y las debilidades de seguridad introducidas mediante herramientas o integraciones no gestionadas. A medida que los sistemas de IA se vuelven más autónomos, estos riesgos se agravan.
Integrar la mitigación de riesgos de la IA en la gobernanza garantiza que los riesgos no se aborden de forma aislada. Los evaluamos junto con el impacto empresarial, la resiliencia operativa y el apetito de riesgo de la organización. Esto nos permite priorizar los controles donde más importan y evitar restricciones generalizadas que ralentizan el progreso sin reducir el riesgo.
Desafíos al escalar la gobernanza de la IA
Muchas organizaciones comienzan con pilotos de IA limitados en equipos individuales. Escalar hacia una adopción en toda la empresa plantea nuevos desafíos
Los silos son la forma más rápida de socavar la gobernanza. Los equipos de seguridad, TI, jurídico y negocio suelen operar con supuestos contradictorios. Necesitamos una responsabilidad compartida entre equipos. Como explica mi compañero Sterling Parker, una visión de éxito requiere implicar a las partes interesadas de toda la empresa para evitar la proliferación descontrolada de la IA.
Esta transición exige un modelo operativo centrado en las personas. Nuestro órgano de gobernanza define claramente dónde puede la IA ampliar las funciones existentes, dónde se requiere formación adicional y dónde sigue siendo esencial la supervisión humana. La retroalimentación continua de los empleados ayuda a garantizar que la IA se aplique allí donde aporta valor, sin crear brechas de responsabilidad o confianza. Priorizamos el desarrollo de competencias para sustituir el miedo por una adopción activa.
Nuestra investigación sobre ciberseguridad muestra que las organizaciones maduras abordan estos desafíos de forma diferente. Las organizaciones que se consideran las más avanzadas en ciberseguridad (Nivel 4) tienen casi 3 veces más probabilidades de utilizar barreras de protección de la IA integrales que las organizaciones con un nivel intermedio de madurez en ciberseguridad (Nivel 2).
Invierten pronto en gobernanza, alinean al liderazgo en torno a marcos compartidos y tratan la IA como una capacidad estratégica, no como una colección de herramientas. Estas organizaciones tienen muchas más probabilidades de operacionalizar la IA en toda la empresa manteniendo la confianza y el control.
Cómo implementar una IA responsable
Construir el marco es solo el punto de partida. La ejecución es donde la gobernanza de la IA cobra vida.
Empiece con políticas claras sobre uso aceptable y escalado. Deben ser prácticas y estar vinculadas directamente a sus estructuras de riesgo existentes.
La gobernanza debe ser accesible. La IA responsable es un mandato para toda la empresa, no un silo especializado. La formación específica garantiza que cada usuario comprenda su papel a la hora de mantener estas barreras de protección.
Adopte un enfoque gobernado para la habilitación de la IA. «La habilitación gobernada» asume que la IA ya se utiliza en toda la empresa y define dónde y cómo puede operar de forma segura. Requiere supervisión y aplicación continuas para garantizar que los sistemas sigan alineados con la política a medida que evolucionan el uso y los riesgos. Es una disciplina continua, no un proyecto puntual.
El futuro de la IA responsable empieza ahora
La IA está transformando la forma en que operan las organizaciones a un ritmo que no puede ignorarse. La cuestión ya no es si adoptarla, sino cómo escalarla de forma segura. Las organizaciones con una gobernanza sólida escalan sin sacrificar la confianza. Las que se retrasan amplían la brecha entre amenaza y preparación.
En Ivanti, estamos comprometidos con la creación de una gobernanza de la IA que permita innovar y, al mismo tiempo, proteja lo que más importa: nuestra gente, nuestros clientes y nuestras operativas. Es un trabajo fundamental, y el momento de actuar es ahora.
Para obtener más información sobre la brecha en el despliegue de la IA y cómo las organizaciones líderes la están cerrando, consulte el Informe sobre el estado de la ciberseguridad 2026 de Ivanti.
Preguntas frecuentes
¿Qué es un marco de gobernanza de la IA?
Un marco de gobernanza de la IA es una hoja de ruta integral que define cómo las organizaciones diseñan, despliegan y supervisan los sistemas de IA durante todo su ciclo de vida. El marco sirve para alinear el uso de la IA con tres elementos organizativos críticos: los objetivos empresariales, las obligaciones legales y la tolerancia al riesgo de la organización.
¿Qué son las barreras de protección técnicas de la IA?
Las barreras de protección técnicas son sistemas que mantienen los sistemas de IA dentro de parámetros operativos y de seguridad predefinidos mediante controles tecnológicos. Operan en varias capas de la pila tecnológica de IA.
¿Cuáles son algunos ejemplos de barreras de protección técnicas de la IA?
Cuatro ejemplos de barreras de protección técnicas de la IA son las barreras de protección de datos, las barreras de protección de modelos, las barreras de protección de aplicaciones y resultados, y las barreras de protección de infraestructura.
¿Qué son las barreras de protección éticas de la IA?
Las barreras de protección éticas de la IA alinean el comportamiento de la IA con los estándares organizativos y definen la responsabilidad cuando los sistemas de IA afectan a personas, clientes o resultados empresariales. Las barreras de protección éticas garantizan que la IA opere dentro del marco ético y los valores de la organización, especialmente cuando las decisiones de la IA tienen un impacto humano.
