¿Qué es la gobernanza de la IA?

La gobernanza de la IA (o AI governance) abarca los marcos y políticas establecidos para controlar el uso ético, conforme y seguro de los sistemas de inteligencia artificial de una organización. Una buena gobernanza busca garantizar que la IA sea eficiente en términos de riesgo y se mantenga dentro de los límites de la ley, al tiempo que sigue aportando valor al negocio. Proporciona marcos de evaluación y control de riesgos, supervisión de modelos, el derecho a explicar las condiciones, marcos de rendición de cuentas y medidas de protección de datos.

La gobernanza de la inteligencia artificial abarca todos los sectores, desde las salas de juntas corporativas hasta las instituciones académicas. La adopción generalizada de grandes modelos de lenguaje (LLM), como ChatGPT y Claude, significa que los sistemas de IA están al alcance de casi todos los usuarios conectados. Estos sistemas de IA generativa responden a preguntas y crean diversos tipos de contenido. La última ola de sistemas de IA agenciales y “copilotos” de acción autónoma aumenta aún más el riesgo que supone para las empresas, ya que estas integran rápidamente estos sistemas en los flujos de trabajo cotidianos. Los sistemas de IA crean riesgos sin precedentes y cada vez mayores.

Para los equipos de ciberseguridad, la gobernanza de la IA se cruza con casi todas las preocupaciones existentes. Los modelos de IA entrenados con datos son vectores de ataque vulnerables que son increíblemente susceptibles a las fugas de datos. Los empleados que utilizan herramientas de IA no autorizadas están introduciendo nuevos escenarios de amenazas internas que las empresas aún no han previsto. Y la última generación de ciberdelincuentes está manipulando los modelos de IA mediante técnicas de inyección de comandos o envenenamiento de datos.

A su vez, el establecimiento de un programa sólido de gobernanza de la inteligencia artificial es fundamental para mitigar estos riesgos. Estos programas crean e integran controles de seguridad directamente en la forma en que se desarrolla, implementa y supervisa la IA en toda la empresa.

AI governance exige medidas inmediatas. Las organizaciones están integrando rápidamente los LLM y la IA agencial en el correo electrónico, las herramientas de colaboración y las plataformas de seguridad, pero estas implementaciones precipitadas crean enormes vulnerabilidades de seguridad que la mayoría de las empresas aún no comprenden.

“Los LLM se utilizan ahora en todo, desde la atención al cliente hasta la ciberseguridad, lo que los convierte en objetivos de gran valor para el uso indebido y los ataques”, advierte Itir Clarke, director del grupo de marketing de productos de las soluciones de seguridad de la información y la nube de Proofpoint. “Si algo sale mal, el impacto puede ser significativo”.

La presión reguladora es implacable, ya sea la Ley de IA de la UE, que establece condiciones estrictas para la IA de alto riesgo, o las órdenes ejecutivas de EE. UU. que exigen requisitos de transparencia y seguridad para las implementaciones de IA del gobierno. Las multas, las acciones legales y el daño a la reputación son las consecuencias probables para el CISO que ignore estas obligaciones.

Los delincuentes ya están utilizando la IA para automatizar el reconocimiento y llevar a cabo ataques de phishing más sofisticados y específicos. La necesidad de una gobernanza eficaz se vuelve aún más crítica ante tales amenazas y la necesidad de implementar de forma segura tus propios sistemas de IA.

“Los modelos de IA siempre están aprendiendo y cambiando. Se ajustan a medida que incorporan nuevos datos y toman decisiones de nuevas formas”, afirma Clarke. “Pero muchos sistemas de gobernanza son lentos y obsoletos, ya que se basan en comprobaciones manuales, inventarios de datos antiguos y controles rígidos”.

Una gobernanza eficaz de la IA sigue una serie de principios rectores que definen la arquitectura de cómo una organización debe llevar a cabo la implementación y la gestión de sus sistemas de IA. Dichos principios sientan las bases para las políticas y prácticas operativas que reducen los riesgos.

Transparencia y explicabilidad

Muchas organizaciones incurren en negligencia al no comprender plenamente cómo sus modelos de IA toman decisiones y modelan el comportamiento. Los equipos necesitan una transparencia total y comprender las fuentes de los datos de entrenamiento y cómo se ejecuta la lógica de decisión. Esto debe poder explicarse claramente y documentarse de manera que las partes interesadas puedan revisarlo y auditarlo.

Responsabilidad y supervisión humana

Los seres humanos deben ser responsables de los resultados de la IA y supervisar activamente las decisiones del sistema. Mantener a los seres humanos al tanto es esencial para crear estructuras de responsabilidad claras para las decisiones de alto riesgo. Esta supervisión también garantiza que existan vías de escalamiento cuando los modelos de IA se descarrilen o se comporten de manera inesperada.

Seguridad desde el diseño

Los controles de seguridad deben ser parte integral del diseño de los propios sistemas de IA. Algunos ejemplos de seguridad desde el diseño son el almacenamiento seguro de modelos, las comunicaciones API cifradas, el control de acceso a los datos de entrenamiento y las protecciones contra ataques adversarios, como los de inyección de prompts.

Equidad y mitigación de sesgos

Obviamente, los modelos de IA entrenados con datos sesgados producen resultados sesgados. Los marcos de gobernanza de la IA comprueban y mitigan periódicamente los sesgos para evitar resultados discriminatorios que puedan causar daños, desinformación o infringir la normativa.

Calidad e integridad de los datos

Los sistemas de IA son tan precisos y eficaces como los datos con los que se entrenan. “Mantenga un inventario claro y actualizado de todos los conjuntos de datos utilizados en la IA. Averigüe de dónde proceden sus datos, qué incluyen, quién puede acceder a ellos y cómo se utilizan”, aconseja Clarke.

Cumplimiento normativo y auditabilidad

Los sistemas de IA deben contar con registros de auditoría para demostrar adecuadamente el cumplimiento normativo. Estos registros auditables están diseñados para registrar las decisiones del modelo y realizar un seguimiento del uso de los datos, de modo que los reguladores o los equipos internos puedan revisarlos e investigarlos según sea necesario.

Gestión del ciclo de vida del modelo

Al igual que con cualquier plataforma de nivel empresarial, los modelos de IA en particular requieren una gestión activa del ciclo de vida. Este marco fundamental rige todas las fases del modelo: desarrollo, versionado, pruebas, implementación y retirada.

Supervisión y respuesta a incidentes para sistemas de IA

Además de contar con controles de supervisión humana, es importante disponer de formas adicionales de supervisión continua para detectar cuándo los modelos se desvían del comportamiento esperado o producen resultados perjudiciales o inexactos. Se deben implementar planes de respuesta a incidentes para instruir a los equipos sobre cómo actuar en caso de fallo o compromiso del sistema de IA.

Las distinciones entre la ética de la IA y la gobernanza de la IA, aunque están interrelacionadas, a menudo se entremezclan inadvertidamente. La ética es la base filosófica que establece principios generalizados de transparencia y respeto por la dignidad humana. La gobernanza va un paso más allá al traducir esos valores en realidad operativa a través de políticas aplicables, controles medibles y mecanismos de rendición de cuentas.

Una situación muy común es la de una empresa tecnológica que publica una ambiciosa declaración ética sin crear la infraestructura necesaria para aplicarla. Ante la opinión pública, siguen “comprometidos con una IA responsable”, pero no implementan los sistemas necesarios para que la gobernanza sea eficaz. Anuncian la promesa de transparencia, pero no pueden explicar exactamente cómo toman decisiones sus sistemas. Esta brecha entre la ética y la gobernanza expone a las empresas precisamente a los mismos riesgos que pretenden prevenir.

Los equipos de seguridad son fundamentales para salvar esta brecha. Los principios éticos no tienen sentido sin controles técnicos que aborden los problemas. El compromiso con la privacidad de los datos requiere cifrado, controles de acceso y sistemas de supervisión que detecten el acceso no autorizado a los datos. El objetivo de la gobernanza de la inteligencia artificial es salvar la distancia entre las promesas éticas de una organización y lo que realmente hace.

La conclusión es que los reguladores no aceptan las buenas intenciones como prueba de cumplimiento. Exigen documentación transparente, registros de auditoría actualizados y pruebas reales de que los controles funcionan según lo previsto. Sin estos controles, las organizaciones se enfrentan a riesgos crecientes que deben abordar los marcos de gobernanza.

La IA introduce una compleja red de riesgos en materia de seguridad y cumplimiento normativo en los ámbitos operativos. Un marco de gobernanza integral aborda estas amenazas mediante capas de controles y una supervisión continua.

• Fuga y exposición de datos: La información confidencial que fluye hacia los modelos de IA plantea riesgos persistentes de exposición. Los empleados copian y pegan información secreta en herramientas de IA sin conocer las políticas de retención. La Shadow AI (IA oscura) amplía las amenazas internas al proporcionar potentes capacidades de autoservicio que eluden el control y la supervisión de TI.
• Alucinaciones y resultados engañosos: Los LLM pueden generar contenidos muy convincentes, pero totalmente inventados. Estas alucinaciones crean riesgos de responsabilidad civil cuando los contenidos generados por la IA afectan a las interacciones con los clientes y a las decisiones empresariales. Las organizaciones necesitan capas de validación para detener los resultados que podrían causar daños.
• Acceso no autorizado a modelos y API: Los modelos de IA y las API se convierten en objetivos de gran valor para los atacantes. Los pesos de los modelos robados pueden ser sometidos a ingeniería inversa y extraerse los datos de entrenamiento pertinentes, o bien pueden añadirse datos de entrenamiento inseguros para obtener resultados maliciosos. Las capas de control de acceso y autenticación protegen estos activos.
• Riesgos de sesgo, discriminación e imparcialidad: Los modelos entrenados con datos históricos perpetúan los sesgos sociales. Estos sesgos pueden dar lugar a discriminación en la contratación, la concesión de préstamos o el servicio al cliente. La probabilidad de que se produzcan sesgos perjudiciales en los sistemas de producción puede reducirse mediante pruebas y medidas de mitigación periódicas.
• Incumplimiento de la normativa: Las nuevas regulaciones sobre IA imponen estrictos requisitos de transparencia en los modelos, el manejo de datos y la evaluación de riesgos. Las organizaciones que no cumplan estas normas se enfrentan a multas y demandas judiciales. Los marcos de gobernanza garantizan que el cumplimiento se integre en los procesos de desarrollo.
• Riesgos relacionados con la propiedad intelectual y los derechos de autor: El uso de modelos de IA entrenados con material protegido por derechos de autor plantea dudas sobre la propiedad de dichos modelos y los derechos de uso. Sin una procedencia clara, los generadores de contenido de IA exponen a las empresas al riesgo de infringir las leyes de propiedad intelectual.
• Amenazas cibernéticas habilitadas por IA: La IA potencia las operaciones delictivas a todos los niveles. Los deepfakes ahora eluden los sistemas de verificación de identidad, mientras que las campañas de phishing impulsadas por IA se adaptan a las víctimas en tiempo real, creando mensajes personalizados que los filtros tradicionales no logran detectar. Mientras tanto, las herramientas de reconocimiento automatizadas buscan vulnerabilidades las 24 horas del día, los 7 días de la semana, identificando y explotando las debilidades más rápido de lo que cualquier equipo de seguridad humano puede responder.

Estas amenazas cada vez mayores exigen defensas estructuradas. Las organizaciones no pueden combatir los riesgos impulsados por la IA con políticas ad hoc o buenas intenciones, sino que necesitan disponer de los siguientes marcos integrales que se adapten a la sofisticación de los ataques a los que se enfrentan.

Los siguientes marcos ayudan a tender un puente entre la teoría y la práctica con normas aplicables y puntos de control de cumplimiento.

Principios de la OCDE sobre IA

Los Principios de la OCDE sobre IA fueron la primera norma intergubernamental sobre la gobernanza de la IA. Se adoptaron en 2019 y se revisaron en 2024. Hacen hincapié en los cinco valores siguientes: crecimiento inclusivo y bienestar, derechos humanos y valores democráticos, transparencia y explicabilidad, solidez y seguridad, y responsabilidad. Estos principios siguen influyendo en la política nacional de IA de los países de la OCDE y del G20.

Ley de IA de la UE (cumplimiento en 2025)

La Ley de IA de la UE entró en vigor en agosto de 2024, con plazos de cumplimiento que las empresas deberán respetar. A partir del 2 de agosto de 2025, los requisitos clave entrarán en vigor y se aplicarán sanciones severas por incumplimiento, incluidas multas de hasta 35 millones de euros o el 7 % de la facturación anual mundial. La ley prohíbe determinados usos de IA de alto riesgo e impone importantes obligaciones de transparencia a los modelos básicos.

Marco de gestión de riesgos de IA del NIST

El NIST AI RMF, publicado en enero de 2023, ofrece un enfoque estructurado de la gobernanza a través de cuatro funciones principales: gobernar, mapear, medir y gestionar. Creado para ofrecer flexibilidad en diferentes perfiles de riesgo, el marco se ajusta a las normas generales de ciberseguridad del NIST y a la Orden Ejecutiva sobre IA de 2023.

ISO/IEC 42001 (Sistema de gestión de la IA)

La norma ISO/IEC 42001 es la primera norma internacional publicada sobre el desarrollo y el funcionamiento de un sistema de gestión de la IA. Aborda todo el ciclo de vida de la IA, desde la generación de ideas hasta su implementación, y complementa los sistemas de gestión organizativa. Prevé la evaluación y la gestión de riesgos, la protección de datos y el impacto, y la mejora continua.

Orden ejecutiva de EE. UU. sobre IA segura, protegida y fiable

Esta orden ejecutiva, que entró en vigor el 30 de octubre de 2023, especifica las normas para la evaluación de la seguridad de la IA, las pruebas de seguridad y la transparencia. Ordena a los departamentos federales que gestionen los riesgos de la IA para las infraestructuras críticas y obliga a las empresas que trabajan con modelos fundamentales potentes a informar al Estado sobre sus operaciones.

Según Clarke, “estos cambios apuntan a un futuro en el que se esperará una gobernanza sólida de la IA. Para mantenerse al día, las organizaciones necesitan estrategias de cumplimiento flexibles que se adapten a las nuevas normas, en lugar de apresurarse a responder después de su introducción”.

Las organizaciones líderes ya están siguiendo este consejo y creando programas de gobernanza que se anticipan a los cambios normativos en lugar de reaccionar ante ellos.

Los ejemplos del mundo real muestran cómo las organizaciones aplican los principios de gobernanza en la práctica, traduciendo el valor de la supervisión en múltiples campos.

Servicios financieros

Los bancos establecen medidas de seguridad para los LLM orientados al cliente con el fin de impedir la filtración de información confidencial de las cuentas a conjuntos de datos de entrenamiento o sistemas externos. Las restricciones de acceso limitan qué personal puede interactuar con los sistemas de IA que se utilizan para procesar datos en documentos financieros automatizados basados en IA. Los sistemas automatizados que realizan una supervisión en tiempo real están configurados para controlar las consultas sospechosas diseñadas para extraer datos confidenciales y protegidos.

Servicios médicos

Una clínica médica utiliza la vigilancia basada en IA para supervisar el acceso a los historiales médicos de los pacientes y detectar patrones de acceso sospechosos que puedan infringir las normas de privacidad de la HIPAA. Las herramientas de IA que analizan los datos de los pacientes para los sistemas automatizados de apoyo a la toma de decisiones clínicas están más estrictamente reguladas que las herramientas que proporcionan otro tipo de apoyo clínico.

Fabricación

En contextos operativos, las herramientas de mantenimiento predictivo que utilizan IA y otras tecnologías avanzadas para el mantenimiento automatizado se clasifican por nivel de riesgo. Las empresas que implementan estas herramientas han automatizado los flujos de trabajo de aprobación de riesgos para las herramientas de menor riesgo y han avanzado otras herramientas de clasificación de riesgos para las herramientas de mayor riesgo.

Ciberseguridad

En materia de ciberseguridad, las medidas de protección cobran mayor relevancia cuando un empleado intenta utilizar una herramienta de IA no regulada para analizar datos dentro de la inteligencia de amenazas patentada. Los marcos de gobernanza centralizados permiten una protección proactiva al predecir y automatizar las respuestas a los patrones de uso indebido de la IA. A su vez, los equipos de seguridad pueden supervisar mejor los flujos de datos, evaluar la posible exposición, revocar el acceso e implementar planes de acción para mitigar las brechas de seguridad identificadas.

AI governance requiere una responsabilidad interfuncional con una rendición de cuentas clara en todos los niveles.

Los CISO son responsables de la postura de seguridad de los sistemas de IA. Esto significa que controlan las medidas de protección de datos, definen la respuesta a incidentes de seguridad relacionados con la IA y garantizan que las herramientas de IA cumplan las mismas normas de seguridad que otros sistemas empresariales. También gestionan la modelización de amenazas en torno a las vulnerabilidades de los ataques adversarios de IA y la protección contra el envenenamiento de datos.

Dentro del ciclo de vida de un modelo, la gobernanza de las herramientas de IA recae en los directores técnicos y los responsables de ingeniería. Estos defienden los estándares de desarrollo, gestionan la gobernanza de las pruebas y la validación de los modelos, y mantienen registros que hacen un seguimiento de los sistemas de IA que se utilizan y de sus resultados.

Los equipos de cumplimiento normativo y los asesores jurídicos aplican las políticas que documentan la traducción de las normativas y revisan el marco evolutivo de la Ley de IA para garantizar que la organización disponga de suficientes registros de auditoría para el cumplimiento normativo. Los departamentos de RR. HH. y comunicaciones internas controlan la gobernanza de los empleados y su interacción con las herramientas de IA. Implementan políticas de uso aceptable, forman a los empleados en los flujos de trabajo sancionados impulsados por la IA y comunican rápidamente cualquier cambio en la gobernanza.

Se espera que los empleados sigan las directrices, lo que incluye utilizar únicamente herramientas de IA autorizadas, no compartir datos confidenciales con sistemas de IA públicos y notificar cualquier incumplimiento de la gobernanza. Esto significa utilizar únicamente herramientas de IA aprobadas y evitar comportamientos arriesgados, como copiar y pegar datos confidenciales en modelos públicos. Los empleados también son los primeros en responder para notificar posibles infracciones de la gobernanza cuando se producen.

Los principios de gobernanza no significan nada sin la tecnología adecuada que los respalde. Las herramientas inteligentes transforman las políticas en papel en controles automatizados que funcionan en toda la organización.

Herramientas de supervisión y observabilidad de modelos

Estas plataformas supervisan el rendimiento de los modelos de IA en entornos de producción. Las herramientas de observabilidad están diseñadas para identificar “desviaciones” cuando la precisión disminuye con el tiempo y proporcionar alertas cuando los resultados se desvían de los patrones esperados. Las herramientas creadas para la observabilidad proporcionan información sobre el rendimiento real de los modelos.

Sistemas de gestión de políticas de IA

Las plataformas de gestión de políticas ayudan a las organizaciones a articular, versionar y difundir las políticas de gobernanza de la inteligencia artificial dentro de los equipos y entre ellos. Automatizan los procesos de aprobación para la implementación de modelos y garantizan que los equipos verifiquen el cumplimiento de las políticas antes de activar los sistemas. Estos sistemas generan registros de auditoría que detallan las decisiones tomadas, quién las tomó y cuándo.

Prevención de pérdida de datos para flujos de trabajo de IA

Las soluciones de DLP (prevención de pérdida de datos) diseñadas para la IA y los flujos de trabajo habilitados por IA protegen los datos delicados y confidenciales para que no lleguen a sistemas no autorizados. Realizan un seguimiento de las actividades de los usuarios en las herramientas de IA y evitan que se pegue información confidencial en modelos de IA públicos. Las organizaciones con estrategias maduras de protección de datos podrán ampliar las soluciones DLP existentes para mitigar los riesgos específicos de la IA, como los datos de entrenamiento desprotegidos, los ataques de inyección rápida y los flujos de trabajo críticos expuestos.

Gestión de identidades y accesos para sistemas de IA

Los controles y políticas de IAM determinan la accesibilidad de los modelos de IA, las API y los datos de entrenamiento. Los permisos basados en roles garantizan que solo los usuarios autorizados interactúen con sistemas de alto riesgo. Las medidas de autenticación sólidas protegen contra el acceso no autorizado a los modelos, que podría dar lugar a la extracción o manipulación de datos.

Pasarelas API seguras

Las API aplican políticas de seguridad en la capa de integración, donde las aplicaciones interactúan con los servicios de IA. Autentican las solicitudes, imponen límites de velocidad para evitar el uso abusivo y registran todas las interacciones para su análisis forense.

Registro, auditoría y análisis forense para la IA

El registro exhaustivo captura las entradas y salidas del modelo, así como las vías seguidas en las decisiones. Estos registros son útiles para la elaboración de informes de cumplimiento y análisis forenses, a fin de comprender las razones por las que los sistemas de IA se comportan de forma inesperada. Las trazas de auditoría proporcionan pruebas a los reguladores de que los controles de gobernanza funcionan según lo previsto.

Gestión de la postura de seguridad de los datos (DSPM) para la gobernanza de la IA

Las soluciones DSPM cumplen con el aspecto de la gobernanza de la IA de supervisar y controlar los datos utilizados durante el entrenamiento y el ajuste de los modelos de IA. A menudo, las organizaciones no saben qué conjuntos de datos se utilizan en el entrenamiento de los sistemas de IA, lo que conlleva el riesgo de exponer y utilizar indebidamente datos confidenciales. Antes de que los datos confidenciales lleguen a los procesos de entrenamiento de la IA, los sistemas DSPM supervisan el descubrimiento y la clasificación de los datos.

Esta información ayuda a los equipos de seguridad a garantizar y aplicar políticas que impidan el uso no autorizado de propiedad intelectual protegida, documentos confidenciales, listas de clientes o información de identificación personal.

“Los modelos de IA siempre están aprendiendo y cambiando. Se ajustan a medida que incorporan nuevos datos y toman decisiones de nuevas formas”, afirma Clarke. “Pero muchos sistemas de gobernanza son lentos y obsoletos, ya que se basan en comprobaciones manuales, inventarios de datos antiguos y controles rígidos”.

En la búsqueda de la gobernanza de la IA, las entidades se dan cuenta muy rápidamente de que se necesita un esfuerzo sostenido en los frentes estratégico, organizativo y cultural. A continuación se presentan algunos obstáculos potenciales con los que se encuentran habitualmente las organizaciones:

• Amenazas en rápida evolución: La capacidad de la IA y los métodos de ataque evolucionan tan rápidamente que los marcos de gobernanza tienen dificultades para mantenerse a la vanguardia. Las organizaciones deben revisar continuamente sus políticas para mitigar los riesgos digitales emergentes, como las nuevas técnicas de inyección de comandos o las debilidades explotables en los modelos de IA.
• Falta de experiencia interna: La mayoría de las organizaciones no cuentan con personal con experiencia tanto en tecnología de IA como en los retos de gobernanza, lo que complica la elaboración de controles eficaces y la resolución de problemas de comportamiento de los modelos en situaciones de crisis.
• Shadow AI (“IA en las sombras”) y uso descentralizado de modelos: Empleados de diferentes funciones utilizan herramientas de IA no autorizadas sin una supervisión coordinada. Estos sistemas no autorizados crean puntos ciegos con exposición a posibles fugas de datos, riesgos de cumplimiento no supervisados y exposición regulatoria.
• Dificultad para unificar los datos y la gobernanza de los modelos: Las organizaciones son incapaces de integrar de forma coherente los modelos de IA, las fuentes de datos y los marcos de gobernanza dispersos. A menudo, los diferentes equipos trabajan con conjuntos de controles divergentes, incluso contradictorios, lo que provoca lagunas en el cumplimiento y la supervisión.
• Equilibrio entre la innovación y la mitigación de riesgos: Una gobernanza excesivamente restrictiva ralentiza la adopción de la IA y frustra a los equipos que compiten por obtener una ventaja competitiva.
• Falta de herramientas o procesos inmaduros: La mayoría de las funciones de supervisión siguen siendo manuales, lo que limita la eficiencia del cumplimiento y da lugar a errores, creando lagunas que la organización no puede escalar con el uso ampliado de la IA.

El panorama de la gobernanza está pasando de políticas estáticas a sistemas de supervisión continua. Las organizaciones están reconociendo que los procesos de gobernanza heredados son incapaces de seguir el ritmo y la escala de la IA. La supervisión automatizada y los controles integrados están sustituyendo a las revisiones periódicas y a los controles de cumplimiento manuales. Este movimiento refleja una transformación más amplia en la que los equipos de gobernanza pasan de ser guardianes que obstaculizan los proyectos a facilitadores que incorporan la seguridad en los flujos de trabajo de desarrollo desde el principio.

Un ejemplo pertinente son los sistemas de IA agenciales, que requerirán enfoques de supervisión fundamentalmente diferentes. Estos sistemas actúan de forma autónoma en lugar de limitarse a responder a indicaciones. La supervisión en tiempo real se vuelve esencial cuando los agentes de IA pueden iniciar transacciones, modificar sistemas o interactuar con los clientes sin intervención humana. Los riesgos ciberfísicos se intensificarán a medida que la IA llegue a los entornos de tecnología operativa en los sectores de la fabricación, la energía y el transporte. Cuando los modelos controlan sistemas físicos, los fallos de gobernanza pueden dar lugar a incidentes de seguridad que van más allá de las filtraciones de datos o del incumplimiento de la normativa.

Las fronteras artificiales entre la ciberseguridad, la gobernanza de datos y la gobernanza de la IA se están disolviendo. Las organizaciones con visión de futuro están creando marcos unificados que tratan estas disciplinas como componentes interconectados de un único sistema de gestión de riesgos. Esta convergencia tiene sentido, dado que la seguridad de la IA depende de la protección de datos y la gobernanza de datos requiere controles específicos para la IA. Mientras tanto, las regulaciones globales sobre IA están entrando en su fase de aplicación con consecuencias reales. La Ley de IA de la UE impone multas sustanciales por incumplimiento, y otras jurisdicciones están siguiendo su ejemplo con normas específicas para cada sector.

La demanda de talento en materia de seguridad y riesgos de la IA aumentará a medida que las organizaciones se esfuercen por cubrir las lagunas críticas de sus programas de gobernanza. Según un informe de OneTrust sobre la gobernanza de la IA en 2025, el 98 % de las organizaciones esperan que los presupuestos aumenten significativamente para apoyar una supervisión más rápida e inteligente, con un aumento medio del presupuesto del 24 %. Las empresas que desarrollen estas capacidades desde el principio obtendrán una ventaja competitiva sobre aquellas que sigan tratando la gobernanza como algo secundario.

Proofpoint aporta una amplia experiencia en protección de datos y gestión de amenazas internas para ayudar a las organizaciones a implementar programas integrales de gobernanza de la inteligencia artificial. Nuestras soluciones ayudan a su equipo a identificar el uso sancionado y no sancionado de la IA en todo su entorno, aplicar políticas preestablecidas para evitar la filtración de datos y las violaciones de la privacidad, y automatizar los flujos de trabajo que permiten a los equipos de seguridad controlar cómo fluye la información confidencial a través de los sistemas de IA. Al conectar lo que dicen los empleados con lo que hacen, Proofpoint establece bucles de retroalimentación en tiempo real que detectan comportamientos de IA riesgosos antes de que se conviertan en violaciones de cumplimiento o incidentes de seguridad.

Póngase en contacto con Proofpoint para obtener más información.