El creciente papel de la IA en los entornos empresariales ha aumentado la urgencia de que los directores de seguridad de la información (CISO) impulsen una gobernanza eficaz de la IA. Cuando se trata de cualquier tecnología emergente, la gobernanza es difícil, pero una gobernanza eficaz lo es aún más. El primer instinto de la mayoría de las organizaciones es responder con políticas rígidas. Redacte un documento de política, distribuya un conjunto de restricciones y espere a que se contenga el riesgo. Sin embargo, una gobernanza eficaz no funciona de esa manera. Debe ser un sistema vivo que dé forma a la forma en que se usa la IA todos los días, guiando a las organizaciones a través de un cambio transformador seguro sin ralentizar el ritmo de la innovación.
Para los CISO, encontrar el equilibrio entre seguridad y velocidad es fundamental en la era de la IA. Esta tecnología representa simultáneamente la mayor oportunidad y el mayor riesgo al que se han enfrentado las empresas desde los albores de Internet. Si se actúa con demasiada rapidez y sin barreras, los datos confidenciales se filtran para convertirse en avisos, la IA clandestina prolifera o las brechas normativas se convierten en problemas. Si se actúa con demasiada lentitud, la competencia saldrá adelante con eficiencias transformadoras que son demasiado poderosas para competir con ellas. Cualquiera de las dos opciones tiene ramificaciones que pueden costarles el trabajo a los CISO.
A su vez, no pueden liderar un «departamento del no» en el que las iniciativas de adopción de la IA se vean obstaculizadas por la función de seguridad de la organización. Por el contrario, es fundamental encontrar el camino hacia el sí, asignando la gobernanza a la tolerancia al riesgo de la organización y a las prioridades empresariales, de modo que la función de seguridad sirva como una verdadera fuente de ingresos. A lo largo de este artículo, compartiré tres componentes que pueden ayudar a los CISO a hacer ese cambio e impulsar programas de gobierno de la IA que permitan una adopción segura y a gran escala.
1. Comprenda lo que sucede sobre el terreno
Cuando ChatGPT llegó por primera vez en noviembre de 2022, la mayoría de los CISO que conozco se apresuraron a publicar políticas estrictas que decían a los empleados lo que no debían hacer. Surgió con una intención positiva, teniendo en cuenta que la filtración de datos confidenciales era una preocupación legítima. Sin embargo, si bien las políticas redactadas a partir de ese enfoque de «documentar al revés» son excelentes en teoría, rara vez funcionan en la práctica. Debido a la rapidez con la que evoluciona la IA, la gobernanza de la IA debe diseñarse con una mentalidad de «avanzar en el mundo real» que tenga en cuenta lo que realmente sucede sobre el terreno dentro de una organización. Esto requiere que los CISO tengan una comprensión básica de la IA: la tecnología en sí misma, dónde está integrada, qué plataformas SaaS la habilitan y cómo la utilizan los empleados para realizar su trabajo.
Los inventarios de IA, los registros modelo y los comités interfuncionales pueden parecer palabras de moda, pero son mecanismos prácticos que pueden ayudar a los líderes de seguridad a desarrollar esta fluidez en la IA. Por ejemplo, una lista de materiales sobre inteligencia artificial (AIBOM) ofrece visibilidad de los componentes, los conjuntos de datos y los servicios externos que servirán de base a un modelo de IA. Del mismo modo que una lista de materiales de software (SBOM) aclara las dependencias de terceros, una AIBOM garantiza que los líderes sepan qué datos se utilizan, de dónde provienen y qué riesgos presentan.
Los registros modelo cumplen una función similar para los sistemas de IA que ya están en uso. Registran qué modelos se implementan, cuándo se actualizaron por última vez y cuál es su rendimiento para evitar la «acumulación de cajas negras» y sirven de base para la toma de decisiones sobre la aplicación de parches, el desmantelamiento o la ampliación del uso. Los comités de IA se aseguran de que la supervisión no recaiga únicamente en la seguridad o en la TI. Estos grupos suelen estar presididos por un responsable de gestión de riesgos o responsable de la IA designado, e incluyen a representantes de las unidades legales, de cumplimiento, de recursos humanos y empresariales, lo que hace que la gobernanza deje de ser una directiva aislada para convertirse en una responsabilidad compartida que une las preocupaciones de seguridad con los resultados empresariales.
2. Alinee las políticas con la velocidad de la organización
Sin políticas progresistas en el mundo real, los líderes de seguridad suelen caer en la trampa de codificar controles que no pueden ofrecer de manera realista. Lo he visto de primera mano a través de un colega mío del CISO. Como sabía que los empleados ya estaban experimentando con la IA, trabajó para permitir la adopción responsable de varias aplicaciones de GenAI en su plantilla. Sin embargo, cuando un nuevo CIO se incorporó a la organización y consideró que había demasiadas aplicaciones de GenAI en uso, se le ordenó prohibir todas las aplicaciones de GenAI hasta que se seleccionara una plataforma para toda la empresa. Un año después, esa plataforma única aún no se había implementado y los empleados utilizaban herramientas GenAI no aprobadas que exponían a la organización a vulnerabilidades ocultas de la IA. El director de la seguridad informática estaba empeñado en hacer cumplir una prohibición general que no podía ejecutar, y recibió críticas sin tener la autoridad necesaria para implementar una solución viable.
Este tipo de escenario se presenta cuando las políticas se escriben más rápido de lo que se pueden ejecutar o cuando no anticipan el ritmo de adopción organizacional. Las políticas que parecen decisivas sobre el papel pueden quedar obsoletas rápidamente si no evolucionan con los cambios de liderazgo, la funcionalidad integrada de la IA y las formas orgánicas en que los empleados integran las nuevas herramientas en su trabajo. La gobernanza debe ser lo suficientemente flexible como para adaptarse o, de lo contrario, se corre el riesgo de que los equipos de seguridad impongan lo imposible.
El camino a seguir es diseñar las políticas como documentos vivos. Deben evolucionar a la par que lo hace la empresa, basándose en los casos de uso reales y alineados con resultados mensurables. La gobernanza tampoco puede limitarse a las políticas; debe basarse en estándares, procedimientos y líneas de base que guíen el trabajo diario. Solo entonces los empleados sabrán cómo es realmente la adopción segura de la IA en la práctica.
3. Haga que la gobernanza de la IA sea sostenible
Incluso con políticas y hojas de ruta sólidas, los empleados seguirán utilizando la IA de formas que no están aprobadas formalmente. El objetivo de los responsables de seguridad no debería ser prohibir la IA, sino hacer del uso responsable la opción más fácil y atractiva. Esto significa equipar a los empleados con herramientas de inteligencia artificial de nivel empresarial, ya sean adquiridas o de fabricación propia, para que no tengan que recurrir a alternativas inseguras. Además, significa destacar y reforzar los comportamientos positivos para que los empleados consideren que es valioso seguir las barreras en lugar de pasarlas por alto.
La gobernanza sostenible también se deriva de Utilización de la IA y Protección de la IA , dos pilares del El Plan de IA Segura publicado recientemente por SANS Institute . Para controlar la IA de manera eficaz, los CISO deben capacitar a sus equipos de SOC para que utilicen la IA de manera efectiva para la ciberdefensa, automatizando la reducción y el enriquecimiento del ruido, validando las detecciones contra la inteligencia de amenazas y garantizando que los analistas estén al tanto de la escalada y la respuesta a los incidentes. También deben garantizar que existan los controles adecuados para proteger los sistemas de inteligencia artificial de las amenazas adversas, tal como se describe en el Pautas de seguridad de SANS Critical AI .
Obtenga más información en SANS Cyber Defense Initiative 2025
Este diciembre, SANS ofrecerá LDR514: Planificación estratégica, políticas y liderazgo de seguridad a Iniciativa de ciberdefensa SANS 2025 en Washington, D.C. Este curso está diseñado para líderes que desean ir más allá de los consejos genéricos de gobernanza y aprender a crear programas de seguridad impulsados por las empresas que guíen a las organizaciones hacia la adopción segura de la IA. En él se explicará cómo crear políticas viables, alinear la gobernanza con la estrategia empresarial e integrar la seguridad en la cultura para que pueda liderar su empresa en la era de la IA de forma segura.
Si está preparado para convertir la gobernanza de la IA en un facilitador empresarial, regístrese para SANS CDI 2025 aquí .
Nota: Este artículo fue contribuido por Frank Kim, becario del Instituto SANS.