El problema que nadie está resolviendo
El 96% de los CISOs son hoy responsables formales de la gobernanza de IA en sus organizaciones. El mandato llegó. Lo que no llegó con él fue el método.
La mayoría de las organizaciones tiene alguna política escrita sobre IA. El 85% la tiene, según Cybersecurity Insiders 2026. Pero solo el 26% tiene políticas comprensivas. Y el 86% no aplica políticas de acceso para identidades de IA. La política existe; lo que falta es enforzarla sobre los agentes que ya operan.
El riesgo no es teórico. El reporte 2026 CISO AI Risk Report de Cybersecurity Insiders + Saviynt (235 CISOs encuestados) lo cuantifica con precisión:
- 75% de los CISOs ya encontró Shadow AI corriendo en su entorno.
- 71% de organizaciones tiene IA con acceso a sistemas core (Salesforce, SAP). Solo el 16% gobierna ese acceso efectivamente.
- 47% ya observó agentes de IA con comportamiento no autorizado.
- 33% sufrió un incidente o un near-miss en los últimos 12 meses.
- Solo el 5% se siente capaz de contener un agente de IA comprometido.
A esto se suman datos previos que siguen vigentes: el 46% ya registró una fuga de datos interna a través de prompts de empleados a plataformas públicas (Cisco 2025), y las brechas vinculadas a Shadow AI cuestan en promedio $670,000 USD más que una brecha tradicional (IBM Cost of Data Breach 2025).
El problema central no es la tecnología. Es que la IA se está integrando con el patrón equivocado.
Los frameworks existentes son demasiado grandes para operar directamente
El primer paso no es implementar ISO 42001 completo, es tener visibilidad y control sobre los riesgos más críticos esta semana.
El patrón que produce incidentes: el bolt-on
Cuando una organización toma un proceso diseñado para humanos y le agrega una herramienta de IA sin ajustar los mecanismos de verificación, crea lo que se conoce como una integración bolt-on. El proceso sigue corriendo con la misma lógica de antes, pero ahora uno de sus insumos es probabilístico: puede estar bien, puede estar parcialmente mal o puede estar completamente equivocado con total confianza aparente.
El caso más citado en la industria: tres ingenieros de Samsung filtraron código fuente propietario, transcripciones de reuniones y datos de pruebas de chips a ChatGPT en menos de un mes. No fue un ataque externo. Fue el uso cotidiano de una herramienta sin políticas claras ni controles de acceso ajustados. El fallo fue organizacional, no técnico.
En todos estos casos, el problema no fue que la IA falló. Fue que la organización no gobernó su uso.
Lo que el CISO necesita gobernar: los 6 dominios
La gobernanza de IA no es un proyecto paralelo al SGSI. Es una extensión de él. Para operacionalizarla, en ISM GRC trabajamos con un modelo de 6 dominios. Cada uno tiene una fricción central — el patrón de fallo más común en organizaciones que no han trabajado formalmente el dominio.
D1 — Liderazgo y Estructura de Gobernanza (15%)
Fricción central: La gobernanza queda en TI sin llegar al nivel de decisión. Sin un responsable formal con mandato explícito, las decisiones se toman ad hoc y los riesgos no se escalan. El primer gate de cualquier programa exige que este responsable exista y que su mandato venga del Consejo o la Alta Dirección.
D2 — Inventario y Clasificación de Riesgos IA (15%)
Fricción central: Shadow AI invisible. No se puede gobernar lo que no se conoce. El inventario de sistemas de IA —formales y no autorizados— es el primer acto operativo. La mayoría de las organizaciones descubren entre 3 y 5 veces más sistemas de los que esperaban al hacer su primer censo.
D3 — Gestión de Riesgos y Controles Operativos (20%)
Fricción central: Bolt-on. Gobernar los controles operativos significa: evaluar la seguridad antes de desplegar, establecer procesos de validación humana (Human-in-the-loop) y definir puertas de riesgo antes de que un piloto pase a operación crítica. Solo el 5% de los CISOs se siente capaz de contener un agente de IA comprometido; el resto admite que no sabría cómo reaccionar hoy.
D4 — Seguridad e Integración con SGSI (20%)
Fricción central: Silos. Integrar la gobernanza de IA sobre un SGSI existente (ISO/IEC 27001) reduce entre un 30% y un 40% el tiempo de implementación. El error más común es tratar la gobernanza de IA como un proyecto separado, lo que genera puntos ciegos.
D5 — Transparencia y Cumplimiento Regulatorio (15%)
Fricción central: Ceguera regulatoria. Para organizaciones con operaciones o clientes en Europa, el EU AI Act es ya una realidad. Sin un inventario (D2), no hay forma de evaluar qué sistemas caen en qué categoría de riesgo, exponiéndose a sanciones de hasta €15M o el 3% de la facturación global anual.
D6 — Cultura, Alfabetización y Supervisión (15%)
Fricción central: Velocidad sin ética. La supervisión humana no es un principio abstracto: es el control compensatorio más básico. Cada persona que usa IA debe saber qué puede delegar y qué debe verificar obligatoriamente antes de usar el output.
¿En cuál de los seis dominios tiene la brecha más crítica tu organización?
La hoja de ruta de 90 días
La gobernanza de IA se construye por fases. Aquí los Gates obligatorios:
- Gate 1 (Días 1–30): Responsable formal, inventario documentado, política de uso aceptable, modelo de riesgos inicial y programa de alfabetización básico.
- Gate 2 (Días 31–60): Sistemas clasificados por riesgo, riesgos integrados al SGSI, controles de validación definidos y puertas de riesgo para nuevos proyectos.
- Gate 3 (Días 61–90): Monitoreo continuo, alfabetización en marcha, ciclo de revisión por la dirección y primer reporte ejecutivo al Consejo.
El siguiente paso
La diferencia entre las organizaciones que logran gobernar la IA y las que no, radica en un método de ejecución claro.
¿Quieres saber dónde está parada tu organización? Accede a nuestro autodiagnóstico de madurez en gobernanza de IA. Una evaluación inicial de los 6 dominios en 15 minutos para obtener una primera lectura de tu situación actual.
Enlace al autodiagnóstico: https://sm4rtbiz.fillout.com/auto-gobia
Te invitamos a ver nuestro masterclass completo “El CISO bajo presión: del mandato de gobernar la IA a la supervisión real”, donde abordamos este tema desde un enfoque práctico, con ejemplos reales y recomendaciones clave.
🎥 Míralo en nuestro canal de YouTube: https://youtu.be/4VJeWDjfoz4
