#ConVerso

Blindando la inteligencia artificial con gobernanza y el apetito de riesgo corporativo

por

La inteligencia artificial (IA) se ha convertido ya en un tema relevante que se integra a las agendas corporativas. Empresas de todos los sectores están experimentando con algoritmos, modelos predictivos y asistentes inteligentes para optimizar procesos, reducir costos y mejorar la experiencia del cliente. 

Y las razones de este entusiasmo son evidentes: la IA promete eficiencia, rapidez y una ventaja competitiva. Sin embargo, en medio de esta carrera por innovar, muchas organizaciones están pasando por alto una pregunta fundamental: ¿están gobernando la IA con el mismo rigor que aplican a sus finanzas, auditorías o cumplimiento regulatorio, por ejemplo?

La IA se está convirtiendo en muchos casos en un “actor” dentro de la organización, que puede influir o incluso tomar decisiones en procesos críticos. Puede determinar aprobaciones de crédito, optimizar inventarios, automatizar controles financieros o analizar grandes volúmenes de datos para orientar inversiones. Cuando se delegan las decisiones a sistemas inteligentes, no sólo se automatizan tareas; se está redefiniendo la manera en que la empresa asume y gestiona el riesgo.

Acotando el riesgo

Tradicionalmente, el apetito de riesgo de una organización se define considerando posibles pérdidas financieras, daños reputacionales, incumplimientos normativos o interrupciones operativas. Estos elementos suelen estar claramente identificados en los mapas de riesgo corporativos. Pero con la llegada de la IA, aparece una nueva dimensión pues el nivel de autonomía que se le otorga a los algoritmos. ¿Hasta dónde puede decidir la IA sin intervención humana? ¿En qué procesos puede operar sola y en cuáles debe existir supervisión constante?

Incorporar la IA al apetito de riesgo implica reconocer que no todos los sistemas inteligentes deben tener el mismo grado de libertad. Por ejemplo, permitir que un modelo analice datos contables para apoyar reportes financieros puede ser razonable, pero delegarle la decisión final sobre inversiones estratégicas puede requerir límites estrictos y controles adicionales. El nivel de autonomía permitido se convierte entonces en un nuevo parámetro del riesgo corporativo.

Otro aspecto clave es el impacto reputacional. Si un sistema de IA toma una decisión errónea que afecta a clientes, empleados o socios comerciales, la marca puede sufrir consecuencias importantes. La alta dirección y los responsables de seguridad deben preguntarse cuál es el nivel de impacto reputacional que la organización está dispuesta a asumir. 

Además, hay que considerar que muchas empresas no desarrollan sus propios sistemas de IA, sino que dependen de proveedores externos. Sectores como el financiero, el energético o el industrial suelen adquirir soluciones especializadas. Esta dependencia de terceros añade una capa adicional de riesgo como las vulnerabilidades en APIs, fallos en actualizaciones, cambios en políticas de uso o brechas de seguridad en la cadena de suministro. Por ello, el apetito de riesgo también debe contemplar el grado de dependencia tecnológica y la capacidad de supervisar a esos proveedores.

Estableciendo las reglas

Aquí es donde entra la gobernanza de la IA. Gobernar significa traducir el apetito de riesgo en políticas claras, límites definidos y responsabilidades estructuradas. Y es que no basta con tener la percepción de que la empresa utiliza la IA de forma responsable; es necesario establecer reglas concretas en el sentido de qué procesos pueden automatizarse, qué datos pueden utilizarse, qué tipo de supervisión humana es obligatoria y quién responde ante un error del sistema.

Asimismo, la gobernanza también delimita hasta dónde puede llegar la IA, mientras que la ciberseguridad protege la integridad de esos límites. La IA introduce, por tanto, nuevas superficies de riesgo, como la exposición de datos sensibles, la manipulación de modelos mediante técnicas como la inyección de prompts (prompt injection) o el fenómeno conocido como Shadow AI, donde empleados utilizan herramientas no autorizadas. Si los datos que alimentan al modelo son comprometidos, las decisiones resultantes también lo estarán. 

Lo anterior permite concluir que, sin ciberseguridad, la gobernanza se queda en teoría; y sin gobernanza, la ciberseguridad es insuficiente.

Enfoques para abordar el riesgo

A nivel internacional, ya existen marcos que ayudan a estructurar este enfoque basado en riesgo. 

  1. El National Institute of Standards and Technology (NIST) desarrolló el Risk Management Framework para la IA, que propone identificar, medir y mitigar riesgos integrando buenas prácticas en la gestión empresarial. Este marco no trata la IA como un elemento aislado, sino como parte del ecosistema de riesgo organizacional.
  2. La International Organization for Standardization publicó la norma ISO/IEC 42001, el primer estándar certificable para Sistemas de Gestión de Inteligencia Artificial. Esta norma establece requisitos para desarrollar y utilizar IA de forma ética, transparente y segura. Adoptarla no solo mejora los controles internos, sino que también envía una señal de confianza al mercado y a los reguladores.
  3. En el ámbito regulatorio, la Unión Europea dio un paso decisivo con la aprobación del Reglamento de Inteligencia Artificial de la UE, que clasifica los sistemas de IA según su nivel de riesgo: mínimo, limitado, alto o prohibido. Esta regulación obliga a evaluar la criticidad de cada sistema y aplicar controles proporcionales. Aunque es una norma europea, su impacto trasciende fronteras, ya que muchas empresas globales deberán alinearse para mantener relaciones comerciales con el mercado europeo.

En este contexto, el CISO asume un rol estratégico, en el que pasa de sólo proteger redes o responder a incidentes, a participar activamente en la definición del modelo de gobernanza de la IA. Ahora colabora también con los comités de dirección para clasificar los sistemas según su riesgo, supervisar la integridad de los modelos y garantizar que los datos que los alimentan estén protegidos durante todo su ciclo de vida. Además, debe integrar la evaluación continua de los resultados de la IA en los comités de riesgo, asegurando que la organización aprenda y ajuste sus controles.

Una ventaja competitiva

Las empresas que adopten la IA sin un marco claro de gobernanza probablemente se verán obligadas a reaccionar ante errores, incidentes o crisis reputacionales. En cambio, aquellas que integren la gobernanza, la ciberseguridad y los marcos regulatorios desde el inicio estarán mejor posicionadas para liderar sus mercados. No se trata de frenar la innovación, sino de blindarla, pues IA puede ser un motor extraordinario de crecimiento, pero sólo si se integra dentro de una cultura sólida de gestión de riesgos. 

En conclusión, la inteligencia artificial no es una herramienta tecnológica per se; es un nuevo componente estratégico que transforma la manera en que las organizaciones toman decisiones. Incorporarla al apetito de riesgo corporativo y establecer un modelo de gobernanza claro es fundamente. Sólo así las empresas podrán aprovechar su potencial sin exponerse innecesariamente a pérdidas financieras, daños reputacionales o incumplimientos regulatorios, al tiempo de obtener una ventaja competitiva real.

Alexander cuenta con casi ocho años de experiencia en el campo de la Ciberseguridad. Su principal objetivo es comprender las necesidades del negocio y los mercados para desarrollar y habilitar estrategias de integrales de Ciberseguridad, fusionando una visión de riesgos e impacto en el negocio con un enfoque tecnológico. Ha liderado proyectos destacadps que incluyen el diseño de planes Directores de Ciberseguridad en entornos IT y OT alineado a los retornos de inversión del negocio..

Los comentarios están cerrados.