{"version":"1.0","type":"agent_native_article","locale":"es","slug":"ia-empresarial-desplegada-sin-gobernanza-seguridad-mqx0z77s","title":"La IA empresarial lleva años desplegada y apenas uno de cada cinco ejecutivos sabe lo que tiene","primary_category":"ai","author":{"name":"Simón Arce","slug":"simon-arce"},"published_at":"2026-06-28T00:02:56.968Z","total_votes":86,"comment_count":0,"has_map":true,"urls":{"human":"https://sustainabl.net/es/articulo/ia-empresarial-desplegada-sin-gobernanza-seguridad-mqx0z77s","agent":"https://sustainabl.net/agent-native/es/articulo/ia-empresarial-desplegada-sin-gobernanza-seguridad-mqx0z77s"},"summary":{"one_line":"El 80% de las grandes organizaciones ha desplegado IA sin evaluar sus riesgos de seguridad, revelando una brecha de gobernanza que no es técnica sino de incentivos directivos.","core_question":"¿Por qué la mayoría de las organizaciones adopta IA sin construir la arquitectura de control necesaria para sostenerla con responsabilidad?","main_thesis":"La baja madurez de la IA empresarial no es un problema de acceso a tecnología ni de capacidad técnica, sino de estructura de incentivos: los líderes son evaluados por velocidad de adopción, no por calidad de gobernanza, lo que convierte los incidentes en el principal mecanismo de aprendizaje organizacional."},"content_markdown":"## La IA empresarial lleva años desplegada y apenas uno de cada cinco ejecutivos sabe lo que tiene\n\nMás de la mitad de las grandes organizaciones del mundo ya tiene inteligencia artificial generativa operando en alguna parte de su negocio. Eso es un hecho documentado. Lo que no se documenta con la misma facilidad es lo que ocurre debajo de esa estadística: sistemas que procesan datos sensibles sin que nadie haya definido quién los supervisa, agentes autónomos que toman decisiones dentro de flujos de trabajo que ningún equipo de seguridad ha auditado, y capas de gobernanza que llegaron tarde o directamente no llegaron.\n\nUn estudio publicado por OpenText Cybersecurity en colaboración con el Instituto Ponemon arroja una cifra que merece atención sostenida: **solo uno de cada cinco directivos puede afirmar que sus sistemas de IA están completamente desplegados con los riesgos de seguridad evaluados**. No es una mayoría incómoda. Es un ochenta por ciento de las organizaciones que ha avanzado en adopción sin resolver las preguntas más básicas sobre control, acceso y responsabilidad.\n\nEste es el problema de madurez del que nadie quiere hablar con honestidad en la sala de directivos, porque nombrarlo implica admitir que la presión por adoptar fue más rápida que la capacidad de gobernar.\n\n## Adopción sin arquitectura es otra forma de improvisación\n\nLa narrativa predominante en torno a la inteligencia artificial empresarial sigue funcionando como si el problema central fuera el acceso a la tecnología. Como si bastara con implementar el modelo adecuado, conectarlo a los sistemas correctos y esperar que los resultados lleguen. Esa narrativa tiene algo de cómodo para el C-Level: permite medir el progreso en número de pilotos, en herramientas desplegadas, en departamentos que \"ya usan IA\".\n\nLo que esa narrativa oculta es más costoso. Según los datos del mismo estudio, **una mayoría de organizaciones reporta que la IA ha vuelto más complejo, no más simple, el cumplimiento de sus requisitos de privacidad y seguridad**. Y aun así, una proporción significativamente menor ha establecido las políticas y controles necesarios para gestionar esos riesgos. La brecha no es técnica. Es de prioridades.\n\nSanjay Srivastava, quien desde Genpact ha construido uno de los marcos más precisos para pensar la madurez de la IA empresarial, lo formula sin ambigüedades: el camino hacia la madurez en inteligencia artificial pasa directamente por los datos. No por los modelos. No por el presupuesto de innovación. Por la arquitectura de datos, por la gobernanza embedida en las operaciones, por la claridad sobre quién es responsable de qué y bajo qué condiciones. Cuando una organización salta ese paso, no adopta IA con madurez: despliega capacidad sin control.\n\nEl problema no es únicamente técnico porque los sistemas de IA no operan en el vacío. Operan dentro de organizaciones donde los equipos más cercanos al negocio raramente hablan con los equipos de seguridad antes de que algo falle. Operan en entornos donde los agentes autónomos pueden interactuar con datos financieros, legales o de clientes sin que exista un inventario actualizado de qué tiene acceso a qué. Y operan bajo presión directiva que frecuentemente premia la velocidad de despliegue sobre la solidez de la arquitectura.\n\nEl analista Jason Snyder lo llama \"teatro de coordinación\": esa escena organizacional donde hay comités de IA, dashboards de adopción y presentaciones trimestrales que muestran tracción, mientras los flujos de trabajo reales permanecen sin rediseñar, los datos sin integrar y la gobernanza sin definir. El resultado es una adopción que se mide en métricas de actividad, no en impacto operativo o financiero. Y cuando llega la auditoría, o el incidente, la organización descubre que adoptó sin construir.\n\n## La seguridad que llega tarde ya no puede llegar a tiempo\n\nExiste una dinámica específica que caracteriza a las organizaciones con baja madurez en IA: la seguridad y la gobernanza se tratan como capas que se agregan después del despliegue, no como condiciones de diseño. Es un patrón que los equipos de seguridad conocen bien, pero que el C-Level tiende a subestimar hasta que tiene costo directo.\n\nLos datos del Forbes Research AI Survey 2025 cuantifican la magnitud del problema con precisión que debería preocupar a cualquier consejo de administración: **el 62% de los líderes empresariales reconoce que la IA complica el mantenimiento de sus defensas de ciberseguridad**, y el 63% afirma que las amenazas potenciadas por IA pueden volver obsoletas sus defensas actuales en cuestión de meses. Un año antes, ese segundo porcentaje era del 29%.\n\nEso no es una tendencia gradual. Es una aceleración brusca de la percepción de riesgo, que coincide con la aceleración del despliegue de IA en operaciones. Las organizaciones están metiendo más IA en sus sistemas precisamente cuando su exposición a amenazas habilitadas por IA crece a mayor velocidad que su capacidad de respuesta.\n\nLa solución que plantea este análisis no es reducir la velocidad de adopción, sino cambiar la secuencia de las decisiones. **La seguridad y la gobernanza no pueden funcionar como auditorías posteriores al despliegue; deben estar embedidas en el ciclo de vida completo del sistema**, desde el diseño del modelo hasta su integración con aplicaciones de negocio, pasando por el entrenamiento, el despliegue y el monitoreo continuo.\n\nEso implica, en términos concretos, varias cosas que las organizaciones con baja madurez frecuentemente posponen. Primero, un inventario real de qué sistemas de IA operan en el entorno y qué pueden acceder. Sin esa visibilidad, no existe gobernanza posible. Segundo, una extensión de la gestión de identidades y accesos para incluir agentes no humanos: cada agente de IA debe tener un rol definido, permisos delimitados y trazabilidad de sus acciones. Tercero, un modelo de monitoreo continuo que identifique comportamiento anómalo en tiempo real y que tenga protocolos de respuesta definidos antes de que ocurra el incidente, no después.\n\nNinguno de esos pasos es tecnológicamente sofisticado. Lo que requieren es algo más difícil: voluntad de ralentizar el despliegue lo suficiente como para construir la arquitectura que lo sostenga. Y esa voluntad escasea cuando los incentivos directivos están alineados con la velocidad de adopción, no con la calidad de la gobernanza.\n\n## Lo que el ochenta por ciento revela sobre cómo decidimos adoptar\n\nLa cifra del veinte por ciento de organizaciones con madurez real en IA no es solo un indicador de gestión tecnológica. Es un síntoma de algo más profundo en cómo las grandes organizaciones toman decisiones bajo presión de mercado.\n\nCuando el ochenta por ciento adopta sin haber evaluado sus riesgos de seguridad, no es porque carezcan de información sobre la necesidad de hacerlo. Los equipos de tecnología, seguridad y cumplimiento normalmente saben lo que hace falta. El problema está un nivel arriba: en la conversación que no ocurrió entre el impulso de adopción y las condiciones para sostenerla con responsabilidad.\n\nEn muchas organizaciones existe una conversación implícita que nadie tiene de manera explícita: la que debería ocurrir entre el CEO que quiere mostrar tracción en IA al consejo, el CISO que sabe que la arquitectura de seguridad no está lista, el CFO que tiene que aprobar una inversión adicional en gobernanza que no estaba en el presupuesto inicial, y el equipo legal que todavía no ha definido los límites de uso de datos sensibles por parte de agentes autónomos.\n\nEsa conversación no ocurre a tiempo porque tiene costo político interno. Frenar o condicionar el despliegue de IA en un momento donde el mercado presiona en la dirección contraria requiere que alguien en el C-Level esté dispuesto a sostener esa posición frente a la junta, frente a los accionistas, frente al equipo comercial que quiere resultados. Y en ausencia de un incidente que fuerce esa conversación, la inercia institucional se inclina siempre hacia el avance.\n\nEl problema de madurez de la IA empresarial, entonces, no se resuelve solo con mejores herramientas de gobernanza o con más presupuesto para seguridad. Esos son instrumentos necesarios. Pero la condición previa es que alguien en la dirección esté dispuesto a nombrar lo que el sistema evita nombrar: que la velocidad del despliegue ha superado la capacidad de control, que eso tiene consecuencias reales y que corregirlo tiene costo a corto plazo.\n\nLas organizaciones que logran cruzar ese umbral no lo hacen porque descubrieron una metodología más elegante. Lo hacen porque alguien tuvo esa conversación antes de que el incidente la forzara.\n\n## La madurez no es un estado, es una decisión que se repite\n\nLa investigación del Instituto Ponemon establece que alcanzar madurez en IA implica que los sistemas estén completamente desplegados **con riesgos de seguridad evaluados**. Esa conjunción es la que define el umbral. No el despliegue solo. No la evaluación sola. Las dos cosas simultáneas.\n\nLo que hace difícil ese umbral para la mayoría de las organizaciones no es la complejidad técnica del problema, sino la estructura de incentivos alrededor de la decisión. Los incentivos actuales premian el despliegue. Las métricas de éxito que se reportan a los consejos de administración son métricas de adopción: cuántos departamentos usan IA, cuánto tiempo ahorran las herramientas, cuántos procesos se han automatizado. Las métricas de gobernanza, de inventario de accesos, de evaluación de riesgo en cada sistema desplegado, raramente tienen el mismo peso en esa conversación.\n\nCambiar eso no es un problema de cultura organizacional en abstracto. Es un problema de diseño de incentivos concretos. Mientras los líderes sean evaluados por velocidad de adopción y no por calidad de la arquitectura de control, el ochenta por ciento seguirá siendo ochenta por ciento, y los incidentes seguirán siendo el mecanismo principal de aprendizaje.\n\nLas organizaciones que están cruzando ese umbral están haciendo algo específico: están incorporando criterios de gobernanza y seguridad en la definición misma de qué significa que un sistema de IA está \"listo para operar\". No como un paso adicional al final del proceso, sino como condición de cierre de cada fase del despliegue. Están extendiendo la gestión de identidades para incluir agentes no humanos con la misma rigurosidad con la que gestionan accesos de empleados. Están monitoreando comportamiento de sus sistemas de IA en tiempo real y tienen protocolos definidos para responder a anomalías antes de que escalen.\n\nNada de eso es revolucionario. Lo que es inusual es la voluntad de hacerlo antes de que el incidente lo exija.\n\nExiste una diferencia significativa entre las organizaciones que aprenden de sus propios fallos y las que aprenden de los ajenos. El ochenta por ciento que aún no ha evaluado sus riesgos de seguridad todavía está eligiendo en cuál de esas dos categorías quiere estar.","article_map":{"title":"La IA empresarial lleva años desplegada y apenas uno de cada cinco ejecutivos sabe lo que tiene","entities":[{"name":"OpenText Cybersecurity","type":"company","role_in_article":"Publicó el estudio con el Instituto Ponemon que establece que solo 1 de cada 5 directivos tiene sistemas de IA desplegados con riesgos evaluados."},{"name":"Instituto Ponemon","type":"institution","role_in_article":"Co-autor del estudio de referencia sobre madurez y seguridad en IA empresarial."},{"name":"Sanjay Srivastava","type":"person","role_in_article":"Referente de Genpact citado como autoridad en marcos de madurez de IA empresarial; argumenta que la madurez pasa por los datos, no por los modelos."},{"name":"Jason Snyder","type":"person","role_in_article":"Analista citado que acuña el concepto de 'teatro de coordinación' para describir la adopción de IA sin rediseño real de procesos."},{"name":"Forbes Research AI Survey 2025","type":"institution","role_in_article":"Fuente de datos sobre percepción de riesgo de ciberseguridad en líderes empresariales."},{"name":"Genpact","type":"company","role_in_article":"Organización desde la que Srivastava ha desarrollado marcos de madurez de IA empresarial."},{"name":"IA generativa","type":"technology","role_in_article":"Tecnología central del artículo; más de la mitad de las grandes organizaciones ya la tiene operando en alguna parte de su negocio."},{"name":"Agentes autónomos de IA","type":"technology","role_in_article":"Caso específico de riesgo: toman decisiones en flujos de trabajo sin auditoría de seguridad ni gestión de identidades extendida."}],"tradeoffs":["Velocidad de adopción vs. solidez de la arquitectura de control: los incentivos actuales premian la primera, los riesgos penalizan la ausencia de la segunda.","Visibilidad de tracción ante el consejo vs. costo político de frenar o condicionar el despliegue.","Presupuesto inicial de adopción vs. inversión adicional en gobernanza no contemplada en el presupuesto original.","Aprender de incidentes propios (reactivo, costoso) vs. aprender de incidentes ajenos (proactivo, requiere voluntad directiva).","Métricas de actividad (departamentos que usan IA, procesos automatizados) vs. métricas de impacto operativo y calidad de gobernanza."],"key_claims":[{"claim":"Solo 1 de cada 5 directivos puede afirmar que sus sistemas de IA están completamente desplegados con riesgos de seguridad evaluados.","confidence":"high","support_type":"reported_fact"},{"claim":"Una mayoría de organizaciones reporta que la IA ha vuelto más complejo, no más simple, el cumplimiento de sus requisitos de privacidad y seguridad.","confidence":"high","support_type":"reported_fact"},{"claim":"El 62% de líderes empresariales reconoce que la IA complica el mantenimiento de sus defensas de ciberseguridad.","confidence":"high","support_type":"reported_fact"},{"claim":"El 63% de líderes afirma que las amenazas potenciadas por IA pueden volver obsoletas sus defensas actuales en meses; un año antes ese porcentaje era 29%.","confidence":"high","support_type":"reported_fact"},{"claim":"La brecha de madurez en IA no es técnica sino de prioridades y estructura de incentivos directivos.","confidence":"medium","support_type":"inference"},{"claim":"Los incidentes son el principal mecanismo de aprendizaje organizacional en materia de gobernanza de IA para el 80% de las organizaciones.","confidence":"medium","support_type":"inference"},{"claim":"La conversación entre CEO, CISO, CFO y equipo legal sobre condiciones de despliegue no ocurre a tiempo porque tiene costo político interno.","confidence":"interpretive","support_type":"editorial_judgment"},{"claim":"Las organizaciones que cruzan el umbral de madurez lo hacen porque alguien tuvo esa conversación antes de que el incidente la forzara.","confidence":"interpretive","support_type":"editorial_judgment"}],"main_thesis":"La baja madurez de la IA empresarial no es un problema de acceso a tecnología ni de capacidad técnica, sino de estructura de incentivos: los líderes son evaluados por velocidad de adopción, no por calidad de gobernanza, lo que convierte los incidentes en el principal mecanismo de aprendizaje organizacional.","core_question":"¿Por qué la mayoría de las organizaciones adopta IA sin construir la arquitectura de control necesaria para sostenerla con responsabilidad?","core_tensions":["Presión de mercado por adopción rápida vs. necesidad de gobernanza sólida antes del despliegue.","Incentivos directivos alineados con velocidad vs. riesgos que crecen más rápido que la capacidad de respuesta.","Conocimiento técnico disponible sobre lo que hace falta vs. voluntad política de actuar antes del incidente.","Métricas de éxito orientadas a actividad vs. métricas de madurez orientadas a control y responsabilidad.","Agentes autónomos que operan en flujos de trabajo reales vs. ausencia de inventario, permisos definidos y trazabilidad."],"open_questions":["¿Qué tipo de incidente o regulación tiene la magnitud suficiente para forzar la conversación que las organizaciones evitan?","¿Cómo se diseñan métricas de gobernanza que tengan el mismo peso ante el consejo de administración que las métricas de adopción?","¿Qué rol deben jugar los reguladores para cambiar la estructura de incentivos que premia la velocidad sobre la calidad de control?","¿Cómo se extiende la gestión de identidades y accesos a agentes no humanos en organizaciones con arquitecturas de datos fragmentadas?","¿Cuál es el costo real, medible, de pertenecer al 80% que adopta sin evaluar riesgos, antes de que ocurra el incidente?","¿Qué diferencia organizacional concreta tienen el 20% de organizaciones con madurez real respecto al 80% restante?"],"training_value":{"recommended_for":["CISOs que necesitan argumentar inversión en gobernanza de IA ante el C-Level.","CEOs y directores de transformación digital que quieren entender por qué sus métricas de adopción no se traducen en impacto.","Consultores de estrategia que asesoran a organizaciones en madurez de IA.","Consejos de administración que supervisan programas de adopción de IA.","Equipos de cumplimiento normativo y legal que trabajan en marcos de uso responsable de IA.","Inversores que evalúan el riesgo operativo de organizaciones con alta exposición a IA generativa."],"when_this_article_is_useful":["Al evaluar el nivel de madurez de IA de una organización antes de recomendar nuevas inversiones en adopción.","Al diseñar un marco de gobernanza de IA que deba ser aprobado por el C-Level.","Al preparar una presentación al consejo de administración sobre riesgos de seguridad asociados a sistemas de IA ya desplegados.","Al diagnosticar por qué una transformación digital con IA no está generando el impacto esperado a pesar de métricas de adopción positivas.","Al definir criterios de 'listo para operar' para sistemas de IA en una organización.","Al analizar la exposición de una organización a amenazas de ciberseguridad potenciadas por IA."],"what_a_business_agent_can_learn":["Cómo identificar la diferencia entre adopción de IA con madurez y despliegue de capacidad sin control.","Qué preguntas hacer para diagnosticar el nivel real de gobernanza de IA en una organización: inventario de sistemas, gestión de identidades de agentes, protocolos de monitoreo.","Cómo articular el argumento para forzar la conversación entre CEO, CISO, CFO y equipo legal antes del despliegue.","Qué métricas de gobernanza deben complementar las métricas de adopción en reportes al consejo de administración.","Cómo reconocer el patrón de 'teatro de coordinación' en una organización y diferenciarlo de madurez real.","Por qué la estructura de incentivos directivos es la causa raíz del problema de madurez, no la falta de herramientas o presupuesto."]},"argument_outline":[{"label":"1. El dato de partida","point":"Solo 1 de cada 5 directivos puede afirmar que sus sistemas de IA están completamente desplegados con riesgos de seguridad evaluados (OpenText Cybersecurity / Instituto Ponemon).","why_it_matters":"El 80% restante ha avanzado en adopción sin resolver preguntas básicas de control, acceso y responsabilidad."},{"label":"2. La narrativa que oculta el problema","point":"El C-Level mide el progreso en número de pilotos, herramientas desplegadas y departamentos que 'ya usan IA', no en calidad de la arquitectura de control.","why_it_matters":"Esta métrica de actividad permite mostrar tracción sin resolver los problemas estructurales subyacentes, lo que el analista Jason Snyder llama 'teatro de coordinación'."},{"label":"3. La brecha no es técnica","point":"Sanjay Srivastava (Genpact) argumenta que la madurez en IA pasa por la arquitectura de datos y la gobernanza embedida en operaciones, no por los modelos ni el presupuesto de innovación.","why_it_matters":"Cuando una organización salta ese paso, despliega capacidad sin control, no adopta IA con madurez."},{"label":"4. La seguridad que llega tarde","point":"El 62% de líderes reconoce que la IA complica sus defensas de ciberseguridad; el 63% teme que amenazas potenciadas por IA vuelvan obsoletas sus defensas en meses (Forbes Research AI Survey 2025). Un año antes ese segundo porcentaje era 29%.","why_it_matters":"Las organizaciones están aumentando su exposición a amenazas habilitadas por IA precisamente cuando su capacidad de respuesta crece más lento que el despliegue."},{"label":"5. La conversación que no ocurre","point":"Existe una conversación implícita entre CEO, CISO, CFO y equipo legal que nadie tiene de forma explícita porque tiene costo político interno: frenar o condicionar el despliegue cuando el mercado presiona en dirección contraria.","why_it_matters":"En ausencia de un incidente que fuerce esa conversación, la inercia institucional se inclina siempre hacia el avance."},{"label":"6. El cambio de secuencia como solución","point":"La solución no es reducir la velocidad de adopción sino cambiar la secuencia: seguridad y gobernanza deben estar embedidas en el ciclo de vida completo del sistema, no agregadas como auditoría posterior.","why_it_matters":"Esto requiere inventario real de sistemas, extensión de gestión de identidades a agentes no humanos y monitoreo continuo con protocolos predefinidos."}],"one_line_summary":"El 80% de las grandes organizaciones ha desplegado IA sin evaluar sus riesgos de seguridad, revelando una brecha de gobernanza que no es técnica sino de incentivos directivos.","related_articles":[{"reason":"Aborda directamente la paradoja de inversión en IA sin retorno, argumentando que el resultado lo decide el 7% no tecnológico del presupuesto, complementando el análisis de brechas de gobernanza y prioridades directivas.","article_id":14320},{"reason":"Trata específicamente la seguridad en la cadena de suministro de IA y los supuestos erróneos sobre seguridad heredada de proveedores, tema directamente relacionado con la gobernanza de sistemas de IA desplegados.","article_id":14280},{"reason":"Analiza el patrón de automatizar sin rediseñar procesos, que es exactamente el 'teatro de coordinación' descrito en este artículo: adopción tecnológica sin transformación real de la arquitectura operativa.","article_id":14258}],"business_patterns":["Adopción tecnológica sin arquitectura: despliegue de capacidad sin construir la infraestructura de control que la sostenga.","Teatro de coordinación: comités, dashboards y presentaciones de adopción que coexisten con flujos de trabajo sin rediseñar y gobernanza sin definir.","Seguridad como capa posterior: tratar la gobernanza y seguridad como auditoría post-despliegue en lugar de condición de diseño.","Inercia institucional hacia el avance: en ausencia de incidente, la presión de mercado y los incentivos directivos se alinean siempre con la velocidad.","Conversación implícita no explicitada: los actores clave (CEO, CISO, CFO, legal) conocen el problema pero no tienen la conversación porque tiene costo político.","Incidente como mecanismo de aprendizaje: las organizaciones sin madurez aprenden de sus propios fallos en lugar de anticiparlos."],"business_decisions":["Definir si la gobernanza y seguridad de IA se tratan como condición de diseño o como auditoría posterior al despliegue.","Establecer un inventario real de qué sistemas de IA operan en el entorno y qué datos pueden acceder.","Extender la gestión de identidades y accesos para incluir agentes no humanos con roles, permisos y trazabilidad definidos.","Implementar monitoreo continuo de comportamiento de sistemas de IA con protocolos de respuesta predefinidos.","Rediseñar las métricas que se reportan al consejo de administración para incluir criterios de gobernanza junto a métricas de adopción.","Decidir si incorporar criterios de seguridad como condición de cierre de cada fase del despliegue, no como paso adicional al final.","Forzar la conversación explícita entre CEO, CISO, CFO y equipo legal antes del despliegue, no después del incidente."]}}