Agent-native article available: La IA empresarial lleva años desplegada y apenas uno de cada cinco ejecutivos sabe lo que tieneAgent-native article JSON available: La IA empresarial lleva años desplegada y apenas uno de cada cinco ejecutivos sabe lo que tiene
La IA empresarial lleva años desplegada y apenas uno de cada cinco ejecutivos sabe lo que tiene

La IA empresarial lleva años desplegada y apenas uno de cada cinco ejecutivos sabe lo que tiene

Más de la mitad de las grandes organizaciones del mundo ya tiene inteligencia artificial generativa operando en alguna parte de su negocio. Eso es un hecho documentado. Lo que no se documenta con la misma facilidad es lo que ocurre debajo de esa estadística: sistemas que procesan datos sensibles sin que nadie haya definido quién los supervisa, agentes autónomos que toman decisiones dentro de flujos de trabajo que ningún equipo de seguridad ha auditado, y capas de gobernanza que llegaron tarde o directamente no llegaron.

Simón ArceSimón Arce28 de junio de 20269 min
Compartir

La IA empresarial lleva años desplegada y apenas uno de cada cinco ejecutivos sabe lo que tiene

Más de la mitad de las grandes organizaciones del mundo ya tiene inteligencia artificial generativa operando en alguna parte de su negocio. Eso es un hecho documentado. Lo que no se documenta con la misma facilidad es lo que ocurre debajo de esa estadística: sistemas que procesan datos sensibles sin que nadie haya definido quién los supervisa, agentes autónomos que toman decisiones dentro de flujos de trabajo que ningún equipo de seguridad ha auditado, y capas de gobernanza que llegaron tarde o directamente no llegaron.

Un estudio publicado por OpenText Cybersecurity en colaboración con el Instituto Ponemon arroja una cifra que merece atención sostenida: solo uno de cada cinco directivos puede afirmar que sus sistemas de IA están completamente desplegados con los riesgos de seguridad evaluados. No es una mayoría incómoda. Es un ochenta por ciento de las organizaciones que ha avanzado en adopción sin resolver las preguntas más básicas sobre control, acceso y responsabilidad.

Este es el problema de madurez del que nadie quiere hablar con honestidad en la sala de directivos, porque nombrarlo implica admitir que la presión por adoptar fue más rápida que la capacidad de gobernar.

Adopción sin arquitectura es otra forma de improvisación

La narrativa predominante en torno a la inteligencia artificial empresarial sigue funcionando como si el problema central fuera el acceso a la tecnología. Como si bastara con implementar el modelo adecuado, conectarlo a los sistemas correctos y esperar que los resultados lleguen. Esa narrativa tiene algo de cómodo para el C-Level: permite medir el progreso en número de pilotos, en herramientas desplegadas, en departamentos que "ya usan IA".

Lo que esa narrativa oculta es más costoso. Según los datos del mismo estudio, una mayoría de organizaciones reporta que la IA ha vuelto más complejo, no más simple, el cumplimiento de sus requisitos de privacidad y seguridad. Y aun así, una proporción significativamente menor ha establecido las políticas y controles necesarios para gestionar esos riesgos. La brecha no es técnica. Es de prioridades.

Sanjay Srivastava, quien desde Genpact ha construido uno de los marcos más precisos para pensar la madurez de la IA empresarial, lo formula sin ambigüedades: el camino hacia la madurez en inteligencia artificial pasa directamente por los datos. No por los modelos. No por el presupuesto de innovación. Por la arquitectura de datos, por la gobernanza embedida en las operaciones, por la claridad sobre quién es responsable de qué y bajo qué condiciones. Cuando una organización salta ese paso, no adopta IA con madurez: despliega capacidad sin control.

El problema no es únicamente técnico porque los sistemas de IA no operan en el vacío. Operan dentro de organizaciones donde los equipos más cercanos al negocio raramente hablan con los equipos de seguridad antes de que algo falle. Operan en entornos donde los agentes autónomos pueden interactuar con datos financieros, legales o de clientes sin que exista un inventario actualizado de qué tiene acceso a qué. Y operan bajo presión directiva que frecuentemente premia la velocidad de despliegue sobre la solidez de la arquitectura.

El analista Jason Snyder lo llama "teatro de coordinación": esa escena organizacional donde hay comités de IA, dashboards de adopción y presentaciones trimestrales que muestran tracción, mientras los flujos de trabajo reales permanecen sin rediseñar, los datos sin integrar y la gobernanza sin definir. El resultado es una adopción que se mide en métricas de actividad, no en impacto operativo o financiero. Y cuando llega la auditoría, o el incidente, la organización descubre que adoptó sin construir.

La seguridad que llega tarde ya no puede llegar a tiempo

Existe una dinámica específica que caracteriza a las organizaciones con baja madurez en IA: la seguridad y la gobernanza se tratan como capas que se agregan después del despliegue, no como condiciones de diseño. Es un patrón que los equipos de seguridad conocen bien, pero que el C-Level tiende a subestimar hasta que tiene costo directo.

Los datos del Forbes Research AI Survey 2025 cuantifican la magnitud del problema con precisión que debería preocupar a cualquier consejo de administración: el 62% de los líderes empresariales reconoce que la IA complica el mantenimiento de sus defensas de ciberseguridad, y el 63% afirma que las amenazas potenciadas por IA pueden volver obsoletas sus defensas actuales en cuestión de meses. Un año antes, ese segundo porcentaje era del 29%.

Eso no es una tendencia gradual. Es una aceleración brusca de la percepción de riesgo, que coincide con la aceleración del despliegue de IA en operaciones. Las organizaciones están metiendo más IA en sus sistemas precisamente cuando su exposición a amenazas habilitadas por IA crece a mayor velocidad que su capacidad de respuesta.

La solución que plantea este análisis no es reducir la velocidad de adopción, sino cambiar la secuencia de las decisiones. La seguridad y la gobernanza no pueden funcionar como auditorías posteriores al despliegue; deben estar embedidas en el ciclo de vida completo del sistema, desde el diseño del modelo hasta su integración con aplicaciones de negocio, pasando por el entrenamiento, el despliegue y el monitoreo continuo.

Eso implica, en términos concretos, varias cosas que las organizaciones con baja madurez frecuentemente posponen. Primero, un inventario real de qué sistemas de IA operan en el entorno y qué pueden acceder. Sin esa visibilidad, no existe gobernanza posible. Segundo, una extensión de la gestión de identidades y accesos para incluir agentes no humanos: cada agente de IA debe tener un rol definido, permisos delimitados y trazabilidad de sus acciones. Tercero, un modelo de monitoreo continuo que identifique comportamiento anómalo en tiempo real y que tenga protocolos de respuesta definidos antes de que ocurra el incidente, no después.

Ninguno de esos pasos es tecnológicamente sofisticado. Lo que requieren es algo más difícil: voluntad de ralentizar el despliegue lo suficiente como para construir la arquitectura que lo sostenga. Y esa voluntad escasea cuando los incentivos directivos están alineados con la velocidad de adopción, no con la calidad de la gobernanza.

Lo que el ochenta por ciento revela sobre cómo decidimos adoptar

La cifra del veinte por ciento de organizaciones con madurez real en IA no es solo un indicador de gestión tecnológica. Es un síntoma de algo más profundo en cómo las grandes organizaciones toman decisiones bajo presión de mercado.

Cuando el ochenta por ciento adopta sin haber evaluado sus riesgos de seguridad, no es porque carezcan de información sobre la necesidad de hacerlo. Los equipos de tecnología, seguridad y cumplimiento normalmente saben lo que hace falta. El problema está un nivel arriba: en la conversación que no ocurrió entre el impulso de adopción y las condiciones para sostenerla con responsabilidad.

En muchas organizaciones existe una conversación implícita que nadie tiene de manera explícita: la que debería ocurrir entre el CEO que quiere mostrar tracción en IA al consejo, el CISO que sabe que la arquitectura de seguridad no está lista, el CFO que tiene que aprobar una inversión adicional en gobernanza que no estaba en el presupuesto inicial, y el equipo legal que todavía no ha definido los límites de uso de datos sensibles por parte de agentes autónomos.

Esa conversación no ocurre a tiempo porque tiene costo político interno. Frenar o condicionar el despliegue de IA en un momento donde el mercado presiona en la dirección contraria requiere que alguien en el C-Level esté dispuesto a sostener esa posición frente a la junta, frente a los accionistas, frente al equipo comercial que quiere resultados. Y en ausencia de un incidente que fuerce esa conversación, la inercia institucional se inclina siempre hacia el avance.

El problema de madurez de la IA empresarial, entonces, no se resuelve solo con mejores herramientas de gobernanza o con más presupuesto para seguridad. Esos son instrumentos necesarios. Pero la condición previa es que alguien en la dirección esté dispuesto a nombrar lo que el sistema evita nombrar: que la velocidad del despliegue ha superado la capacidad de control, que eso tiene consecuencias reales y que corregirlo tiene costo a corto plazo.

Las organizaciones que logran cruzar ese umbral no lo hacen porque descubrieron una metodología más elegante. Lo hacen porque alguien tuvo esa conversación antes de que el incidente la forzara.

La madurez no es un estado, es una decisión que se repite

La investigación del Instituto Ponemon establece que alcanzar madurez en IA implica que los sistemas estén completamente desplegados con riesgos de seguridad evaluados. Esa conjunción es la que define el umbral. No el despliegue solo. No la evaluación sola. Las dos cosas simultáneas.

Lo que hace difícil ese umbral para la mayoría de las organizaciones no es la complejidad técnica del problema, sino la estructura de incentivos alrededor de la decisión. Los incentivos actuales premian el despliegue. Las métricas de éxito que se reportan a los consejos de administración son métricas de adopción: cuántos departamentos usan IA, cuánto tiempo ahorran las herramientas, cuántos procesos se han automatizado. Las métricas de gobernanza, de inventario de accesos, de evaluación de riesgo en cada sistema desplegado, raramente tienen el mismo peso en esa conversación.

Cambiar eso no es un problema de cultura organizacional en abstracto. Es un problema de diseño de incentivos concretos. Mientras los líderes sean evaluados por velocidad de adopción y no por calidad de la arquitectura de control, el ochenta por ciento seguirá siendo ochenta por ciento, y los incidentes seguirán siendo el mecanismo principal de aprendizaje.

Las organizaciones que están cruzando ese umbral están haciendo algo específico: están incorporando criterios de gobernanza y seguridad en la definición misma de qué significa que un sistema de IA está "listo para operar". No como un paso adicional al final del proceso, sino como condición de cierre de cada fase del despliegue. Están extendiendo la gestión de identidades para incluir agentes no humanos con la misma rigurosidad con la que gestionan accesos de empleados. Están monitoreando comportamiento de sus sistemas de IA en tiempo real y tienen protocolos definidos para responder a anomalías antes de que escalen.

Nada de eso es revolucionario. Lo que es inusual es la voluntad de hacerlo antes de que el incidente lo exija.

Existe una diferencia significativa entre las organizaciones que aprenden de sus propios fallos y las que aprenden de los ajenos. El ochenta por ciento que aún no ha evaluado sus riesgos de seguridad todavía está eligiendo en cuál de esas dos categorías quiere estar.

Compartir

También te puede interesar