IA Book

06 · Gobernanza y seguridad

Políticas, controles y estructura para que tu empresa use IA sin filtrar datos, sin violar regulaciones y sin depender de la buena voluntad individual.

Gobernanza · 06

El 77% de los empleados que usan ChatGPT o Claude en el trabajo han filtrado datos sensibles de su empresa al menos una vez. No por malicia. Por costumbre: copian un fragmento de código, pegan un correo de un cliente, suben un reporte financiero para que la IA lo resuma. En la mayoría de los casos, ni siquiera saben que eso es un problema.

Mientras tanto, solo el 37% de las empresas tiene una política que le diga a su equipo qué puede y qué no puede hacer con herramientas de IA. El resto opera en modo esperanza: confía en que cada persona tome buenas decisiones sin haberle dado criterios claros.

Este módulo cierra el playbook con lo que muchas empresas dejan para después: gobernanza, seguridad y políticas de uso. No es un documento legal. Es una guía práctica para tomar decisiones antes de que las tome un incidente.

El costo de no actuar

Las empresas con uso descontrolado de IA pagaron en promedio $670,000 USD adicionales por cada brecha de datos en 2025, comparado con empresas que tenían controles básicos. Una de cada cinco ya tuvo un incidente de seguridad atribuible a shadow AI.

No es un riesgo teórico. Samsung prohibió ChatGPT en 2023 después de que tres ingenieros filtraran código fuente propietario y notas de reuniones internas. En diciembre de 2025, una extensión de Chrome con 6 millones de instalaciones capturó en silencio las conversaciones de ChatGPT y Claude de sus usuarios y las vendió a un data broker.

Shadow AI no se resuelve prohibiendo

Bloquear herramientas de IA no elimina el problema. Lo esconde. Tu equipo va a encontrar la forma de usar IA, con o sin tu permiso. La pregunta no es si la usan, sino si la usan con reglas claras o sin ninguna.

Los cinco pasos

  1. Inventario y riesgo. Descubrir qué herramientas de IA se usan hoy, clasificar el riesgo y priorizar lo urgente.
  2. Política de uso. Escribir reglas claras que el equipo pueda seguir sin necesitar un abogado para interpretarlas.
  3. Datos y límites. Definir qué información puede entrar a un LLM y cuál no, con criterios prácticos de clasificación.
  4. Comité de gobernanza. Quién toma decisiones sobre IA, cómo se estructura el comité y qué responsabilidades tiene.
  5. Regulación y cumplimiento. EU AI Act, regulaciones en Latinoamérica y los frameworks que te ayudan a cumplir sin inventar todo desde cero.

Qué necesitas para empezar

  • Voluntad de liderazgo. Si el CEO no respalda la gobernanza de IA, se convierte en un documento que nadie lee. El tono se define arriba.
  • Visibilidad real. No puedes gobernar lo que no ves. El primer paso siempre es saber qué se usa hoy.
  • Pragmatismo. Una política perfecta que nadie sigue es peor que una política simple que todos entienden.

Este módulo complementa el módulo 01

Si ya trabajaste Adopción de IA, muchos de los lineamientos de ese módulo se formalizan aquí. Este módulo convierte las "reglas de adopción" en una estructura de gobernanza sostenible.

Trampas de medición

Los errores que comete el 95% de las empresas al medir ROI de IA. La paradoja de productividad, las métricas vanidosas y los sesgos de atribución.

Inventario y clasificación de riesgo

Descubrir qué herramientas de IA usa tu equipo hoy, evaluar el riesgo de cada una y priorizar las acciones urgentes.

En esta página

Gobernanza · 06El costo de no actuarLos cinco pasosQué necesitas para empezar