IA Book
06 · Gobernanza y seguridad

Inventario y clasificación de riesgo

Descubrir qué herramientas de IA usa tu equipo hoy, evaluar el riesgo de cada una y priorizar las acciones urgentes.

Paso 1 de 5

No puedes gobernar lo que no ves. Antes de escribir una política o armar un comité, necesitas un mapa honesto de lo que ya está pasando. Qué herramientas de IA usa tu equipo, quién las usa, para qué, y qué datos entran en ellas.

Esto se llama inventario de IA. Y si no lo tienes, estás tomando decisiones a ciegas.

Qué es shadow AI y por qué importa

Shadow AI es el uso de herramientas de inteligencia artificial sin aprobación ni supervisión del área de tecnología o seguridad. No es un acto de rebeldía. Es lo que pasa cuando la empresa no ofrece alternativas aprobadas y el equipo necesita resolver su trabajo.

Los números son claros:

  • El 80% de los empleados usan herramientas de IA no aprobadas en su trabajo.
  • El 98% de las organizaciones tienen al menos un empleado usando aplicaciones de IA sin autorización.
  • El 86% de las empresas no tienen visibilidad sobre cómo fluyen los datos hacia y desde herramientas de IA.

El problema no es que la gente use IA. El problema es que la use sin que nadie sepa qué datos están saliendo de la empresa.

Cómo hacer el inventario

El inventario tiene tres capas. Cada una revela cosas que la anterior no puede ver.

Capa 1: Herramientas visibles

Revisa los sistemas que ya controlas:

  • Licencias y suscripciones. Busca en tu plataforma de gestión de SaaS o en las tarjetas corporativas pagos a OpenAI, Anthropic, Midjourney, Jasper, Copy.ai, Notion AI, GitHub Copilot y similares.
  • SSO y OAuth. Revisa qué aplicaciones de IA tienen permisos conectados al directorio corporativo.
  • Extensiones de navegador. Las extensiones de Chrome con acceso a IA son un punto ciego frecuente. Audita las instaladas en equipos corporativos.

Capa 2: Herramientas invisibles

Lo que no aparece en las licencias corporativas:

  • Cuentas personales. Muchos empleados usan ChatGPT o Claude con su correo personal. No aparecen en ningún dashboard corporativo.
  • IA embebida. Herramientas que ya usan, como Notion, Canva, Grammarly o Google Workspace, ahora incluyen funciones de IA activadas por defecto. Tu equipo puede estar usando IA sin saberlo.
  • APIs y scripts. Equipos técnicos pueden estar llamando a APIs de LLMs desde scripts internos sin pasar por ningún proceso de aprobación.

Capa 3: Flujo de datos

La pregunta más importante no es "qué herramientas usan" sino "qué datos entran en esas herramientas":

  • Encuesta directa. Pregunta a cada equipo: qué herramientas de IA usas, para qué tareas, qué tipo de información pegas o subes. Sin juicio, sin consecuencias. Si la gente siente que va a haber castigo, no va a responder con honestidad.
  • Monitoreo de red. Si tu infraestructura lo permite, revisa el tráfico hacia dominios de IA conocidos (api.openai.com, api.anthropic.com, etc.).

La encuesta es más útil que el monitoreo

Las herramientas de detección ayudan, pero una encuesta bien diseñada te da contexto que el monitoreo no puede: por qué la usan, qué problema resuelve, qué alternativa aprobada les falta. Esa información es la que necesitas para tomar buenas decisiones.

Clasificar el riesgo

Una vez que tienes el inventario, cada herramienta o uso necesita una clasificación de riesgo. No todas las herramientas de IA representan el mismo peligro. Un diseñador que usa Midjourney para explorar ideas visuales no es lo mismo que un analista financiero que pega estados de resultados en ChatGPT.

Nivel de riesgoCriterioEjemplos
AltoDatos confidenciales, regulados o de clientes entran en la herramienta. No hay contrato de procesamiento de datos.Pegar contratos de clientes en ChatGPT. Subir reportes financieros a una IA sin acuerdo enterprise.
MedioDatos internos no regulados. La herramienta tiene contrato enterprise pero no está configurada correctamente.Usar Copilot con repositorios internos sin revisar la configuración de retención de datos.
BajoNo entran datos sensibles. La herramienta se usa para tareas genéricas con información pública.Generar borradores de copy con información que ya es pública. Explorar ideas visuales sin material propietario.

Priorizar acciones

Con el inventario y la clasificación, prioriza así:

  1. Riesgo alto, sin contrato. Acción inmediata. Detener el uso o migrar a una versión enterprise con acuerdo de procesamiento de datos.
  2. Riesgo alto, con contrato. Revisar configuración, permisos y políticas de retención. Verificar que el contrato cubra el uso actual.
  3. Riesgo medio. Documentar, establecer guías de uso y revisar en el próximo ciclo.
  4. Riesgo bajo. Registrar en el inventario. Revisar periódicamente.

No bloquees sin ofrecer alternativa

Si descubres que un equipo usa una herramienta de riesgo alto, no la bloquees sin darles una opción aprobada que resuelva el mismo problema. Si lo haces, van a encontrar otra herramienta que no conoces y vuelves al punto cero.

Señales de que este paso está funcionando

  • Tienes un documento vivo con todas las herramientas de IA en uso, actualizado al menos cada trimestre.
  • Cada herramienta tiene un dueño asignado y una clasificación de riesgo.
  • Los usos de riesgo alto tienen un plan de acción con fecha.
  • El equipo sabe que puede reportar herramientas nuevas sin consecuencias negativas.

06 · Gobernanza y seguridad

Políticas, controles y estructura para que tu empresa use IA sin filtrar datos, sin violar regulaciones y sin depender de la buena voluntad individual.

Política de uso de IA

Cómo escribir una política de uso de IA que tu equipo entienda, siga y no necesite un abogado para interpretar.

En esta página

Paso 1 de 5Qué es shadow AI y por qué importaCómo hacer el inventarioCapa 1: Herramientas visiblesCapa 2: Herramientas invisiblesCapa 3: Flujo de datosClasificar el riesgoPriorizar accionesSeñales de que este paso está funcionando