Cuando las empresas comenzaron a formalizar políticas de IA, el problema que estaban resolviendo era limitado: evitar que los empleados compartieran datos confidenciales con un modelo público. Un riesgo claro y manejable con una respuesta clara y manejable.
Director de personal y transformación de IA en Zapier.
Lo que estas políticas no han considerado es qué tan rápido evolucionará la IA o qué tan atrás quedarán las defensas organizacionales.
La mayoría de las empresas todavía utilizan marcos de gobernanza escritos para ese momento crucial, implementados en una tecnología que no se parece en nada a la de entonces.
¿Qué sucede cuando una gobernanza obsoleta se encuentra con agentes de IA?
Los marcos de gobernanza que utilizan la mayoría de las organizaciones fueron diseñados para gestionar la exposición, no para permitir la acción, y ese diseño lo demuestra.
Las organizaciones ejecutan agentes que buscan bases de datos de forma autónoma, actualizan registros y activan flujos de trabajo posteriores en sistemas conectados, a una velocidad que ningún ciclo de aprobación puede igualar.
Estos agentes pueden ser gobernados, pero políticas vagas no serán suficientes. La administración debe ser lo suficientemente específica como para traducirse en restricciones reales a nivel del sistema, como a qué sistemas pueden acceder los agentes y bajo qué condiciones.
Un régimen que no puede seguir el ritmo de la tecnología que cubre no controla nada. Es solo documentación.
Cuatro preguntas para auditar su marco de gobernanza de la IA
1. ¿Pueden sus empleados descubrir de inmediato a qué puede acceder la IA?
Cuando alguien implementa una herramienta o agente de IA en el lugar de trabajo, esa herramienta suele estar conectada a sistemas reales (correo electrónico, CRM, bases de datos y calendarios) en nombre de la persona que la utiliza. Sin un marco de gobernanza que describa claramente cómo son esas conexiones o qué puede hacer la herramienta dentro de ellas, su organización no tiene una manera confiable de evaluar lo que realmente está expuesto.
Para aclarar esto, cree y mantenga un inventario de permisos: un registro vivo de qué herramientas de IA están permitidas, a qué sistemas se puede conectar cada herramienta, qué acciones puede realizar y qué equipo o persona posee cada integración. Si su organización utiliza una plataforma de gobierno de IA, gran parte de esto se puede rastrear y administrar allí sin mantenimiento manual.
De cualquier manera, no hay necesidad de ser demasiado sofisticado desde el principio. Pero debe estar presente y ser detectable.
2. Si un agente de IA hace un movimiento en falso, ¿con qué rapidez puedes deshacerlo?
Los agentes realizan acciones a través de sistemas conectados, a veces una secuencia de ellas. Cuando algo sale mal, la capacidad de desactivarlo rápidamente depende completamente de cómo se configuró el acceso en primer lugar. Si las credenciales están dispersas entre sesiones, scripts y configuraciones de herramientas individuales, revocar el acceso a un sistema significa rastrear cada lugar donde se utilizan las credenciales.
Esto cambia al agregar las credenciales de los agentes bajo un sistema de autenticación centralizado. Cada agente opera bajo una identidad definida con permisos claros y de alcance, por lo que eliminar el acceso es una acción única con un registro de auditoría claro y no requiere limpieza.
Estándares como el Model Context Protocol (MCP) están diseñados específicamente para esto. MCP puede brindar a los agentes un canal estructurado y auditable para acceder a sistemas externos a través de OAuth en lugar de credenciales integradas en solicitudes o scripts. Para las organizaciones que evalúan cómo centralizar el acceso de los agentes, vale la pena comprender qué es posible cuando la capa de conectividad en sí se construye teniendo en cuenta la gobernanza.
3. ¿Su política de gobernanza describe lo que está permitido o sólo lo que está prohibido?
Una política basada en la prohibición les dice a los empleados lo que no pueden hacer, pero no les dice lo que sí pueden hacer. Para los humanos, esto deja un área gris que tienen que interpretar. Para los agentes, el problema es más difícil: a un agente se le da una lista de prohibiciones y no hay límites confiables para lo que cae dentro o fuera del alcance de una definición de uso permitido.
La solución es definir positivamente los casos de uso: equipos permitidos, conexiones de sistema permitidas y acciones permitidas. Establece un marco claro para que trabajen tanto los empleados como los agentes, y hace que la ruta controlada sea la predeterminada.
4. ¿Su marco de gobernanza especifica a qué pueden acceder sus agentes de IA y sobre qué pueden actuar a nivel del sistema?
Un marco que aborde la IA en términos generales (por ejemplo, uso responsable y resultados aceptables) brinda a las personas lo suficiente para tomar decisiones informadas sobre cómo usar la IA.
Los agentes necesitan algo más específico. Cuando implementas un agente, actúa basándose en dos cosas: las instrucciones y el contexto que se le proporciona, y los sistemas a los que se le da acceso. Si su marco de gobernanza no es lo suficientemente específico como para incluir ese contexto, entonces no es gestión del agente. La gobernanza que realmente cubre a los agentes define el acceso a nivel del sistema: qué sistemas, qué actividades y bajo qué circunstancias.
En la práctica, esto parece organizar el acceso de los agentes a través de un sistema de gestión de identidades y accesos, asignando a cada agente una función definida con permisos específicos y registrando cada acción realizada según esos permisos.
Construya para lo que viene, no para lo que es ahora
Las capacidades de IA se están moviendo lo suficientemente rápido como para que lo que es cierto hoy sobre cómo trabajan los agentes se vea diferente dentro de un año. Es necesario revisar los marcos de gobernanza existentes.
Hoy en día es importante entender bien los conceptos básicos porque el panorama está cambiando. Esto significa tratar la gobernanza como una práctica operativa continua: revisar las definiciones de acceso cuando se implementan nuevas herramientas, monitorear los permisos cuando las capacidades de los agentes se expanden y actualizar los marcos de uso autorizado cuando cambia el alcance de la tecnología.
La cadencia es tan importante como el contenido.
Independientemente de cómo se vea la IA el próximo año, el principio que se mantiene es el siguiente: no regular nada para cubrir la tecnología que no puede seguir el ritmo. Construir gobernanza es el trabajo que está diseñado para desarrollarse.
Hemos presentado los mejores chatbots de IA para empresas.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: