
Cuando las organizaciones comenzaron a formalizar sus políticas de IA, el problema que buscaban resolver era estrecho: evitar que los empleados compartieran datos sensibles con un modelo público. Un riesgo claro y manejable, con una respuesta también clara y manejable. Lo que esos marcos no anticiparon fue cuán rápido evolucionaría la IA y hasta qué punto las salvaguardas organizacionales quedarían por detrás.
La mayoría de las empresas siguen operando con marcos de gobernanza diseñados para aquel momento inicial, aplicados a una tecnología que ya no se parece a la de entonces. En la actualidad, las organizaciones utilizan agentes que consultan bases de datos, actualizan registros y desencadenan flujos de trabajo en sistemas conectados, a una velocidad para la que ningún ciclo de aprobación estaba preparado. Estos agentes pueden estar gobernados, pero las políticas vagas no bastan. La gobernanza debe ser lo suficientemente específica como para traducirse en restricciones a nivel de sistema: qué sistemas puede acceder el agente y bajo qué condiciones.
Una gobernanza que no puede seguir el ritmo de la tecnología que cubre no está gobernando nada. Es simplemente documentación.
Cuatro preguntas para auditar tu marco de gobernanza de IA
1) ¿Puede tu equipo descubrir ahora mismo qué puede acceder la IA en nombre de la empresa?
Cuando se despliega una herramienta o un agente de IA en el trabajo, esa herramienta suele estar conectada a sistemas reales (correo, CRM, bases de datos y calendarios) en nombre de la persona que la usa. Sin un marco de gobernanza que describa claramente esas conexiones o lo que la herramienta está autorizada a hacer dentro de ellas, la organización no tiene una forma fiable de evaluar qué está expuesto. Construye y mantiene un inventario de permisos: un registro vivo de qué herramientas de IA están aprobadas, a qué sistemas pueden conectarse cada una, qué acciones están autorizadas y quién es el propietario de cada integración. Si tu organización utiliza una plataforma de gobernanza de IA, gran parte de esto puede gestionarse allí en lugar de hacerlo manualmente. No necesita ser excesivamente sofisticado desde el inicio, pero sí debe estar actualizable y ser fácilmente localizable.
2) Si un agente de IA toma una acción incorrecta, ¿cuán rápido puedes revocarla?
Los agentes pueden realizar acciones o secuencias de acciones en sistemas conectados. Cuando algo sale mal, la posibilidad de detenerlo depende de cómo se concibieron los accesos desde el principio. Si las credenciales están dispersas en sesiones, scripts y configuraciones de herramientas, revocar el acceso a un sistema implica rastrear cada lugar donde esa credencial fue usada. Centralizar las credenciales de los agentes en un sistema de autenticación permite que cada agente opere bajo una identidad definida con permisos scopeados. Así, eliminar el acceso se puede hacer en una sola acción con una trazabilidad clara. Estándares como el Modelo de Protocolo Contextual (MCP) facilitan que los agentes accedan a sistemas externos a través de OAuth, sin credenciales incrustadas en prompts o scripts. A la hora de centralizar el acceso de agentes, es útil entender lo que es posible cuando la capa de conexión ya está diseñada con gobernanza.
3) ¿Tu política de gobernanza describe lo que está permitido o sólo lo que está prohibido?
Una política basada en prohibiciones dice lo que no se puede hacer, pero no indica qué sí se puede hacer. Para las personas, eso genera ambigüedad; para los agentes, el problema es más concreto: si a un agente se le da una lista de prohibiciones y no una definición de usos permitidos, no tiene un límite claro de lo que entra o sale de su alcance. La solución es definir casos de uso de forma afirmativa: herramientas aprobadas, conexiones permitidas y acciones autorizadas. Eso ofrece a empleados y a los agentes un marco claro para operar y convierte el camino gobernado en la ruta por defecto.
4) ¿Tu marco de gobernanza especifica qué pueden acceder y actuar tus agentes de IA, a nivel de sistema?
Un marco que aborda la IA en términos generales (por ejemplo, uso responsable y salidas aceptables) ofrece a las personas suficientebase para decidir cómo usarla. Los agentes requieren algo más específico: al desplegar un agente, éste opera según las instrucciones y el contexto que se le han dado, y según los sistemas a los que tiene acceso. Si tu marco de gobernanza no es lo suficientemente preciso para integrarse en ese contexto, no está gobernando al agente. Una gobernanza que realmente cubre a los agentes define el acceso a nivel de sistema: qué sistemas, qué acciones y bajo qué condiciones. En la práctica, esto se traduce en aprovisionar el acceso de los agentes mediante un sistema de identidad y gestión de accesos, asignar a cada agente un rol definido con permisos acotados y registrar cada acción que realiza en relación con esos permisos.
Construir para lo que viene, no sólo para lo que está ahora
Las capacidades de IA se mueven tan rápido que algunas de las verdades de hoy sobre cómo operan los agentes pueden verse diferentes en un año. Los marcos de gobernanza que están vigentes hoy deberán revisarse. Hacer bien los fundamentos ahora importa precisamente porque el panorama sigue cambiando. Eso implica tratar la gobernanza como una práctica operativa continua: revisar definiciones de acceso cuando se despliegan nuevas herramientas, auditar permisos cuando se amplían las capacidades de los agentes y actualizar los marcos de uso permitido cuando la tecnología cambia de alcance. La cadencia importa tanto como el contenido.
La idea central es simple: la gobernanza que no puede seguir el ritmo de la tecnología que cubre no está gobernando nada. Construir una gobernanza diseñada para evolucionar es el trabajo.
from Latest from TechRadar https://ift.tt/VFpkcDn
via IFTTT IA