Los problemas de adoptar IA rápido y sin control: ISACA apunta a la falta de gobernanza y protocolo en empresas europeas

La rápida adopción de la inteligencia artificial (IA) por parte de las empresas y organizaciones europeas está dejando al descubierto una falta de gobernanza y uso de protocolos ante esta tecnología, dado que, en un contexto de crisis, la mayoría desconocen con qué rapidez podrían detener un sistema de IA afectado, y muchas tampoco podrían explicar el fallo posteriormente.

Así lo ha dado a conocer la asociación profesional global de auditoría, seguridad y gobierno de TI ISACA, que ha avanzado algunos resultados de su nuevo estudio AI Pulse Poll 2026, en el marco de un encuentro con la prensa celebrado este lunes, aunque está previsto que el estudio se publique oficialmente al completo el 5 de mayo de este año.

Concretamente, ISACA ha querido adelantar algunas de las conclusiones obtenidas, que ponen en valor cómo, aunque la mayoría de las empresas están adoptando herramientas de IA en sus flujos de trabajo, actualmente son incapaces de gobernarla y, por tanto, se enfrentan a diversos problemas de seguridad y aprovechamiento de esta tecnología.

De esta forma lo ha manifestado durante el encuentro el experto de ISACA y consultor de ciberseguridad en Balusian, Pablo Ballarín, quien ha asegurado que la IA se adopta "demasiado deprisa, sin protocolos y con desconocimiento" por parte de las organizaciones y empresas.

"Esta integración a marchas forzadas de la IA" ocasiona el "desconocimiento de qué tipo de herramientas se están metiendo" en la empresa, ha valorado, apelando a la necesidad de apostar por la responsabilidad, ya que "no se trata de un problema tecnológico, sino un problema de control y gobierno".

Esto pone de relieve una "brecha significativa y creciente" entre la adopción de la IA y la preparación de las organizaciones para gestionar los riesgos que conlleva.

Según han detallado los profesionales encuestados, que han sido un total de 681 profesionales de confianza digital en Europa, casi tres quintas partes (59 por ciento) afirman no saber con qué rapidez podría su organización detener un sistema de IA en caso de identificar un incidente de seguridad.

De hecho, solo un 21 por ciento indicó que podría hacerlo en menos de media hora y, de entre ellos, solo un 5 por ciento podría detenerlo en alrededor de un minuto. Esto deja ver cómo un sistema de IA comprometido podría operar sin control durante más de 30 minutos en un amplio porcentaje de casos, lo que puede conllevar a diversos problemas de seguridad.

Según Ballarín, este panorama está relacionado con el desconocimiento de las empresas sobre las herramientas de IA que implementan en su flujo de trabajo, ya que lo hacen sin conocer cómo funcionan y cómo pueden impactar a nivel interno. "Si desconocemos cómo funcionan, desconocemos qué pueden conseguir y qué pueden ocasionar", ha señalado el experto.

ISACA ha apuntado igualmente que también afecta la ausencia de procedimientos claros de respuesta dentro de las organizaciones ante el uso de estas tecnologías, con implicaciones directas en la exposición regulatoria, el riesgo reputacional de la empresa y la continuidad de los procesos y servicios que estos sistemas soportan.

Estas dificultades para detener sistemas de IA en caso de un incidente de seguridad se intensifican aún más debido a "las importantes carencias en la capacidad de las organizaciones para comprender y explicar lo ocurrido cuando el sistema ha fallado", como ha subrayado ISACA.

Según reflejan los resultados del estudio, menos de la mitad de los encuestados (42 por ciento) confía en la capacidad de su organización para investigar y explicar un incidente grave de IA a la dirección.

En este marco, ISACA ha puesto de relieve la importancia de saber explicar qué ha ocurrido, teniendo en cuenta la llegada de regulaciones como el Reglamento de IA de la Unión Europea, que actualmente está en fase de implementación y que establece requisitos explícitos en materia de explicabilidad y responsabilidad.

Es decir, se trata de una legislación que no solo requiere la implementación de controles técnicos, sino también "estructuras de gobernanza, trazabilidad y profesionales con las competencias necesarias para interpretar y comunicar el comportamiento de los sistemas de IA".

Teniendo todo ello en cuenta, los resultados del estudio de ISACA reflejan que estas capacidades aún no están implementadas a gran escala dentro de las organizaciones. Solo un 11 por ciento de los encuestados se muestra completamente seguro de las capacidades de su empresa para investigar y explicar un incidente de IA.

Cabe destacar que el problema escala aún más debido a que no todas las organizaciones exigen a sus empleados informar de cuándo han utilizado herramientas de IA en sus trabajos. Tanto es así que, según los datos recopilados en el informe, en un tercio de las empresas (33 por ciento) los empleados no tienen que revelar si han utilizado la IA y en un 15 por ciento desconocen si tienen que hacerlo.

Solo el 17 por ciento de los encuestados asegura que su empresa exige informar sobre el uso de herramientas de IA. Como resultado, se generan importantes lagunas de visibilidad sobre dónde y cómo se está utilizando esta tecnología en la empresa, dificultando notablemente reconocer de dónde provienen los incidentes de seguridad.

Por tanto, Ballarín ha afirmado que, en términos de gobernanza, se debería contar con un inventario de todas las herramientas de IA que existen, cuáles utilizan los empleados y si se están ejecutando en un entorno controlado, es decir, conocer de dónde se ha obtenido la información y asegurar que no salga al exterior de la empresa.

Todas estas conclusiones del estudio de ISACA dejan ver que existe un problema más profundo a nivel estructural, dado que un 20 por ciento de los encuestados desconoce quién sería el último responsable en caso de que un sistema de IA causara daños, mientras que un 38 por ciento identifica al Consejo de Administración o a un directivo responsable en este área.

Según ha expresado Ballarín, es complejo definir una responsabilidad en estos ámbitos. Así, se ha referido a la tendencia regulatoria actual, que sitúa la responsabilidad en los niveles más altos de la organización, que son quienes toman las decisiones en última instancia y se encargan de las estrategias.

En cuanto a la supervisión por parte de directivos, el estudio deja ver "cierto optimismo", dado que el 40 por ciento de los encuestados afirman que las acciones generadas por IA en su organización son aprobadas por humanos antes de su ejecución.

Con todo ello, desde ISACA apuntan al riesgo de la IA como un problema que también tiene que verse como "un desafío de gobernanza transversal a toda la empresa", especialmente cuando la IA influye cada vez más en las decisiones y estas deben ser supervisadas con una "infraestructura de gobernanza más amplia que lo respalde".

"El hecho de que la IA sea capaz de predecir y de realizar acciones humanas tiene unos impactos que no tienen las TIC normales. La ciberseguridad junto con otros aspectos relacionados con los usos no esperados es lo que hay que controlar", ha sentenciado Ballarín.

"La brecha entre despliegue y gobernanza no se está cerrando, sino ampliando. Las organizaciones deben definir responsabilidades, desarrollar capacidades de respuesta ante incidentes y generar visibilidad sobre el uso de la IA mediante auditorías que fomenten una cultura de supervisión efectiva", ha manifestado al respecto el director de Estrategia Global de ISACA, Chris Dimitriadis.