La mayoría de las empresas que han adoptado la IA son incapaces de gobernarla
El avance del estudio AI Pulse 2026 de ISACA (acrónimo de Information Systems Audit and Control Association, Asociación de Auditoría y Control de Sistemas de Información en español), que se conocerá a comienzos del mes de mayo, manifiesta una brecha significativa y creciente entre la adopción de la IA y la preparación de las organizaciones para gestionar los riesgos que conlleva.
Tres son los principales problemas que concluye ISACA de este avance, y tienen que ver con el control de la IA, el entendimiento por qué ha ocurrido cuando falla, y la distinta evolución de la gobernanza con respecto a la tecnología.
En lo que al control respecta, basta con estos datos para comprender la magnitud de la cuestión:
· Casi tres quintas partes de los encuestados (59%) afirma no saber con qué rapidez podría su organización detener un sistema de IA en caso de incidente de seguridad.
· Sólo el 21% indicó que podría hacerlo en menos de media hora, lo que siguiere que, en la mayoría de las organizaciones, un sistema de IA comprometido o defectuoso podría seguiré operando sin control durante más de 30 minutos.
“Por eso, las empresas que empiezan a madurar en este ámbito están intentando recuperar el control, entendiendo qué herramientas se usan, para qué se usan y qué riesgos implican. Pero llegan tarde respecto a la velocidad de adopción. En definitiva, lo que muestra el estudio es una falta de control, una responsabilidad difusa y un desconocimiento generalizado, lo que apunta claramente a que no estamos ante un problema tecnológico, sino de gobernanza, y que, cuanto más avance la tecnología, menor será el margen de maniobra si no se corrige esta situación, ha reconocido Pablo Ballarín, experto de la asociación sobre supervisión, gobernanza y responsabilidad empresarial en el despliegue de la IA, en la presentación de este avance celebrada esta mañana en Madrid.
Si nos centramos en el entendimiento, menos de la mitad de los encuestados (42%) confía en la capacidad de su organización para investigar y explicar un incidente grave de IA a la dirección o a los reguladores, y sólo un 11% se muestra completamente seguro.
Desde ISACA destacan la relevancia de este aspecto, más aún conforma la regulación comience a entrar en vigor; y sabiendo que el Reglamento de IA de la UE, todavía en fase de experimentación, establece requisitos específicos en materia de explicabilidad y responsabilidad.
Finalmente, en cuanto a la gobernanza, un tercio de las organizaciones (33%) no exige a sus empleados que revelen cuándo han utilizado IA en sus trabajos, lo que genera importantes lagunas de visibilidad sobre dónde y cómo se está utilizando esta tecnología; y un 20% de los encuestados no sabe quién sería el último responsable en caso de que un sistema de IA causara daños, mientras que sólo un 38% identifica al consejo de administración o a un directivo como responsable.
De ahí que informes como elaborado por ISACA sean tan importantes, como ha reconocido Ballarín. “Funcionan como un espejo que muestra que el ritmo de adopción va muy por delante de la capacidad de control. Y lo que evidencian es que los principales retos no están en la tecnología en sí, sino en cómo se gobierna: establecer responsabilidades claras, entender los riesgos, definir políticas de uso, crear inventarios de herramientas y, sobre todo, desarrollar el conocimiento necesario para tomar decisiones informadas”, ha añadido.
Es más, ISACA concluye en el adelanto realizado del informe que muchas organizaciones siguen tratando el riesgo de la IA como una cuestión puramente tecnológica, en lugar de un desafío de gobernanza transversal a toda la empresa.
Por eso Pablo Ballarín admite que “son ellas [las empresas] las que tienen que decidir cómo integrar estas tecnologías, cómo gestionarlas y cómo mitigar sus riesgos. Y ahí es donde el estudio refleja una realidad preocupante: falta de control, responsabilidades difusas y ausencia de una gobernanza clara”.
Pues uno de los grandes problemas, en su opinión, es el desconocimiento. “No sabemos realmente qué herramientas estamos utilizando ni cómo funcionan, y ese desconocimiento está generando escenarios que el propio estudio refleja. Por ejemplo, cuando hay un fallo de seguridad relacionado con inteligencia artificial, muchas organizaciones no saben ni siquiera dónde está el problema, porque no entienden cómo funcionan los algoritmos, cómo han sido entrenados o de dónde proceden los datos”.
“Porque el problema de fondo sigue siendo el mismo —prosigue—: no entendemos bien cómo funcionan estas tecnologías. Se perciben como algo casi inmaterial, inteligente y autónomo, pero en realidad no hay inteligencia en el sentido humano. Lo que hay son cálculos, probabilidades, algoritmos que simulan decisiones. Y, aun así, les estamos otorgando una capacidad de pensamiento que no tienen. Sí pueden ser útiles para escribir, resumir o incluso apoyar la toma de decisiones, pero no dejan de ser simulaciones.
Es más, no ha dudado en decir que “adoptar inteligencia artificial requiere análisis previo, diseño, asignación clara de responsabilidades y mecanismos de control. Y esto es especialmente importante ahora, porque no sólo estamos delegando tareas cognitivas como escribir o analizar, sino también decisiones e incluso acciones. Con la aparición de los llamados agentes, ya no se trata sólo de recomendar, sino de ejecutar: comparar, evaluar o comprar. Esto tiene un impacto enorme en las organizaciones”.
De todas formas, visto lo visto, hay lugar para el optimismo? Un 40% de los encuestados afirma que las acciones generadas por IA son aprobadas por humanos antes de su ejecución, y un 26% adicional revisa las decisiones a posteriori.
(computerworld.es)
Seguiremos brindándote más información sobre este tema en las siguientes presentaciones físicas y digitales de Channel News Perú
Mantente conectado a nuestra plataforma de negocios y revista, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario
