Gobierno y seguridad de sistemas basados en IA generativa en una gran empresa

A mediados de 2024, el CISO de una gran empresa con varios miles de empleados contactó con nosotros tras detectar un crecimiento descontrolado de soluciones basadas en LLMs dentro de la organización. Varias aplicaciones de IA generativa estaban ya en producción, impulsadas directamente por las áreas de negocio, sin participación de Tecnología, Desarrollo Seguro ni CISO en su diseño o despliegue.

La compañía contaba con una estructura tecnológica madura (IT, Desarrollo Seguro y CISO), pero ninguna de estas áreas era realmente “propietaria” de los sistemas de IA generativa que ya estaban operando.

Contexto

Riesgo técnico inmediato: sistemas de IA en producción sin análisis de amenazas, sin validación de accesos, sin pruebas de seguridad y con riesgo de filtración de datos sensibles.

Bloqueo organizativo: nadie se sentía responsable. IT no había desarrollado los sistemas, Desarrollo Seguro no había sido involucrado y el CISO no tenía presupuesto ni mandato sobre soluciones que no gestionaba. Las áreas de negocio, por su parte, argumentaban que los proveedores habían entregado “lo contratado”.

Reto

El reto tenía dos capas:

1

El resultado: sistemas huérfanos, riesgos reales y ausencia total de modelo de gobierno.

2

Fotografía del riesgo

Pruebas de seguridad específicas para LLMs, APIs y datos, identificando vulnerabilidades críticas y demostrando impacto real.

¿Qué hicimos?

Nuevo modelo de gobernanza de IA

Roles claros para IT, Desarrollo Seguro y CISO: propiedad técnica, estándares de seguridad y gestión del riesgo.

Velocidad + Control

Modelo de despliegue pragmático que permite escalar IA generativa sin frenar la innovación.

Resultado

Tras la implantación del modelo:

  • La empresa dispone de una fotografía clara del riesgo de sus sistemas de IA generativa y un plan de mitigación priorizado.

  • Los sistemas ya en producción dejan de estar “huérfanos” y pasan a formar parte del mapa de sistemas gestionados por IT, con estándares de desarrollo seguro definidos.

  • El CISO cuenta con un mapa de sistemas basados en IA, un mapa de riesgos específico y un marco para auditar y seguir mitigaciones en el tiempo.

  • Las unidades de negocio mantienen la velocidad que necesitan, pero dentro de un marco de seguridad y gobierno definido, evitando frenar la innovación.

Aprendizajes clave

La IA generativa está entrando en las organizaciones más rápido que la capacidad de gobierno tradicional.

✅ Muchos sistemas nacen fuera de IT y sin Desarrollo Seguro ni CISO en el ciclo, lo que genera riesgos reales de seguridad y continuidad.

✅ No basta con hacer pruebas técnicas: es necesario un rediseño organizativo y cultural que asigne responsabilidades claras y haga que la IA deje de ser una excepción.

✅ Es posible combinar velocidad de negocio y seguridad si se diseña un modelo de gobernanza específico para IA, pragmático y alineado con la realidad operativa de la empresa.

¿Quieres evaluar la seguridad o gobernanza de tus sistemas de IA?

Te ayudamos a poner orden, reducir riesgos y mantener la velocidad de tu negocio.

Contacta aquí
Innovación

Soluciones tecnológicas para empresas que destacan.

CONTACTO

Consultas

info@novanotio.es

+34 914 13 46 96

© 2025. All rights reserved.

C. Ramírez de Arellano, 17, Cdad. Lineal, 28043, Madrid