Gobierno y seguridad de sistemas basados en IA generativa en una gran empresa

A mediados de 2024, el CISO de una gran empresa con varios miles de empleados contactó con nosotros tras detectar un crecimiento descontrolado de soluciones basadas en LLMs dentro de la organización. Varias aplicaciones de IA generativa estaban ya en producción, impulsadas directamente por las áreas de negocio, sin participación de Tecnología, Desarrollo Seguro ni CISO en su diseño o despliegue.

La compañía contaba con una estructura tecnológica madura (IT, Desarrollo Seguro y CISO), pero ninguna de estas áreas era realmente “propietaria” de los sistemas de IA generativa que ya estaban operando.

Contexto

Riesgo técnico inmediato: sistemas de IA en producción sin análisis de amenazas, sin validación de accesos, sin pruebas de seguridad y con riesgo de filtración de datos sensibles. El riesgo de exposición de datos críticos podría haber alcanzado hasta un 60% sin las medidas de seguridad adecuadas.

Bloqueo organizativo: nadie se sentía responsable. IT no había desarrollado los sistemas, Desarrollo Seguro no había sido involucrado y el CISO no tenía presupuesto ni mandato sobre soluciones que no gestionaba. Las áreas de negocio, por su parte, argumentaban que los proveedores habían entregado “lo contratado”.

Reto

El reto tenía dos capas:

1

El resultado: sistemas huérfanos, riesgos reales y ausencia total de modelo de gobierno.

2

Fotografía del riesgo

Pruebas de seguridad específicas para LLMs, APIs y datos, identificando vulnerabilidades críticas. Reduciendo el riesgo de vulnerabilidad un 90%.

¿Qué hicimos?

Nuevo modelo de gobernanza de IA

Roles claros para IT, Desarrollo Seguro y CISO: propiedad técnica, estándares de seguridad y gestión del riesgo.

Velocidad + Control

Modelo de despliegue pragmático que permite escalar IA generativa sin frenar la innovación. Incrementamos un 30% la velocidad de implementación.

Resultado

Tras la implantación del modelo:

• La empresa dispone de una fotografía clara del riesgo de sus sistemas de IA generativa y un plan de mitigación priorizado. El riesgo global se redujo en un 85% en comparación con el estado anterior.

• Los sistemas ya en producción dejan de estar “huérfanos” y pasan a formar parte del mapa de sistemas gestionados por IT, con estándares de desarrollo seguro definidos.

• El CISO cuenta con un mapa de sistemas basados en IA, un mapa de riesgos específico y un marco para auditar y seguir mitigaciones en el tiempo. Esto mejoró la trazabilidad y capacidad de defensa ante auditorías en un 70%.

• Las unidades de negocio mantienen la velocidad que necesitan, pero dentro de un marco de seguridad y gobierno definido, lo que redujo el tiempo de desarrollo de proyectos de IA en un 40%.

Aprendizajes clave

La IA generativa está entrando en las organizaciones más rápido que la capacidad de gobierno tradicional.

✅ Muchos sistemas nacen fuera de IT y sin Desarrollo Seguro ni CISO en el ciclo, lo que genera riesgos reales de seguridad y continuidad.

✅ No basta con hacer pruebas técnicas: es necesario un rediseño organizativo y cultural que asigne responsabilidades claras y haga que la IA deje de ser una excepción.

✅ Es posible combinar velocidad de negocio y seguridad si se diseña un modelo de gobernanza específico para IA, pragmático y alineado con la realidad operativa de la empresa.

¿Quieres evaluar la seguridad o gobernanza de tus sistemas de IA?

Te ayudamos a poner orden, reducir riesgos y mantener la velocidad de tu negocio.