Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

Por Phil Muncaster • 20 de enero de 2026

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy en día, las empresas están adoptando la tecnología con creciente entusiasmo. Según el BSICasi dos tercios (62%) de los líderes empresariales del Reino Unido y del resto del mundo prevén aumentar la inversión en IA el próximo año para mejorar la productividad, la eficiencia y la reducción de costes. Más de la mitad (59%) considera que estas medidas son cruciales para los planes de crecimiento.

Sin embargo, el organismo de normalización advierte que esas mismas organizaciones se encaminan hacia una crisis de gobernanza de la IA. Afirma que solo una cuarta parte (24%) cuenta con un programa de gobernanza de la IA, incluyendo solo un tercio (34%) de las grandes empresas. En este sentido, la norma ISO 42001 debería ser una obviedad.

Lo que dice el BSI

El estudio de BSI se basa en entrevistas con 850 altos directivos empresariales de ocho países y en un análisis de trabajo clave asistido por IA de más de 100 informes empresariales de multinacionales. El estudio reveló que solo una cuarta parte (24%) de las empresas supervisa el uso de herramientas de IA por parte de sus empleados y que tan solo el 30% cuenta con procesos para evaluar los riesgos y las medidas de mitigación de la IA. Solo una quinta parte (22%) impide que los empleados utilicen herramientas de IA no autorizadas.

Las brechas de gobernanza se extienden más allá del riesgo de TI en la sombra. Solo el 28 % de los encuestados afirma conocer las fuentes de datos que utiliza para entrenar e implementar la IA. De hecho, esta cifra ha disminuido desde el 35 % a principios de año. Solo el 40 % cuenta con procesos para gestionar el uso de datos sensibles/confidenciales para el entrenamiento de la IA.

Las organizaciones están igualmente mal preparadas para cuando las cosas salen mal. Solo un tercio detecta inquietudes o imprecisiones, y el 29 % cuenta con procesos para gestionar y responder a incidentes de IA. Solo el 30 % cuenta con un proceso formal de evaluación de riesgos para considerar si la IA podría estar introduciendo nuevas vulnerabilidades. Esto aumenta el riesgo de una interrupción o incidente grave. Sin embargo, una quinta parte de los encuestados admite que la IA generativa (GenAI) se ha vuelto tan crucial para el negocio que no creen que la organización pueda operar durante mucho tiempo sin ella.

La complacencia puede ser parte del problema. Más de la mitad de los líderes empresariales globales (56%) afirman confiar en que su personal de nivel inicial posee las habilidades necesarias para usar IA, y un porcentaje similar opina lo mismo sobre toda la organización. Más de la mitad (55%) confía en poder capacitar al personal para usar GenAI de forma crítica, estratégica y analítica. Sin embargo, solo un tercio cuenta con un programa específico de aprendizaje y desarrollo. Y la capacitación tiene sus límites.

¿Importa?

De hecho, el cumplimiento normativo parece estar disminuyendo en lo que respecta a la IA. Actualmente, el 49 % de las organizaciones globales incluye los riesgos relacionados con la IA en sus programas de cumplimiento normativo más amplios, frente al 60 % de hace seis meses. Sin embargo, esta disminución no se explica por el número de empresas que implementan programas específicos para gestionar la tecnología.

¿Por qué es importante? Porque el riesgo de la IA ya está presente en el panorama empresarial. Algunos ejemplos incluyen:

Fugas accidentales de información sensible a través de chatbots comerciales
Datos/modelos de entrenamiento sesgados que generan resultados que podrían afectar la reputación de la marca
IA en la sombra que conduce a la exposición de datos o la creación de código con errores
Datos de mala calidad o envenenados, lo que da lugar a puertas traseras y resultados inexactos
Incumplimiento normativo de las leyes de protección de datos, ciberseguridad y violación de la propiedad intelectual
Vulnerabilidades en toda la cadena de suministro de IA que no se abordan y que exponen a la organización a infracciones

Estos riesgos solo aumentarán a medida que la IA agente se afiance, lo que creará un efecto dominó potencialmente significativo en los resultados y la reputación corporativa. Según un estudio reciente de EYCasi todos los encuestados del Reino Unido (98%) reportaron pérdidas durante el último año debido a riesgos relacionados con la IA. Más de la mitad (55%) afirmó haber sufrido un coste superior a 1 millón de dólares (750,000 libras), mientras que la pérdida media se estimó en 3.9 millones de dólares (2.9 millones de libras) por organización. Los riesgos más comunes fueron el incumplimiento normativo, la inexactitud o mala calidad de los datos de formación, y el alto consumo energético que afecta a los objetivos de sostenibilidad.

Cuidado con el hueco

El informe de BSI presentó algunos puntos positivos. El análisis de palabras clave mostró que "gobernanza" y "regulación" ocuparon un lugar más destacado en los informes elaborados por empresas con sede en el Reino Unido. Aparecieron un 80 % más a menudo que en los informes de empresas con sede en India y un 73 % más que en los de empresas con sede en China. Sin embargo, las funciones de riesgo y cumplimiento normativo "aún operan con un manual de estrategias limitado y en constante evolución" en el Reino Unido, argumenta Chris Newton-Smith, director ejecutivo de IO (anteriormente ISMS.online).

El mayor problema que observamos no es la falta de intención, sino la falta de estructura. Las empresas simplemente aún no cuentan con los marcos, las políticas ni la propiedad interdisciplinaria necesarios para gestionar la IA de la misma manera que gestionan la seguridad de la información o la privacidad, explica a IO.

“Creo que el mayor obstáculo en este momento es que muchos equipos de liderazgo aún subestiman los riesgos porque la IA se considera principalmente una herramienta de innovación en lugar de una tecnología que puede, y está, transformando fundamentalmente la superficie de amenazas de una organización”.

Sin un modelo de gobernanza formal, las inquietudes planteadas por los equipos de seguridad terminarán estancadas o se descartarán como un obstáculo para el crecimiento. Solo cuando el riesgo de la IA se trate como un asunto de la junta directiva, la brecha entre la adopción y la supervisión comenzará a cerrarse, añade Newton-Smith.

La buena noticia es que la norma ISO 42001 fue creada exactamente para este propósito, sostiene Mark Thirlwell, director digital global de BSI.

Proporciona un marco práctico para establecer un sistema formal de gestión de la IA, impulsando a las organizaciones más allá de principios imprecisos hacia acciones concretas. La norma exige que los líderes evalúen y gestionen formalmente los riesgos específicos de la IA, establezcan una rendición de cuentas clara y garanticen la implementación de procesos seguros durante todo el ciclo de vida de la IA, explica a IO.

Adoptar este enfoque estructurado no se trata de frenar la innovación, sino de impulsarla de forma responsable y segura. Proporciona a los líderes las herramientas para pasar de una postura reactiva a una de control estratégico, garantizando así que la IA se convierta en un motor seguro y fiable de crecimiento a largo plazo.

Newton-Smith de IO está de acuerdo y explica que el estándar crea claridad sobre los roles, la evaluación de riesgos, los controles del ciclo de vida del modelo, la supervisión de los proveedores y el monitoreo.

“También se alinea naturalmente con los marcos existentes, como ISO 27001 e ISO 27701, lo que significa que las empresas pueden ampliar las estructuras de gobernanza y riesgo en las que probablemente ya confían para la seguridad y la privacidad”, agrega.

Primeros Pasos

Entonces, ¿cómo deberían las organizaciones comenzar su proceso de cumplimiento de la norma ISO 42001? Newton-Smith aconseja integrar la gobernanza de la IA en un SGSI existente en lugar de tratarlo como un proyecto independiente.

“En esencia, eso significa: mapear los casos de uso de IA con los riesgos; crear una responsabilidad clara entre el liderazgo, la ingeniería, el departamento legal y el departamento de cumplimiento; establecer procesos repetibles para el monitoreo de modelos y la gestión de incidentes; y garantizar que la cadena de suministro se mantenga con el mismo estándar”, afirma.

Comenzar con un sistema de control centralizado de esta manera facilita la medición, la escalabilidad y la auditoría del programa desde el primer día. La norma ISO 42001 no es un cumplimiento por el simple hecho de cumplir, sino la base para una adopción de IA fiable y comercialmente viable.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 12 de Febrero de 2026

¿Es el Plan de Acción Cibernética del Gobierno adecuado para su propósito?

No es frecuente que el gobierno admita que se equivocó. Sin embargo, a principios de año, tuvimos el privilegio de presenciar un inusual mea culpa: el reconocimiento de que un...

Phil Muncaster

La seguridad cibernética 3 de Febrero de 2026

El fraude en los informes de la WEF es ahora la mayor preocupación cibernética de los directores ejecutivos, pero no es la única.

Informe del Foro Económico Mundial: El fraude es ahora la mayor preocupación cibernética de los directores ejecutivos, pero no es la única

Cinco años es mucho tiempo en ciberseguridad. Sin embargo, ese es el tiempo que el Foro Económico Mundial (FEM) lleva encuestando a directores ejecutivos para su informe Global Cybersecurity O...

Phil Muncaster

La seguridad cibernética 27 de enero de 2026

La privacidad importa: Qué pueden esperar los equipos de cumplimiento en 2026

El 28 de enero es el Día Mundial de la Privacidad, una ocasión para celebrar el derecho a la privacidad y protección de datos que muchos damos por sentado hoy en día. Fue...

Phil Muncaster