Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > La atención sanitaria tiene comités de gobernanza de IA por todas partes. Casi nadie sabe realmente qué IA está en funcionamiento.

La atención sanitaria tiene comités de gobernanza de IA por todas partes. Casi nadie sabe realmente qué IA está en funcionamiento.

by Patrick Spencer updated febrero 26, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 14 minutes

En el sector salud, todo se resuelve con un comité. Se crea un órgano de gobernanza, se redacta un estatuto, se asignan representantes de distintas áreas y se programan reuniones trimestrales. Y listo, casilla marcada.

El problema es que los comités no pueden gobernar nada si no ven lo que ocurre. Y ahora mismo, la mayoría de las organizaciones sanitarias no pueden ver qué hace la IA dentro de sus entornos.

Esa es la conclusión central del Estudio de Referencia de Ciberseguridad en Salud 2026, presentado por Censinet en ViVE 2026 en Los Ángeles. El estudio —realizado en colaboración con la American Hospital Association, Health-ISAC, el Health Sector Coordinating Council, el Scottsdale Institute y la Universidad de Texas en Austin— encuestó a una variedad de organizaciones sanitarias sobre su madurez en ciberseguridad y su preparación para la gobernanza de IA. Los resultados muestran un sector que ha construido una impresionante estructura de gobernanza para la IA, pero ha dejado la base operativa sin terminar.

Las cifras son contundentes. El 70% de las organizaciones sanitarias cuentan con comités de gobernanza de IA. Solo el 30% mantiene un inventario de IA a nivel empresarial. Más de la mitad no tiene un método documentado para detectar cuándo los proveedores integran IA en productos existentes. Y el 64% ya está experimentando o implementando IA agente —sistemas autónomos capaces de razonar, actuar e interactuar con recursos empresariales de forma independiente.

Ed Gaudet, CEO de Censinet, lo resumió sin rodeos: el sector salud ha construido la estructura de gobernanza para la IA, pero la parte operativa —inventario, gestión de activos, métodos de detección y una rendición de cuentas clara— no avanza al ritmo de la adopción.

Esto es clave en un sector que gestiona algunos de los datos más sensibles que existen. Cuando los sistemas de IA procesan información de salud protegida sin seguimiento de inventario, sin registros de auditoría y sin una propiedad clara, el resultado no es solo una brecha de cumplimiento. Es un riesgo para la seguridad del paciente. Y es precisamente esa brecha —entre la estructura de gobernanza y la aplicación operativa— la que plataformas de gobernanza de datos como Kiteworks están diseñadas para cerrar.

5 conclusiones clave

  1. El sector salud reacciona mejor a los ataques que a prevenirlos. El Estudio de Referencia 2026 confirma un patrón que debería preocupar a cualquier CISO del sector: las organizaciones han fortalecido sus capacidades de respuesta a incidentes, pero los controles preventivos fundamentales —gobernanza, gestión de activos y preparación de la cadena de suministro— siguen rezagados. El sector invierte en limpiar después de las brechas, pero invierte poco en evitar que ocurran.
  2. Existen comités de gobernanza de IA. Los controles operativos no. El 70% de las organizaciones sanitarias han creado comités de gobernanza de IA. Solo el 30% mantiene un inventario de IA a nivel empresarial. Esa diferencia de 40 puntos refleja la distancia entre tener una estructura de gobernanza y realmente saber qué sistemas de IA operan dentro de la organización. Los comités sin visibilidad son solo teatro de gobernanza. Cerrar esa brecha requiere infraestructura operativa —como registros de auditoría integrales y aplicación de clasificación de datos— que brinde a los comités la visibilidad en tiempo real que necesitan para hacer cumplir sus propias políticas.
  3. La IA oculta de los proveedores es el punto ciego que nadie vigila. Más de la mitad de las organizaciones sanitarias no cuentan con una metodología documentada para detectar cuándo los proveedores integran capacidades de IA en productos existentes. Esto significa que la IA podría estar procesando información de salud protegida ahora mismo —a través de herramientas ya aprobadas por la organización— sin que nadie lo sepa. Los controles de aprobación diseñados para el producto original no cubren lo que el producto se convierte después de que el proveedor lo actualiza con IA. El monitoreo continuo de los patrones de acceso a datos de los proveedores detecta cambios de comportamiento que indican nuevas capacidades, y los registros de auditoría integrales documentan exactamente a qué datos acceden los proveedores en cada canal.
  4. La IA agente ya está en producción —la gobernanza no. El 64% de las organizaciones sanitarias están experimentando o implementando activamente IA agente. Solo el 8% ha puesto límites claros a su uso. Entre las organizaciones que informan que la adopción de IA supera su nivel de preparación, más de la mitad afirma que necesita mejores procedimientos formales de gobernanza por encima de todo. El caballo de la adopción ya salió del establo. La cerca de gobernanza aún se está construyendo. Una gobernanza eficaz requiere acceso a datos bajo el principio de menor privilegio, restricciones ligadas al propósito, verificación continua y la infraestructura de auditoría que convierte las políticas en controles aplicados.
  5. Los sistemas de salud rurales enfrentan las mismas amenazas con una fracción de los recursos. Los sistemas de salud exclusivamente rurales igualan a sus pares en los fundamentos del Marco de Ciberseguridad del NIST, pero tienen el doble de probabilidades de carecer totalmente de gobernanza de IA. Enfrentan las mismas amenazas cibernéticas y la misma presión para adoptar IA que los sistemas de salud más grandes del país, pero sin los presupuestos, el personal o la experiencia especializada para gestionar el riesgo. La brecha de gobernanza de IA en la salud rural no es un problema tecnológico. Es un problema de recursos que exige soluciones escalables que ofrezcan gobernanza de nivel empresarial sin requerir personal dedicado a la gobernanza.

Más fuertes en respuesta, más débiles donde realmente importa

El estudio de referencia revela un desequilibrio de madurez que se mantiene tras varios años de investigación. Las organizaciones sanitarias han avanzado de forma medible en su capacidad para responder a incidentes de ciberseguridad. Las capacidades de detección han mejorado. Los planes de respuesta a incidentes son más maduros. Los procedimientos de recuperación están mejor documentados.

Pero el lado preventivo de la ecuación —los controles que evitan las brechas desde el principio— sigue rezagado. Las estructuras de gobernanza permanecen incompletas. Las prácticas de gestión de activos no contemplan todo el alcance de la infraestructura digital, especialmente las cargas de trabajo de IA. La preparación de la cadena de suministro está poco desarrollada a pesar de la fuerte dependencia del sector en proveedores externos y socios comerciales.

Este patrón no es exclusivo del sector salud, pero sí es especialmente peligroso aquí. Los ciberataques criminales y patrocinados por estados-nación siguen apuntando a la infraestructura crítica del sector. La integración acelerada de la IA, sin supervisión adecuada, introduce nuevos vectores de riesgo que afectan directamente la seguridad del paciente y la prestación de atención. John Riggi, Asesor Nacional de Ciberseguridad y Riesgo en la American Hospital Association, lo expresó claramente: la ciberseguridad y la gobernanza de IA ya no son disciplinas separadas. Defender una es defenderlas todas.

La implicación práctica es que las organizaciones sanitarias deben reequilibrar su inversión en ciberseguridad. Las capacidades de respuesta son necesarias pero insuficientes. La prevención —que implica gobernanza, visibilidad de activos, controles de acceso y supervisión de la cadena de suministro— es donde la falta de inversión genera mayor exposición.

La brecha de 40 puntos entre gobernanza y visibilidad

Setenta por ciento con comités de gobernanza de IA. Treinta por ciento con inventario de IA. Esa brecha de 40 puntos es el dato más relevante del estudio 2026.

Un comité de gobernanza de IA sin inventario de IA es como una reunión de consejo sin agenda. El comité puede establecer políticas, aprobar casos de uso y definir umbrales de riesgo, pero no puede hacer cumplir ninguna de esas decisiones si no sabe qué sistemas de IA existen, a qué datos acceden, quién los autorizó o qué acciones realizan.

El problema del inventario no es solo contar herramientas de IA. Es comprender los flujos de datos. ¿Qué sistemas de IA tienen acceso a información de salud protegida? ¿Qué datos se usaron para entrenar o ajustar modelos? ¿Qué productos de proveedores ahora incluyen capacidades de IA que no existían cuando se firmó el contrato original? ¿Quién autorizó el acceso de cada sistema de IA y bajo qué condiciones se puede revocar?

Sin respuestas a estas preguntas, los comités de gobernanza operan a ciegas. Pueden producir políticas. No pueden verificar el cumplimiento de esas políticas. Y en un entorno regulatorio regido por la Ley HIPAA, el Marco de Gestión de Riesgos de IA del NIST y requisitos sectoriales de IA cada vez más específicos, la incapacidad de demostrar cumplimiento operativo es en sí misma un riesgo material.

Cerrar esta brecha requiere una infraestructura operativa que la mayoría de los comités de gobernanza no tienen. Los registros de auditoría integrales rastrean cada interacción de IA con datos sanitarios, el registro centralizado documenta quién accedió a qué, cuándo y a través de qué sistema, y las capacidades de clasificación de datos aplican las políticas de acceso automáticamente en vez de depender de revisiones manuales. El comité de gobernanza define la estrategia. La infraestructura de ejecución operativa convierte la estrategia en controles aplicables y evidencia auditable.

La IA oculta no viene de los empleados. Viene de tus proveedores.

La narrativa tradicional sobre IA oculta se centra en empleados que usan herramientas de IA no autorizadas —cuentas personales de ChatGPT, extensiones de navegador no aprobadas, plataformas gratuitas. Ese riesgo es real y está bien documentado.

Pero el estudio de Censinet revela otro tipo de IA oculta, más difícil de detectar y potencialmente más peligrosa: capacidades de IA integradas silenciosamente en productos y plataformas que las organizaciones sanitarias ya han aprobado.

Más de la mitad de las organizaciones sanitarias no tienen una metodología documentada para detectar esto. Un proveedor actualiza una plataforma existente con análisis impulsados por IA. Un socio comercial integra aprendizaje automático en una canalización de procesamiento de datos. Un módulo de EHR añade soporte clínico basado en IA. En cada caso, el producto fue aprobado mediante el proceso estándar de adquisiciones de la organización —antes de que existiera la capacidad de IA. El comité de gobernanza revisó y aprobó un producto. El producto cambió. La revisión no se repitió.

Esto genera un riesgo de cumplimiento específico bajo la Ley HIPAA. Si la capacidad de IA de un proveedor procesa información de salud protegida de formas no contempladas en el acuerdo de socio comercial existente, la organización puede estar expuesta sin saberlo. Los datos fluyen. La IA procesa. Y el registro de auditoría que demostraría el cumplimiento —o revelaría la infracción— no existe.

Detectar IA integrada por proveedores requiere monitoreo continuo de los patrones de acceso a datos, no evaluaciones puntuales. Kiteworks monitoriza todos los canales por los que los proveedores interactúan con los datos de la organización —correo electrónico, uso compartido de archivos, APIs, transferencias SFTP y acceso directo al sistema— mediante una infraestructura unificada de auditoría. Cuando las cuentas de proveedores muestran comportamientos inusuales —cambios repentinos en el volumen de datos, frecuencia de acceso o complejidad de consultas— Kiteworks señala la desviación de inmediato. Así, los equipos de seguridad obtienen la visibilidad necesaria para identificar cuándo un producto de proveedor ha cambiado de forma que afecta el procesamiento de información de salud protegida.

Los comités y los controles de aprobación por sí solos no resuelven este problema. La detección requiere monitoreo operativo continuo que rastree el acceso a los datos en tiempo real y resalte las desviaciones que indican nuevas capacidades no revisadas.

La IA agente ya está aquí. El marco de gobernanza, no.

Quizá el hallazgo más relevante del estudio 2026 es la velocidad de adopción de la IA agente. El 64% de las organizaciones sanitarias están experimentando o implementando activamente sistemas de IA agente —IA autónoma capaz de ejecutar procesos de varios pasos, acceder a bases de datos, interactuar con APIs y tomar decisiones operativas con supervisión humana limitada.

Solo el 8% ha puesto límites estrictos a la adopción de IA agente. El resto de las organizaciones se encuentra en algún punto entre la exploración y la implementación en producción.

La IA agente introduce un perfil de riesgo fundamentalmente distinto al de los chatbots y herramientas de análisis que dominaron las primeras etapas de la IA en salud. Un chatbot responde preguntas según los datos que recibe. Un sistema de IA agente actúa sobre esos datos —recupera registros, actualiza sistemas, activa flujos de trabajo e interactúa con servicios externos. Cada agente crea una identidad no humana que requiere autenticación, autorización y monitoreo a un nivel para el que la mayoría de los sistemas de gestión de identidades en salud no están diseñados.

Las implicaciones de gobernanza son significativas. Cada sistema de IA agente debe estar inventariado. Su acceso a datos debe quedar registrado en auditorías. Sus permisos deben seguir el principio de menor privilegio con verificación continua —no autenticarse una vez y acceder para siempre. Sus acciones deben ser auditables. Y debe asignarse una propiedad clara para que, si algo sale mal —si un agente accede a datos que no debe o actúa fuera de su alcance previsto— haya una persona responsable y una vía de escalamiento.

Kiteworks proporciona la infraestructura operativa para gobernar la IA agente a nivel de datos. A través de su Secure MCP Server, Kiteworks permite que la IA agente acceda a datos empresariales con autenticación OAuth 2.0 y controles de acceso basados en roles que aseguran que cada agente herede los permisos de su responsable humano autorizado —y no pueda escalar más allá de esos límites. El propósito restringe a cada agente a las clasificaciones de datos y funciones específicas para las que fue autorizado. La verificación continua evalúa cada solicitud de datos según las políticas vigentes. Y los registros de auditoría integrales documentan cada acción del agente, creando la evidencia que los comités de gobernanza necesitan para hacer cumplir sus propias políticas.

Entre las organizaciones que reportan que la adopción de IA supera su preparación, más de la mitad identifican mejores procedimientos formales de gobernanza como su principal necesidad. La demanda es clara.

Salud rural: mismos riesgos, realidad diferente

Brian Sterud, VP y CIO de Faith Regional Health Services, describió el reto de los sistemas de salud rurales con franqueza: enfrentan las mismas amenazas cibernéticas y la misma presión para adoptar IA que los sistemas más grandes del país, pero sin los mismos presupuestos ni el mismo equipo especializado.

Los datos del estudio lo confirman. Los sistemas de salud exclusivamente rurales igualan a sus pares en los fundamentos del Marco de Ciberseguridad del NIST —las bases de la ciberseguridad. Pero tienen el doble de probabilidades de no tener ninguna gobernanza de IA. No una gobernanza más débil. Ninguna gobernanza.

Esta brecha no se debe a falta de conciencia o voluntad. Se debe a los recursos. Los sistemas rurales suelen carecer de personal dedicado a la gobernanza de IA, analistas de amenazas y presupuesto para implementar plataformas de gobernanza de nivel empresarial. Necesitan soluciones que ofrezcan los mismos registros de auditoría, aplicación de políticas y capacidades de cumplimiento que los grandes sistemas de salud —sin requerir la misma cantidad de personal ni inversión en infraestructura.

Kiteworks ofrece aplicación automatizada de políticas, plantillas de cumplimiento preconfiguradas alineadas con HIPAA y los marcos del NIST, y capacidades de auditoría listas para usar que reducen la carga de gobernanza sobre los pequeños equipos de TI. Los sistemas de salud rurales obtienen la misma gobernanza integral de datos que implementan los sistemas más grandes —sin tener que construir la infraestructura desde cero ni contratar personal dedicado a la gobernanza para operarla.

Nadie es dueño del riesgo de IA. Todos asumen que otro lo es.

El 38% de las organizaciones sanitarias comparten la responsabilidad del riesgo de IA entre varios grupos sin rutas claras de escalamiento o no han definido la propiedad en absoluto. Esta es una vulnerabilidad estructural que se agravará a medida que aumenten las implementaciones de IA.

La propiedad fragmentada del riesgo genera un fallo específico: cuando ocurre un incidente relacionado con IA —una exposición de datos, una violación de cumplimiento, un acceso no autorizado— no hay una ruta clara desde la detección hasta la respuesta. El CISO piensa que lo gestiona el equipo de cumplimiento. El equipo de cumplimiento piensa que lo gestiona el comité de gobernanza de IA. El comité de gobernanza de IA piensa que lo gestiona el equipo de informática clínica. Mientras tanto, el incidente escala.

Resolver esto requiere visibilidad unificada. Cuando el CISO, el responsable de cumplimiento, el responsable de privacidad y el comité de gobernanza de IA tienen acceso al mismo registro de auditoría integral —el mismo historial de qué ocurrió, cuándo y en qué sistema— las disputas de propiedad disminuyen porque los hechos son compartidos. Kiteworks proporciona esta visibilidad unificada mediante su registro consolidado de actividad y el CISO Dashboard, que ofrecen a cada parte interesada acceso a los mismos datos de auditoría en tiempo real. Las alertas automatizadas con reglas de escalamiento claras aseguran que los incidentes lleguen de inmediato a las personas adecuadas, sin importar la estructura organizativa.

Janet Guptill, presidenta y CEO del Scottsdale Institute, resumió el cambio de fondo: la ciberseguridad y la gobernanza de IA ya no son solo retos técnicos. Son imperativos estratégicos que requieren la implicación de la alta dirección en toda la organización. Desde CISOs hasta CEOs y miembros del consejo, la responsabilidad por el riesgo de IA debe ser explícita, documentada y aplicada operativamente.

De la estructura a la ejecución: qué deben hacer ahora las organizaciones sanitarias

Construir un inventario centralizado de IA y mantenerlo actualizado. Cada sistema de IA que acceda a datos de la organización —ya sea implementado internamente, integrado en productos de proveedores o accedido a través de APIs de terceros— debe ser identificado, catalogado y monitoreado. Los registros de auditoría integrales son la base de este inventario al registrar cada interacción de datos en todos los canales, permitiendo identificar cuándo nuevos sistemas o capacidades de IA comienzan a acceder a datos organizacionales.

Implementar monitoreo continuo para IA integrada por proveedores. Supera las evaluaciones puntuales. Kiteworks monitoriza de forma continua los patrones de acceso a datos de proveedores a través de correo electrónico, uso compartido de archivos, APIs, SFTP y transferencia de archivos gestionada. Cuando el comportamiento de un proveedor cambia —señalando nuevas capacidades de IA— Kiteworks marca la desviación y documenta la evidencia. Actualiza los acuerdos de socios comerciales para exigir la divulgación de cambios en capacidades de IA y utiliza los registros de auditoría para verificar el cumplimiento.

Establecer una propiedad clara del riesgo de IA con rutas de escalamiento documentadas. Asigna la responsabilidad explícita del riesgo de IA a nivel ejecutivo. La infraestructura unificada de auditoría de Kiteworks asegura que el CISO, el responsable de cumplimiento, el responsable de privacidad y el comité de gobernanza de IA compartan acceso a los mismos datos. Las alertas automatizadas con reglas de escalamiento garantizan que los incidentes lleguen de inmediato a las personas indicadas. Define procedimientos de escalamiento que especifiquen quién responde a incidentes relacionados con IA, en qué condiciones y con qué autoridad.

Aplicar principios de confianza cero a todas las cargas de trabajo de IA. Cada sistema y agente de IA debe operar bajo acceso de menor privilegio con verificación continua. Kiteworks aplica esto mediante controles de acceso basados en atributos que evalúan la clasificación de datos, la identidad del agente y el uso previsto para cada solicitud. El propósito restringe el acceso de la IA a categorías y funciones de datos específicas. La verificación continua evalúa cada solicitud de datos según las políticas actuales —no autenticarse una vez y acceder para siempre.

Invertir en prevención, no solo en respuesta. Reequilibra el gasto en ciberseguridad hacia los controles fundamentales que el estudio identifica como rezagados: madurez de gobernanza, gestión de activos, clasificación de datos y supervisión de la cadena de suministro. Kiteworks proporciona la infraestructura preventiva —aplicación automatizada de políticas, clasificación de datos, controles de acceso y monitoreo de proveedores— que evita las brechas en vez de documentarlas después de que ocurren.

Escalar la gobernanza para entornos con recursos limitados. Los sistemas de salud rurales y pequeños necesitan soluciones de gobernanza que ofrezcan registros de auditoría de nivel empresarial, aplicación automatizada de políticas e informes de cumplimiento sin requerir personal dedicado a la gobernanza de IA. Kiteworks proporciona esta escalabilidad: plantillas de cumplimiento preconfiguradas, aplicación automatizada y capacidades de auditoría listas para usar que reducen la carga de gobernanza sobre equipos de TI con recursos limitados.

La brecha de gobernanza no se cerrará sola

El Estudio de Referencia de Ciberseguridad en Salud 2026 deja un mensaje incómodo pero necesario: el sector salud ya hizo la parte fácil de la gobernanza de IA. Los comités existen. Los estatutos están escritos. Las conversaciones están en marcha.

La parte difícil —construir la infraestructura operativa que convierta esos comités en órganos de gobernanza efectivos— es donde la mayoría de las organizaciones se quedan cortas. Inventario de IA. Monitoreo continuo. Registros de auditoría. Detección de proveedores. Propiedad clara. No son metas aspiracionales. Son requisitos operativos en un sector donde la IA ya procesa información de salud protegida, donde los sistemas de IA agente ya actúan de forma autónoma y donde los adversarios ya usan IA para atacar la infraestructura crítica de la salud.

Kiteworks proporciona la base de gobernanza de datos que hace operativa la gobernanza de IA. Registros de auditoría integrales que demuestran que los controles se aplican. Monitoreo continuo que detecta IA integrada por proveedores antes de que se convierta en una infracción de cumplimiento. Controles de acceso de menor privilegio que impiden que los sistemas de IA accedan a datos más allá de su propósito autorizado. Y una infraestructura escalable y automatizada que hace que la gobernanza de nivel empresarial sea accesible para organizaciones de cualquier tamaño.

Las organizaciones que cierren esta brecha serán las que pasen de la estructura a la ejecución. Las que desarrollen la capacidad operativa para igualar su estructura de gobernanza. Las que traten la gobernanza de IA no como un ejercicio de cumplimiento, sino como una prioridad de seguridad del paciente —y desplieguen la infraestructura operativa para respaldarlo.

Para descubrir cómo Kiteworks puede ayudarte, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

Un inventario de IA empresarial en salud debe capturar mucho más que una lista de herramientas aprobadas. Para cada sistema de IA, el inventario debe documentar: qué información de salud protegida puede acceder el sistema, incluyendo datos de entrenamiento y entradas de inferencia; quién autorizó el acceso y bajo qué condiciones puede revocarse; qué proveedor o socio comercial opera el sistema y cuáles son sus obligaciones contractuales; la clasificación de datos de las salidas que produce el sistema; y si el sistema opera de forma autónoma o con supervisión humana. Construir el inventario requiere monitoreo continuo, no una encuesta puntual —porque los productos de proveedores cambian, las capacidades de IA se integran sin aviso y las nuevas implementaciones a menudo evitan los procesos formales de aprobación. Los registros de auditoría integrales que registran cada interacción de IA con datos sanitarios proporcionan el historial vivo que mantiene actualizado el inventario, identificando cuándo nuevos sistemas o capacidades comienzan a acceder a los datos incluso si no se declararon formalmente. El inventario también es requisito previo para el cumplimiento de la Regla de Seguridad de HIPAA, que exige revisión documentada de la actividad de los sistemas de información para todos los sistemas que procesan información de salud protegida electrónica.

Bajo HIPAA, cualquier proveedor que cree, reciba, mantenga o transmita información de salud protegida en nombre de una entidad cubierta es un socio comercial y debe operar bajo un acuerdo de socio comercial que especifique los usos y divulgaciones permitidos de esos datos. Cuando un proveedor integra IA en un producto existente, suelen surgir dos problemas. Primero, el acuerdo de socio comercial existente se negoció antes de que existiera la capacidad de IA y probablemente no aborda cómo la IA procesa la información de salud protegida, si se usa para entrenar o mejorar el modelo, o cómo se protegen las salidas de la IA. Segundo, si la capacidad de IA se añadió mediante una actualización del producto —no una nueva adquisición— es posible que el proceso estándar de aprobación y revisión del acuerdo no se haya activado. Esto crea una exposición no documentada de información de salud protegida: los datos fluyen a un sistema de IA bajo términos que no regulan ese procesamiento. Las entidades cubiertas deben exigir a los proveedores que informen sobre cambios en capacidades de IA, revisar los acuerdos para asegurar que el procesamiento de IA esté explícitamente contemplado y usar monitoreo continuo para detectar cuándo los patrones de acceso a datos del proveedor cambian de forma que indiquen nueva actividad de IA. Los registros de auditoría que documentan el acceso de proveedores a datos en todos los canales —SFTP, APIs, transferencia de archivos gestionada, correo electrónico— proporcionan la evidencia necesaria para identificar procesamiento no declarado y demostrar cumplimiento cuando lo soliciten los reguladores.

La gestión estándar de identidades y acceso está diseñada para usuarios humanos: autenticar a una persona al iniciar sesión, asignar permisos según su rol y registrar sus sesiones. La IA agente rompe este modelo de tres formas. Primero, los agentes crean identidades no humanas que pueden autenticarse miles de veces por hora, haciendo inviable la revisión basada en sesiones. Segundo, los agentes actúan sobre los datos en vez de solo leerlos —recuperan registros, actualizan sistemas, activan flujos de trabajo y llaman APIs externas— por lo que el alcance de un acceso sobreprivilegiado es mucho mayor que para usuarios humanos, que pueden ser monitoreados individualmente. Tercero, los agentes pueden operar bajo permisos de una cuenta de servicio, que suele tener más acceso que cualquier usuario humano individual. Las organizaciones sanitarias deben añadir cuatro capacidades a su infraestructura IAM actual: restricción de propósito que limite a cada agente a categorías y funciones de datos específicas sin importar qué permitan sus credenciales; verificación continua que reevalúe cada solicitud de datos según la política vigente y no solo la autenticación de sesión; interruptores de emergencia que puedan revocar el acceso del agente de inmediato ante comportamientos anómalos; y registros de auditoría que documenten cada acción del agente a nivel de datos —no solo eventos de autenticación— vinculados al responsable humano autorizado. El control de acceso basado en atributos que evalúa simultáneamente la identidad del agente, la clasificación de datos y el propósito previsto proporciona la capa de gobernanza que los sistemas basados solo en roles no pueden ofrecer.

En entornos clínicos, la confianza cero para cargas de trabajo de IA significa tratar cada solicitud de datos —de cualquier sistema de IA, sin importar su contexto de implementación— como no confiable hasta que se evalúe según la política vigente. Esto supone un cambio importante respecto a cómo se implementa actualmente la IA en salud, donde la aprobación en el momento de la adquisición se considera autorización continua. Operativamente, la confianza cero para IA requiere cuatro elementos. Acceso a datos bajo el principio de menor privilegio por defecto: los sistemas de IA solo pueden acceder a las clasificaciones específicas de información de salud protegida necesarias para su función clínica definida —una herramienta de soporte clínico accede a datos de diagnóstico, no a registros de facturación. Verificación continua: cada consulta se revisa según el propósito autorizado de la IA y la clasificación de sensibilidad de los datos, no solo al inicio de sesión. Controles de prevención de pérdida de datos: aplicación automatizada que impide que los sistemas de IA exporten, transmitan o procesen datos fuera de los límites definidos. Y detección de anomalías de comportamiento: monitoreo base que alerta cuando el patrón de acceso a datos de un sistema de IA se desvía de su norma establecida —volúmenes de consulta inusuales, acceso a nuevos tipos de registros o actividad fuera de horario— activando alertas automáticas y, si es necesario, suspensión automática del acceso. En un sector donde los ataques de ransomware apuntan cada vez más a sistemas clínicos de IA como puntos de entrada a la infraestructura, la confianza cero a nivel de datos es el control que limita el alcance del daño cuando fallan las defensas perimetrales.

La responsabilidad regulatoria sobre la gobernanza de IA en salud converge desde varios frentes. La Regla de Seguridad de HIPAA exige que las entidades cubiertas implementen políticas y procedimientos para la revisión de la actividad de los sistemas de información —una obligación que se extiende a los sistemas de IA que procesan información de salud protegida electrónica y requiere evidencia documentada de que se realizan revisiones, no solo que existen políticas. El Marco de Gestión de Riesgos de IA del NIST recomienda que la gobernanza de IA incluya responsabilidad de la alta dirección con roles definidos, rutas de escalamiento y reportes a nivel de consejo. Las Prácticas de Ciberseguridad de la Industria de la Salud 405(d) del HHS, que sustentan el marco del estudio de referencia, identifican la gobernanza y la gestión de riesgos como prácticas fundamentales con requisitos explícitos de propiedad. El hallazgo del estudio de Censinet de que el 38% de las organizaciones tienen propiedad de riesgo de IA fragmentada o indefinida es directamente incompatible con estos requisitos: un regulador que examine una brecha de información de salud protegida relacionada con IA esperará ver quién era responsable del riesgo, qué supervisión existía, qué registros de auditoría se mantenían y qué procedimientos de escalamiento se siguieron. La responsabilidad a nivel de consejo requiere informes de cumplimiento exportables que demuestren gobernanza operativa —no solo documentos de gobernanza— y una infraestructura unificada de gobernanza de datos que brinde a cada directivo acceso a la misma base de evidencia cuando lo soliciten los reguladores.

Recursos adicionales

  • Artículo del Blog Arquitectura Zero Trust: nunca confíes, verifica siempre
  • Video Microsoft GCC High: desventajas que impulsan a los contratistas de defensa hacia ventajas más inteligentes
  • Artículo del Blog Cómo proteger datos clasificados una vez que DSPM los identifica
  • Artículo del Blog Generar confianza en la IA generativa con un enfoque Zero Trust
  • Video La guía definitiva para el almacenamiento seguro de datos sensibles para líderes de TI

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks