Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Gestión de Riesgos de Ciberseguridad > La estrategia de IA del DHS al descubierto: Kiteworks tiene la solución

La estrategia de IA del DHS al descubierto: Kiteworks tiene la solución

by Patrick Spencer updated marzo 4, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 8 minutes

El Departamento de Seguridad Nacional (DHS) no hace nada a pequeña escala. Veintidós agencias componentes. 260.000 empleados. Misiones que abarcan seguridad fronteriza, ciberseguridad, inmigración y respuesta ante desastres. Y ahora, un mandato formal para adoptar la IA de forma responsable en todas estas áreas.

Puntos clave

  1. DHS está construyendo una puerta de enlace centralizada de IA con autorización continua. La estrategia de IA del DHS para el Memorando OMB M-25-21 exige una puerta de enlace API empresarial de IA como servicio: un único canal gobernado por el que cada componente accede a capacidades de IA aprobadas. Esta puerta de enlace reemplaza implementaciones dispersas, componente por componente, por una aplicación centralizada de seguridad y monitoreo continuo, no revisiones periódicas.
  2. El seguimiento de la procedencia de los datos ahora es un requisito federal, no solo una buena práctica. El DHS exige una cadena de custodia verificable para cada conjunto de datos: de dónde proviene, quién accedió, cómo se modificó. La GAO detectó que el DHS no había implementado completamente la documentación de fuentes de datos ni la verificación de confiabilidad. La estrategia hace obligatorio el seguimiento de procedencia en todos los sistemas de IA.
  3. La GAO encontró que las prácticas de IA del propio DHS eran insuficientes. Varias auditorías de la GAO concluyeron que el DHS no había implementado completamente prácticas clave de responsabilidad en IA. Una auditoría descubrió que el inventario de IA del Departamento ni siquiera era preciso: un caso de uso listado como IA no lo era. La estrategia responde directamente a estos hallazgos, exigiendo responsabilidad en todo el ciclo de vida, desde el desarrollo hasta la producción.
  4. El 57% de las organizaciones no tiene una puerta de enlace centralizada de datos de IA. Según el Informe de Pronóstico Kiteworks 2026, solo el 43% de las organizaciones cuenta hoy con una puerta de enlace centralizada de datos de IA. El 57% restante está fragmentado, tiene controles parciales o carece totalmente de controles dedicados. El siete por ciento ha implementado IA sin ninguna gobernanza sobre cómo esos sistemas acceden a datos sensibles.
  5. Kiteworks ya entrega lo que describe la estrategia del DHS. La Red de Datos Privados de Kiteworks incluye un servidor MCP en producción que actúa como puerta de enlace centralizada de IA, un motor de políticas de datos que aplica RBAC y ABAC en cada operación, registros de auditoría inmutables y una ruta de implementación FedRAMP: exactamente la arquitectura que el DHS dice necesitar.

En septiembre de 2025, el DHS publicó su Estrategia de IA para el Memorando OMB M-25-21: el plan operativo del Departamento para escalar la IA manteniendo la gobernanza, la seguridad y la responsabilidad por delante de la tecnología, no detrás. Identifica tres pilares: una puerta de enlace consolidada de IA como servicio con autorización continua, un marco de gobernanza de datos basado en seguimiento de procedencia y controles de compartición entre componentes, y mecanismos de gobernanza que vinculan cada inversión en IA con resultados de misión medibles.

Esa es la estrategia. Lo que la hace relevante no es la ambición, sino la especificidad. El DHS nombró la arquitectura que necesita. Y Kiteworks ya la construyó.

22 agencias, cero infraestructura unificada de IA—hasta ahora

El DHS tiene un problema de proliferación. CISA, CBP, ICE, TSA, USCIS, el Servicio Secreto, la Guardia Costera: cada una ha estado comprando y desarrollando herramientas de IA de forma independiente. El resultado es duplicación de esfuerzos, posturas de seguridad inconsistentes y ninguna forma unificada de gobernar lo que estos sistemas pueden acceder o producir.

La respuesta de la estrategia es una puerta de enlace API centralizada de IA como servicio. Un solo centro. Cada componente se conecta a través de él. Cada solicitud pasa por un único punto de aplicación para seguridad, cumplimiento y control de acceso. La puerta de enlace no solo reduce contratos redundantes: crea el punto de control arquitectónico donde la política se convierte en ejecución.

Igual de importante: la estrategia elimina el modelo de «autorizar una vez y esperar lo mejor». Los sistemas de IA deben ser monitoreados, probados y reautorizados de forma continua en producción. No cada tres años en la recertificación. Continuamente. Es un modelo operativo fundamentalmente diferente al que manejan hoy la mayoría de las agencias—y la mayoría de las empresas.

Gobernanza de datos: donde la mayoría de las organizaciones fallan

El segundo pilar es donde la estrategia incomoda a quienes han tratado la gobernanza de datos como un simple trámite.

El DHS reconoce lo obvio: la IA solo es tan buena como los datos que procesa. Si los datos que alimentan tus sistemas de IA son poco confiables, duplicados, mal clasificados o están aislados en silos, los resultados reflejarán eso. La estrategia responde con cuatro compromisos: modernizar las políticas de datos en cada componente, implementar estándares comunes de calidad de datos, fortalecer el seguimiento de procedencia y eliminar barreras para el intercambio de datos entre componentes.

Ese último punto ha sido uno de los fracasos operativos más persistentes del DHS. Los componentes necesitan compartir inteligencia, expedientes y datos operativos entre límites organizacionales de forma regular. Pero compartir datos sensibles entre agencias—cada una con sus propios sistemas de clasificación, políticas de acceso y obligaciones de cumplimiento—ha sido lento, manual e inadecuado. La estrategia exige una arquitectura que aplique políticas de compartición de forma automática, no mediante aprobaciones por correo electrónico y hojas de cálculo.

La GAO ha estado presionando al DHS precisamente en esto. Varias auditorías detectaron que el Departamento no había implementado completamente prácticas de responsabilidad en IA—especialmente en documentación de fuentes de datos y verificación de confiabilidad. Una auditoría encontró que el propio inventario de IA era inexacto. El énfasis de la estrategia en la procedencia no es aspiracional. Es un plan de acción correctiva.

Entrega de misión: el DHS se cansó de pagar por IA que no funciona

El tercer pilar es el que debería poner nervioso a cualquier proveedor.

El DHS exige mecanismos de gobernanza que conecten las inversiones en IA con resultados de misión medibles. No métricas de proyectos piloto. No demostraciones. Mejoras reales en cómo el Departamento cumple su misión—con puntos de control integrados para cancelar proyectos que no entregan resultados.

Esto incluye preparación de la fuerza laboral (formar a las personas para trabajar con IA, no solo implementar herramientas y esperar), I+D dirigida a necesidades operativas específicas y planificación de recursos que exige resultados demostrables antes del siguiente ciclo presupuestario. El mensaje es claro: el DHS está cansado de proyectos de IA que suenan impresionantes en una presentación y desaparecen en el ciclo de compras. Si inviertes en IA y no puedes señalar una mejora específica de misión que haya entregado, tienes el mismo problema que el DHS busca resolver.

Las cifras muestran que la mayoría de las empresas no están listas

La estrategia del DHS describe cómo debe ser una infraestructura de IA responsable. El Informe de Pronóstico de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks 2026 muestra cuán lejos están la mayoría de las organizaciones de lograrlo.

Solo el 43% de las organizaciones cuenta con una puerta de enlace centralizada de datos de IA. El 57% restante está fragmentado, opera con controles parciales o no tiene ninguno. El siete por ciento ha implementado IA sin ninguna gobernanza dedicada sobre cómo esos sistemas acceden a datos sensibles. Tienen IA. Simplemente no la han gobernado.

El sesenta por ciento no puede terminar rápidamente un agente de IA que se comporte mal. El sesenta y tres por ciento no tiene límites sobre lo que los agentes están autorizados a hacer. El treinta y tres por ciento carece totalmente de registros de auditoría con calidad probatoria. Y el 78% no puede validar los datos que ingresan a sus canales de entrenamiento de IA.

La brecha entre gobernanza y contención es especialmente reveladora. Las organizaciones han invertido en observar—registrar, monitorear, construir paneles. No han invertido en detener. El vínculo de propósito está ausente en el 63% de las organizaciones. Los interruptores de apagado faltan en el 60%. El aislamiento de red está ausente en el 55%. Estos no son problemas de gobernanza. Son fallos de contención. Y la contención es lo que evita que una mala interacción de IA se convierta en una filtración.

Así es cuando alguien realmente lo construye

Kiteworks ha construido la arquitectura que describe la estrategia del DHS. No está en una hoja de ruta. Está en producción.

En el centro está un servidor MCP en producción que conecta agentes de IA con contenido empresarial dentro de la Red de Datos Privados de Kiteworks. Es la puerta de enlace de datos privados que imagina la estrategia del DHS: los agentes se conectan a través de ella, y cada solicitud—cada acceso a archivos, cada búsqueda, cada operación de datos—pasa por el Motor de Políticas de Datos de Kiteworks antes de que ocurra cualquier movimiento. El agente hace el trabajo. El Motor de Políticas de Datos aplica las reglas.

El Motor de Políticas de Datos aplica control de acceso basado en roles (RBAC) y control de acceso basado en atributos (ABAC) en cada operación. Esto no es registro posterior. Es autorización previa a la ejecución. Antes de que un agente de IA pueda leer un archivo, modificar un documento o compartir contenido fuera de un límite organizacional, el motor de políticas evalúa la solicitud contra el conjunto completo de reglas aplicables—quién lo solicita, qué se accede, qué clasificación tiene y si la operación está permitida bajo la política actual.

El contenido nunca sale del perímetro gobernado a menos que esté explícitamente autorizado. Es una distinción importante frente a plataformas que registran el movimiento de datos después de que ocurre y esperan que la auditoría detecte problemas antes de que se conviertan en incidentes.

Mapeo de Kiteworks al marco del DHS

Puerta de enlace de IA como servicio. El servidor MCP es la puerta de enlace centralizada y continuamente autorizada. Los agentes de IA se conectan a través de ella. El Motor de Políticas de Datos autoriza cada solicitud en tiempo real. El contenido permanece dentro del perímetro gobernado a menos que la política permita explícitamente el movimiento. Esta es la arquitectura de puerta de enlace que describe el DHS—ya implementada, no solo planificada.

Procedencia de datos y gobernanza entre componentes. Cada operación sobre archivos lleva metadatos completos: etiquetas de clasificación, historial de acceso, registros de modificación, contexto organizacional. RBAC y ABAC aplican políticas de compartición automáticamente entre límites organizacionales. La línea de procedencia de los datos no se reconstruye después. Se captura en cada interacción—la cadena de custodia verificable que ahora exige el DHS.

Alineación con el marco de responsabilidad de la GAO. El registro inmutable de auditoría que no puede ser alterado ni eliminado crea los rastros con calidad probatoria que exigen auditores e investigadores. Una ruta de implementación FedRAMP y controles de responsabilidad en el ciclo de vida de IA abordan las recomendaciones específicas que la GAO hizo al DHS—no principios generales, sino las brechas que la GAO realmente encontró.

Cumplimiento transfronterizo y multi-marco. Opciones de implementación flexibles—en las instalaciones, nube privada, híbrida, FedRAMP—permiten a las organizaciones almacenar contenido sensible dentro de su jurisdicción. La custodia de claves de cifrado permanece en la jurisdicción. El geofencing aplica la residencia de datos. Plantillas de cumplimiento preconfiguradas para GDPR, DORA, NIS 2, HIPAA, CMMC y más entregan la evidencia de cumplimiento continuo que exigen los reguladores.

Qué debe hacer ahora cada contratista federal y CISO

Compara tu infraestructura de IA con el marco de tres pilares del DHS. Si no puedes identificar una única puerta de enlace gobernada por la que todos los agentes de IA acceden a datos sensibles, tienes el mismo problema de fragmentación que el DHS intenta resolver—y la misma exposición de cumplimiento. Esta estrategia no es una guía opcional. Es el modelo para requisitos de compras y términos de contrato bajo OMB M-25-21 y M-25-22.

Audita tu procedencia de datos y controles de compartición entre límites. La GAO encontró que el DHS no podía documentar fuentes de datos ni verificar confiabilidad. Si eres contratista o agencia asociada y no puedes demostrar seguimiento de procedencia y aplicación automatizada de compartición, tienes el mismo riesgo de auditoría señalado por la GAO—y el reloj de remediación ya corre.

Cierra la brecha de contención antes que la de gobernanza. La mayoría de las organizaciones ha invertido en monitoreo. Pocas han invertido en detener. El vínculo de propósito, los interruptores de apagado y el aislamiento de red son los controles que evitan que un agente de IA que se comporte mal provoque una filtración de datos. El sesenta por ciento de las organizaciones carece de al menos uno. Prioriza la contención. Gobernanza sin contención es solo vigilancia.

Exige registros de auditoría con calidad probatoria independientes de la memoria del agente de IA. El treinta y tres por ciento de las organizaciones carece totalmente de ellos. El resto suele tener registros fragmentados en sistemas desconectados. Los registros de auditoría inmutables y centralizados no son una función. Son la base de cualquier postura de cumplimiento defendible.

La estrategia lo describe. Kiteworks lo entrega.

La estrategia de IA del DHS no es aspiracional. Es prescriptiva. Nombra la arquitectura—puertas de enlace centralizadas, autorización continua, procedencia de datos, responsabilidad en el ciclo de vida—y nombra las brechas. Para las organizaciones que mueven datos sensibles entre límites organizacionales, trabajan con agencias federales o reconocen que la IA sin gobernanza es un riesgo, el camino está claro.

La infraestructura para cumplir con estos requisitos ya existe. La Red de Datos Privados de Kiteworks—con su servidor MCP, Motor de Políticas de Datos, aplicación de RBAC/ABAC, registros de auditoría inmutables y ruta de implementación FedRAMP—proporciona la infraestructura de datos de IA gobernada que describe el DHS y que la mayoría de las organizaciones aún no tiene.

La pregunta no es si tu organización necesita esto. Es si lo tienes antes de la próxima auditoría, la próxima decisión de compras o el próximo incidente que te obligue a responder.

El DHS escribió los requisitos. Kiteworks construyó la plataforma.

Preguntas frecuentes

Los contratistas federales que se preparan para auditorías de cumplimiento de IA deben saber que la estrategia de IA del DHS exige tres capacidades: una puerta de enlace empresarial de IA como servicio con autorización continua, gobernanza de datos con seguimiento de procedencia y controles de compartición entre componentes, y gobernanza que vincule las inversiones con resultados de misión. Estos requisitos provienen del OMB M-25-21 y definirán el lenguaje de compras y los términos contractuales en todos los componentes del DHS.

La estrategia de IA del DHS aborda la gobernanza de datos entre componentes exigiendo aplicación automatizada de políticas en los límites organizacionales, seguimiento de procedencia de datos y estándares comunes de calidad. Para agencias que comparten datos sensibles entre componentes, esto reemplaza las aprobaciones manuales por controles arquitectónicos que aplican las reglas de compartición antes de que los datos se muevan.

La GAO detectó que el DHS no documentó fuentes de datos, no verificó la confiabilidad de los datos ni mantuvo un inventario de IA preciso. Las organizaciones que se preparan para una supervisión más estricta deben priorizar registros de auditoría inmutables, seguimiento de procedencia de datos y controles de responsabilidad en el ciclo de vida. Kiteworks aborda directamente estas brechas con registros de auditoría con calidad probatoria, seguimiento completo de metadatos y una ruta de implementación de cumplimiento FedRAMP.

Kiteworks ya cumple con los requisitos de puerta de enlace del DHS para organizaciones que implementan agentes de IA sobre contenido sensible. Su servidor MCP en producción actúa como la puerta de enlace centralizada de IA y su Motor de Políticas de Datos aplica RBAC y ABAC en cada solicitud de agente antes de que los datos se muevan. Los registros de auditoría inmutables y una ruta de implementación FedRAMP completan la postura de cumplimiento.

Solo el 43% de las organizaciones cuenta con una puerta de enlace centralizada de datos de IA, según el Informe de Pronóstico Kiteworks 2026. El 57% restante carece de un punto de aplicación unificado para control de acceso, registro de auditoría y aplicación de políticas—exactamente las capacidades que ahora exigen el DHS, la GAO y el OMB para una implementación responsable de IA en agencias federales y sus contratistas.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks