Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > La brecha en políticas de IA: el 90% usa IA y el 25% no tiene reglas

La brecha en políticas de IA: el 90% usa IA y el 25% no tiene reglas

by Patrick Spencer updated mayo 28, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 8 minutes

La Encuesta AI Pulse 2026 de ISACA encuestó a 3,400 profesionales de confianza digital en auditoría de TI, gobernanza, ciberseguridad, privacidad y roles de tecnología emergente. Tres cifras cuentan una historia que la mayoría de los líderes de seguridad ya conocen pero no han cuantificado para sus juntas directivas: el 90% dice que los empleados usan herramientas de IA. Solo el 38% tiene una política formal e integral de IA. El veinticinco por ciento no tiene ninguna política de IA.

Como reportó Infosecurity Magazine, la brecha ha producido un resultado predecible: el auge de la IA en la sombra, donde los empleados usan herramientas como LLM para agilizar su trabajo diario y, sin que nadie de seguridad lo apruebe o audite, enrutan información confidencial de la empresa a través de sistemas no autorizados. La encuesta encontró algo aún más preocupante detrás de las cifras principales: solo el 38% de los profesionales confía en que su junta comprende el riesgo de la IA. Las personas que normalmente escalarían el problema no están seguras de que quienes lo recibirían puedan interpretar lo que están diciendo.

5 conclusiones clave

1. La brecha en la política de IA ya tiene cifras concretas.

La Encuesta AI Pulse 2026 de ISACA a 3,400 profesionales de confianza digital encontró que el 90% afirma que los empleados usan herramientas de IA, pero solo el 38% tiene una política formal e integral de IA y el 25% no tiene ninguna política. Ese salto de diez puntos desde el 28% en 2025 parece un avance hasta que se compara con la curva de adopción: el uso de IA creció más rápido que la política, y la brecha se amplió. Las organizaciones sin política no son una excepción. Son una de cada cuatro.

2. Tener la política en papel no equivale a aplicarla en la capa de datos.

Un documento escrito de uso aceptable no impide que alguien pegue registros de clientes en un LLM público a las 11 p.m. Los controles deben estar donde están los datos. El Pronóstico Kiteworks 2026 encontró que el 63% de las organizaciones no puede aplicar limitaciones de propósito a los agentes de IA y el 60% no puede terminar uno que se comporte de forma incorrecta. Estas son deficiencias en el plano de control, no fallos de política. La gobernanza de IA sin aplicación en tiempo real es solo una aspiración, no cumplimiento.

3. La IA en la sombra ahora impulsa la categoría interna más costosa.

El Informe Global 2026 sobre el Costo de Riesgos Internos nombra a la IA en la sombra como el principal impulsor de incidentes por negligencia, la categoría que ya cuesta a las organizaciones $10.3M anuales y representa el 53% del costo total de riesgo interno. El 92% de las organizaciones afirma que la IA generativa cambió la forma en que los empleados comparten información; solo el 13% ha integrado formalmente la IA en sus estrategias de negocio. Esa brecha de 79 puntos entre el cambio de comportamiento y la respuesta estratégica es la superficie de pérdida de datos que explota la IA en la sombra.

4. La junta no sabe lo que no ve.

Solo el 38% de los profesionales confía en que su junta comprende el riesgo de la IA. El Pronóstico Kiteworks 2026 encontró que el 54% de las juntas no participa en la gobernanza de IA, y esas organizaciones están entre 26 y 28 puntos por detrás en cada métrica de madurez de IA: la correlación más fuerte de la encuesta. El problema de la IA en la sombra es un síntoma. La enfermedad es la desconexión de gobernanza en la cima, y ninguna política a nivel de teclado cierra esa brecha.

5. La solución es arquitectónica, no aspiracional.

La gobernanza en la capa de datos con controles de acceso basados en atributos, aplicación a nivel de contenido y registros de auditoría inalterables regula el acceso de la IA sin depender del comportamiento del usuario. Si la herramienta de IA no puede leer el contenido regulado, el pegado no importa. Si el agente de IA no puede exceder su propósito autorizado, el prompt malicioso no importa. La política aplicada en la capa de datos es la única que cierra la brecha 90/38/25.

Confías en que tu organización es segura. Pero ¿puedes verificarlo?

Léelo ahora

La IA en la sombra ya es la categoría interna más costosa

El Informe Global 2026 sobre el Costo de Riesgos Internos de DTEX y Ponemon nombra a la IA en la sombra como el principal impulsor de incidentes internos por negligencia, la categoría que cuesta a las organizaciones un promedio de $10.3M anuales y representa el 53% del costo total de riesgo interno. El costo anual promedio del riesgo interno ha llegado a $19.5M, frente a $17.4M en 2024. El 26% de los operadores de MFT ya ha experimentado incidentes de exposición de datos relacionados con herramientas de IA según el Informe de la Encuesta MFT 2025 de Kiteworks.

Los datos de DTEX/Ponemon son claros sobre la causa: el principal impulsor son empleados bien intencionados que optimizan la velocidad en flujos de trabajo complejos. Una estrategia de gobernanza enfocada principalmente en detectar internos maliciosos no cubre la verdadera superficie de brecha. La brecha de 92 a 13 puntos entre el cambio de comportamiento y la respuesta estratégica es donde vive la triada 90/38/25.

La política en papel no puede detener un pegado a las 11 p.m.

Imagina la política de uso aceptable más estricta que tu equipo legal pueda redactar. Ahora imagina a un ejecutivo de cuentas al final de un trimestre, resumiendo un contrato de cliente de 30 páginas antes de una llamada de preparación para la junta a las 8 a.m. La política dice «no pegues información de clientes en herramientas públicas de IA». El ejecutivo tiene nueve horas, un borrador por escribir y ChatGPT abierto en la siguiente pestaña. La política no detiene el pegado. La política es un documento. El pegado es un evento en tiempo real.

Sin controles en la capa de datos, donde realmente vive el registro del cliente, no hay nada entre la intención y la exfiltración. Esto es lo que el Pronóstico Kiteworks 2026 llama la brecha de contención. El 63% de las organizaciones no puede aplicar limitaciones de propósito a los agentes de IA. El 60% no puede terminar rápidamente un agente que se comporta mal. El 55% no puede aislar los sistemas de IA de la red general. Estas son deficiencias del plano de control, no fallos de política. La política escrita y la aplicación en tiempo real no son lo mismo, y los reguladores auditan cada vez más la diferencia.

El punto ciego de la junta agrava todas las demás brechas

El hallazgo de ISACA de que solo el 38% de los profesionales confía en que su junta comprende el riesgo de la IA no es una estadística blanda: es el predictor más fuerte de cuán rezagada está realmente una organización. El Pronóstico Kiteworks 2026 encontró que el 54% de las juntas no participa en la gobernanza de IA, y esas organizaciones están entre 26 y 28 puntos por detrás en cada métrica de madurez de IA. Esa es la correlación más fuerte de la encuesta.

Esto importa porque la gobernanza de IA es un problema fiduciario, no tecnológico. La fecha principal de aplicabilidad de la Ley de IA de la UE es el 2 de agosto de 2026. El Marco de Gestión de Riesgos de IA del NIST sigue evolucionando. Las leyes estatales de IA se están acumulando. Cada marco exige no solo política sino evidencia: evidencia con marca de tiempo, exportable y defendible de cómo se comportaron los sistemas de IA en la práctica. Las juntas que no han sido informadas no pueden asumir el riesgo. Los comités de auditoría que no pueden leer un mapa de control de IA no pueden firmar el lenguaje del 10-K al respecto. Cerrar la brecha de políticas a nivel de teclado no funcionará si la junta no está involucrada en lo que esas políticas deben aplicar, qué evidencia deben producir y qué inversiones requieren.

La respuesta arquitectónica: gobernanza en la capa de datos, no esperanza en el comportamiento

La solución no es más capacitación. La capacitación es necesaria, pero es la tercera línea de defensa, no la primera. La primera línea es la arquitectura. Tres propiedades definen una gobernanza efectiva.

Controles de acceso basados en atributos evaluados en cada solicitud de IA. La decisión de política considera identidad del usuario, identidad del agente, clasificación de datos, propósito y contexto juntos, en cada operación, no solo al inicio de la sesión. Cuando la herramienta de IA no puede leer el contenido regulado, el pegado no importa.

Cifrado a nivel de contenido que acompaña a los datos. Las copias derivadas siguen gobernadas incluso cuando salen del sistema original. El fallo de «pegar a las 11 p.m.» se elimina a nivel de arquitectura, no esperando que los empleados lean el documento de política.

Registros de auditoría inalterables para cada interacción de IA con contenido regulado. De calidad probatoria, a prueba de manipulaciones y que alimentan la infraestructura de SIEM y cumplimiento existente. La política en la capa de datos es política aplicada, y produce los artefactos que los reguladores exigen cada vez más como prueba de cumplimiento.

Cómo Kiteworks cierra la brecha entre política y aplicación

El servidor Secure MCP de Kiteworks y la puerta de enlace de datos IA aplican la gobernanza sobre el acceso de agentes de IA en la capa de datos, no en la capa de modelo o prompt. Las aplicaciones de modelos de lenguaje grande interactúan con Kiteworks bajo controles de acceso basados en atributos y roles, con cada operación evaluada por el motor de políticas de datos y cada interacción registrada en un registro de auditoría integral. Los agentes de IA heredan el alcance de autorización del usuario autenticado: no pueden excederlo. Un prompt envenenado, un agente mal configurado o un empleado bien intencionado que pega información se enfrentan a la misma aplicación.

Kiteworks SafeEDIT resuelve el escenario de «pegar a las 11 p.m.» de forma arquitectónica: los usuarios, incluidos externos, editan un documento dentro del entorno seguro de Kiteworks sin poseer nunca el archivo. El contenido no puede descargarse a una herramienta de IA local, copiarse en un prompt de LLM público ni salir del perímetro gobernado. La Red de Datos Privados de Kiteworks extiende esta gobernanza a correo electrónico, uso compartido de archivos, MFT, SFTP, formularios web y APIs bajo un solo motor de políticas y un registro de auditoría consolidado, produciendo los artefactos de calidad probatoria que la Ley de IA de la UE y el NIST AI RMF requieren. El 33% de las organizaciones no puede producir esos artefactos hoy según el Pronóstico Kiteworks 2026.

Qué hacer antes del próximo ciclo de auditoría

Primero, realiza una comprobación de realidad de la política de IA usando la referencia 90/38/25 de ISACA. Documenta la posición real de tu organización —sin política, política limitada o política integral— de forma honesta y por escrito antes de la próxima reunión del comité de auditoría. Ese documento es el punto de partida para la conversación con la junta.

Segundo, haz un inventario de las herramientas de IA que realmente se usan, no solo las que autorizaste. El Pronóstico Kiteworks 2026 encontró que el 100% de las organizaciones tiene IA en su hoja de ruta para 2026, pero la gobernanza va 15 a 20 puntos detrás en cada métrica de contención. La telemetría del navegador, EDR y DLP pueden generar un inventario real en una semana.

Tercero, separa los artefactos de política de los de aplicación. Un documento de política no es un control; un control es lo que un regulador puede auditar. Mapea cada cláusula de política de IA a un mecanismo específico de aplicación en tiempo real y a un flujo de evidencia concreto. El 33% de las organizaciones carece de registros de auditoría de calidad probatoria para la actividad de IA, lo que significa que dos tercios no pueden demostrar aplicación bajo examen.

Cuarto, informa a la junta con la estadística 90/38/25 y la posición de tu organización frente a ella. Presenta la gobernanza de IA como una responsabilidad fiduciaria vinculada a la aplicación de la Ley de IA de la UE, las expectativas del NIST AI RMF y las leyes estatales de IA. Las juntas responden a exposiciones concretas, no a riesgos abstractos.

Quinto, traslada la gobernanza de la capa de prompt a la capa de datos. Los filtros de prompt y los límites del modelo se pueden eludir; el propio white paper de ISACA documenta que los límites no son universales ni infalibles. La gobernanza aplicada en la capa de datos, con controles de acceso basados en atributos y cifrado a nivel de contenido, no depende de que el modelo se comporte correctamente.

Para saber más sobre cómo gobernar datos sensibles en una organización impulsada por IA, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

Una política escrita es documentación, no aplicación. Los reguladores que auditan controles de IA exigen cada vez más evidencia de aplicación en tiempo real: prueba de lo que el sistema realmente hizo. El Pronóstico Kiteworks 2026 encontró que el 33% de las organizaciones carece de registros de auditoría de calidad probatoria. Sin ellos, una política de uso aceptable es indemostrable bajo examen, sin importar lo bien redactada que esté. Las organizaciones de servicios financieros enfrentan un escrutinio paralelo bajo los marcos de la SEC, FINRA y FFIEC, cada uno exigiendo evidencia, no solo documentación.

La IA en la sombra genera exposición HIPAA porque cada interacción de IA con información de salud protegida es una posible divulgación a un tercero no autorizado. El estándar de aplicación de HIPAA no es si la divulgación fue intencional, sino si existían protecciones razonables. Una política sin aplicación en la capa de datos no cumple ese estándar. El Informe Global 2026 sobre el Costo de Riesgos Internos nombra a la IA en la sombra como el principal impulsor de incidentes por negligencia, la categoría que las sanciones HIPAA buscan directamente.

Comienza con la Encuesta AI Pulse 2026 de ISACA: el 90% de los empleados usa IA, el 38% tiene una política integral y solo el 38% de los profesionales confía en que su junta comprende el riesgo de la IA. Relaciona eso con la posición de tu organización frente al referente. Presenta la gobernanza de IA como una responsabilidad fiduciaria vinculada a la fecha de agosto de 2026 de la Ley de IA de la UE y a las leyes estatales emergentes de IA. Las juntas responden a exposiciones y plazos de cumplimiento concretos, no a informes de riesgo abstractos.

Las familias AC, AU e IA de CMMC nivel 2 requieren autorización aplicada para cualquier acceso a CUI, incluido el acceso de agentes de IA. El Pronóstico Kiteworks 2026 encontró que el 63% de las organizaciones no puede aplicar limitaciones de propósito a los agentes de IA. Los controles de acceso basados en atributos en la capa de datos cumplen simultáneamente los requisitos de AC, AU e IA y generan la evidencia de registros de auditoría que las evaluadoras requieren.

Empieza por la arquitectura, no por la prohibición. Implementa gobernanza en la capa de datos que permita el uso autorizado de IA sobre datos autorizados mientras bloquea combinaciones no autorizadas. El 100% de las organizaciones tiene IA en su hoja de ruta para 2026: el objetivo es habilitación gobernada, no restricción total. Los controles de acceso basados en atributos, DRM a nivel de contenido vía la puerta de enlace de datos IA y registros de auditoría inalterables permiten que la gobernanza escale con la adopción en vez de combatirla.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones falla en la seguridad de datos de IA
  • eBook
    Brecha de gobernanza de IA: por qué el 91% de las pequeñas empresas juega a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe un «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks