Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Supervisar el comportamiento de la IA no es lo mismo que gobernarla

Supervisar el comportamiento de la IA no es lo mismo que gobernarla

by Patrick Spencer updated junio 1, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 7 minutes

Anthropic hizo un anuncio importante esta semana. Claude Enterprise ahora se integra con 28 socios de seguridad y cumplimiento a través de la nueva Claude Compliance API, brindando a los equipos de seguridad empresarial acceso programático al contenido de las conversaciones, archivos subidos y eventos de actividad de IA, alimentando estos datos a las herramientas DLP, CASB, SIEM y eDiscovery ya presentes en la tecnología de la empresa.

La señal que esto envía al mercado es, si cabe, más relevante que el propio producto. Si Anthropic está creando una API de cumplimiento, es porque sus clientes empresariales la están exigiendo. La encuesta KPMG 2025 AI Governance Survey reveló que el 62% de las empresas citan la falta de capacidades de gobernanza como la principal barrera para ampliar el uso de IA en procesos empresariales sensibles. Las empresas ya no están dispuestas a implementar IA en flujos de trabajo sensibles sin una infraestructura de gobernanza. Esa es la intuición correcta. La pregunta que vale la pena plantear es si la infraestructura de gobernanza que registra el comportamiento de la IA después de los hechos es igual a la infraestructura que controla el acceso a la IA antes de que ocurra.

No lo es, y la diferencia es crucial para las industrias reguladas.

5 conclusiones clave

1. La Compliance API de Claude marca un verdadero avance para la IA empresarial.

La Claude Compliance API de Anthropic se integra con 28 socios de seguridad empresarial —Cloudflare, CrowdStrike, Microsoft Purview, Varonis, Wiz, Relativity, Datadog y 21 más— brindando a las empresas reguladas acceso programático a registros de conversaciones, archivos subidos y eventos de actividad de IA para su ingestión en los DLP, CASB, SIEM y eDiscovery existentes. Es una capacidad relevante que antes no existía de forma estructurada y accesible por API. La señal que envía al mercado es tan importante como el producto: las empresas exigen infraestructura de gobernanza de IA antes de expandirse a flujos de trabajo sensibles.

2. Cada integración opera después de que la conversación ya ocurrió.

Todas las 28 integraciones de la Compliance API funcionan a posteriori, por lo que la herramienta es un sistema de monitoreo, no de gobernanza. Documenta lo que ocurrió, pero no puede evitar lo que no debió ocurrir. Los datos fueron procesados. El contenido fue enviado al modelo. La conversación sucedió. La API crea un registro; no cambia el resultado. Para contenido regulado, esa diferencia no es un matiz. Es la diferencia entre un control detective y uno preventivo.

3. Los datos sensibles llegan al modelo antes de que se active cualquier alerta.

Un empleado que use Claude Enterprise con la Compliance API completamente habilitada aún puede pegar CUI, adjuntar PHI o consultar datos controlados por ITAR en una conversación. La API registra la actividad, pero no la bloquea. Una capa de gobernanza previa al modelo bloquea el contenido antes de que entre en la sesión. La mayoría de los marcos regulatorios exigen controles de acceso como control principal; registrar que se accedió a datos regulados sin autorización no sustituye evitar el acceso no autorizado.

4. Las brechas de gobernanza son de toda la empresa, no específicas de un proveedor.

El 63% de las organizaciones no puede imponer limitaciones de propósito a los agentes de IA, el 60% no puede terminar un sistema de IA que se comporta mal y solo el 18% tiene políticas de gobernanza de IA totalmente integradas según el pronóstico Kiteworks 2026. El anuncio de Anthropic valida que la brecha en el mercado es real. No la cierra. Son brechas de control, no de monitoreo, y no se resuelven con un registro de auditoría más sofisticado.

5. Los controles previos al modelo definen el nuevo estándar de gobernanza regulatoria.

CMMC nivel 2 exige a las organizaciones «controlar el acceso a CUI»; el control de acceso es la frase clave, no el registro de acceso. Las salvaguardas técnicas de HIPAA especifican que las entidades cubiertas deben implementar políticas que «permitan el acceso solo a aquellas personas o programas de software que hayan recibido derechos de acceso». El estándar de cumplimiento para la IA empresarial regulada requerirá controles de contenido previos al modelo, no solo monitoreo posterior. La pregunta para los CISOs es si diseñar para ese estándar ahora o adaptarse después de una acción regulatoria que obligue a hacerlo.

Confías en que tu organización es segura. Pero ¿puedes verificarlo?

Leer ahora

El límite estructural del monitoreo posterior

Aquí está la limitación estructural que la Compliance API no puede resolver, por diseño: cada una de esas 28 integraciones opera después de que la conversación ya ocurrió. Los datos fueron procesados. El contenido fue enviado al modelo. La conversación sucedió. La Compliance API crea un registro de lo que pasó, pero no cambia lo que pasó.

Piénsalo: ¿cómo funciona la gobernanza de datos en arquitecturas de seguridad empresarial maduras? Un sistema DLP no solo registra que un empleado envió por correo electrónico un documento sensible a una cuenta personal: evita el envío. Un firewall de contenido no solo registra qué archivos se transfirieron: aplica la política de acceso en el momento de la transferencia. La arquitectura que ha demostrado ser eficaz para correo electrónico, transferencia de archivos y plataformas de colaboración opera bajo el modelo de prevenir primero y registrar después. La Compliance API aplica un modelo de registrar primero y alertar después para la IA.

Eso tiene valor. Pero es arquitectónicamente diferente de la prevención. Para contenido regulado —CUI, PHI, datos controlados por ITAR, información protegida por secreto profesional abogado-cliente— los marcos regulatorios no permiten un modelo de registro y alerta como control principal. Exigen controles de acceso. Registrar que se accedió a datos regulados sin autorización no sustituye evitar el acceso no autorizado.

Lo que puede suceder antes de que la Compliance API lo detecte

Un empleado que use Claude Enterprise con la Compliance API completamente habilitada y configurada puede: pegar el texto de un documento no clasificado controlado en un prompt de conversación; adjuntar un archivo con información de salud protegida como contexto para una tarea de Claude; escribir especificaciones técnicas controladas por ITAR en un mensaje de chat; consultar a Claude sobre el contenido de un conjunto de datos financieros sensibles al que tiene acceso en otro sistema.

En cada uno de estos casos, la Compliance API registrará la actividad. Si las reglas DLP adecuadas están configuradas, se activará una alerta. Lo que no sucederá: el contenido no será bloqueado antes de llegar a Claude. La conversación no será impedida. Los datos no serán detenidos en un límite de control de acceso antes de entrar al modelo. La Compliance API documenta la exposición; no la previene.

Para los equipos de seguridad en industrias reguladas, esto importa porque la mayoría de los marcos regulatorios exigen controles preventivos, no solo controles detectivos. CMMC nivel 2 exige a las organizaciones «controlar el acceso a CUI». Los requisitos de salvaguardas técnicas de HIPAA especifican que las entidades cubiertas deben implementar políticas que «permitan el acceso solo a aquellas personas o programas de software que hayan recibido derechos de acceso». El estándar es el control de acceso, no la documentación del acceso.

La capa de gobernanza previa al modelo: una arquitectura diferente

Una capa de gobernanza previa al modelo opera bajo un principio fundamentalmente distinto: determina qué contenido es admisible como entrada a una sesión de IA antes de que la sesión comience, no después de que termine. La lógica de control se basa en la identidad y el rol del usuario, la clasificación del contenido solicitado, el caso de uso y propósito de la IA, y el marco de cumplimiento aplicable a ese contenido. Cuando un usuario inicia una sesión de IA, la capa de gobernanza evalúa estos factores frente a una política explícita y permite, restringe o bloquea contenido específico antes de que entre en la sesión.

El servidor Secure MCP de Kiteworks se sitúa entre los sistemas de datos empresariales y los modelos de IA —incluido Claude— y aplica la política de gobernanza de contenido en la interfaz. El contenido sensible solo es accesible para sesiones de IA cuando el rol del usuario, el propósito de la sesión y la clasificación del contenido cumplen con los requisitos de la política. Los registros de auditoría capturan no solo qué contenido fue accedido, sino también qué fue solicitado y bloqueado. La puerta de enlace de datos IA extiende la misma gobernanza a los pipelines RAG y flujos de trabajo automatizados. Cada solicitud se autentica, se autoriza según controles de acceso basados en atributos y se registra en un registro de auditoría a prueba de manipulaciones, con cifrado validado FIPS 140-3 protegiendo cada ruta de datos.

Esta arquitectura permite a las empresas reguladas ampliar el acceso de IA a flujos de trabajo sensibles —adquisiciones de defensa, operaciones sanitarias, asesoría financiera— sin crear la exposición de cumplimiento que el monitoreo posterior puede documentar pero no evitar. La Red de Contenido Privado de Kiteworks extiende esto a correo electrónico, uso compartido de archivos, MFT, SFTP, formularios web y APIs bajo un solo motor de políticas y un registro de auditoría consolidado.

Qué significa esto para las implementaciones de IA empresarial regulada

Para los líderes de seguridad y cumplimiento que evalúan plataformas de IA empresarial, la pregunta que deben hacer a cada proveedor es: «¿Qué pasa si un empleado envía contenido restringido al modelo antes de que tu capa de cumplimiento lo detecte?»

Si la respuesta es «lo registramos y alertamos», tienes un sistema de monitoreo. Eso es útil para forense, respuesta a incidentes y documentación de auditoría. No satisface los requisitos de control de acceso de la mayoría de los marcos regulatorios para datos sensibles. Si la respuesta es «lo prevenimos», tienes un sistema de gobernanza. Esa diferencia determina si tu implementación de IA cumple con tus obligaciones regulatorias o simplemente queda documentada como no conforme después de los hechos.

Los marcos de cumplimiento evolucionan hacia la interpretación más protectora con el tiempo. El patrón se repitió con el almacenamiento en la nube, la gestión de dispositivos móviles y el correo electrónico seguro: en cada caso, el estándar de gobernanza maduró hacia la prevención y el control de acceso, no solo la detección y el registro. La IA sigue la misma trayectoria. Las organizaciones que diseñen ahora para el estándar maduro —construyendo la capa de gobernanza previa al modelo que controla a qué contenido sensible pueden acceder los modelos de IA— tendrán el menor coste de adaptación cuando la regulación alcance a la tecnología.

Para saber más sobre cómo gobernar flujos de trabajo de IA, agenda una demo personalizada hoy.

Preguntas frecuentes

El monitoreo de cumplimiento de IA crea un registro de lo que hicieron los modelos de IA. La gobernanza de IA controla lo que los modelos de IA pueden hacer: a qué contenido pueden acceder, para qué usuarios, bajo qué condiciones y con qué propósito. La Claude Compliance API es una herramienta de monitoreo. El servidor Secure MCP de Kiteworks y la puerta de enlace de datos IA implementan gobernanza: aplican la política de acceso antes de que el contenido llegue al modelo, previniendo el acceso no autorizado en vez de documentarlo después.

Para la mayoría de los tipos de datos regulados —CUI, PHI, datos técnicos controlados por ITAR— no, no por sí sola. CMMC, HIPAA e ITAR exigen que el acceso a datos sensibles sea controlado. Una API de cumplimiento que registra que se envió PHI a un modelo de IA documenta el incumplimiento del requisito de control de acceso, pero no lo cumple. La gobernanza previa al modelo proporciona los controles de acceso preventivos que satisfacen esos requisitos.

Una capa de gobernanza previa al modelo se sitúa entre los sistemas de datos empresariales y los modelos de IA, aplicando la política de acceso al contenido antes de que comience una sesión de IA. Evalúa el rol del usuario, la clasificación del contenido solicitado y el propósito de la sesión frente a una política explícita, y permite, restringe o bloquea contenido antes de que entre en la sesión. El servidor Secure MCP de Kiteworks implementa gobernanza previa al modelo mediante controles de acceso basados en atributos y registros de auditoría a prueba de manipulaciones en cada operación.

Contratistas de defensa que gestionan CUI bajo CMMC, organizaciones sanitarias que gestionan PHI bajo HIPAA, empresas de servicios financieros bajo requisitos de gobernanza de datos de la SEC y FINRA, y compañías aeroespaciales y de defensa que manejan datos técnicos controlados por ITAR enfrentan la exposición más directa. El pronóstico Kiteworks 2026 encontró que el 90% de las organizaciones gubernamentales y el 77% de las organizaciones sanitarias carecen de una puerta de enlace de datos IA centralizada, el punto de control que cierra la brecha.

El servidor Secure MCP se sitúa entre Claude y los sistemas de datos empresariales, aplicando la política de gobernanza en la interfaz. Cuando Claude solicita acceso a contenido sensible, el servidor evalúa esa solicitud frente a una política explícita, permite o bloquea según esa evaluación y registra el resultado en un registro de auditoría a prueba de manipulaciones. Esta gobernanza previa al modelo complementa el monitoreo posterior de la Compliance API, proporcionando la capa de control preventivo que convierte la documentación de cumplimiento en cumplimiento real.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones está fallando en la seguridad de datos de IA
  • eBook
    Brecha de gobernanza de IA: por qué el 91% de las pequeñas empresas juegan a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe un «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks