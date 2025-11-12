Los responsables de los datos se enfrentan a una nueva realidad dual: por un lado, están sometidos a la presión de proporcionar datos para iniciativas de IA y, por otro, deben garantizar que sus datos permanezcan seguros y fuera del alcance de los hackers. Desafortunadamente, la brecha entre el gobierno de la IA y la supervisión puede dejar esos datos expuestos.
El informe "Cost of a Data Breach" de IBM, de carácter anual, que analizó 600 organizaciones vulneradas en 17 sectores de todo el mundo, deja claro que esta brecha puede salir cara en términos de datos robados, interrupciones operativas y fuertes multas pagadas a los reguladores. Las vulneraciones de datos también pueden exponer a las empresas a daños reputacionales, erosión de la confianza entre los clientes y pérdida de clientes.
Para los directores de datos y otros líderes de datos, o cualquier otra persona responsable de la estrategia de datos, el gobierno y la creación de valor, esta investigación es una llamada de atención. Con la interrupción operativa que afecta al 31 % de las organizaciones estudiadas que han sido vulneradas, y el 60 % que experimentan compromisos directos de datos debido a ataques a la cadena de suministro y modelos de IA, los resultados son más que titulares. Son un plan de acción para los CDO.
La importancia de estas conclusiones va más allá de una cuestión de seguridad: representan un desafío de liderazgo estratégico. El CDO se sitúa en la intersección entre la innovación y el gobierno de datos, y es responsable de garantizar el poder transformador de la IA y de garantizar que la transformación no se produzca a costa de la confianza, el cumplimiento o la resiliencia.
A continuación, hay cinco cosas que los CDO necesitan saber sobre la seguridad de datos en la era de la IA, y tres cosas que necesitan hacer para asegurarse de que sus datos sigan siendo seguros.
El informe "Cost of a Data Breach" reveló que el 63 % de las organizaciones estudiadas carecían de políticas de gobierno de la IA, y solo el 37 % contaba con procesos de aprobación o mecanismos de supervisión. Si bien estos son desafíos directos para el equipo que lidera el gobierno de la IA (generalmente, el equipo legal y de cumplimiento) y sus homólogos líderes de seguridad, los CDO deben ser conscientes del problema y, antes de que sus datos se utilicen para entrenar modelos o crear aplicaciones, preguntar sobre ellos.
Por tanto, deben contribuir a definir esas políticas de gobierno y supervisión, equilibrando la innovación con el cumplimiento normativo y la gestión de riesgos, y creando una estrategia unificada en la que el gobierno de la IA, el gobierno de datos y la seguridad se complementen entre sí.
Una de cada cinco organizaciones estudiadas (20 %) experimentó vulneraciones relacionadas con la IA en la sombra, herramientas de IA no autorizadas adoptadas por empleados sin supervisión de TI o seguridad. Estos incidentes sumaron hasta 670 000 dólares al coste medio de la vulneración y expusieron de manera desproporcionada la información de identificación personal (PII) del cliente y la propiedad intelectual.
Para que quede claro, la IA en la sombra no es solo un problema técnico, también es un problema cultural. Los empleados se ven presionados a adoptar herramientas de IA que faciliten su trabajo, aumenten su productividad y les proporcionen conocimientos valiosos sobre los clientes, las cadenas de suministro y las condiciones del mercado, que cambian rápidamente. Sin embargo, si no reciben la orientación adecuada, pueden infringir los protocolos de seguridad sin darse cuenta al subir información personal identificable de los clientes o propiedad intelectual de la empresa.
Entre las organizaciones que informaron de infracciones relacionadas con la IA, un asombroso 97 % afirmó que carecían de controles de acceso adecuados. Aunque los CDO no gestionan esos controles, deben ser conscientes de este posible lapso y preguntar a sus homólogos líderes de seguridad e IA si estos controles existen y, en caso contrario, por qué. Dado que los datos impulsan la IA, los controles de acceso débiles aumentan el riesgo de que los datos confidenciales se vean comprometidos.
Entre las organizaciones vulneradas estudiadas, más de la mitad (53 %) informaron de que la PII de los clientes estaba comprometida. En las infracciones relacionadas con la IA en la sombra, esa cifra saltó a casi dos tercios (65 %). Aunque la propiedad intelectual se expuso con menos frecuencia, tuvo el mayor coste por registro (178 dólares por registro) en las vulneraciones relacionadas con la IA en la sombra.
Aunque la realidad es que los datos pueden ser vulnerables independientemente de dónde se almacenen, el informe "Cost of a Data Breach" reveló que la mayoría de las violaciones afectaban a datos distribuidos en múltiples entornos, como nubes públicas, privadas e instalaciones locales. Estos sistemas de nube híbrida pueden ser convenientes, pero también pueden introducir complejidad e invitar al riesgo, lo que se traduce en costes. Las vulneraciones de datos que implican varios entornos cuestan una media de 5,05 millones de dólares, mientras que los datos vulnerados en local cuestan una media de 4,01 millones de dólares.
Trate los conjuntos de datos de IA como activos de alto valor, al mismo nivel que los registros financieros o sanitarios.
Proteger los datos de IA es esencial no solo para garantizar la privacidad y el cumplimiento normativo, sino también para proteger la integridad de los datos, mantener la confianza en la organización y evitar que los datos se vean comprometidos. Esto significa que los CDO deben tomar medidas activas para clasificar y proteger datos sensibles en entornos de nube, locales e híbridos. Además, deben asegurarse de que toda la PII está encriptada, tanto en reposo como en tránsito.
Este enfoque significa ir más allá de los controles superficiales e implementar sólidos fundamentos de seguridad de datos: detección y clasificación de datos, así como protecciones de datos, control de acceso, cifrado y gestión de claves.
También puede incluir el uso de datos y servicios de seguridad de IA. Estas medidas no son exclusivas de la seguridad de la IA, pero el auge de esta como vector de amenazas y como ayuda para la seguridad hace que sean más importantes que nunca.
La seguridad y el gobierno de la IA son disciplinas complementarias. Cuando las organizaciones las mantienen en silos, aumentan el riesgo, la complejidad y el coste.
Las organizaciones deben asegurarse de que los equipos de CDO, CISO y cumplimiento colaboren regularmente. Invertir en software integrado de seguridad y gobierno y en los procesos para reunir a estas partes interesadas multifuncionales pueden ayudar a las organizaciones a descubrir y gobernar automáticamente la IA en la sombra.
Es vital que los CDO desempeñen un papel fundamental en el establecimiento de pipelines de datos seguros para la IA, así como directrices claras de uso de la IA. También es imperativo que gestionen el ciclo de vida completo de los modelos de IA con un gobierno integrado en cada etapa.
Reconozca que los modelos y agentes de IA funcionan como identidades con privilegios de acceso.
Es importante que los CDO traten por igual a los agentes de IA y a los humanos desde la perspectiva del gobierno de datos. Ambos requieren controles operativos para acceder a los sistemas, pero es vital que a los agentes de IA solo se les conceda acceso a la tarea específica o al flujo de trabajo para el que están diseñados.
Al adoptar un enfoque unificado y colaborativo de la seguridad y el gobierno, los CDO desempeñan un papel crucial en el fortalecimiento de la seguridad de la identidad. Al igual que los usuarios humanos, los agentes de IA dependen cada vez más de las credenciales para acceder a los sistemas y realizar tareas. Por lo tanto, es esencial implementar controles operativos sólidos, o servicios que puedan ayudarle a hacerlo, y mantener la visibilidad de toda la actividad de identidades no humanas (NHI). Las organizaciones deben poder distinguir entre los NHI que utilizan credenciales gestionadas (almacenadas) y los que utilizan credenciales no gestionadas.
El papel del CDO es más crítico que nunca. La IA está reescribiendo las reglas del liderazgo en datos, y quienes adopten la innovación responsable definirán la próxima era de empresas fiables y resilientes.
Como CDO, puede integrar el gobierno en cada etapa del ciclo de vida de la IA, proteger los datos que impulsan la IA y liderar la colaboración interfuncional para proteger los activos más valiosos de la organización.
El informe "Cost of a Data Breach" deja claro que el riesgo real no es la IA en sí, sino la IA sin gobierno.
La IA en la sombra, los controles de acceso deficientes y las responsabilidades fragmentadas están erosionando la confianza y elevando los costes.
Si toman las medidas adecuadas, los CDO no solo pueden reducir el riesgo de brechas y los costes, sino también fortalecer la capacidad de su organización para innovar con confianza.