Únete a la sesión del panel ejecutivo de RSAC el 24 de marzo "¡Los agentes de IA ya están aquí! ¿Estás preparado?".

Guía de Microsoft para proteger la empresa impulsada por la inteligencia artificial: gobernanza y seguridad de los datos

Un hombre vestido con traje posa delante de un fondo azul.

Información general

A medida que las organizaciones se apresuran a adoptar la IA a gran escala, la gobernanza y la seguridad de los datos se vuelven cada vez más interdependientes entre sí como pilares de la resiliencia empresarial. Para las Frontier Firms, empresas que están impulsando la transformación impulsada por la IA, la capacidad de dotar a los sistemas de IA de la capacidad de razonar sobre grandes volúmenes de datos requiere una colaboración sin precedentes entre los directores de información (CIO), los directores de seguridad de la información (CISO) y sus homólogos en materia de datos. Sin una propiedad compartida y una ejecución unificada, los riesgos como la fuga de datos, el exceso de intercambio y el uso inadecuado de la IA crecen exponencialmente.

Esta guía se basa en los temas anteriores de la serie Proteger la empresa impulsada por la IA para ayudarte a adoptar la IA de forma segura y sacar el máximo partido a tu inversión.

La brecha en la gobernanza

En algunas organizaciones, la IA se está adoptando más rápido de lo que las estructuras tradicionales de gobernanza pueden seguir. Según el Índice de Seguridad de Datos de Microsoft, solo el 47 % de las organizaciones en diversos sectores informan que están implementando controles específicos de seguridad para la IA generativa,¹ lo que revela una oportunidad para que las empresas obtengan la visibilidad necesaria para una adopción segura de la IA. Y lo que es aún más importante, según una encuesta multinacional realizada a más de 1700 profesionales de la seguridad de datos encargada por Microsoft a Hypothesis Group, el 29 % de los empleados ya ha recurrido a agentes de IA no autorizados para realizar tareas laborales.² Como resultado, las organizaciones se enfrentan a nuevos retos en materia de gestión de datos, visibilidad de la seguridad y cumplimiento normativo, especialmente cuando las herramientas de IA generativa interactúan con datos confidenciales o no estructurados.

Al mismo tiempo, los líderes empresariales están respondiendo: cada vez más organizaciones están implementando controles especializados para la IA generativa y acelerando la inversión en medidas de seguridad técnicas y operativas. El mensaje es claro: la innovación en IA no puede prosperar sin una gobernanza que la respalde y la proteja.

Un modelo unificado para la propiedad: clasificar, etiquetar, proteger, administrar

Una gobernanza eficaz de los datos requiere claridad en las responsabilidades de los cargos de director de información (CIO), director de seguridad de la información (CISO), director de datos (CDO) y director de privacidad (CPO). Sin embargo, en muchas organizaciones, la propiedad sigue estando fragmentada. Para salvar esta brecha, recomendamos un modelo compartido: clasificar, etiquetar, proteger y administrar.

1. Clasificar: establecer la observabilidad y la propiedad

El camino hacia la gobernanza comienza por saber lo que se tiene. Las organizaciones deben desarrollar una observabilidad completa de los datos estructurados, no estructurados y generados por IA, incluida la capacidad de rastrear los agentes de IA emergentes. La clasificación requiere:

Un esquema claro e intuitivo relacionado con el riesgo empresarial
Propietarios y administradores de datos designados dentro de las unidades de negocio
Inventario continuo respaldado por los esfuerzos de detección liderados por el director de información

La clasificación sienta las bases para todo lo que viene después.

2. Etiqueta: hacer que la gobernanza sea viable

Mientras que la clasificación define la intención, el etiquetado la hace cumplir. Las etiquetas de confidencialidad conectan las directivas con el uso en el mundo real, informando a los sistemas de seguridad, los controles de acceso e incluso la forma en que los empleados interactúan con los resultados de los agentes de IA.

Los elementos clave incluyen:

Implementar tecnología que ayude a hacer cumplir el etiquetado, garantizando que las etiquetas activen de forma activa las directivas de seguridad y prevención de pérdida de datos (DLP)
Una estrategia de etiquetado basada en el riesgo que refleje el impacto comercial
Formación de los empleados que refuerza cuándo y cómo aplicar las etiquetas

3. Proteger: operacionalizar la seguridad

La protección es donde las directivas se convierten en barreras de seguridad. Esto incluye:

Aplicar directivas mediante controles de acceso, como controles de acceso basados en roles (RBAC), acceso Just-In-Time (JIT) y DLP
Cifrado de datos en reposo y en tránsito
Supervisión automatizada para detectar el intercambio excesivo de información y las infracciones de las directivas
Planes estructurados de respuesta ante incidentes alineados con las normativas de privacidad

Estos controles garantizan la protección de los datos confidenciales, incluso cuando las herramientas de IA acceden a ellos y los procesan a gran escala.

4. Administrar: gobernar todo el ciclo de vida de los datos

La gobernanza es un proceso continuo. Las organizaciones deben mantener:

Directivas de retención y eliminación de datos alineadas con los principios de minimización
Supervisión continua de desviaciones en los datos, etiquetado incorrecto y anomalías en el acceso
Recertificación automatizada de la propiedad de los datos
Visibilidad y gobernanza de los agentes de IA en los equipos de TI, desarrollo y seguridad

La administración del ciclo de vida reduce la superficie de ataque y garantiza la alineación a largo plazo entre el uso de los datos y el valor comercial.

El futuro: administrar una plantilla compuesta por personas y agentes de IA

A medida que los agentes de IA comienzan a ejecutar flujos de trabajo cada vez más complejos, la gobernanza debe volver a evolucionar. Las Frontier Firms introducen el concepto de jefe agente, un nuevo rol que otorga a cada empleado la responsabilidad de los trabajadores digitales que implementa.

Este cambio crea nuevos mandatos para el liderazgo tecnológico:

Para los directores de información:

Crea un ecosistema de IA federado en el que las unidades de negocio puedan crear e implementar agentes de forma segura utilizando plantillas aprobadas, reguladas por un Centro de excelencia de IA.

Para los directores de seguridad de la información:

Amplíe la Confianza cero más allá de los usuarios humanos para incluir a los agentes autónomos. Esto significa:

Crear un inventario de todos los agentes y sus identidades
Aplicar el acceso con privilegios mínimos acorde con el puesto de cada agente
Supervisar el comportamiento de los agentes y asumir que se produce una infracción cuando los agentes interactúan con datos confidenciales

La preparación para la empresa autónoma depende de la combinación de estos nuevos controles con la responsabilidad humana.

Tus primeros 180 días: un cuaderno de estrategias conjunto para directores de información y directores de seguridad de la información

El recorrido comienza con un plan de desarrollo estructurado para ayudar a los responsables de TI y seguridad a poner en práctica la gobernanza de la IA a nivel empresarial:

Primera semana: alineación fundamental

Definir un esquema de clasificación de datos compartidos.
Mapear los activos críticos y los requisitos de continuidad.
Alinear los estándares para la creación y verificación de agentes de IA.

Primeros 90 días: detección y mapeo de controles

Inventariar casos de uso de la IA y fuentes de datos asociadas.
Realizar un análisis de DLP y de las lagunas de control.
Crear un registro de riesgos compartido y priorizar los casos de uso piloto.

Primeros 180 días: implementación y validación

Implementar nuevas etiquetas y directivas en unidades de negocio piloto.
Implementar DLP automatizada para escenarios de alto riesgo.
Establecer un consejo de gobernanza mensual para perfeccionar los controles.

Este cuaderno de estrategias ayuda a las organizaciones a transformar la gobernanza de datos de una función de cumplimiento normativo a un motor estratégico de innovación en IA.

Crear la empresa preparada para la IA

El camino hacia un futuro con tecnología de IA comienza con una base bien duradera y compartida de gobernanza y seguridad de los datos. Al alinear las responsabilidades del director de información (CIO) y del director de seguridad de la información (CISO), establecer un modelo de ciclo de vida compartido y prepararse para una plantilla híbrida compuesta por personas y agentes, las organizaciones pueden ayudar a liberar todo el potencial de la IA con mayor confianza y seguridad.

El momento para construir esta base es ahora.

Descargar la guía

Cyber Pulse: un informe de seguridad sobre IA

Perspectivas sobre el crecimiento de los agentes de IA y el camino hacia una adopción responsable y segura a través de la observabilidad, la gobernanza y la seguridad.

Portada de un libro con el texto "Estrategias de seguridad de Microsoft para gobernar la IA" junto a la ilustración de un hombre con una camisa verde sentado en una mesa con un ordenador.

Estrategias para la gobernanza de la IA

Medidas prácticas para generar confianza, reducir riesgos, recortar costes e impulsar la innovación

Dibujo lineal blanco de un papel dentro de un sobre con la palabra "Nuevo" sobre fondo azul.

Obtener CISO Digest

Mantente al día con la información de expertos, tendencias del sector e investigaciones sobre seguridad en esta serie bimestral de correos electrónicos.

[1]
Índice de seguridad de datos 2026: unificando la protección de datos y la innovación en IA, Seguridad de Microsoft, 2026
[2]
Encuesta multinacional realizada en julio de 2025 a más de 1700 profesionales de la seguridad de datos, encargada por Microsoft a Hypothesis Group.