Actualmente, muchos soñamos con desarrollar agentes de IA, compartir nuestros logros con familia, amigos y colegas, e incluso animarlos a explorar las distintas plataformas disponibles. Pero… ¿alguna vez nos detenemos a evaluar los riesgos que implica compartir estas iniciativas y la información que usamos para validar su funcionamiento?

Probablemente la respuesta sea no, y no hay que alarmarse: en el ámbito privado sucede lo mismo.

¿Pensaste alguna vez que, para usar un agente de inteligencia artificial en tu trabajo, deberías informar al área de Seguridad de la Información y a la de Gestión de Riesgos?

El uso de agentes ha logrado romper barreras de ciberseguridad desde adentro hacia afuera. La información interna de las organizaciones, utilizada para mejorar la eficiencia, termina muchas veces incorporada en modelos que no están bajo el “paraguas” de seguridad corporativa. Por ejemplo, si tu empresa opera con el paquete Office365, probablemente Copilot sea la herramienta habilitada, y no ChatGPT, Gemini u otras. Por eso, el primer warning como usuario es conocer qué motor de IA está autorizado en tu entorno laboral.

El segundo warning es el tipo de información que se utiliza para hacer pruebas o pilotos. Imaginemos que la base de precios de la compañía es confidencial. ¿Sería correcto subirla a un motor de IA sin conocer sus niveles de seguridad? Si la información es confidencial, su uso debe ser restringido, sin importar la plataforma.

El tercer warning es el contenido del prompt. Al tener libertad para redactar la ejecución como creemos más conveniente, podríamos generar sesgos involuntarios en el procesamiento de la información. Esto podría derivar en decisiones sesgadas y, eventualmente, en denuncias hacia nuestro empleador. Lo ideal es que los prompts sean aprobados de forma colegiada y luego auditados.

¿Entonces, podemos limitar o frenar el uso de agentes de inteligencia artificial por parte de los empleados? 

Creo que NO. 

El acceso a los mismos es accesible, ya sea de forma gratuita o invirtiendo poco dinero; la sensación de liberación de horas en las tareas operativas es real y los equipos buscan ser más ágiles y la información que se utiliza para ejecutar las tareas, difícilmente no puedan utilizarla para probar los pilotos. Por lo que y para no morir en el intento, te comparto mis recomendaciones para operar en un entorno de descentralización de uso de agentes de Inteligencia Artificial para mitigar los riesgos a los que se expone la organización

1️⃣ Diseñar un marco robusto de gobernanza de datos

• Revisiones éticas y técnicas para evitar sesgos.
• Auditoría de prompts y resultados.

2️⃣ Establecer políticas claras sobre acceso y uso de datos

• Auditorías periódicas y trazabilidad.

3️⃣ Definir objetivos y límites de cada agente de IA

• Propósito específico.
• Transparencia y consentimiento informado.
• Comunicación clara con los usuarios.

4️⃣ Capacitación continua

• Formación del equipo en riesgos, sesgos y buenas prácticas en el desarrollo de agentes.

---

José Francisco Scutella
Licenciado en Administración
Gerente Corporativo de Procesos & Control Interno en Adium Pharma. especializado en Riesgos y Transformación Digital.
Cuenta con amplia trayectoria en el ámbito corporativo y académico, especializado en Gobierno Corporativo, Gestión de Riesgos y Transformación Digital.
Experto en Gestión de Riesgos, Control Interno y Transformación Digital.
Speaker internacional en conferencias para profesionales con un enfoque en la integración de herramientas digitales en la gestión de riesgos y el gobierno corporativo.