ISACA: la mayoría de las empresas no está preparada para desconectar rápidamente un sistema de AI durante un incidente

Las empresas están integrando activamente IA en procesos clave, pero en muchos casos no entienden cómo apagar rápidamente tal sistema en caso de fallo, ataque o comportamiento erróneo. Un nuevo estudio de ISACA muestra que el problema ya no es sobre experimentar con la tecnología, sino sobre la ausencia de control gerencial básico.

Dónde Se Rompe el Control

Según ISACA, el 59% de los especialistas en confianza digital encuestados en Europa no podrían decir cómo su organización es capaz de detener un sistema de IA durante un incidente de seguridad. Solo el 21% está seguro de que pueden intervenir dentro de media hora. En la práctica, esto significa un escenario desagradable: si un modelo, agente o proceso de IA automatizado comienza a tomar decisiones erróneas, se va a acciones incorrectas o está comprometido, puede continuar funcionando demasiado tiempo — incluso después de que el riesgo sea obvio.

El problema es especialmente notable ahora, cuando la IA cada vez más no está en una caja de arena, sino dentro de operaciones comerciales reales: soporte al cliente, aprobaciones internas, análisis de datos, cumplimiento normativo y automatización de decisiones. En tales sistemas, incluso media hora sin control no es un atraso abstracto, sino tiempo durante el cual puede corromper datos, interrumpir un proceso, enviar respuestas incorrectas a clientes o crear problemas regulatorios que tardará semanas en resolver después.

Brechas en la Investigación

Detener el sistema es solo la mitad de la tarea. Lo más importante es entender exactamente qué sucedió, por qué sucedió y cómo explicar las consecuencias a la gerencia o a un regulador. Pero el panorama aquí también es débil: solo el 42% de los encuestados dijeron que tienen al menos cierta confianza en la capacidad de su organización para investigar un incidente grave de IA y explicarlo claramente. Ante requisitos como la Ley de IA de la UE que entra en vigor, esto ya se ve no como una deficiencia operacional, sino como un riesgo para el cumplimiento normativo. El estudio destaca específicamente varias brechas más notables:

• 59% no sabe cómo detener rápidamente un sistema de IA durante un incidente
• solo el 42% está seguro de que puede investigar y explicar una falla grave
• el 33% de las empresas no requiere que los empleados divulguen dónde se usó la IA en materiales de trabajo
• el 20% de los encuestados ni siquiera sabe quién será responsable si la IA causa daño
• solo el 38% ve la responsabilidad final con el consejo de administración o la alta gerencia

Mientras tanto, la participación formal de humanos no resuelve el problema por sí sola. Aproximadamente el 40% de los encuestados dicen que las personas aprueban casi todas las acciones de IA antes de su ejecución, y otro 26% verifican los resultados después de los hechos. Pero si una empresa no tiene un esquema de escalación adecuado, registros de acciones, reglas de apagado claras y auditoría de uso, el control humano sigue siendo un fragmento del proceso, no un sistema de defensa completo que realmente mitigue el daño.

Quién es Responsable

Una de las conclusiones más desagradables es la responsabilidad difusa. Cuando en una empresa no está claro quién exactamente puede presionar el botón de parada, quién realiza la investigación, quién se comunica con el regulador y quién decide si devolver el sistema a la operación, cualquier incidente comienza a crecer no solo por el error en sí, sino también por las demoras organizacionales. El estudio muestra que muchas empresas aún perciben el riesgo de IA como un problema del equipo de TI o seguridad, aunque en realidad es una cuestión de gestión a nivel de toda la organización.

"La brecha entre implementación y gestión no se está cerrando — se

está ampliando."

Esta tesis describe bien el estado actual del mercado. La IA ya influye en decisiones, documentos, comunicaciones con clientes y procesos internos, pero las reglas para la propiedad del sistema, la divulgación obligatoria de su uso e intervención manual inmediata a menudo surgen después. Los expertos recomiendan tratar tales sistemas como empleados digitales: con un propietario designado, umbrales de riesgo, derecho a pausa inmediata y una ruta clara de escalación si algo sale mal.

Qué Significa Esto

La conclusión principal es simple: las empresas ya no pueden simplemente implementar IA y poner una persona "arriba". Necesita escenarios pre-planificados para detener, investigar, asignar responsabilidad y divulgar el uso de IA en procesos de trabajo. Aquellos que construyan esto ahora no solo tendrán menos riesgos, sino también la capacidad de escalar la IA sin miedo constante al próximo error, verificación regulatoria, interrupción de servicio y pérdidas de reputación en procesos críticos para el negocio.