Servicios Experiencia Blog Cursos Home Lab Hablemos
Estrategia · Riesgos

Gobernanza de IA en empresas: ISO 42001 y los primeros pasos

10 de junio de 2026 · 6 min lectura

En los posts anteriores de esta serie vimos cómo la inteligencia artificial está impactando nuestras empresas: cómo los usuarios filtran información sin intención, cómo las herramientas no autorizadas operan en las sombras y cómo los delincuentes usan la misma tecnología para atacarnos.

Aquí es donde realmente tiene sentido responder la pregunta con la que arrancamos: ¿cómo protejo la IA?

Y eso no tiene otro nombre sino gobierno.

Cuando ya tenemos una foto completa del entorno que debemos proteger, cuando vemos los riesgos y somos conscientes de ellos, entonces sí podemos responderla.

La IA no se prohíbe — se gobierna

La IA no hay que prohibirla en las organizaciones. Muchas ya pasaron por ese proceso y tuvieron que revertir la decisión. La IA hay que gobernarla: entender cómo impacta a la empresa, qué procesos se ven afectados por su inclusión, quiénes tienen acceso y a qué le vamos a dar acceso. Porque no es solo quién la usa — es qué información le estamos entregando.

Gobierno de IA en empresas: definir quién usa qué y con qué información

Cuando no hay gobierno, el presupuesto desaparece primero

Tengamos en mente lo que está pasando estas semanas. Empresas que ya dijeron públicamente que se quedaron sin presupuesto de IA para lo que queda del año. No son empresas pequeñas — hablamos de Microsoft, Uber y varias más que no pueden justificar ese gasto.

Uber gastó todo su presupuesto de IA de 2026 en cuatro meses. Microsoft revocó las licencias de sus desarrolladores meses después de habilitarlas. Una empresa anónima gastó 500 millones de dólares en un solo mes por no haber configurado límites de uso.

Ese es un ejemplo claro de falta de gobierno: no se tiene visión de quién usa la IA ni para qué. Ya nos pasó algo similar con la nube — la tendencia de mover cargas y luego tener que aterrizarlas de nuevo. Y al final, la gran inversión en IA terminó afectando el capital humano de las empresas.

Costos de IA sin control: presupuestos agotados antes de mitad de año

Nota del autor

¿Vieron que Nvidia es el que más está ganando con todo esto? Pero ese será para otro análisis.

El caso de las PYMEs

Pongámonos en el papel de una PYME. Es uno de los segmentos más afectados en estos casos: no solo quiere estar en la tendencia, sino que es quien menos sabe cómo hacerlo. Y paradójicamente, es más fácil conseguir presupuesto para IA que para ciberseguridad.

ISO 42001: el mapa de ruta

Para tener un marco de referencia, podemos hacer uso de la ISO 42001. Nos permite, a través de un ciclo PHVA — que varios ya conocemos de otras normas — guiarnos en los pasos necesarios para la adopción y gobernanza de la IA en las empresas. Es una opción certificable, al igual que la ISO 27001 o la ISO 9001.

No estoy diciendo que salgamos a certificarnos mañana. Es una herramienta que nos da un mapa de ruta.

ISO 42001: ciclo PHVA aplicado a la gobernanza de inteligencia artificial

Colombia ya se está moviendo

El país también está dando pasos en este sentido. Tenemos el CONPES 4144, publicado en febrero de 2025, que establece la Política Nacional de Inteligencia Artificial. Y un proyecto de ley que busca clasificar los riesgos de IA, basado en el reglamento de la Unión Europea.

No hay que esperar a que estas normas estén publicadas para actuar. Ya podemos hacerlo con los borradores y las herramientas disponibles.

Dos caminos según el tamaño de la empresa

Para corporaciones: ISO 42001 como marco. Levantamiento de brechas y riesgos, mapa de gobierno de IA de la organización y una política formal aprobada.

Para PYMEs: inventario claro de las herramientas de IA en uso, quiénes las usan y para qué. Definir qué se puede y qué no se puede hacer con la IA dentro de la empresa.

Todo esto se complementa con las leyes de protección de datos ya vigentes.


La IA no es un enemigo — es una herramienta que debemos saber aprovechar sin perder de vista los riesgos asociados.

Lee los posts anteriores de la serie:


Referencias

ISO. (2023). ISO/IEC 42001:2023 — Artificial intelligence management systems. International Organization for Standardization. https://www.iso.org/standard/42001

Secure Privacy. (2026, febrero 20). ISO 42001 implementation: A practical guide to building an AI management system (AIMS). https://secureprivacy.ai/blog/iso-42001-implementation-guide-2026

RSI Security. (2025, noviembre 28). AI management system implementation guide: ISO 42001 roadmap. https://blog.rsisecurity.com/ai-management-system-roadmap/

Pacific Cert. (2026, abril 10). ISO/IEC 42001 and the rise of AI management systems. https://blog.pacificcert.com/iso-iec-42001-and-the-rise-of-ai-management-systems/

Garrigues. (2026, enero 2). Mapa regulatorio de la inteligencia artificial en Colombia. https://www.garrigues.com/es_ES/noticia/mapa-regulatorio-inteligencia-artificial-colombia

Digital Watch Observatory. (2025, julio 17). Colombia’s national AI policy — CONPES 4144. https://dig.watch/resource/colombias-national-ai-policy

CMS Law. (2026, febrero 17). AI laws and regulations in Colombia. https://cms.law/en/int/expert-guides/ai-regulation-scanner/colombia

Nivelics. (2026, abril 19). Impacto real de la IA en empresas LATAM 2026: cifras, sectores y brechas. https://www.nivelics.com/blog/impacto-ia-empresas-latam-2026

TechCrunch. (2026, junio 5). The token bill comes due: Inside the industry scramble to manage AI’s runaway costs. https://techcrunch.com/2026/06/05/the-token-bill-comes-due-inside-the-industry-scramble-to-manage-ais-runaway-costs/

Axios. (2026, mayo 28). AI sticker shock hits corporate America. https://www.axios.com/2026/05/28/ai-spending-roi-enterprise-costs

Android Authority. (2026, mayo). A company spent $500 million in one month after forgetting to set AI usage limits. https://www.androidauthority.com/skyrocketing-enterprise-ai-costs-3672603/

The State of AI. (2026, junio). The time bomb went off: AI’s all-you-can-eat era just ended in real time. https://www.thestateofai.com/news/ai-subscription-price-subsidiation-ending

¿Listo para tomar la seguridad en serio?

Agenda directamente una conversación de 30 minutos. Sin formularios, sin esperas.

LinkedIn