En los posts anteriores de esta serie vimos cómo la inteligencia artificial está impactando nuestras empresas: cómo los usuarios filtran información sin intención, cómo las herramientas no autorizadas operan en las sombras y cómo los delincuentes usan la misma tecnología para atacarnos.
Aquí es donde realmente tiene sentido responder la pregunta con la que arrancamos: ¿cómo protejo la IA?
Y eso no tiene otro nombre sino gobierno.
Cuando ya tenemos una foto completa del entorno que debemos proteger, cuando vemos los riesgos y somos conscientes de ellos, entonces sí podemos responderla.
La IA no se prohíbe — se gobierna
La IA no hay que prohibirla en las organizaciones. Muchas ya pasaron por ese proceso y tuvieron que revertir la decisión. La IA hay que gobernarla: entender cómo impacta a la empresa, qué procesos se ven afectados por su inclusión, quiénes tienen acceso y a qué le vamos a dar acceso. Porque no es solo quién la usa — es qué información le estamos entregando.

Cuando no hay gobierno, el presupuesto desaparece primero
Tengamos en mente lo que está pasando estas semanas. Empresas que ya dijeron públicamente que se quedaron sin presupuesto de IA para lo que queda del año. No son empresas pequeñas — hablamos de Microsoft, Uber y varias más que no pueden justificar ese gasto.
Uber gastó todo su presupuesto de IA de 2026 en cuatro meses. Microsoft revocó las licencias de sus desarrolladores meses después de habilitarlas. Una empresa anónima gastó 500 millones de dólares en un solo mes por no haber configurado límites de uso.
Ese es un ejemplo claro de falta de gobierno: no se tiene visión de quién usa la IA ni para qué. Ya nos pasó algo similar con la nube — la tendencia de mover cargas y luego tener que aterrizarlas de nuevo. Y al final, la gran inversión en IA terminó afectando el capital humano de las empresas.

¿Vieron que Nvidia es el que más está ganando con todo esto? Pero ese será para otro análisis.
El caso de las PYMEs
Pongámonos en el papel de una PYME. Es uno de los segmentos más afectados en estos casos: no solo quiere estar en la tendencia, sino que es quien menos sabe cómo hacerlo. Y paradójicamente, es más fácil conseguir presupuesto para IA que para ciberseguridad.
ISO 42001: el mapa de ruta
Para tener un marco de referencia, podemos hacer uso de la ISO 42001. Nos permite, a través de un ciclo PHVA — que varios ya conocemos de otras normas — guiarnos en los pasos necesarios para la adopción y gobernanza de la IA en las empresas. Es una opción certificable, al igual que la ISO 27001 o la ISO 9001.
No estoy diciendo que salgamos a certificarnos mañana. Es una herramienta que nos da un mapa de ruta.

Colombia ya se está moviendo
El país también está dando pasos en este sentido. Tenemos el CONPES 4144, publicado en febrero de 2025, que establece la Política Nacional de Inteligencia Artificial. Y un proyecto de ley que busca clasificar los riesgos de IA, basado en el reglamento de la Unión Europea.
No hay que esperar a que estas normas estén publicadas para actuar. Ya podemos hacerlo con los borradores y las herramientas disponibles.
Dos caminos según el tamaño de la empresa
Para corporaciones: ISO 42001 como marco. Levantamiento de brechas y riesgos, mapa de gobierno de IA de la organización y una política formal aprobada.
Para PYMEs: inventario claro de las herramientas de IA en uso, quiénes las usan y para qué. Definir qué se puede y qué no se puede hacer con la IA dentro de la empresa.
Todo esto se complementa con las leyes de protección de datos ya vigentes.
La IA no es un enemigo — es una herramienta que debemos saber aprovechar sin perder de vista los riesgos asociados.
Lee los posts anteriores de la serie:
- Post 01 — ¿Qué significa proteger la IA en tu empresa?
- Post 02 — Shadow AI: la fuga de datos que nadie ve
- Post 03 — Ataques con IA en Colombia: cómo funcionan y cómo protegerse
Referencias
ISO. (2023). ISO/IEC 42001:2023 — Artificial intelligence management systems. International Organization for Standardization. https://www.iso.org/standard/42001
Secure Privacy. (2026, febrero 20). ISO 42001 implementation: A practical guide to building an AI management system (AIMS). https://secureprivacy.ai/blog/iso-42001-implementation-guide-2026
RSI Security. (2025, noviembre 28). AI management system implementation guide: ISO 42001 roadmap. https://blog.rsisecurity.com/ai-management-system-roadmap/
Pacific Cert. (2026, abril 10). ISO/IEC 42001 and the rise of AI management systems. https://blog.pacificcert.com/iso-iec-42001-and-the-rise-of-ai-management-systems/
Garrigues. (2026, enero 2). Mapa regulatorio de la inteligencia artificial en Colombia. https://www.garrigues.com/es_ES/noticia/mapa-regulatorio-inteligencia-artificial-colombia
Digital Watch Observatory. (2025, julio 17). Colombia’s national AI policy — CONPES 4144. https://dig.watch/resource/colombias-national-ai-policy
CMS Law. (2026, febrero 17). AI laws and regulations in Colombia. https://cms.law/en/int/expert-guides/ai-regulation-scanner/colombia
Nivelics. (2026, abril 19). Impacto real de la IA en empresas LATAM 2026: cifras, sectores y brechas. https://www.nivelics.com/blog/impacto-ia-empresas-latam-2026
TechCrunch. (2026, junio 5). The token bill comes due: Inside the industry scramble to manage AI’s runaway costs. https://techcrunch.com/2026/06/05/the-token-bill-comes-due-inside-the-industry-scramble-to-manage-ais-runaway-costs/
Axios. (2026, mayo 28). AI sticker shock hits corporate America. https://www.axios.com/2026/05/28/ai-spending-roi-enterprise-costs
Android Authority. (2026, mayo). A company spent $500 million in one month after forgetting to set AI usage limits. https://www.androidauthority.com/skyrocketing-enterprise-ai-costs-3672603/
The State of AI. (2026, junio). The time bomb went off: AI’s all-you-can-eat era just ended in real time. https://www.thestateofai.com/news/ai-subscription-price-subsidiation-ending