La gobernanza IA dejó de ser un tema de agenda futura para convertirse en una responsabilidad operativa del CISO hoy. En sectores industriales donde la automatización ya toma decisiones sobre procesos físicos —apertura de válvulas, gestión de carga eléctrica, control de accesos a plantas—, la pregunta ya no es si auditar esas decisiones, sino cómo hacerlo sin frenar la operación.
El problema de fondo es estructural. La inteligencia artificial se adoptó rápido. Los marcos para gobernarla, mucho más despacio. Según el IBM Cost of a Data Breach Report 2025, el 77% de las organizaciones ya despliega IA o modelos de lenguaje en sus entornos de seguridad, pero solo el 37% cuenta con políticas formales para gobernarla. Es una brecha que, en entornos IT corporativos, genera riesgos tolerables. En entornos OT con infraestructuras críticas, puede tener consecuencias físicas.
Cuando la IA opera en OT, la gobernanza no es opcional
En una planta industrial, una decisión automatizada incorrecta no produce un reporte erróneo ni un email mal enviado. Puede detener una línea de producción, activar una respuesta de seguridad física o, en el peor escenario, generar un incidente que afecte a personas o comunidades. Por eso, aplicar al entorno OT los mismos criterios de gobernanza que se usan en IT no alcanza: los tiempos, las consecuencias y las restricciones operativas son completamente distintos.
Lo que hace complejo el problema es que la IA en entornos industriales rara vez llega de manera ordenada. Llega en capas: primero como asistencia al monitoreo, después como componente de detección de anomalías, luego como módulo de respuesta automática. Cada capa agrega autonomía. Y cada grado de autonomía que se delega a un sistema requiere, en paralelo, un mecanismo para auditarlo.
Como señala el equipo de ESET en su análisis de tendencias para 2026, las organizaciones en América Latina enfrentarán exigencias crecientes en el uso de IA en infraestructuras críticas, incluyendo la necesidad de controles de integridad, auditorías de proveedores y políticas claras de respuesta ante incidentes relacionados con sistemas automatizados.
El CISO como árbitro de la autonomía
El rol del CISO está cambiando de manera concreta. Según el análisis de Fortinet sobre el rol del CISO en 2026, las juntas directivas están dando a los CISOs acceso directo al liderazgo ejecutivo porque reconocen que los riesgos relacionados con la IA no pueden delegarse a equipos técnicos aislados. Las decisiones sobre despliegue de IA, acceso a datos y estructuras de control tienen consecuencias directas sobre la continuidad operativa y la reputación corporativa.
Eso redefine qué significa gobernar la IA desde el rol del CISO. No se trata solo de validar que los sistemas funcionen correctamente en condiciones normales. Se trata de responder preguntas más difíciles: ¿qué hace este sistema cuando los datos que recibe son inconsistentes? ¿Qué decisión toma si un sensor falla? ¿Quién tiene autoridad para pausar o revertir una acción automatizada en medio de un incidente? ¿Y queda registro de eso?
La trazabilidad es el núcleo de la gobernanza IA en entornos críticos. Sin un registro claro de por qué un agente tomó cierta decisión, el análisis forense se vuelve imposible y el cumplimiento normativo, indemostrable. Como se plantea en el análisis de tendencias de ciberseguridad 2026 de Cyber Summit, reguladores y juntas directivas piden algo concreto: control real y visibilidad clara sobre cómo se usa la IA, quién la entrena, dónde se ejecuta y qué decisiones automatiza.
Qué implica auditar una decisión automatizada en OT
Auditar decisiones en entornos IT es relativamente directo: hay logs, hay sistemas de gestión de eventos, hay trazabilidad de acciones sobre datos. En OT, el desafío es mayor porque los sistemas industriales no fueron diseñados con auditoría en mente. Los PLCs y los sistemas SCADA generan datos operacionales, no registros de decisión. Saber qué hizo un sistema no es lo mismo que entender por qué lo hizo.
Una gobernanza IA funcional para entornos OT necesita cubrir al menos cuatro dimensiones:
| Dimensión | Qué implica en OT |
|---|---|
| Trazabilidad | Registro de cada decisión automatizada: qué dato la disparó, qué acción tomó, con qué nivel de confianza |
| Explicabilidad | Capacidad de reconstruir la lógica de una decisión para análisis forense o cumplimiento normativo |
| Límites de actuación | Definición clara de qué puede y qué no puede decidir autónomamente el sistema, sin intervención humana |
| Supervisión activa | Roles y personas con autoridad para pausar, revertir o escalar decisiones automatizadas en tiempo real |
Ninguna de estas dimensiones es puramente técnica. Todas requieren decisiones de liderazgo: qué nivel de autonomía es aceptable, quién responde cuando el sistema falla, cómo se integra la gobernanza IA en los frameworks de ciberseguridad existentes como IEC 62443 o NIST CSF.
La brecha que América Latina no puede ignorar
En la región, el contexto normativo está en construcción. México, Argentina y Colombia están desarrollando estrategias nacionales de gobernanza IA, pero los marcos regulatorios son aún incipientes comparados con el AI Act europeo. Esa ausencia de presión regulatoria inmediata puede generar una falsa sensación de margen. El problema es que las organizaciones industriales no esperan a la regulación para adoptar IA: la adoptan porque resuelve problemas reales de eficiencia y detección.
El resultado es lo que el Club CISO denomina «automatizaciones invisibles»: sistemas de IA desplegados por equipos de operaciones o negocio sin supervisión formal de seguridad, que toman decisiones sin que nadie haya definido cómo auditarlas. En entornos OT, cada una de esas automatizaciones puede convertirse en un punto ciego de gestión de riesgos en ciberseguridad industrial.
La ciberseguridad en infraestructuras críticas exige hoy que el CISO tenga visibilidad sobre qué sistemas de IA están operando en la red OT, con qué nivel de autonomía, y qué registros dejan. Sin esa visibilidad, no hay gobernanza posible. Y sin gobernanza, la resiliencia operativa es frágil.
Por dónde empezar: la gobernanza como práctica, no como proyecto
La buena noticia, como señalan desde Cyber Summit en su análisis de tendencias, es que la gobernanza IA no siempre requiere grandes herramientas nuevas. Muchas prácticas se pueden integrar en marcos de ciberseguridad industrial existentes sin reinventar todo. El primer paso es más estratégico que técnico: decidir qué nivel de autonomía es aceptable para cada tipo de decisión en cada parte del entorno OT.
A partir de ahí, la gestión de activos OT y la visibilidad de red ofrecen la base operativa: no se puede gobernar lo que no se ve. Un inventario completo de los sistemas con componentes de IA —incluyendo los que llegaron sin un proceso formal de aprobación— es el punto de partida para cualquier programa de auditoría de decisiones automatizadas.
El CISO que en 2026 no tiene respuesta para «¿qué decisiones toma la IA en tu entorno OT y quién las audita?» no enfrenta solo un problema técnico. Enfrenta un problema de gobernanza que tiene nombre, y que tarde o temprano va a aparecer en una auditoría, en un incidente o en una conversación con el directorio.
¿Querés discutir estos desafíos con CISOs y referentes OT de la región? El Industrial Cyber Summit es el espacio donde la industria latinoamericana comparte experiencias reales sobre ciberseguridad y resiliencia operativa.
