2 min de lectura

Las políticas de IA empresarial ya están quedando por detrás de los agentes

Muchas empresas siguen gobernando la IA como si fuera solo un riesgo de un chatbot público, aun cuando los agentes ahora actúan en bases de datos, CRMs y flujos de trabajo.

Imagen: TechRadar

Muchas políticas de gobernanza de IA empresarial se escribieron para un problema más sencillo: impedir que los empleados peguen datos sensibles de la compañía en modelos públicos. Según quien firma el artículo, Chief People & AI Transformation Officer en Zapier, ese enfoque está hoy seriamente desactualizado, ya que las empresas despliegan agentes de IA que pueden consultar bases de datos, actualizar registros y activar flujos de trabajo en sistemas conectados.

El problema central es que los marcos antiguos se diseñaron para limitar la exposición, no para gestionar trabajo autónomo. Eso deja a las empresas con políticas demasiado vagas para controlar lo que los agentes pueden hacer realmente a nivel de sistema. En opinión del autor, la gobernanza solo funciona si se traduce en restricciones concretas, incluyendo a qué sistemas puede acceder un agente, qué acciones puede realizar y en qué condiciones.

El artículo plantea cuatro preguntas que las empresas deberían hacerse al auditar su gobernanza:

  • ¿Pueden los empleados ver rápidamente a qué pueden acceder las herramientas de IA en su nombre?
  • Si un agente toma una mala decisión, ¿qué tan rápido puede la empresa revocar su acceso?
  • ¿La política define usos aprobados, no solo los prohibidos?
  • ¿La gobernanza especifica permisos de los agentes a nivel de sistema?

Para abordar el primer tema, el autor recomienda mantener un inventario de permisos que cubra las herramientas de IA aprobadas, los sistemas conectados, las acciones autorizadas y el equipo o la persona responsable de cada integración. Ese registro puede gestionarse manualmente o a través de una plataforma de gobernanza de IA, pero debe mantenerse actualizado y fácil de localizar.

Para revocar el acceso, la propuesta es usar autenticación centralizada en lugar de credenciales dispersas en scripts y sesiones. El artículo señala el Model Context Protocol (MCP) como un estándar diseñado para ofrecer a los agentes una forma estructurada y auditable de acceder a sistemas externos mediante OAuth, en lugar de incrustar credenciales en indicaciones o scripts.

Recomendado

El impulso europeo en chips no acabará con la dependencia de la nube estadounidense

El autor también sostiene que la gobernanza debe definir lo que está permitido, no solo lo que está prohibido. Para los agentes, las restricciones generales no son suficientes; necesitan límites explícitos sobre las herramientas aprobadas, las conexiones a sistemas y las acciones autorizadas. En la práctica, eso significa provisionar el acceso mediante sistemas de gestión de identidades y accesos, asignar a cada agente un rol definido con permisos acotados y registrar cada acción que realiza.

En conclusión, el artículo sostiene que la gobernanza debe tratarse como un proceso operativo continuo. A medida que cambian las capacidades de los agentes, las empresas deben revisar las definiciones de acceso, auditar los permisos y actualizar los marcos de uso permitido con la suficiente rapidez para seguir el ritmo.

Marcus Vance

Enterprise Editor

Marcus follows the money. He covers enterprise software, cloud architecture, and the tectonic shifts in Big Tech strategy. He translates dense earnings calls and complex M&A activity into actionable insights about where the industry is actually heading. If a tech giant makes a silent pivot, Marcus is usually the first to notice.

vía TechRadar

// Sigue leyendo