Red Seguridad 113

red seguridad segundo trimestre 2026 35 normativa monográfico Sergi Carmona CISO de Veolia en España ¿Dónde está impactando más la normativa de ciberseguridad en las organizaciones y en qué aspectos todavía no están todavía maduras? Del mismo modo que las organizaciones siguen conviviendo con el fenómeno del shadow IT, la irrupción de la inteligencia artificial (IA) ha dado lugar a un nuevo riesgo que podríamos denominar “shadow AI” o desgobierno de la IA. Los empleados comenzaron a utilizar herramientas de IA generativa de forma autónoma, sin supervisión y, en muchos casos, introduciendo información sensible o confidencial sin conocer las implicaciones en materia de seguridad, privacidad o propiedad intelectual. Esta situación ha obligado a las empresas a establecer políticas de uso responsable de la IA que definan qué herramientas pueden utilizarse, qué información puede compartirse y cuáles son los límites aceptables. Uno de los mayores retos sigue siendo la clasificación de la información, ya que resulta difícil aplicar controles efectivos si la organización no tiene claramente identificada la criticidad de los datos. A este desafío se suma otro igualmente importante: el uso de la IA por parte de proveedores y terceros. La gestión del riesgo ya no puede limitarse a la propia organización, sino que debe extenderse a la cadena de suministro mediante evaluaciones de riesgos, requisitos contractuales y mecanismos de supervisión. En este contexto, una organización que quiera estar razonablemente preparada para la regulación debería contar, como mínimo, con una política de uso responsable de la IA, un esquema de clasificación de la información, controles técnicos que ayuden a prevenir incumplimientos, un modelo de gobernanza que supervise y apruebe los casos de uso de IA y requisitos contractuales que regulen el uso de la IA por parte de terceros. Sobre esa base podrán incorporarse posteriormente otras obligaciones, como la gestión continua del riesgo, la documentación, la trazabilidad o la supervisión humana cuando sean aplicables. El nuevo modelo de IA de Anthropic pondría de manifiesto vulnerabilidades de sistemas e incluso provocar más ciberataques y más sofisticados. ¿Qué papel deberían jugar los marcos regulatorios para equilibrar la balanza entre innovación en IA y seguridad? El objetivo de la regulación no debería ser limitar la innovación, sino garantizar que esta llegue acompañada de mecanismos de seguridad y responsabilidad. La IA, como bien sabemos, puede ayudar a un ciberdelincuente a automatizar determinadas fases de un ciberataque, pero también permite mejorar la defensa y la respuesta a incidentes. El papel de la regulación es precisamente equilibrar esa balanza. No prohibir, sino exigir una evaluación de riesgos, medidas, gobierno y supervisión. En definitiva, la regulación no debería decidir hasta dónde puede llegar la innovación, sino establecer las reglas para que esa innovación sea segura y transparente y genere confianza. Si conseguimos ese equilibrio, la IA será mucho más una herramienta para reforzar la ciberseguridad que una amenaza para ella. “El objetivo no debe ser limitar la innovación, sino garantizar que esta sea segura” “Uno de los mayores retos sigue siendo la clasificación de la información”

RkJQdWJsaXNoZXIy MTI4MzQz