La organización ha adelantado algunos de los avances de su estudio AI Pulse Poll 2026, que presentará el próximo 5 de mayo, y que revela importantes lagunas en la infraestructura de control y la agilidad operativa de las empresas para gestionar los riesgos derivados de la IA.
El estudio cuenta con la participación de 681 profesionales de confianza digital en Europa y pone de manifiesto una contradicción: aunque cada vez más compañías implementan herramientas de IA para automatizar sus procesos, muchas carecen de la preparación necesaria para actuar ante una crisis. Hasta un 59 % de los encuestados no sabría indicar con qué rapidez su empresa podría detener un sistema de IA tras detectarse un fallo de seguridad, y solo un 21 % podría hacerlo en menos de media hora.
Pablo Ballarín, colaborador de Isaca y experto en IA, advierte que esta no es «una tecnología cualquiera». Su complejidad supera al conocimiento que tienen muchas organizaciones, las cuales, por miedo a quedarse atrás, están llevando a cabo una «integración forzada» de la IA en procesos clave, sin entender del todo cómo funcionan los algoritmos, cómo se entrenan, de dónde provienen los datos que utilizan y, sobre todo, cómo actuar cuando estos mismos sistemas fallan.
«Si desconocemos cómo funcionan, desconocemos también los impactos que tienen», afirma Ballarín, señalando además que la velocidad con la que se ha implantado la IA no ha dejado tiempo para un análisis adecuado. «No ha habido un tiempo de adopción lo suficientemente amplio como para reflexionar sobre qué ocurre».
La ausencia de mecanismos claros de respuesta a las incidencias hace que las compañías sean más vulnerables, ya que un fallo en los sistemas de IA que emplean puede causar graves daños reputacionales y afectar directamente a la exposición y a los servicios que dependen de ellos. Tan solo un 42 % de los perfiles del sondeo dice tener seguridad en la capacidad de sus empresas para investigar y explicar un incidente importante con la IA a la dirección y los reguladores, lo que evidencia una desconfianza notable en este ámbito.
«No es un problema tecnológico, sino un problema de control y de gobierno.»
Isaca ha desvelado que el 20 % de sus encuestados no sabe quién sería el responsable final si un sistema de IA fallara y causara daños en su empresa, mientras que un 38 % apuntaría al Consejo de Administración o a algún directivo.
Estos datos reflejan un problema estructural: muchas empresas carecen de protocolos claros, la responsabilidad se diluye y, en muchos casos, no existen criterios estandarizados para evaluar el alcance del uso de la IA en el trabajo. En este sentido, un tercio de las organizaciones no exige a sus empleados que informen cuando utilizan esta tecnología.
En el marco regulatorio, el Reglamento de IA de la Unión Europea, en fase de ejecución, pide a las compañías unos requisitos de explicabilidad y responsabilidad que van más allá de los controles técnicos. Las compañías deben contar con competencias para interpretar y comunicar el comportamiento de los sistemas de IA, pero, según Isaca, estas capacidades aún no se han desarrollado a escala global.
Por todo ello, Ballarín explica que el desafío que plantea la implementación de la IA «no es un problema tecnológico, sino un problema de control y de gobierno». La gobernanza transversal, necesaria para enfrentar los retos y problemas de este tipo de herramientas, debería basarse en un análisis previo y en la definición clara de responsabilidades y capacidades, así como en una capacidad de supervisión eficaz de los sistemas.
Los datos de Isaca muestran que un 40 % de los encuestados declara que las acciones generadas por IA en sus empresas son aprobadas por humanos antes de su ejecución, lo cual es bastante positivo. Sin embargo, como apuntan los expertos, esta medida solo resulta eficaz si está respaldada por una infraestructura de control y prevención sólida.
Según Chris Dimitriadis, director de Estrategia Global de Isaca, «las herramientas para gobernar la IA de forma responsable ya existen. La gestión del riesgo, los controles preventivos, los mecanismos de detección y las estrategias de respuesta y recuperación ante incidentes son la base de una buena práctica en ciberseguridad, y deben aplicarse a la IA con el mismo rigor y urgencia».
Frente a los riesgos críticos de una IA sin gobernanza adecuada, Isaca insiste en que las empresas deben actuar con rapidez, apoyándose en profesionales capaces de evaluar las amenazas a estas tecnologías y guiar sus decisiones estratégicas. Solo así podrán convertir la voluntad de innovación tecnológica en un verdadero motor de crecimiento sostenible y responsable.
