AI Ha Generado Dos Nuevos Problemas – Y La Gobernanza de Identidad Es El Único Lugar Donde Se Encuentran
La inteligencia artificial ha transformado silenciosamente la gobernanza de identidad en el lugar donde se deciden los flujos de poder reales: quién (o qué) puede mover dinero, cambiar código o reescribir registros. Este cambio ha planteado a los CISO y CIO dos problemas que nadie realmente firmó: la IA dentro del stack de identidad que toma decisiones de acceso, y la IA actuando como identidades poderosas en toda la empresa.
El Problema de la IA en la Gobernanza de Identidad
Un incidente simple ilustra esta realidad: un asistente de IA en ITSM cambia de «recomendar» a «auto-ejecutar», comenzando a aprobar silenciosamente reglas de firewall arriesgadas y cambios de configuración, y solo aparece en el radar cuando se pregunta cómo una cuenta auxiliar obtuvo poderes de administrador de facto. No ocurrió nada místico con el modelo; fue un clásico punto ciego disfrazado: una cuenta de IA no patrocinada con poderes de nivel de producción y sin rastro documental sobre quién la activó, qué puede tocar o cómo desactivarla de manera segura.
No solo «tienes IA» ahora. Tienes IA en dos lugares que importan:
- IA dentro de tu stack de identidad, moldeando silenciosamente quién obtiene qué acceso.
- IA actuando como identidades en tu negocio, realizando trabajos que antes hacían los humanos.
Ambos ya están en producción en la mayoría de las empresas. La gobernanza aún está en modo piloto en muchas organizaciones.
Desafíos para los CISO y CIO
Durante años, la gobernanza de identidad se centró en políticas, flujos de trabajo y revisiones. Era lenta y a menudo dolorosa, pero al menos sabías quién tomaba las decisiones: tus gerentes, propietarios de aplicaciones y equipos de riesgo. Eso está comenzando a cambiar.
Las plataformas modernas de IGA dependen cada vez más de la IA para agrupar solicitudes de acceso similares, señalar derechos anómalos y sugerir decisiones de «aprobar/negar», evitando que tus revisores se ahoguen en ruido. En la práctica, eso significa que los algoritmos ahora moldean el acceso tanto como tus políticas escritas.
Para los CISO, esto plantea preguntas incómodas sobre confianza y explicabilidad. Si una recomendación asistida por IA conduce a la concesión de un derecho de alto riesgo, ¿puedes explicar a un auditor o regulador por qué esa decisión tenía sentido en ese momento? Si el modelo aprendió de una base deficiente, puede normalizar exactamente los comportamientos que has estado tratando de eliminar, pero a velocidad de máquina.
Para los CIO, el cálculo es diferente pero igual de complicado. Necesitas un IGA que pueda mantenerse al día con SaaS, la nube y proyectos de IA sin convertir cada sprint en un cuello de botella de acceso. La IA parece ser la única forma realista de eliminar el retraso de aprobaciones de bajo valor y revisiones rutinarias. El riesgo es que, sin guardrails claros, la «optimización» se convierta en una automatización invisible donde nadie puede decir dónde termina el juicio humano y comienzan las decisiones de IA.
Identidades No Humanas y Su Impacto
El segundo problema es más fácil de ver pero más difícil de dominar. Los datos recientes de riesgo de IA de CISO muestran que las identidades no humanas, incluidas las agentes de IA, ahora rivalizan o superan las cuentas humanas en muchos entornos, a pesar de que pocas organizaciones pueden ver dónde esos agentes tienen acceso. Ellos abren tickets, dirigen incidentes, fusionan código, mueven datos, cierran casos y escriben en sistemas de registros. Cada vez que un sistema de IA puede cambiar el estado en un sistema de producción, has creado efectivamente un nuevo operador.
La industria aún tiende a hablar de estos sistemas como «características» o «bots». Por el contrario, los programas de identidad están construidos en torno a las personas. El resultado es un punto ciego de identidad no humana. La mayoría de las organizaciones que son maduras para la identidad humana están casi en blanco cuando se trata de agentes de IA: funcionan con secretos compartidos, tokens de inquilino amplios o claves API sin control; rara vez aparecen en revisiones de acceso; muchos no activarían ninguna alerta si su ámbito se expandiera silenciosamente.
Desde la silla de un CISO, estos agentes de IA parecen una nueva clase de interno. Son incansables, nunca olvidan una credencial y pueden operar a una escala que ningún humano podría igualar. Cuando están mal configurados o abusados, se convierten en motores de brechas impulsados por políticas: ejecutan exactamente lo que les dijiste que hicieran, solo en todos los lugares que no te diste cuenta que les diste alcance. Tus preguntas de riesgo cambian de «¿nuestros administradores están sobreprivilegiados?» a «¿qué trabajadores digitales pueden mover dinero, cambiar código o tocar datos regulados—y quién es responsable de ellos?»
La Necesidad de Una Gobernanza Unificada
El giro es dejar de tratar a los sistemas de IA como efectos secundarios de otras plataformas y comenzar a tratarlos como identidades por derecho propio. En la práctica, eso significa que cada agente de IA obtiene un propietario, un propósito comercial y un nivel de riesgo; sus derechos se definen en políticas en lugar de estar enterrados en configuraciones específicas de aplicaciones; y aparece en revisiones, certificaciones y líneas de tiempo de incidentes como cualquier otro usuario poderoso. Una vez que ves la IA como una identidad, el hogar natural para controlar no es otra herramienta solo de IA, sino tu plano de control de gobernanza de identidad.
La IA dentro de IGA y la IA como identidad pueden parecer historias separadas, pero operativamente, convergen en las mismas preguntas:
- ¿Quién es el propietario de este sistema de IA?
- ¿Qué puede ver, cambiar o activar?
- ¿Cómo detectamos cuando su comportamiento o acceso cambia de maneras que importan?
- ¿Qué evidencia podemos producir de que está bajo control?
Puedes responder a esas preguntas de manera ad hoc en scripts, consolas específicas de aplicaciones y comités por un tiempo. Pero eso no escala. El único lugar sostenible donde ambos tipos de IA pueden ser gobernados juntos es tu plano de control de gobernanza de identidad, donde humanos, máquinas y agentes viven en el mismo modelo de identidad, sujetos a los mismos controles de ciclo de vida y políticas.
Conclusión
Para los CISO y CIO, esto crea una agenda compartida:
- Construir un inventario unificado de identidades humanas y no humanas, con niveles de riesgo claros y propietarios responsables.
- Establecer reglas explícitas sobre dónde la IA puede recomendar y dónde puede actuar, y hacer visibles esas reglas en manuales de funcionamiento, plataformas y flujos de revisión.
- Alimentar señales de identidad de IA—nuevos agentes, cambios de alcance, patrones de acceso inusuales—en tus programas de detección y resiliencia, no solo en tus tableros de gobernanza.
Las juntas no quieren una conferencia sobre modelos. Quieren saber si puedes explicar, restringir y evidenciar lo que tu IA puede hacer con sistemas y datos que importan. Enmarcar el riesgo de IA como una cuestión de identidad y datos, en lugar de una historia abstracta de «riesgo de IA», hace que tu programa sea más creíble y más financiable.
Si no puedes responder a estas preguntas, tu programa de IA ya está por delante de tu gobernanza de identidad. Las organizaciones que ganarán con la IA en los próximos años no solo serán las que se muevan más rápido. Serán las que sepan exactamente qué tan rápido pueden moverse sin perder el control sobre quién—o qué—tiene permitido tocar lo que. La gobernanza de identidad es donde estableces ese límite de velocidad para ambos tipos de IA: la IA que está dentro de tu tejido de decisiones y la IA que ahora actúa como personal digital. También es donde generas la prueba que permite a las juntas, reguladores y clientes seguir diciendo «sí» a medida que escalas la IA en más de tu negocio.
