Claves para la gobernanza en Edge AI: Seguridad y cumplimiento

Descubra cómo el fin del perímetro tradicional exige nuevos modelos de gestión de riesgos y marcos legales para proteger la inteligencia artificial.

La transición de la inteligencia artificial desde la nube hacia el borde de la red no es solo una evolución técnica; es una reconfiguración total de la infraestructura crítica empresarial. En este nuevo paradigma, la gobernanza en Edge AI se posiciona como el eje central para garantizar que la innovación no comprometa la integridad de los datos ni la viabilidad jurídica de las organizaciones.

En las más recientes jornadas digitales de The Standard CIO Edge IA & IA PCs: Inteligencia donde ocurre el trabajo, tres expertos en ciberseguridad miembros de la Asociación Latinoamericana de Profesionales de la Seguridad Informática, analizaron en la sesión Seguridad y gobernanza en la era del Edge AI: el fin del perímetro, cómo el desplazamiento de la inteligencia artificial desde la nube hacia el borde de la red (edge) está reconfigurando la infraestructura de gestión de misión crítica en los entornos empresariales.

El debate se centró en que este cambio supone un punto de inflexión para la protección de datos y la ciberseguridad, exigiendo que la gobernanza preceda a la implementación técnica para evitar riesgos como el Shadow AI, garantizar la trazabilidad de la información y cumplir con marcos legales que pueden imponer multas millonarias.

Participaron en este panel:

• José Enrique Rangel Ramírez: Director General y cofundador de Vitia Ciberseguridad Integral, especialista en tecnologías emergentes como IA, blockchain y cómputo cuántico.
• Tania Estefanía Zúñiga: Socia y fundadora de Kwantiax Legal Consulting y directora jurídica de ALAPSI, experta en estructuras legales para proyectos tecnológicos, privacidad y contratos digitales.
• Jorge Pedrosa: Director de Cognitactics, especialista en gestión de riesgos, gobernanza de datos y adopción responsable de nuevas tecnologías.

Durante nuestra reciente jornada en The Standard CIO, titulada “Seguridad y gobernanza en la era del Edge AI: el fin del perímetro”, expertos de Kwantiax Legal Consulting, Vitia Ciberseguridad Integral y Cognitactics desglosaron los desafíos de un mundo donde el procesamiento ocurre exactamente donde se genera el trabajo.

El fin del perímetro y el cómputo en el borde

Tradicionalmente, la seguridad se basaba en proteger un centro de datos centralizado. Hoy, con la llegada de las AIPC y el Edge Computing, ese perímetro se ha disuelto. Según Jorge Pedrosa, director de Cognitactics, la barrera de entrada para estas tecnologías ha desaparecido gracias a la reducción de costos en hardware especializado, como las tarjetas Nvidia Jetson Nano o Raspberry Pi, que permiten ejecutar modelos robustos de forma local.

Sin embargo, esta facilidad de acceso genera un riesgo invisible: la infraestructura ya no está bajo el control total del departamento de TI. Cuando la inteligencia clave para el negocio reside en el endpoint e interactúa con sistemas distribuidos, las estrategias de protección deben evolucionar desde la vigilancia de redes hacia la protección directa del dato y el monitoreo del comportamiento humano.

Estrategias de gobernanza en Edge AI

Uno de los errores más comunes en las corporaciones es implementar herramientas de inteligencia artificial antes de establecer un marco normativo. Para que la gobernanza en Edge AI sea efectiva, esta debe preceder a la adopción tecnológica. No se trata de crear burocracia, sino de habilitar el negocio: una política clara permite que una empresa avance con seguridad a una velocidad competitiva, mientras que la falta de esta condena a la organización a tropezar ante el primer incidente.

Un fenómeno crítico identificado por nuestro panel es el Shadow AI, donde los colaboradores utilizan herramientas de IA no autorizadas para ganar productividad. Los directivos suelen “pedir perdón antes que permiso”, lo cual es inadmisible en entornos de misión crítica. La gobernanza efectiva requiere un inventario honesto de aplicaciones y una política de uso ético y responsable que todos los empleados deben conocer y firmar.

El impacto jurídico: Responsabilidades y riesgos de privacidad

Desde la perspectiva legal, Tania Estefanía Zúñiga, socia de Kwantiax Legal Consulting, advierte que los abogados deben ser ahora “arquitectos de modelos” de la mano con los equipos técnicos. En México, por ejemplo, las multas por infracciones en materia de privacidad de datos personales sensibles pueden alcanzar los 70 millones de pesos.

La trazabilidad se vuelve indispensable. Las empresas deben tener claridad absoluta sobre quién es el responsable, quién es el encargado y, sobre todo, quiénes son los subencargados embebidos en los proveedores de IA. Sin contratos sólidos que definan estas cadenas de responsabilidad, las organizaciones quedan expuestas a riesgos que pueden amenazar su subsistencia.

Hacia modelos locales y la filosofía Zero Trust

Para mitigar riesgos, la tendencia técnica apunta hacia la IA local (on-premise). Alojar modelos de lenguaje de gran tamaño (LLM) dentro de servidores propios o dispositivos finales permite que la información sensible nunca abandone la organización. Modelos como Apertus, entrenados bajo principios éticos y transparentes por el Tecnológico de Zúrich, surgen como alternativas robustas frente a las opciones comerciales que a menudo ignoran los derechos de autor o la privacidad de las fuentes de entrenamiento.

En este escenario, el marco de trabajo de Zero Trust (Confianza Cero) se vuelve más relevante que nunca. No podemos confiar ciegamente en una herramienta solo por ser de un proveedor reconocido. La mentalidad debe ser: “ya hemos sido vulnerados”, lo que obliga a mantener una autenticación y verificación constante de cada comportamiento y acceso, ya sea humano o de un agente autónomo de IA.

Un checklist accionable para líderes de TI

Para los CIOs y CISOs que buscan adaptar sus modelos a esta nueva realidad, los expertos sugieren los siguientes pasos fundamentales:

1. Inventario de aplicaciones: Identificar qué herramientas de IA se están usando realmente en la organización para eliminar el Shadow AI.
2. Evaluaciones de impacto: Realizar un análisis de riesgos de privacidad antes de implementar cualquier solución nueva.
3. Capacitación continua: No basta con una charla inicial; la formación en ética y ciberseguridad debe ser parte del onboarding y reforzarse anualmente.
4. Definición de políticas internas: Crear manuales claros sobre el uso lícito y ético de la información, integrándolos con los reglamentos interiores de trabajo.
5. Privacidad por diseño: Optar por el enmascaramiento y la anonimización de datos en cualquier inyección hacia modelos de lenguaje.

La inteligencia artificial ha llegado para quedarse y seguirá evolucionando hacia fronteras como el cómputo cuántico. Aquellas organizaciones que vean la gobernanza en Edge AI no como una barrera, sino como una ventaja competitiva, serán las únicas capaces de navegar con éxito en esta era de automatización y datos distribuidos.