En esta nueva entrega de la serie “Hablemos de…”, abordamos un tema cada vez más presente en las conversaciones con clientes, equipos de TI y responsables de negocio: el gobierno de la inteligencia artificial.
Y no es casualidad: en muy poco tiempo, las organizaciones han pasado de preguntarse si debían usar IA a convivir con Copilot, GitHub Copilot, Copilot Studio, Azure OpenAI, Azure AI Foundry, agentes personalizados y automatizaciones inteligentes.
La IA ya no vive solo en laboratorios de innovación: está entrando en el correo, los documentos, el código, las reuniones, los flujos de aprobación, la atención al cliente y la toma de decisiones.
Y entonces aparece la gran pregunta: ¿cómo gobernamos todo esto sin que se convierta en un caos?
La respuesta no está en prohibir, ni en confiar en que una nueva herramienta resolverá el problema por sí sola. La respuesta está en gobernar.
1. Antes de gobernar, hay que saber qué IA tienes
El primer reto es evidente, aunque muchas veces se subestima: no puedes gobernar lo que no conoces.
Hoy una empresa puede tener IA entrando por múltiples puertas al mismo tiempo:
| Herramienta | Usuarios habituales | Qué hay que gobernar |
| GitHub Copilot | Equipos de desarrollo | Código generado, seguridad, licencias, revisión humana y trazabilidad |
| Copilot para Microsoft 365 | Usuarios de negocio | Acceso a información corporativa, permisos, datos sensibles y uso responsable |
| Copilot Studio | Equipos de negocio, makers y TI | Agentes, conectores, automatizaciones, entornos y ciclo de vida |
| Agent Builder | Usuarios con capacidades de creación asistida | Agentes personales o departamentales conectados a documentos y conocimiento interno |
| Azure OpenAI | Desarrolladores, arquitectos y data scientists | Aplicaciones, prompts, endpoints, consumo, filtros, evaluación y seguridad |
| Azure AI Foundry | Equipos avanzados de IA | Modelos, orquestaciones, evaluaciones, despliegues y operaciones de IA |
| Herramientas externas | Usuarios finales y áreas de negocio | Shadow AI, fuga de datos, falta de trazabilidad y ausencia de control corporativo |
El problema no es que existan muchas herramientas. El problema es que, en muchas organizaciones, se usan sin un inventario claro, sin responsables definidos y sin una política común.
Un equipo usa GitHub Copilot para acelerar el desarrollo.
Otro crea un agente en Copilot Studio para responder preguntas internas.
Un área de negocio prueba ChatGPT con documentos reales.
Un equipo técnico despliega una solución sobre Azure OpenAI.
Un departamento empieza a automatizar tareas con agentes conectados a sistemas internos.
Cada iniciativa puede tener sentido por separado. Pero sin gobierno común, el conjunto se vuelve difícil de controlar.
Por eso, el primer paso no es redactar una política perfecta. Es mucho más básico:
saber qué herramientas se usan, quién las usa, qué datos tocan, qué decisiones apoyan y quién responde por ellas.
2. El riesgo real: permisos heredados + IA
Uno de los grandes malentendidos sobre Copilot para Microsoft 365 es pensar que el riesgo aparece porque Copilot “rompe” la seguridad.
No es exactamente así.
Copilot trabaja sobre los permisos existentes del usuario. Es decir, en principio, accede a aquello que el usuario ya podía ver en SharePoint, Teams, OneDrive, Outlook u otros servicios conectados.
El problema es otro: los permisos de Microsoft 365 casi nunca están tan limpios como creemos.
En muchas organizaciones, los permisos son el resultado de años de proyectos, reorganizaciones, carpetas compartidas, grupos heredados, accesos temporales que nunca se retiraron y excepciones que se convirtieron en permanentes.
Hasta ahora, ese desorden ya era un riesgo. Pero era un riesgo relativamente silencioso.
Un usuario podía tener acceso a documentos que no debía, pero necesitaba saber que existían, encontrarlos y tener la intención de buscarlos.
Con IA, esa fricción desaparece.
Un usuario puede preguntar algo como:
“Resume los documentos sobre la reestructuración del próximo trimestre.”
Y si tiene permisos sobre información sensible, aunque sea por error, la IA puede encontrarla, resumirla y presentarla en segundos.
La IA no crea necesariamente el problema de permisos.
Pero lo hace visible, accesible y mucho más fácil de explotar.
Esta es una de las primeras lecciones del gobierno de IA:
si tus permisos no están saneados, ninguna herramienta de IA va a salvarte del desorden previo.
El gobierno de IA empieza, por tanto, mucho antes del modelo. Empieza en la higiene de identidad, permisos, datos y accesos.
3. No todos los usos de IA tienen el mismo riesgo
No todos los usos de IA requieren el mismo nivel de control. Un asistente personal para resumir notas no tiene el mismo impacto que un agente capaz de modificar datos financieros, aprobar descuentos o responder automáticamente a clientes.
Por eso, el gobierno debe escalar según el riesgo: cuanto mayor sea el impacto sobre datos, decisiones, clientes o procesos críticos, mayor debe ser el nivel de supervisión.
Una forma sencilla de aplicarlo es trabajar con un modelo por zonas:
| Zona | Uso típico | Riesgo | Gobierno necesario |
| 1. Productividad personal | Resúmenes, borradores, organización de información propia. | Bajo | Buenas prácticas, formación, límites claros y monitorización razonable. |
| 2. Colaboración departamental | Agentes compartidos por un equipo, conectados a documentos o sistemas internos. | Medio | Responsables definidos, revisión de diseño, control de conectores, entornos y ciclo de vida. |
| 3. Procesos críticos | Agentes que actúan sobre clientes, finanzas, cumplimiento, operaciones o datos sensibles. | Alto | Gobierno estricto, trazabilidad completa, aprobación humana, monitorización continua y plan de retirada. |
La clave del modelo es simple: adaptar el control al impacto real de cada uso.
no se gobierna igual un asistente personal que un agente con capacidad de actuar sobre procesos de negocio.
Ese equilibrio evita dos extremos: regularlo todo hasta frenar la adopción, o permitir usos críticos sin la supervisión necesaria.
4. Los cinco pilares de un gobierno de IA que funciona
Desde nuestra experiencia acompañando a empresas en procesos de adopción de IA, un gobierno eficaz se apoya en cinco pilares que ayudan a pasar de iniciativas aisladas a una operación controlada y sostenible.
| Pilar | Qué asegura | Idea clave |
| 1. Identidad e inventario | Saber qué agentes, aplicaciones, conectores, automatizaciones, modelos y endpoints existen. | No se puede gobernar lo que no está identificado. |
| 2. Control de datos | Proteger la información que los agentes pueden consultar, procesar o exponer. | El dato es el verdadero perímetro de seguridad. |
| 3. Visibilidad y auditoría | Reconstruir qué ocurrió, quién intervino, con qué permisos y sobre qué sistemas. | Los logs solo son útiles si permiten explicar las decisiones y acciones. |
| 4. Supervisión humana | Definir cuándo una persona debe aprobar, revisar o asumir la decisión. | La IA puede asistir y acelerar, pero la responsabilidad sigue siendo humana. |
| 5. Ciclo de vida | Gestionar agentes desde su diseño hasta su operación, revisión y retirada. | El gobierno no termina cuando el agente se publica; empieza ahí. |
El gobierno no termina cuando el agente se publica. En realidad, empieza ahí.
5. El enfoque de Raona: gobernar en tres movimientos
En Raona creemos que el gobierno de IA debe ser práctico, progresivo y adaptado a la realidad de cada organización.
No todas las empresas parten del mismo punto. Algunas están empezando con Copilot para Microsoft 365. Otras ya tienen agentes en producción. Algunas tienen un gobierno de datos maduro. Otras descubren, durante el proceso, que sus permisos internos necesitan una revisión urgente.
Por eso, nuestro enfoque se articula en tres movimientos.
| 01
Diagnosticar Qué hacemos Identificamos qué herramientas de IA se usan, quién las utiliza, qué datos tocan, qué licencias existen y qué riesgos aparecen. Revisamos también el estado real de permisos en Microsoft 365: SharePoint, Teams, OneDrive, grupos, sitios sin propietario, accesos heredados y contenido sensible. Objetivo: ganar visibilidad y entender el punto de partida real. |
02
Diseñar el marco Qué hacemos Definimos un modelo de gobierno realista, adaptado a la madurez, los riesgos y las prioridades de cada organización. Establecemos zonas de riesgo, criterios de aprobación, roles, responsabilidades, políticas técnicas, controles de datos, flujos de revisión y playbooks operativos. Objetivo: proteger sin crear un modelo tan complejo que los equipos no lo adopten. |
03
Operar y evolucionar Qué hacemos Convertimos el gobierno de IA en una capacidad viva, no en un documento que se entrega y se archiva. Revisamos nuevos agentes, monitorizamos el uso, ajustamos políticas, formamos usuarios, respondemos incidentes, evaluamos riesgos emergentes y retiramos soluciones que ya no aportan valor. Objetivo: aprender, ajustar y mejorar el modelo a medida que evolucionan la IA y la organización. |
6. Conclusión: gobernar para avanzar
Gobernar la IA no significa poner barreras a la innovación. Significa crear las condiciones para que la organización pueda adoptarla con confianza, con criterio y con responsabilidad. En un momento en el que Copilot, los agentes, Azure OpenAI, GitHub Copilot o las soluciones creadas por los propios equipos empiezan a formar parte del día a día, el verdadero riesgo no está en usar IA, sino en usarla sin visibilidad, sin reglas comunes y sin saber exactamente qué datos, permisos o procesos está tocando.
Por eso, el gobierno de IA debe entenderse como una capacidad empresarial. No es solo una política, ni una herramienta, ni un comité. Es la combinación de personas, procesos, tecnología, seguridad y datos que permite responder preguntas clave: qué usos de IA existen, quién los impulsa, qué información consultan, qué decisiones apoyan, qué acciones pueden ejecutar, qué riesgos generan y quién debe supervisarlos.
Cuando ese marco no existe, la IA avanza igualmente, pero lo hace de forma fragmentada: aparecen agentes departamentales sin ciclo de vida, pruebas con herramientas externas, automatizaciones difíciles de auditar, permisos heredados que exponen más información de la necesaria y soluciones que nacen con buena intención, pero sin un modelo claro de responsabilidad.
En Raona ayudamos a construir ese camino de manera práctica y progresiva. No partimos de un modelo teórico único para todos, sino de la realidad de cada cliente: su madurez tecnológica, su ecosistema Microsoft, sus permisos actuales, sus casos de uso, sus equipos, sus riesgos y sus prioridades de negocio.
La pregunta ya no es si una organización va a usar inteligencia artificial. La pregunta es si será capaz de gobernarla con la suficiente claridad para aprovechar su potencial sin perder el control.
Si tu empresa está adoptando Copilot, creando agentes, desplegando soluciones sobre Azure OpenAI, impulsando GitHub Copilot o empezando a detectar usos de IA fuera del control corporativo, en Raona podemos ayudarte a ordenar ese escenario y convertirlo en una estrategia de gobierno realista, accionable y alineada con tu negocio.
Hablemos de cómo gobernar la IA en tu organización: con visibilidad, con responsabilidad y con un enfoque diseñado para avanzar sin frenar la innovación.



