07/08/2026 | News release | Distributed by Public on 07/08/2026 03:25
/ Espacios de relación / Comunidades / Comunidad AEC Inteligencia Artificial / Blog IA / I Insight del Foro GRC 2026
El I Insight del Foro GRC 2026 analiza cómo gobernar la IA, reforzar la identidad digital y prepararse para los nuevos desafíos regulatorios
El I Insight del Foro GRC 2026 analiza cómo gobernar la IA, reforzar la identidad digital y prepararse para los nuevos desafíos regulatorios
La inteligencia artificial ya forma parte de la realidad cotidiana de las organizaciones. Lo hace impulsando nuevos modelos de negocio, agilizando procesos y multiplicando las capacidades de análisis y automatización. Pero también plantea nuevas responsabilidades en materia de cumplimiento, seguridad, privacidad y gestión de riesgos. Sobre esta premisa giró el «I Insight del Foro GRC» del año, organizado por la Asociación Española para la Calidad (AEC) junto a Telefónica y Govertis como partners estratégicos. Una jornada que reunió a profesionales de referencia para abordar algunos de los principales desafíos en las organizaciones en materia de Gobierno, Riesgo y Cumplimiento (GRC).
La IA ya está dentro de las organizaciones, aunque muchas aún no lo sepan
La primera ponencia de la tarde, titulada «Gobierno de IA: de la teoría a la práctica. Cómo implementar el modelo de gobernanza y cómo hacerlo realidad en una gran organización», corrió a cargo de Laura Vico, Consultora Senior GRC de Govertis, part of Telefónica Tech, y Raúl Avedillo Lozano, gerente de Digital Compliance & DPO de Telefónica. Entre ambos ofrecieron una doble visión: el marco metodológico necesario para implantar la gobernanza de la IA y la experiencia real de hacerlo en una organización global como Telefónica.
«La inteligencia artificial no es algo que va a venir, sino que ya está en la compañía y en la organización». Con esta afirmación, Laura Vico inició su intervención y cuestionó una percepción aún frecuente en muchas compañías.
Laura explicó que numerosas organizaciones afirman no utilizar aún inteligencia artificial de forma corporativa, cuando la realidad es que las propias personas empleadas han incorporado herramientas de IA generativa a sus tareas diarias. Una situación que genera nuevos escenarios de riesgo relacionados con la confidencialidad de la información, las transferencias internacionales de datos o el incumplimiento de obligaciones regulatorias.
A partir de esta realidad, se fue identificando algunos de los problemas más habituales que están encontrando las organizaciones en este ámbito. Desde casos de uso dispersos, falta de inventarios centralizados, responsabilidades poco definidas, controles reactivos, ausencia de políticas específicas, hasta la proliferación de escenarios de Shadow AI, donde la inteligencia artificial se utiliza sin supervisión ni visibilidad por parte de la organización.
Del Reglamento de IA a la gobernanza efectiva
En este primer bloque del Insight también se profundizó en el nuevo escenario normativo derivado del Reglamento Europeo de Inteligencia Artificial (RIA) y de las futuras iniciativas legislativas nacionales y autonómicas. Un marco regulatorio que, según destacó, obliga a las organizaciones a adoptar un enfoque estructurado para gestionar la IA.
En este sentido, Laura Vico señaló que la gobernanza de la IA no debe entenderse como una nueva carga administrativa, sino como un mecanismo para garantizar que el uso de estas tecnologías sea seguro, ético y alineado con los objetivos de negocio.
En este contexto, presentó la norma ISO 42001 como una de las herramientas más eficaces para convertir los requisitos regulatorios en procedimientos operativos concretos.
Mientras el Reglamento de IA establece las obligaciones que deben cumplir las organizaciones, explicó, la ISO 42001 aporta una metodología estructurada para implantar políticas, definir responsabilidades, gestionar riesgos y desarrollar mecanismos de supervisión que permitan operar con garantías.
La política corporativa de IA, la definición de roles, la gestión de riesgos, los mecanismos de supervisión humana o la mejora constituyen elementos esenciales dentro de este modelo.
«Sin inventario, no hay gobierno». Esta afirmación resume buena parte del problema actual en las compañías, ya que resulta imposible gestionar, supervisar o controlar algo que ni siquiera se encuentra identificado.
Telefónica muestra cómo convertir la gobernanza en una realidad operativa
Si Laura Vico explicó el marco conceptual, Raúl Avedillo se encargó de mostrar cómo es posible trasladarlo a la práctica.
Durante su intervención, presentó la evolución del modelo de inteligencia artificial responsable de Telefónica, cuyos principios se remontan a 2018 y que han ido evolucionando para incorporar aspectos relacionados con la transparencia, la equidad, la privacidad, la seguridad, la sostenibilidad y el control humano: «La inteligencia artificial empieza a tomar decisiones y a esas decisiones tenemos que incorporar principios responsables».
En este sentido, Raúl Avedillo explicó cómo la compañía aprobó en 2023 un reglamento específico de gobierno de la IA y cómo ha construido una estructura basada en tres líneas de defensa, equipos especializados, coordinación global, responsables locales y una red de especialistas distribuidos por las diferentes áreas de negocio.
Más allá de la estructura organizativa, uno de los aspectos más interesantes fue el recorrido completo que debe seguir cualquier iniciativa basada en inteligencia artificial dentro del grupo:
Raúl explicó además cómo Telefónica ha desarrollado una herramienta propia que permite gestionar de forma centralizada los casos de uso de IA, clasificarlos automáticamente conforme al Reglamento y vincular los riesgos identificados con los controles necesarios para mitigarlos.
La experiencia compartida mostró que la gobernanza de la IA no es únicamente una cuestión documental, sino un proceso continuo que requiere coordinación entre negocio, cumplimiento, privacidad, seguridad y auditoría interna.
Autenticación Multifactor (MFA) como medida estratégica de seguridad
El segundo bloque de la jornada vino de la mano de Jesús Amorín, jefe de la Unidad de Ciberseguridad de RTVE, y José Antonio Sánchez, Consultor Senior GRC de Govertis, quienes protagonizaron un diálogo centrado en la evolución de la gestión de identidades y la protección de accesos en un contexto marcado por el aumento de las amenazas y por un marco regulatorio cada vez más exigente.
La conversación se articuló en torno a tres grandes ámbitos: la autenticación multifactor (MFA), el sistema integral de ciberseguridad y la gestión de identidades y control de accesos (IAM).
El primer bloque estuvo dedicado a la autenticación multifactor (MFA), una medida que ambos expertos identificaron como uno de los controles más eficaces para reducir el riesgo de accesos no autorizados y compromisos de credenciales. Sin embargo, los ponentes coincidieron en que el desafío de implantar MFA ya no es tecnológico, sino principalmente organizativo y regulatorio.
José Antonio Sánchez explicó que actualmente existen múltiples mecanismos de autenticación robusta (desde aplicaciones de autenticación y tokens físicos hasta sistemas biométricos), aunque su despliegue suele encontrarse con obstáculos relacionados con la privacidad, la experiencia de usuario o los costes de implantación. Como ejemplo, abordó cuestiones como el uso de dispositivos personales en entornos corporativos o las implicaciones legales derivadas del tratamiento de datos biométricos.
Por su parte, Jesús Amorín defendió que cualquier estrategia de autenticación debe comenzar por un análisis de riesgos y no por la elección de una herramienta concreta: «Mi recomendación en la implementación es no arrancar por la herramienta concreta, sino por un estudio, un análisis de riesgo: quién accede, cuándo tiene que acceder y con qué permisos», explicaba.
Asimismo, puso el foco en la necesidad de implicar a los usuarios en este tipo de iniciativas para reducir resistencias y facilitar la adopción de nuevas medidas de seguridad.
Los participantes coincidieron en que la formación y la concienciación siguen siendo factores determinantes para el éxito de cualquier proyecto de autenticación multifactor.
La conversación evolucionó después hacia una visión más amplia de la protección corporativa analizando cómo la autenticación debe integrarse dentro de un modelo global de ciberseguridad apoyado en capacidades avanzadas de monitorización, detección y respuesta.
En este contexto, José Antonio Sánchez y Jesús Amorín abordaron el papel de los SOC, los sistemas SIEM y las Oficinas Técnicas de Seguridad como elementos esenciales para supervisar eventos, detectar comportamientos anómalos y gestionar incidentes de manera eficaz.
Jesús destacó además la importancia de combinar las capacidades analíticas de las plataformas tecnológicas con el criterio y la experiencia de los profesionales de seguridad, especialmente en un escenario donde las amenazas son cada vez más sofisticadas y donde la inteligencia artificial está comenzando a desempeñar un papel creciente tanto en la detección como en la respuesta frente a incidentes.
Para cerrar este bloque, el diálogo giró en torno a la gestión de identidades y accesos (IAM), una disciplina que ambos expertos identificaron como uno de los pilares fundamentales de la ciberseguridad actual.
Durante la conversación se analizó la necesidad de evolucionar desde modelos centrados exclusivamente en la protección del perímetro hacia enfoques basados en la protección de usuarios, dispositivos y recursos críticos, especialmente en entornos caracterizados por el trabajo híbrido, los servicios en la nube y el acceso remoto.
En este contexto, Jesús Amorín explicó de forma sencilla el significado práctico de los modelos Zero Trust, cada vez más presentes en las arquitecturas de seguridad modernas: «El Zero Trust es lo que me decía mi abuela: ¿te vas con alguien que te ofrece un caramelo por la calle? No […] No confiar en lo que parece, sino que toda decisión sea verificable y revocable».
La sesión concluyó con una reflexión sobre el verdadero objetivo de la gestión de identidades y accesos: «La gestión de identidades es que quien haya de tener acceso a algo esté verificado previamente, tenga los permisos imprescindibles para acceder a lo imprescindible durante el tiempo preciso». Y es que la protección eficaz de las organizaciones pasa hoy, inevitablemente, por controlar quién accede, a qué accede y bajo qué condiciones.
Cuando la IA falla: cómo gestionar un incidente siguiendo el RIA
La jornada concluyó con un taller exclusivo para socios de la AEC impartido por Laura Antía Fernández, Consultora Senior GRC de Govertis, centrado en un aspecto todavía poco explorado dentro del Reglamento de Inteligencia Artificial (RIA), la gestión de incidentes relacionados con sistemas de inteligencia artificial.
A través de ejemplos prácticos, Laura analizó cómo deben actuar proveedores y responsables del despliegue cuando un sistema de IA genera consecuencias relevantes para la seguridad, la salud o los derechos fundamentales de las personas.
Durante la sesión, explicó cómo un incidente puede derivar no solo en consecuencias operativas o reputacionales, sino también en obligaciones regulatorias específicas para proveedores y responsables del despliegue, especialmente cuando se ven afectados derechos fundamentales, datos personales o servicios críticos.
«La parte de gobernanza de la IA es precisamente la que te permite estar preparado para la gestión de un incidente», destacó Laura, quien recordó que la capacidad de respuesta de una organización comienza mucho antes de que se produzca una incidencia. En este sentido, señaló la importancia de contar con inventarios de sistemas de IA, mecanismos de supervisión continua, roles claramente definidos y procedimientos de actuación que permitan responder de forma eficaz y cumplir con los requisitos regulatorios previstos por el Reglamento de Inteligencia Artificial.
Las organizaciones deben conocer con precisión el papel que desempeñan dentro de la cadena de valor de la inteligencia artificial, ya que las obligaciones regulatorias difieren según se actúe como proveedor, responsable del despliegue, distribuidor o importador de un sistema de IA.
Un mensaje común: gobernar antes de reaccionar
A lo largo de las diferentes intervenciones, quedó patente que la inteligencia artificial ya forma parte de la actividad habitual de las organizaciones y, precisamente por ello, necesita ser gobernada.
Inventariar, formar, evaluar riesgos, definir responsabilidades y establecer procesos de supervisión fueron algunos de los conceptos que vertebraron este primer Insight del Foro GRC 2026. Un encuentro que dejó claro que el verdadero desafío ya no consiste en incorporar la inteligencia artificial a las organizaciones, sino en hacerlo de una manera responsable, segura y alineada con los nuevos requisitos regulatorios.
David Bascoy
Govertis, parte de Telefónica Tech