Atrás 
La IA ha puesto a los líderes del sector sanitario en una situación precaria. Mientras muchos aún debatían si se debía utilizar esta tecnología, para otros su valor era tan evidente que muchos equipos comenzaron a utilizarla mucho antes de que fuera evaluada, regulada o protegida formalmente.
Los médicos llevan tiempo pegando notas en ChatGPT para ahorrar tiempo, los equipos operativos están probando chatbots basados en agentes para optimizar los flujos de trabajo y los científicos de datos están integrando herramientas SaaS en los procesos. El potencial ilimitado y la versatilidad de la IA hacen que no haya una hoja de ruta: simplemente apareció un día en una pestaña del navegador.
Es esta tensión entre la experimentación orgánica y la gobernanza disciplinada la que ocupó un lugar central en un reciente seminario web del CIO del Sistema de Salud, Ciberestrategias para asegurar la llegada de la IA.
Lo que esbozamos a lo largo de la conversación fue un camino que va desde «IA en todas partes, sin gestionar» hasta «IA habilitada y con un propósito». En este artículo, compartiré las conclusiones y los consejos del seminario web acerca de cómo los sistemas sanitarios pueden recuperar el control y convertir la IA en un activo estratégico en lugar de un riesgo para la seguridad.
De «porque está ahí» a «porque es correcto»
La primera trampa en la que caen la mayoría de las organizaciones, ya sean de atención médica o de otro tipo, es adoptar la IA simplemente porque está disponible.
El panel lo comparó con los inicios de la telemedicina durante la COVID, cuando las herramientas se pusieron en marcha muy rápido, pero la gobernanza, la integración y el riesgo a largo plazo a menudo se dejaron para después. Este es el escenario que temen todos los CISO: los datos confidenciales se cuelan en las herramientas de IA y empiezan a influir en las decisiones clínicas u operativas sin los controles adecuados. Como resultado, no solo se pone en riesgo la información sanitaria protegida (PHI), sino también todo lo demás, desde los modelos de dotación de personal hasta los planes estratégicos y, lo que es más importante, el tiempo de actividad y la seguridad de los pacientes.
Por lo tanto, antes de activar una herramienta de IA, pregúntese dónde aparecerán sus resultados en los flujos de trabajo y qué sucederá si no son correctos. Ni siquiera las acciones automatizadas bienintencionadas, como los bloqueos de cuentas asistidos por IA, pueden permitirse entorpecer algo tan urgente como una cirugía u obligar a los médicos a recurrir a soluciones alternativas poco seguras.
Tampoco se trata de extremos. Cuando«se bloquea todo», se acaba con la innovación; cuando«se permite todo», se acaba con la capacidad de control. Por lo tanto, es mejor buscar un término medio: políticas adaptables, IA controlada por la empresa y barreras de protección claras para poder proteger los datos y seguir avanzando a buen ritmo.
Del «Departamento del No» al «Departamento del Conocimiento»
Si la IA está forzando la evolución de algo, es la cultura de la gobernanza.
El antiguo modelo que la mayoría de nosotros conocemos consiste en considerar la seguridad como el «departamento del no», el lugar al que llegan las solicitudes y se retrasan tanto que la gente acaba por rendirse. Ese modelo no funciona en el sector sanitario, donde los equipos clínicos siguen adelante sin importar nada y lo que está en juego es mucho más importante que el retraso en el lanzamiento de un producto.
En lugar de ser conocido por bloquear, imaginemos la seguridad como el lugar al que acuden las personas en busca de comprensión: el «departamento del conocimiento». Equipos de seguridad que saben dónde residen los datos, cómo fluyen entre los sistemas, qué herramientas de IA los manipulan y en qué condiciones.
Esto requiere un modelo en el que el departamento de seguridad sea responsable de aproximadamente un tercio de las decisiones sobre riesgos, y los departamentos de cumplimiento normativo y gobernanza de datos se repartan el resto. Una «regla del 33 %» como esta garantiza que ninguna función empresarial sea juez, jurado y verdugo. Aleja a la organización de la mentalidad de «el CISO lo resolverá» y la acerca a una visión genuinamente compartida del riesgo de la IA.
Entonces, la conversación cambia. Se pasa de «¿podemos hacerlo?» a «¿qué condiciones deben darse para que podamos hacerlo de forma segura?».
«La seguridad no debería dictar todos los componentes, bloquear, definir la estrategia y ocuparse de todo lo relacionado con ella. Es necesario contar con otras partes interesadas en la mesa».
—Steven Ramírez, vicepresidente y director de Seguridad de la Información y Tecnología (CISTO), Renown Health
No se puede asegurar lo que se finge no ver
Tras años centrados en la transformación digital, la IA está llevando la asistencia sanitaria a una nueva fase: la transformación y la gobernanza de los datos. La IA es tan potente como los datos en los que se basa, por lo que la higiene, la propiedad y la clasificación son aspectos innegociables.
Y aunque muchas organizaciones siguen evitando el descubrimiento completo de datos, recuerde que la IA aprenderá de todo aquello a lo que pueda acceder. Por lo tanto, ignorar los puntos vulnerables no le hace más seguro, sino que solo garantiza que descubrirá los problemas más tarde, cuando sean más difíciles de controlar.
La protección de la IA comienza con la protección de los datos; es necesario saber dónde se encuentra la información confidencial, tanto en reposo como en tránsito y en uso, y aplicar controles coherentes en todos los casos. Para ello es necesaria una colaboración real entre los equipos de seguridad y de datos, ya que, al igual que no se puede proteger lo que no se comprende, los responsables de datos no pueden aplicar la IA de forma segura sin controlar los riesgos, el cumplimiento normativo y la privacidad.
Las sesiones de simulación que recrean incidentes de seguridad relacionados con la IA en tiempo real pueden ayudar a mejorar tanto la concienciación sobre los riesgos como la calidad de los datos. Sin embargo, en términos más generales, se trata de pasar de la restricción al habilitamiento, de modo que la seguridad proporcione a los propietarios de los datos la visibilidad y la protección necesarias para tomar decisiones informadas sobre cómo interactúa la IA con sus datos.
Colaborar con los usuarios es mejor que bloquearlos sistemáticamente, ya que las personas más cercanas al flujo de trabajo saben dónde están los casos especiales y detectarán los problemas a tiempo si ven la seguridad como un colaborador y no como un obstáculo.
«Creo que la IA nos está obligando, al igual que ocurrió con la transformación digital, a avanzar hacia una mayor transformación de los datos y a garantizar una mayor gobernanza y propiedad en esas áreas respectivas».
—Steven Ramírez, vicepresidente y director de Seguridad de la Información y Tecnología (CISTO), Renown Health
La IA como multiplicador de amenazas y aliado defensivo
La IA no solo está cambiando la forma en que se presta la asistencia sanitaria, sino también la forma en que operan los atacantes, ya que el spear-phishing basado en IA ya está superando a las campañas tradicionales, y los actores estatales están incorporando la IA en toda la cadena de ataque, desde el reconocimiento hasta la carga útil.
Por lo tanto, los equipos de seguridad deben responder de la misma manera, utilizando la IA de forma defensiva para observar el comportamiento, aprender qué es lo «normal» y detectar anomalías sutiles casi en tiempo real. En lugar de depender de conjuntos de herramientas desconectadas, se necesita un ecosistema digital integrado: plataformas que se comuniquen entre sí a la perfección, admitan políticas unificadas e integren la IA en su EHR central.
Y a medida que se endurece la gobernanza para adaptarse a la urgencia de los tiempos, la supervisión pasa de ser trimestral a mensual o incluso semanal, a medida que se aceleran los proyectos piloto de IA, con el objetivo de evaluar a tiempo las nuevas herramientas sin renunciar a la coherencia.
El seminario web concluyó con cuatro sencillos pasos que puede seguir, propuestos por el panel:
- No se limite a parchear, piense en compensar los controles: pregúntese qué se interpone entre usted y un incidente grave si mañana se aprovecha una nueva ruta de ataque basada en IA.
- Sea un narrador y un socio, no un vigilante: para mantener un lugar en la mesa, debe ayudar a la empresa a ver cómo se puede avanzar de forma segura con la IA.
- Controle la proliferación de la IA en la nube y el SaaS: sepa qué herramientas utiliza el personal, cómo fluyen los datos a través de ellas y dónde se ha introducido la funcionalidad de IA, y establezca controles antes, no después, de que se produzca una pérdida de datos.
- Pase de una actitud reactiva a una proactiva: potencie el negocio, supervise y trate la IA como un programa colaborativo continuo, no como un proyecto puntual.
En última instancia, pasar del «Departamento del No» al «Departamento del Conocimiento» es un cambio que le permitirá convertir la llegada de la IA, que antes era una fuente de caos, en una ventaja que podrá aprovechar para ofrecer una atención más segura, un control más estricto y una innovación más inteligente.
«Una buena gobernanza de los datos y unas buenas estrategias de protección de datos ayudan a mantener la limpieza de los datos, ya que garantizan que disponemos de buenas fuentes de datos que podemos rastrear. Y lo que es más importante, garantizan que todo el mundo haga su trabajo para asegurarse de que los administradores y propietarios de los datos son responsables de ellos».
—Steven Ramírez, vicepresidente y director de Seguridad de la Información y Tecnología (CISTO), Renown Health
Vea el seminario web bajo demanda para descubrir cómo los principales líderes en ciberseguridad están dejando atrás el «no» para convertirse en auténticos socios de innovación. Aprenda a aplicar la protección de confianza cero y obtenga la visibilidad en tiempo real necesaria para garantizar el futuro de la atención sanitaria.
¿Va a asistir a HIMSS 2026? Prepárese para ver el futuro de la seguridad clínica y consiga un asiento en primera fila para una demostración en directo en el stand n.º 10107 de Netskope. Siga aquí toda la actualidad de Netskope en HIMSS.
Lea el blog