Su equipo ya la usa. Usted solo no puede verlo.
Un CFO me contó el mes pasado que descubrió que su controller había estado pegando datos de portafolios de clientes en ChatGPT durante seis meses. Se enteró porque la controller lo mencionó en una reunión de seguimiento, de manera casual, como quien menciona una herramienta que usa todos los días. No había política. No había alternativa aprobada. No había lista de qué cuenta como información sensible. La controller no estaba haciendo nada incorrecto según su propia lógica. Estaba intentando hacer su trabajo.
Este es el patrón en cada empresa mediana a la que entro. Los empleados ya están usando ChatGPT, Claude, Gemini, Perplexity, y una larga cola de herramientas gratuitas de las que el equipo de IT nunca ha oído hablar. Pegan contratos en prompts. Redactan correos a clientes. Resumen datos financieros. El CEO se entera cuando algo se filtra, cuando un miembro de la junta pregunta sobre gobernanza de IA, o cuando alguien lo menciona en una reunión. Para ese momento los datos ya llevan meses en un modelo público y no hay forma de recuperarlos.
La realidad es simple. Su equipo no está esperando una política. Están usando las herramientas que les ayudan a sacar el trabajo, e improvisan porque nadie les dio algo mejor. La condición es Shadow AI. La realidad es que usted no tiene visibilidad ni gobernanza. Qué hacer al respecto es de lo que trata el resto de esta guía.
Por qué prohibir ChatGPT no funciona
El primer instinto de la mayoría de los equipos directivos es bloquear el dominio. Se siente decisivo. Satisface la pregunta de la junta. También mueve el problema a donde usted no puede verlo. El equipo se pasa a teléfonos personales, cuentas de Gmail personales, y herramientas que no aparecen en ningún registro de auditoría. Los datos siguen siendo pegados. Usted solo dejó de saberlo.
Prohibir también convierte a IT en el enemigo. El equipo que estaba intentando hacer más con IA ahora ve a la empresa como el obstáculo. Esa es la manera más rápida de perder el permiso cultural para gobernar cualquier otra cosa. Va a necesitar ese permiso después, cuando implemente las herramientas aprobadas y la política. Quemarlo en una regla de firewall es costoso.
El tercer costo es la ganancia de productividad que abandona. Los empleados que usaban ChatGPT para redactar propuestas, resumir reuniones, o limpiar planillas obtenían un beneficio real. Prohibir la herramienta sin ofrecer un reemplazo hace a la empresa más lenta exactamente en el momento en que los competidores se están acelerando. Gobernanza no es lo opuesto a adopción. Es la precondición para ella.
Paso 1: ejecute una auditoría de Shadow AI de 30 días
La auditoría no es una cacería de brujas. Es una foto del momento. Usted está respondiendo cuatro preguntas. Qué herramientas de IA está usando el equipo ahora mismo. Para qué tipo de trabajo las usan. Qué datos han estado pegando. Y dónde están los vacíos que los empujaron a esas herramientas en primer lugar. Anuncie la auditoría antes de empezar, dígale al equipo que no es disciplinaria, y deje claro que el objetivo es darles mejores herramientas, no quitárselas.
La mecánica es directa. Extraiga registros de red para los dominios de IA más comunes durante los últimos 90 días. Ejecute una encuesta anónima corta, diez preguntas, preguntando qué herramientas usa la gente y para qué. Después siéntese a conversaciones de 30 minutos con una persona de cada función principal. Ventas, finanzas, operaciones, marketing, éxito del cliente. Las conversaciones revelan más que los registros. La gente le va a contar exactamente qué pega y por qué, una vez que entienden que no están en problemas.
Lo que busca es un mapa de uso. Qué herramientas, qué equipos, qué tareas, qué clases de datos. Se va a sorprender con dos cosas. La primera es cuánto uso ya existe. La segunda es con qué frecuencia la misma tarea aparece en múltiples funciones, lo cual le dice dónde debe aterrizar primero la herramienta aprobada.
Entregable
Un mapa de uso de Shadow AI de una página. Herramientas en uso, equipos que las usan, tareas para las que se usan, y las tres exposiciones de datos de mayor riesgo ranqueadas por probabilidad e impacto.
Paso 2: redacte una política de uso aceptable de una página
La política vive o muere según si la gente la lee. Cualquier cosa de más de una página no se lee. La estructura es la misma en cada implementación. Tres clases de datos en lenguaje claro. La lista de herramientas aprobadas y para qué clase de datos está aprobada cada una. Una lista corta de entradas prohibidas con ejemplos concretos. La ruta de reporte cuando algo sale mal. La cadencia de revisión.
Las clases de datos son el elemento de carga. Pública significa que la información ya está en su sitio web o en un comunicado de prensa, cualquiera puede verla, cualquier herramienta de IA está bien. Interna significa que no es secreta pero no es para el público, solo herramientas aprobadas. Restringida significa datos de clientes, datos financieros, datos de empleados, contratos, cualquier cosa regulada. Restringida nunca entra en una herramienta de IA de propósito general a menos que usted tenga un acuerdo de procesamiento de datos firmado y el plan enterprise correcto. Tres clases es suficiente. Cinco es demasiado.
La ruta de reporte importa más de lo que la gente cree. Si alguien pega algo que no debía, usted quiere que se lo digan dentro de una hora, no que lo escondan por un trimestre. Eso solo sucede si la política dice exactamente a quién decirle, en qué canal, sin consecuencias por errores honestos. Escriba la ruta. Nombre a la persona. Haga que sea aburrido usarla.
Entregable
Una política de uso aceptable de una página cubriendo clases de datos, herramientas aprobadas, entradas prohibidas, ruta de reporte, y cadencia de revisión. Firmada por el CEO y circulada a toda la empresa.
Paso 3: implemente una capa de IA privada aprobada
Política sin alternativa es teatro. Si le dice al equipo que no puede pegar contratos en ChatGPT y no le da un lugar para hacer ese trabajo, van a pegar los contratos en ChatGPT. La capa de IA privada aprobada es lo que hace creíble la política. Necesita ser al menos tan buena como la herramienta que el equipo ya está usando, con una consola de administración, registros de auditoría, y un contrato que diga que sus datos no se usan para entrenamiento.
Para la mayoría de empresas con menos de 200 empleados, el punto de partida correcto es uno de los planes enterprise de un proveedor principal. ChatGPT Team o Claude for Work funcionan. Son pagados por usuario, sus datos quedan fuera del entrenamiento, y usted obtiene visibilidad de quién está usando qué. Modelos privados auto-alojados, con recuperación sobre sus propios documentos, son un nivel superior. Tienen sentido cuando existe una restricción regulatoria que un contrato SaaS enterprise no puede resolver, o cuando quiere que la IA realmente conozca su negocio. Empiece más simple. Agregue el modelo privado cuando la opción más simple se quede corta.
La compensación es real. ChatGPT Team es rápido de implementar, cuesta aproximadamente de 25 a 30 dólares por usuario al mes, y da el mismo modelo que el equipo ya está usando. Una capa privada construida sobre sus documentos toma más tiempo para levantar, cuesta más, y se paga cuando el equipo puede hacer preguntas sobre sus contratos, sus políticas, sus datos, y obtener respuestas basadas en su negocio real. La mayoría de las empresas necesitan ambos eventualmente. Empiece con el que se implementa en dos semanas.
Entregable
Una decisión de herramientas de IA aprobadas, contrato firmado, y plan de despliegue con un administrador designado, asignación de licencias por función, y una meta de adopción a 30 días.
Paso 4: capacite al equipo en higiene de prompts y clasificación de datos
La capacitación no es un curso. Es un taller de 60 minutos, en vivo, repetido para cada equipo funcional. El formato es el mismo cada vez. Quince minutos sobre la política y las tres clases de datos, con ejemplos extraídos de la auditoría. Veinte minutos sobre higiene de prompts: cómo escribir un prompt útil, cómo redactar antes de pegar, cómo detectar una alucinación. Veinte minutos prácticos, donde el equipo usa la herramienta aprobada en una tarea real que trajeron al taller. Cinco minutos para preguntas y la ruta de reporte.
La parte práctica es lo que hace que se quede. Leer una política no cambia comportamiento. Ver a un colega obtener una respuesta útil de la herramienta aprobada, en una tarea que estaba por hacer de todas formas, sí lo cambia. Ejecute el taller una vez por función. Grábelo para nuevas contrataciones. Actualícelo cada seis meses a medida que las herramientas evolucionen.
Lo otro que hace el taller es sacar a la superficie los flujos de trabajo que todavía son dolorosos. La gente va a levantar la mano y describir una tarea que la herramienta aprobada no resuelve bien. Anótelas. Se convierten en la siguiente ronda de trabajo de automatización. Las implementaciones de Shadow AI que ignoran los vacíos subyacentes de flujo de trabajo terminan reconstruyendo la sombra.
Entregable
Un taller de 60 minutos con presentación y grabación, ejecutado una vez por función, con una lista de vacíos de flujo de trabajo sin resolver que alimentan el siguiente ciclo de automatización.
Paso 5: mida, publique, itere
La política es un documento vivo. Las métricas son cómo sabe si está funcionando. Cinco números son suficientes. Adopción de herramienta aprobada, medida como usuarios activos por mes dividido entre licencias totales. Uso de herramientas no aprobadas, medido como tráfico a dominios de IA no autorizados a lo largo del tiempo. Incidentes reportados, medidos como conteo por trimestre. Talleres completados, medidos como porcentaje del headcount que ha pasado por la capacitación. Tiempo de resolución de incidentes, medido en días desde reporte hasta cierre.
Publique los números. No en un deck que nadie lee, en un tablero de una página que el equipo directivo ve cada mes. El acto de publicar es lo que crea el ciclo de retroalimentación. Cuando la adopción de la herramienta aprobada sube y el uso de herramientas no aprobadas baja, usted sabe que la política está aterrizando. Cuando la adopción se estanca, la herramienta es incorrecta o el flujo de trabajo es incorrecto y usted lo arregla. Cuando los incidentes suben, la capacitación no está aterrizando y usted repite el taller.
El tablero pertenece al mismo lugar que el resto de sus métricas operacionales. Si tiene un centro de comando, va ahí. Si no tiene uno, esta es una buena razón para construirlo. El punto es que la gobernanza de IA no es un proyecto único. Es una capa de la operación que necesita la misma visibilidad que caja, pipeline, y headcount.
Entregable
Un tablero mensual de gobernanza de IA con cinco métricas, visible en el mismo lugar que el resto del reporteo operacional, y una revisión trimestral en el calendario.
Cómo se vio esto en una firma de asesoría patrimonial de $14 mil millones
Una firma de asesoría patrimonial de $14 mil millones me contrató como Director de IA Externo. El problema presentado era conocimiento institucional: doce años de contexto atrapados en Outlook y servidores de archivos. El problema oculto, que la auditoría reveló dentro del primer mes, era que los asesores ya estaban pegando información de clientes en ChatGPT para redactar resúmenes y preparar reuniones. Nadie les había dicho que no lo hicieran. Nadie les había dado un lugar para hacer ese trabajo de forma segura.
Ejecutamos la auditoría en el cronograma descrito arriba. Escribimos una política de una página con tres clases de datos, hicimos de los datos restringidos de clientes la línea clara, e implementamos una herramienta enterprise aprobada con controles de administración y registros de auditoría. La capacitación se ejecutó en las funciones principales. Los talleres revelaron más dolor del que había descubierto la auditoría, especialmente alrededor de cuánto tiempo les tomaba a los asesores encontrar contexto histórico de un cliente antes de una reunión. Eso se convirtió en el siguiente flujo de trabajo.
El resultado no fue dramático de la manera en que un caso de estudio de marketing lo quiere. Fue estructural. La firma pasó de cero visibilidad y cero política a una política publicada, una herramienta aprobada que el equipo efectivamente usaba, y un tablero mensual que el equipo directivo revisaba. El uso de herramientas no aprobadas no desapareció de un día para otro. Bajó de manera sostenida a medida que la herramienta aprobada mejoró y los talleres aterrizaron. Así se ve la gobernanza cuando funciona. Lea el caso de estudio completo.
Cómo se ve cuando está funcionando
Usted tiene una política de una página que su equipo puede recitar. Tiene una herramienta aprobada con adopción creciendo hacia el resto del headcount. Tiene un tablero mensual en la pantalla del equipo directivo. Cuando alguien pega algo que no debía, se lo dice dentro de un día y usted lo resuelve sin drama. La pregunta de la junta sobre gobernanza de IA tiene una respuesta de un párrafo con números. El trabajo no está terminado. Está operacional. Esa es la diferencia.
Si quiere ver dónde está su riesgo de Shadow AI hoy, la evaluación gratuita lo cubre como parte de la capa de gobernanza. Si quiere conversar sobre cómo se vería una auditoría de 30 días dentro de su operación, el servicio de Director de IA Externo está construido alrededor de exactamente este tipo de trabajo. También puede leer el framework subyacente en el Sistema Operativo de IA, ver cómo la voz y marca encajan en la misma capa en el servicio de Voice DNA, o explorar el resto de los recursos.