Cinco lugares donde se rompe el software de la cadena de suministro
Bernhard Liebl
6 Min. de lectura Las empresas compran suites de cadena de suministro contra el caos de los datos maestros, ...
7 min. lectura
Quien adopta un modelo de IA en producción asume la responsabilidad de su comportamiento, sus riesgos y su mantenimiento. Que se trate de un nuevo modelo alemán desarrollado en un consorcio financiado no cambia esta responsabilidad. El CIO no puede delegar esta responsabilidad en la procedencia ni en una licencia abierta. La soberanía se manifiesta en cómo una organización gestiona, controla y documenta el uso.
Lo esencial en breve
Relacionado:Nube soberana: Cuándo compensa el costo adicional / Muse Spark obliga a los CIOs a replantearse
Muchas organizaciones inician la evaluación de un nuevo modelo a partir del rendimiento. Así empiezan por el extremo equivocado. Primero deben contar con sus propias estructuras de gobernanza. Un modelo consorciado, como el que recientemente presentó el proyecto Soofi, surge del conjunto de varias instituciones de investigación y empresas. La decisión de adoptarlo no recae solo en el área de TI; afecta a cumplimiento, al departamento legal y, al final, al consejo de administración.
El EU AI Act exige transparencia, clasificación de riesgos y supervisión humana. Estas obligaciones se aplican sin importar si el modelo proviene de un proyecto financiado públicamente. Las políticas internas deben determinar en qué casos de uso un modelo con madurez comercial limitada puede ser utilizado. Si falta esta definición, el conflicto aparecerá más adelante cuando un área funcional quiera poner en producción el modelo y la base legal no quede aclarada.
Además, está la responsabilidad. Un proveedor comercial establece límites de responsabilidad regulados contractualmente. En un consorcio la asignación resulta menos clara, ya que la responsabilidad se reparte entre varias instituciones. El Chief Information Officer (CIO) debería definir pronto qué riesgos asume la propia organización y cuáles pueden cubrirse mediante contratos.
Una licencia abierta traslada la dependencia. No la elimina.
Integrar en una infraestructura informática existente es más que una cuestión de compatibilidad técnica. Se trata de determinar quién es responsable de la disponibilidad, los parches de seguridad y la adaptación a nuevas normativas. Un consorcio de investigación no está pensado para soporte operativo a largo plazo. La financiación del Ministerio de Economía y los fondos de la UE terminan en un momento determinado. Después, alguien debe asumir la responsabilidad.
En la práctica, muchos equipos parten de la suposición de que pueden continuar el modelo por sí mismos. Sin capacidades propias para ajustes finos, auditorías de seguridad y monitoring, rápidamente se crea una nueva dependencia. Esta dependencia no se dirige contra un único proveedor, sino contra la continuidad de las instituciones involucradas o la disposición de una comunidad para mantener el modelo.
EL PUNTO CIEGO
La disponibilidad no es control. Un modelo ejecutado en un centro de datos propio no significa que se domine. Sin monitoring de los flujos de datos, sin control de versiones y sin un camino de escalamiento definido, la soberanía queda solo en papel.
La soberanía implica que la organización decida por sí misma cómo se emplea el modelo, qué datos procesa y cuándo se adapta o sustituye. Para ello se requieren roles y procesos que sustenten esas decisiones. Frecuentemente, la competencia recae en pocos especialistas de TI. El área funcional conoce los requerimientos, el consejo las riesgos estratégicos. Sin una distribución clara de roles aparecen precisamente esas lagunas.
Los problemas de estructura se manifiestan cuando no existe una instancia que decida sobre la adopción de un nuevo caso de uso. Los problemas de personal aparecen cuando un único especialista se ausenta y nadie puede asumir la responsabilidad. Ambos deben atenderse simultáneamente. La construcción de capacidad de control, por tanto, exige dos cosas: derechos de decisión definidos y un desarrollo focalizado del talento en los equipos que sostienen el modelo.
El proyecto Soofi enumera como objetivo la plena supervisión de los datos, su procedencia e infraestructura. Para el usuario supone comprobar si esa supervisión llega a su propia organización. Adoptar un modelo procedente de un consorcio sin crear mecanismos propios para vigilar flujos de datos y versiones del modelo solo traslada la dependencia a otro punto.
La revisión, la supervisión y las preguntas de los clientes exigen cada vez más que una organización demuestre cómo ejerce el control sobre sus sistemas de IA. La afirmación de que un modelo es soberano solo porque se desarrolló en Europa no basta en una auditoría. El CIO debe poder demostrar qué datos entraron en el entrenamiento, cómo se documentan los cambios y qué mecanismos de control están en vigor durante la operación.
En particular, en los modelos provenientes de contextos de investigación, la documentación de los datos de entrenamiento y los procedimientos suele no estar disponible en la magnitud que exige una auditoría. Esta brecha también fue señalada por la comunidad especializada en el informe Soofi. Para el usuario queda la cuestión de si puede verificar de forma independiente los datos del consorcio y qué conclusiones extrae para su propia evaluación de riesgos.
Sin pruebas sólidas ante auditores internos o externos, la soberanía sigue siendo una afirmación. Por eso, la creación de rastros de auditoría y la capacidad de ofrecer información detallada bajo demanda deben formar parte de la planificación de la integración desde el inicio. En sectores regulados, donde la supervisión exige pruebas concretas, este punto decide la autorización.
¿Qué es la gobernanza de IA? La gobernanza de IA es el marco vinculante que incluye derechos de decisión, criterios de riesgo, obligaciones de documentación y puntos de control, que define quién decide la selección, el uso y la retirada de un modelo y quién asume la responsabilidad en caso de incidente. Sin este marco, el uso no es ni controlable ni demostrable en una auditoría. Esto se aplica tanto a un modelo de consorcio como a un proveedor comercial.
We need to translate German HTML to Spanish, preserving HTML structure, tags, attributes, etc. Must keep numbers unchanged, but there are none. Must keep coin names unchanged (Euro etc.) none. Must preserve HTML tags exactly, but translate content inside tags, including attributes values? The attribute values like style must stay unchanged? The rule says preserve each tag, style, class, attribute. So we must keep the style attribute exactly as is? It says preserve each tag, style, class, attribute. That likely means keep the attribute syntax unchanged, but we can translate the attribute’s value? The style attribute contains CSS; we should keep it unchanged because it’s part of formatting. So we keep
We must keep HTML structure identical:
…
. Must translate sentences, maintain length approx. Must maintain periodical quality: native Spanish, vary rhythm, develop abbreviations, add context for DACH maybe not needed. Keep FAQ? Not present.
We must translate TL;DR and FAQ headers if present; not present.
We must keep
We must keep href unchanged; not relevant.
We must output
En los primeros 30 días, un equipo formado por profesionales de TI, Legal, Cumplimiento y un representante de la unidad de negocio elabora un catálogo de criterios. Define qué requisitos se aplican a la procedencia de los datos, a los procesos de actualización, a los canales de escalada y a la documentación dentro de la propia organización. El CIO asume la responsabilidad como patrocinador, mientras que la dirección operativa recae en el CISO.
En los siguientes 30 días se elabora una matriz de dependencias de los proyectos de IA en curso. Por cada sistema se indica el responsable funcional, el nivel de escalada en caso de incidente y la existencia o ausencia de pruebas sobre el origen de los datos y el control. La matriz deja patente dónde actualmente no hay ninguna persona asignada que pueda asumir la responsabilidad en caso de duda.
En los últimos 30 días se establecen las primeras medidas contractuales y organizativas para un escenario piloto seleccionado. Esto incluye definir quién debe poder actuar ante un cambio de modelo o una brecha de seguridad dentro de 48 horas y cómo se puede demostrar esa capacidad de actuación.
En un modelo de un consorcio de investigación, las preguntas de responsabilidad suelen estar menos definidas que con proveedores comerciales. La organización debe evaluar el alcance en que ella misma responde por daños derivados del comportamiento del modelo. Los contratos con los socios del consorcio solo ayudan en medida limitada, ya que la responsabilidad se reparte entre varias instituciones.
Comienza con la definición de roles y procesos de decisión y puede extenderse, según la situación, varios meses hasta un año. La integración técnica es más rápida. La capacidad de evaluar, supervisar y, si fuera necesario, sustituir un modelo por otro requiere una capacitación específica y experiencia práctica.
Una beta cerrada significa que el modelo aún no está disponible públicamente y que su arquitectura, comportamiento y soporte aún pueden modificarse. Quien lo evalúe ahora debe aclarar qué garantías de desarrollo y soporte se mantendrán después de la beta. Sin esas garantías, el uso productivo conlleva una alta incertidumbre.
Más del medio MBF Media
Más para leer en Digital Chiefs
Digital ChiefsCinco lugares donde se rompe el software de la cadena de suministroDigital ChiefsServicios gestionados: La factura que nadie hace públicaDigital ChiefsCuando el taller y el centro de cómputo se convierten en una redFuente de la imagen: generada por IA (julio 2026)