Asegurar el futuro de Agentic: un coloquio de la serie «GC Lunch Series»

La adopción de la IA en todos los sectores está entrando en una nueva etapa. A medida que la IA generativa se integra en las operaciones empresariales, está surgiendo una nueva ola más potente y compleja: la IA agentiva. Estos sistemas no se limitan a ayudar en tareas puntuales, sino que pueden ejecutar de forma autónoma procesos de varios pasos, tomar decisiones e interactuar con herramientas empresariales de diversas funciones y sectores. Para las organizaciones que se enfrentan a este cambio, esto plantea una serie de cuestiones fundamentalmente diferentes en torno a la gobernanza, la seguridad, la responsabilidad y la resiliencia operativa. La última entrega de nuestra serie de almuerzos para directores jurídicos reunió a líderes del ámbito jurídico y de la ciberseguridad de Sophos, Securonix y RingCentral para analizar cómo se están preparando las empresas para esta era de la IA agentiva y los retos intersectoriales que plantea. A continuación, se resumen las conclusiones clave.

¿Qué son los agentes y por qué deberían importarles a los directores generales?

• La IA agentiva es cualitativamente diferente de un chatbot o de una herramienta de revisión de documentos. Los agentes pueden actuar razonando, planificando, ejecutando procesos de varios pasos, accediendo a los sistemas de la empresa y tomando decisiones con distintos grados de autonomía. Esa distinción debería llamar rápidamente la atención de cualquier director jurídico.
• Un sistema de IA empresarial convencional podría redactar una cláusula contractual cuando se le solicite. Un sistema autónomo podría identificar la necesidad de una cláusula, redactarla, remitirla para su aprobación y actualizar un sistema de gestión de contratos sin que un ser humano tenga que iniciar cada paso. Las implicaciones de ese avance en materia de gobernanza son profundas.
• Desde el punto de vista de un consejero general, la característica definitoria de los agentes es la autonomía. En un contexto jurídico, la autonomía es inseparable de cuestiones como la autoridad, la responsabilidad y el control. El derecho de la representación puede verse puesto a prueba de formas nuevas e inesperadas.

El papel de los agentes en el ecosistema

• La tendencia a crear, desarrollar e implementar agentes se está acelerando en múltiples sectores verticales, unidades de negocio y ámbitos. Las organizaciones representadas en la serie de almuerzos —que abarca desde plataformas de ciberseguridad hasta comunicaciones en la nube— están creando e implementando activamente agentes dentro de sus paquetes de productos y operaciones internas.
• La curva de maduración de los agentes aún se encuentra en una fase temprana, pero su trayectoria es ascendente. Los avances técnicos más importantes que impulsan la transición hacia los sistemas basados en agentes se están produciendo en estos momentos, y los ponentes prevén que los agentes adquieran un protagonismo destacado en toda la empresa en los próximos doce a veinticuatro meses.
• El ecosistema no se está decantando por un único modelo. El debate oscila entre los agentes de propósito único, los sistemas multiagente y las capas de orquestación. Los GC deben comprender estas opciones arquitectónicas, ya que cada una de ellas conlleva perfiles de riesgo distintos.
• Las empresas de ciberseguridad como Sophos y Securonix desempeñan un doble papel: por un lado, dan forma al ecosistema de los agentes como creadoras y, por otro, actúan como defensoras en primera línea frente a los riesgos que estos introducen. El mensaje del panel fue claro: hay que distinguir entre el bombo publicitario y lo que es duradero, y asegurarse de que el equipo jurídico esté al tanto de los avances que probablemente la mayoría de las empresas no están siguiendo.

Los agentes están impulsando un nuevo debate sobre la gobernanza

• El panorama jurídico mundial en torno a la IA es cambiante, y los agentes plantean retos de gobernanza que difieren sustancialmente de los que plantean los sistemas de IA generativa independientes. Los directores jurídicos no pueden limitarse a ampliar las políticas de IA existentes para abarcar las implementaciones de agentes, ya que el perfil de riesgo es de naturaleza diferente, no solo en grado.
• Autonomía y responsabilidad. Las organizaciones deben definir el alcance de la autoridad concedida a un agente con el mismo rigor que aplican a la delegación de tareas a personas. El principio del «privilegio mínimo» adquiere un nuevo significado en el contexto de los agentes, y es necesario documentar los derechos de decisión cuando se utilizan agentes en flujos de trabajo críticos. La cuestión más compleja de cuánta discrecionalidad debe tener un agente antes de que sea necesaria una escalación obligatoria a una persona no tiene una respuesta única válida para todos los casos, pero exige un marco bien definido.
• Seguridad. Los agentes plantean riesgos de seguridad que son únicos o más graves en comparación con los sistemas sin agentes. La inyección de comandos, el uso indebido de herramientas, la escalada de privilegios y la contaminación de la memoria adquieren nuevas dimensiones en un entorno con agentes. En efecto, los agentes están creando una nueva superficie de ataque dentro de la empresa, y los directores de seguridad de la información (CISO) están analizando detenidamente cómo supervisar y contener estos riesgos. El director jurídico debería formar parte de ese debate, sin esperar a que un incidente lo imponga.
• Privacidad de los datos y riesgos adicionales. Los agentes complican los marcos existentes de gobernanza de datos y privacidad de formas que muchas organizaciones aún no han previsto. Para las empresas que se enfrentan al complejo mosaico global de leyes sobre privacidad de datos, la implementación de agentes sin una comprensión clara de cómo interactúan con los datos personales, las transferencias transfronterizas y las obligaciones normativas puede plantear retos importantes.  
• Riesgos relacionados con terceros. La contratación de proveedores que actúan como agentes requiere un enfoque diferente. Las cláusulas de indemnización, limitación de responsabilidad y seguridad deben adaptarse a la IA que actúa como agente.

Lo que los directores generales deberían transmitir a sus equipos

• Los ponentes se mostraron sinceros al hablar de lo que les entusiasma del futuro de la inteligencia artificial, pero igualmente sinceros al referirse a la gobernanza que este exige. El equilibrio adecuado entre innovación y gobernanza debe seguir siendo dinámico, lo que requiere una negociación continua que exige la participación de los responsables del ámbito jurídico.
• Los directores generales deben estar preparados para responder a una pregunta clave: si tuvieran que explicar la actuación de un agente ante un organismo regulador, un tribunal o su consejo de administración, ¿qué documentación necesitarían y de cuánta de ella dispone realmente su organización en la actualidad?
• Lo único que se instó a todos los responsables jurídicos presentes en la sala a transmitir a sus equipos y a sus consejos de administración fue que garantizar un futuro basado en la autonomía no es solo un reto tecnológico. Es también un reto de gobernanza, gestión de riesgos y liderazgo.  

La IA autónoma está pasando del concepto a la implementación a un ritmo más rápido del que la mayoría de los departamentos jurídicos están preparados para afrontar. Los directores jurídicos que combinen una participación temprana con marcos de gobernanza bien definidos, y que establezcan las competencias, exijan la auditabilidad e insistan en la seguridad desde el diseño, serán quienes guíen a sus organizaciones a través de esta transición, en lugar de limitarse a reaccionar ante ella.

Haz clic aquí para leer un artículo reciente del Wall Street Journal que recoge muchos de los puntos que hemos tratado. ¡Adelante!