La aceleración del uso de la Inteligencia Artificial en las organizaciones está obligando a CISOs, responsables de cumplimiento, equipos de datos y líderes tecnológicos a enfrentarse a una nueva generación de riesgos. Este 2026 marca un punto de inflexión: con el Reglamento de IA entrando ya en vigor y con sistemas cada vez más autónomos, las organizaciones necesitan dejar atrás los discursos teóricos y apoyarse en herramientas operativas que funcionen en el día a día.

En este contexto, desde el área de trabajo de GIA de ISMS Forum presentamos tres iniciativas estratégicas, el Decálogo de Seguridad en IA Agéntica, el Mapa de Riesgos de IA del MIT y el Inventario de Servicios y Sistemas de IA, concebidas para convertirse en referencias de trabajo reales. Cada una responde a un reto distinto, pero todas comparten un enfoque riguroso, alineado con estándares internacionales y diseñado para facilitar la implantación de modelos de gobernanza de IA sólidos y auditables.

1. Decálogo de Seguridad en la IA Agéntica: proteger el futuro inmediato

La llegada de agentes de IA autónomos, capaces de ejecutar acciones, coordinarse entre sí y operar sin supervisión continua, está transformando por completo el panorama de riesgo. Tanto Gartner como McKinsey coinciden en que la IA agéntica será una realidad corporativa generalizada en muy poco tiempo, y no un experimento aislado.

El decálogo se apoya en las referencias más avanzadas del momento, como OWASP Top 10 for Agentic Applications, AI Agents Attack Matrix, MITRE ATLAS o los principales trabajos académicos sobre autonomía operativa. A partir de ellas, se construye un conjunto de diez principios prácticos que abordan cuestiones tan críticas como:

• la identificación y control de agentes y subagentes,
• la gestión de su autonomía funcional,
• la interacción segura con herramientas externas,
• la protección del contexto y la memoria,
• el manejo de identidades privilegiadas,
• y la necesidad de capacidades de observabilidad y respuestas específicas para IA.

La guía ofrece criterios accionables para mitigar amenazas emergentes que los equipos de seguridad ya están empezando a encontrar: inyecciones indirectas de prompt, manipulación de memoria a través de instrucciones laterales, fugas de credenciales o escaladas de privilegios entre agentes.

2. Mapa de Riesgos del MIT: ordenar un ecosistema de amenazas cada vez más complejo

El segundo proyecto aborda uno de los grandes retos actuales: clasificar, entender y priorizar los riesgos de IA en un contexto de proliferación de taxonomías, definiciones y marcos sectoriales. El Instituto Tecnológico de Massachusetts (MIT) analizó 65 taxonomías distintas y consolidó 1.612 riesgos en un repositorio único que se ha convertido en referencia mundial.

El documento que presentamos adapta este marco al contexto español y europeo, alineándolo con:

• El EU AI Act y sus obligaciones de gestión del riesgo.
• Los requisitos del RGPD, especialmente en materia de privacidad por diseño y evaluaciones de impacto.
• Las exigencias de NIS2 y el ENS.

El trabajo introduce dos dimensiones clave: la taxonomía causal (quién origina el riesgo, con qué intención y en qué fase del ciclo de vida) y la taxonomía de dominios (privacidad, seguridad, discriminación, desinformación, uso malicioso, socioeconómico, fallos del sistema, etc.).

Esta doble perspectiva permite a los CISOs y responsables de cumplimiento pasar de una visión abstracta del riesgo a un mapa claro, comparable y directamente utilizable para: diseñar controles, priorizar mitigaciones, estructurar auditorías, e integrar la IA en las matrices corporativas de riesgo.

En un momento en que la presión regulatoria es creciente y la tecnología evoluciona más rápido que los controles, contar con una base armonizada como la del MIT resulta imprescindible.

3. Inventario de Servicios y Sistemas de IA: la piedra angular del cumplimiento del AI Act

El tercer proyecto constituye, sin duda, uno de los elementos más críticos para las organizaciones en 2026: el inventario obligatorio de sistemas de IA exigido por el Reglamento Europeo. Este inventario deja de ser un registro estático para convertirse en un mapa de activos y riesgos que articula todo el ciclo de vida de la IA.

El documento se basa en los principales marcos internacionales de gobernanza de IA: NIST AI Risk Management Framework, ISO/IEC 42001:2023 (AI Management System), ISO 23894:2023 (risk management en IA).

A partir de ellos, define un enfoque claro y aplicable:

• cómo descubrir y mapear sistemas de IA (incluyendo shadow AI),
• cómo clasificarlos por niveles de riesgo conforme al AI Act,
• cómo vincularlos con controles, evaluaciones de impacto o FRIA,
• cómo integrarlos con procesos existentes (RAT, CMDB, compras, terceros, seguridad),
• y cómo mantener un registro vivo y auditado que permita asegurar cumplimiento, trazabilidad y evidencia.

Más allá del requisito regulatorio, este inventario actúa como la columna vertebral de la gobernanza de IA, permitiendo tomar decisiones basadas en datos y mantener un control efectivo sobre todo el ciclo de vida.

Una cita ineludible: presentación en el Foro de IA

Los tres proyectos, el Decálogo de Seguridad en IA Agéntica, el Mapa de Riesgos MIT adaptado y el Inventario de Servicios y Sistemas de IA, se presentarán de forma oficial en el Foro de Inteligencia Artificial. Durante el evento se explicarán sus claves, su aplicabilidad práctica y cómo integrarlos en los modelos de gobierno de IA de cualquier organización.

Los documentos completos se publicarán ese mismo día.

Un punto de encuentro imprescindible para quienes lideran la seguridad, la privacidad y la gobernanza de la IA en 2026.