Ir al contenido principal

Política de Seguridad para Sistemas de IA

👉 Esta actividad te ayuda a cumplir el siguiente requisito:

  • ISO/IEC 42001:2023: 7.3

Y los siguientes controles, también de ISO 42001:

  • Dominio A.2: A.2.2, A.2.3, A.2.4

  • Dominio A.4: A.4.2, A.4.3, A.4.4, A.4.5, A.4.6

  • Dominio A.6: A.6.1.2

  • Dominio A.7: A.7.2

  • Dominio A.9: A.9.2, A.9.3, A.9.4

  • Dominio A.10: A.10.4

¿Para qué me sirve esta actividad? 📚

Esta actividad te sirve para establecer el marco de trabajo y los lineamientos fundamentales con los que tu organización desarrollará, usará y gestionará los sistemas de Inteligencia Artificial (IA).

💡Crear esta política es el primer paso para construir un Sistema de Gestión de IA (SGIA) sólido. Te permite definir las "reglas del juego" para asegurar que la IA se utilice de forma segura, ética y responsable, ayudándote a minimizar riesgos, cumplir con regulaciones y, lo más importante, a utilizar la IA como un motor para alcanzar tus objetivos de negocio con confianza.

¿Qué tengo que hacer? 🚀

Para crear tu política de seguridad para sistemas de IA, te recomendamos comenzar leyendo este artículo y el template que te proporcionamos en su totalidad para conocer de qué va y comprender todo lo que abarca.

Dentro del template encontrarás una serie de temas asociados a los controles de la norma ISO/IEC 42001, es decir que podrás saber qué es lo que estás cumpliendo con la información ahí documentada.

Vista previa de nuestro template:

Una vez leído todo el template, debes asegurar que se encuentre alineado a tus operaciones, o de ser el caso, validar si es posible implementar todos los lineamientos ahí descritos. Si hay algo que no puedas implementar, los responsables principales de este proyecto deben poder justificar los motivos de esto durante una auditoría. De igual forma no dudes en acercarte a nosotros para validar la situación en conjunto y darte la mejor solución 🚀.

💡La política que te proponemos en nuestro template cuenta con una variedad de temas que son requeridos por la normativa. Lo hacemos de esta forma para tener toda la información consolidada en un solo documento y así no tendrás que revisar, actualizar y mantener muchos documentos separados.

A continuación te enlistamos todos los temas de seguridad que encontrarás en el template y que deberás trabajar y adaptar al contexto de tu empresa.

  • Fundamentos de la política:

    • Esta sección inicial es la "constitución" del Sistema de Gestión de IA. Establece los cimientos sobre los que se construirá todo lo demás, definiendo los principios éticos clave (como responsabilidad, equidad y transparencia) que actúan como el compás moral de la organización. Además, aborda los procesos para gestionar incumplimientos y los criterios para la revisión periódica de la política, asegurando que se mantenga siempre actualizada y relevante.

  • Recursos para los sistemas de IA:

    • Un sistema de IA depende de un ecosistema de recursos. Esta sección trata sobre la identificación, documentación y gestión ordenada y segura de cada uno de ellos.

      • Recursos documentales: Cubre básicamente el establecimiento de la documentación esencial para la comprensión y gestión del SGIA, como el “Diagrama de Infraestructura". Este mapa es vital para entender cómo fluye la información, qué componentes tiene el sistema y dónde se aplican controles de seguridad.

      • Recursos de datos: Este punto aborda los lineamientos generales sobre la gestión integral de los datos y las garantías sobre su calidad y procedencia.

      • Recursos de herramientas: Aborda los lineamientos adecuados para la identificación y documentación de algoritmos, modelos, librerías y software utilizados. Por ejemplo, un aspecto crucial que cubre esta sección es el registro y versionado de los modelos de IA para asegurar la trazabilidad y la responsabilidad sobre sus resultados.

      • Recursos del sistema y de computación: Este apartado se centra en definir las directrices sobre la gestión de la infraestructura que soporta la IA, incluyendo la documentación de los recursos de procesamiento, red y almacenamiento, ya sea en la nube o en instalaciones físicas, y considerando el impacto ambiental asociado a su uso.

      • Recursos humanos: Estos lineamientos impactan en los procesos para asegurar que el equipo asignado a la implementación del SGIA posee las competencias técnicas y el comportamiento ético adecuados para manejar sistemas de IA de forma responsable y llevar a cabo las funciones derivadas, abarcando desde la contratación hasta la capacitación continua.

  • Diseño y desarrollo de sistemas de inteligencia artificial:

    • Esta sección establece las reglas para construir IA de forma segura desde el principio (un enfoque de "seguridad por diseño"). Contiene los lineamientos para los equipos de desarrollo, como la obligación de integrar medidas de seguridad en cada etapa del ciclo de vida, la importancia de separar los ambientes (desarrollo, pruebas, producción) para mitigar riesgos, y la correcta segregación de funciones.

  • Transparencia en la documentación técnica:

    • Esta parte de la política se enfoca en la estrategia para documentar los sistemas de IA de manera clara y adaptada a sus distintas audiencias (usuarios finales, equipos internos, reguladores, etcétera). Su propósito es asegurar que la información relevante, como el propósito del sistema, sus limitaciones, su arquitectura y los datos que utiliza, sea accesible y comprensible.

  • Gestión de los datos usados en los sistemas de IA:

    • Si la sección de recursos que explicamos previamente en este artículo tiene como objetivo definir los lineamientos para la identificación de los datos, aquí se definen las reglas detalladas de su manejo.

      • Datos para el desarrollo y la mejora: Aborda los lineamientos para definir los procesos para la gestión continua de los datos usados en el entrenamiento y mejora de modelos, poniendo especial atención en la privacidad, la seguridad y la mitigación de sesgos.

      • Adquisición de los datos: Se centra en los lineamientos para el proceso formal para incorporar nuevos datos, documentando su origen, características y los derechos de uso.

      • Calidad de los datos: Aquí se establecen los estándares de calidad que deben cumplir los datos, definiendo claramente qué significa que un dato sea "bueno" (exacto, completo, consistente, etcétera) y los mecanismos para verificar y mantener esa calidad.

      • Procedencia de los datos: Define los aspectos más importantes a considerar para definir el proceso que permita registrar adecuadamente el origen de los datos y las transformaciones que han sufrido (su "linaje"), lo cual es fundamental para la trazabilidad y la depuración de errores.

      • Preparación de los datos: Este apartado cubre los criterios y procedimientos para el pre-procesamiento de datos, como la limpieza, normalización y etiquetado, para que sean idóneos para el sistema de IA.

  • Ética y uso responsable de los sistemas de IA:

    • En esta sección se abordan los controles y consideraciones que se deben aplicar para la toma responsable de decisiones sobre los sistemas de IA, como los procesos de aprobación interna antes de usar un sistema nuevo, los análisis de costo-beneficio y la evaluación de la seguridad y ética de los proveedores de IA. Además aquí se establecen los objetivos del uso responsable y previsto que se le debe dar al sistema de IA para asegurar que la herramienta se use para el propósito para el que fue diseñada y con medidas para evitar desviaciones y mantener registros (logs) que permitan investigar cualquier incidente.

Sabemos que parece mucha información, ¡pero no te preocupes! Cómo bien te comentamos, nuestro template está estructurado para guiarte paso a paso. La ventaja de tener una política tan completa es que consolida la mayoría de tus directrices de IA en un solo lugar, facilitando su gestión, mantenimiento y comunicación.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Recuerda que debes adaptar la política a tus operaciones, no al revés. El documento debe ser un reflejo realista de las necesidades y capacidades de tu empresa.

  • La alta dirección debe expresar en todo momento su compromiso con el SGIA. Su participación en la elaboración, revisión y aprobación de esta política es clave para su éxito.

  • Involucra a las áreas pertinentes. El equipo de Desarrollo y/o Tecnología, así como el área Legal (si la tienes y es necesario) o cualquier otra que consideres conveniente, ya que son aliados fundamentales para definir estos lineamientos de manera correcta y completa.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
57. Política de Seguridad de la Información 
Política de Comité de Inteligencia Artificial
Política de SGIA
Inventario de Activos de IA
Metodología de Indicadores de Inteligencia Artificial
¿Ha quedado contestada tu pregunta?