Ir al contenido principal

Política de Desarrollo Seguro en IA

👉 Esta actividad te ayuda a cumplir los siguientes controles:

  • ISO/IEC 42001:2023: A.6.1.2, A.6.2.5

¿Para qué me sirve esta actividad? 📚

Esta actividad te sirve para establecer las reglas de construcción en las que deben basarse todos tus sistemas y aplicaciones que utilizan Inteligencia Artificial.

Implementar esta política te permitirá principalmente lograr lo siguiente:

  • Integrar la seguridad y la ética desde el inicio del desarrollo del sistema.

  • Estandarizar las buenas prácticas para que todos en tu equipo de desarrollo sigan los mismos estándares de codificación segura, lo que aumenta la calidad y reduce las vulnerabilidades.

  • Reducir el riesgo de brechas de seguridad ya que al prevenir errores de programación comunes y gestionar de forma segura los componentes, minimizas la superficie de ataque de tus aplicaciones.

  • Demostrar debida diligencia ante auditores, ya que esta política es la evidencia de que tienes un proceso maduro y controlado para construir tecnología.

¿Qué tengo que hacer? 🚀

Para elaborar esta política te recomendamos comenzar leyendo este artículo y el template que te proporcionamos en su totalidad. Y una vez leídos, debes asegurar que se encuentre alineado a tus operaciones o en dado caso, que identifiques lo que debes ajustar y alinear a las operaciones, necesidades y contexto real de tu organización.

A continuación, te explicamos el propósito de las secciones que encontrarás en el template:

  • Seguridad en el desarrollo. Aquí se establecen los principios generales, como la elección de una metodología de desarrollo seguro, los requisitos para el uso de herramientas de escaneo de código y, muy importante, se establecen las directrices pertinentes para cuando el desarrollo se terceriza, asegurando que tus proveedores cumplan con tus mismos estándares de seguridad.

  • Protección de servicios y ambientes. Este apartado se centra en proteger la infraestructura donde se construye y se ejecuta tu código. Cubre dos áreas críticas:

    • Protección frente a redes públicas: Define los requisitos técnicos para proteger la información cuando viaja por internet o se almacena, como el uso de encriptación fuerte (cifrado).

    • Seguridad en ambientes: Establece la regla fundamental de separar los ambientes de desarrollo, pruebas y producción. Esto evita que un error en el entorno de desarrollo pueda afectar a tus clientes en producción. También define las reglas para la gestión segura del código fuente y de las librerías de terceros.

  • Pruebas de aceptación y evaluación. Esta sección establece los requisitos para el proceso de pruebas. Un punto clave que se define aquí es la obligación de utilizar datos ficticios o de prueba en lugar de datos reales de clientes durante la fase de desarrollo, lo cual es una medida fundamental para proteger la privacidad.

  • Gestión del proyecto. Esta última sección asegura que la seguridad no sea solo una preocupación del equipo técnico, sino una parte integral de la gestión de proyectos. Aquí se establece que los requisitos de seguridad, privacidad y cumplimiento deben ser identificados y considerados desde la fase de planificación de cualquier nuevo desarrollo.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • La seguridad es responsabilidad de todos así, que fomenta una cultura en la que cada desarrollador se sienta responsable de la seguridad del código que escribe. La capacitación continua, como se menciona en la política, es clave para lograrlo.

  • Automatiza la seguridad siempre que puedas. Las herramientas de escaneo de código (SAST/DAST) son tus mejores aliadas. Integrarlas en tu ciclo de desarrollo te permitirá detectar y corregir vulnerabilidades de forma temprana y automática.

  • Gestiona tus dependencias. Hoy en día, gran parte del software se construye usando componentes de terceros (código abierto, librerías, etcétera). Uno de los mayores riesgos es una vulnerabilidad en una de estas dependencias. Toma muy en serio los lineamientos de la política sobre la gestión y actualización de estos componentes.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti!

Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
36. Política de Desarrollo Seguro
27. Política de Desarrollo Seguro
57. Política de Seguridad de la Información 
30. Puntos de revisión para Requisito 6
Política de Desarrollo Seguro
¿Ha quedado contestada tu pregunta?