Ir al contenido principal

Procedimiento de Revisión y Contratación de Proveedores (SGIA)

👉 Esta actividad te ayuda a cumplir el siguiente control:

  • ISO/IEC 42001:2023: A.10.3

¿Para qué me sirve esta actividad? 📚

Esta actividad te sirve para establecer un proceso formal de debida diligencia sobre tus proveedores de tecnología de Inteligencia Artificial, definiendo todos los pasos necesarios para evaluar a estos proveedores y asegurar que cumplan con tus estándares de seguridad.

💡Recuerda que cuando integras un servicio de IA de un tercero, no solo estás contratando una herramienta, sino que también estás "heredando" sus prácticas de seguridad, su ética y sus posibles riesgos.

Además, implementar este procedimiento te ayudará a:

  • Gestionar el riesgo de la cadena de suministro, asegurando que tus proveedores y socios tecnológicos no se conviertan en el eslabón más débil de tu sistema de gestión.

  • Tomar decisiones de contratación informadas. Aquí estableces criterios objetivos para evaluar y comparar proveedores, eligiendo aquellos que están alineados con tus estándares de seguridad y responsabilidad.

  • Establecer responsabilidades contractuales claras, garantizando que los contratos con tus proveedores incluyan cláusulas específicas sobre seguridad, privacidad y notificación de incidentes en el contexto de la IA.

  • Demostrar cumplimiento durante auditorías, generando la evidencia pertinente de que gestionas y evalúas activa y periódicamente a tus proveedores, y no simplemente confías ciegamente en sus servicios.

¿Qué tengo que hacer? 🚀

Para elaborar este procedimiento, te recomendamos comenzar leyendo este artículo y el template que te proporcionamos en su totalidad para comprender los dos flujos de trabajo principales que contiene: la gestión de tus proveedores actuales y la selección de nuevos.

A continuación, te explicamos con mayor detalle la estructura que encontrarás en nuestro template, solo presta especial atención a los criterios de evaluación del paso 4, ya que son el núcleo del proceso de toma de decisiones y es muy importante que estén alineados al contexto y necesidades reales de tu organización.

Gestión de tus proveedores actuales (pasos 1-4)

La primera parte del procedimiento se enfoca en evaluar a los proveedores que ya forman parte de tu ecosistema. El flujo es el siguiente:

  1. Identificación y registro: Primero, se identifican todos los proveedores que tienen un impacto en tu SGIA y se registran en una Matriz de Evaluación de Proveedores (del SGIA).

  2. Revisión contractual: Se analizan los contratos o términos y condiciones existentes para verificar que incluyan cláusulas claras sobre las responsabilidades del proveedor en materia de IA, seguridad y gestión de incidentes.

  3. Evaluación formal: Este es el paso más importante. Se evalúa a cada proveedor utilizando un conjunto de criterios específicos para IA que el template te propone:

    1. Calidad de su documentación técnica: ¿Son transparentes sobre cómo funciona su sistema de IA?

    2. Sus propios procesos de evaluación y calidad: ¿Demuestran que evalúan el impacto y la calidad de sus propios sistemas?

    3. Su nivel de cumplimiento normativo: ¿Cuentan con certificaciones (como ISO 42001, ISO 27001, etc.) que respalden sus prácticas?

Selección y contratación de nuevos proveedores (pasos 5-8)

Este flujo de trabajo se activa cuando necesitas un nuevo servicio de IA o cuando un proveedor actual no cumple con tus estándares en la evaluación. El proceso se podría resumir en lo siguiente:

  1. Búsqueda y validación: Se buscan y validan posibles nuevos proveedores, asegurando que cumplan con los requisitos mínimos de calidad, seguridad y responsabilidad.

  2. Formalización del contrato: Se establece un contrato formal que debe incluir, como mínimo, las responsabilidades claras del proveedor en caso de un incidente de seguridad relacionado con la IA.

  3. Actualización de registros: Finalmente, el nuevo proveedor se añade a la Matriz de Evaluación de Proveedores (del SGIA) y se le realiza la evaluación inicial.

Recuerda que al final, el documento de "matriz" es tu herramienta central donde se consolida la información y los resultados de las evaluaciones. Mientras que este documento define el cómo se debe ejecutar dese paso a paso para asegurar una correcta evaluación.

El procedimiento que te proponemos en nuestro template está estructurado con los pasos necesarios para dar cumplimiento a los requisitos normativos. Dentro de él encontrarás también ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustar todo lo que consideres pertinente para alinear el documento a las operaciones reales de tu empresa.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • El contrato es tu principal herramienta de control. No te conformes con los términos y condiciones estándar si el proveedor es crítico para tu operación. Asegúrate de que el contrato incluya cláusulas específicas sobre tus derechos a auditar, requisitos de notificación de incidentes y responsabilidades claras sobre la protección de datos, y el uso de la tecnología de IA.

  • De ser posible, pide a tus proveedores evidencia de su cumplimiento. Esto puede incluir sus propias certificaciones (ISO, SOC 2, etcétera), informes de auditorías de terceros o copias de sus políticas de seguridad y de IA.

  • La evaluación es un proceso continuo, por lo que debes realizar revisiones periódicas de proveedores, por lo menos de manera anual. Recuerda que un proveedor que hoy es seguro puede no serlo mañana.

  • Considera el riesgo de dependencia ("vendor lock-in"). Al evaluar un nuevo proveedor de IA, analiza qué tan difícil sería cambiar a otro en el futuro. Una alta dependencia de un único proveedor puede convertirse en un riesgo estratégico.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti!

Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
56. Procedimiento de Revisión y Contratación de Proveedores
Procedimiento de Revisión y Contratación de Proveedores
Revisión de contratos (para SGIA)
Procedimiento de Preselección y Selección de Personal (para SGIA)
Procedimiento de Revisión y Contratación de Proveedores
¿Ha quedado contestada tu pregunta?