La Inteligencia Artificial (IA) ha dejado de ser un experimento y se ha
convertido en parte del día a día de las organizaciones: desde automatizar
procesos y programar aplicaciones hasta asistir en la toma de decisiones.
El desafío ya no es si podemos utilizarla, sino cómo gobernarla de manera
segura, ética y alineada a las regulaciones nacionales y internacionales.
Si bien su adopción trae oportunidades enormes, también plantea desafíos
éticos, regulatorios, de seguridad y de confianza. Por eso, ahora es el
momento de comenzar a planificar cómo gobernar su uso
Por eso, desde Segu-Info compartimos una propuesta de mínimos
necesarios: pocos documentos, pero con un alcance amplio, que permitan cubrir
los principales ejes de la IA.
Relación entre Gobernanza, ética y seguridad en la IA
La adopción de Inteligencia Artificial requiere una visión integral que
diferencie los niveles de responsabilidad dentro de las organizaciones.
El Marco de Gobernanza de IA debe ser impulsado desde los niveles
directivos y estratégicos, definiendo los principios éticos, sociales y
legales que guiarán su adopción: transparencia, inclusión, equidad, rendición
de cuentas y respeto por los derechos humanos.
Este marco establece qué tipo de IA la organización está dispuesta a
desarrollar o utilizar, en qué condiciones y con qué objetivos, integrando la
gestión del riesgo reputacional, legal y ético.
Por su parte, el área de Seguridad de la Información y sus políticas
específicas (uso responsable, desarrollo seguro, gestión de riesgos de SI,
respuesta a incidentes en IA, etc.) toman como base esos lineamientos éticos y
los traducen en controles técnicos, operativos y de gestión para proteger los
sistemas, modelos, datos y flujos de información.
De esta forma, la seguridad en IA no asume la responsabilidad de la ética o
gobernanza, sino que implementa mecanismos que las materializan en la
práctica, asegurando que las decisiones éticas y de gobierno se reflejen en
medidas concretas y verificables.
Este enfoque permite construir un «árbol de documentos» coherente, donde la
gobernanza define el marco y la intención, y la seguridad garantiza su
cumplimiento técnico y operativo.
1. Marco de gobernanza de IA
El marco de gobernanza de IA constituye el nivel más alto dentro del
ecosistema documental. Su función es definir los principios éticos, valores
corporativos y lineamientos estratégicos que orientarán el uso, desarrollo y
adquisición de IA dentro de la organización.
A diferencia de los documentos técnicos o de seguridad, este marco no busca
establecer controles operativos, sino definir qué entiende la organización por
un uso aceptable y responsable de la IA.
Elementos que podría contemplar:
- Propósito y alcance
-
Objetivo general de la IA dentro de la organización (por qué y para qué se
usa). - Compromiso institucional con el uso ético y responsable.
- Principios éticos y organizacionales
-
Transparencia, inclusión, equidad, no discriminación, respeto por los
derechos humanos y sostenibilidad. -
Declaración de compromiso con las recomendaciones internacionales (OCDE,
UNESCO, NIST AI RMF,
ISO/IEC 42001). - Alineación con los valores institucionales existentes.
Este documento puede existir como una política independiente o integrarse a
documentos institucionales ya existentes (por ejemplo, el Código de Ética, la
Política de Responsabilidad Social o la Carta de Valores), de modo que la
gobernanza de IA forme parte del marco cultural y ético de la organización.
2. Política de uso responsable de la IA
Alcance: Define cómo la organización permitirá y regulará el uso de la
IA por parte de sus colaboradores y en sus procesos, asegurando un marco ético
y legal.
Podría incluir:
3. Normativa de Desarrollo y Operación de Modelos (MLOps / Agentics)
Alcance: Establece lineamientos para diseñar, entrenar, desplegar y
mantener modelos de IA de forma segura y controlada.
Podría incluir:
-
Procesos de entrenamiento, validación y documentación (model cards,
datasheets). - Gestión de datos (calidad, privacidad, reducción de sesgos).
- Monitoreo y mejora continua de modelos en producción.
Aplicación de las funciones del
AI Risk Management Framework (RMF):
- MAP: identificar propósito, contexto, actores y posibles impactos.
- MEASURE: definir métricas de desempeño, sesgos y confiabilidad.
- MANAGE: aplicar controles, supervisión humana y remediación continua.
4. Gestión de Riesgos y Seguridad en IA
Alcance: Permite identificar, evaluar y tratar los riesgos asociados
al uso de IA, tanto técnicos como regulatorios y operativos.
Podría incluir:
- Marco de gestión de riesgos (alineado a NIST AI RMF e ISO/IEC 23894).
- Medidas de ciberseguridad específicas (ENISA, NIST, OWASP Top 10 LLM).
- Plan de respuesta a incidentes relacionados con IA.
5. Plan de Transparencia, Auditoría y Capacitación
Alcance: Define cómo la organización generará confianza interna y
externa sobre el uso de IA, garantizando control y rendición de cuentas.
Podría incluir:
- Procedimientos de auditoría y reportes de uso de IA.
- Definición de roles y comités de gobernanza.
- Capacitación y concientización para el personal en IA responsable.
Normativas y Marcos de Referencia
Disclaimer
Estos documentos no son una receta única. Cada organización debe
adaptarlos a su tamaño, sector, cultura y madurez tecnológica. Lo
importante es empezar a construir una base sólida que permita crecer con
la IA de manera segura, ética y sostenible.
Por Lic.
Bernardita Götte
Compliance Consultant en Segu-Info