La Inteligencia Artificial (IA) ha avanzado más allá de ser un experimento y se ha integrado en las actividades diarias de las organizaciones, desde la automatización de procesos y el desarrollo de aplicaciones, hasta el apoyo en la toma de decisiones.

El verdadero desafío no es si debemos implementar IA, sino de qué manera podemos gobernarla de forma segura, ética y en conformidad con las regulaciones tanto nacionales como internacionales.

Aunque su adopción ofrece vastas oportunidades, también plantea retos en términos éticos, regulatorios, de seguridad y confianza. Por ello, es momento de empezar a planificar cómo gestionar su uso.

Desde Segu-Info, presentamos una propuesta mínima necesaria: un conjunto básico de documentos que abordan los aspectos más relevantes de la IA.

Conexión entre Gobernanza, Ética y Seguridad en la IA

La implementación de la Inteligencia Artificial requiere una visión holística que distinga los niveles de responsabilidad dentro de las organizaciones.

El Marco de Gobernanza de IA debe surgir de la alta dirección y los niveles estratégicos, estableciendo principios éticos, sociales y legales que orienten su implementación: transparencia, inclusión, equidad, rendición de cuentas y respeto por los derechos humanos.

Dicho marco define qué tipo de IA la organización está dispuesta a desarrollar o emplear, en qué circunstancias y con qué propósitos, integrando la gestión de los riesgos reputacionales, legales y éticos.

Por su parte, el área de Seguridad de la Información, apoyada por políticas específicas (uso responsable, desarrollo seguro, gestión de riesgos de SI, respuesta a incidentes de IA, etc.), basa sus lineamientos en esos principios éticos y los convierte en controles técnicos, operativos y de gestión para salvaguardar sistemas, modelos, datos y flujos de información.

Así, la seguridad en la IA no asume la responsabilidad de la ética o gobernanza, sino que implementa mecanismos que las hacen efectivas, garantizando que las decisiones éticas y de gobierno se traduzcan en acciones concretas y verificables.

Este enfoque permite construir un «árbol de documentos» coherente, donde la gobernanza define el marco y la intención, y la seguridad asegura su cumplimiento técnico y operativo.

1. Marco de Gobernanza de IA

El marco de gobernanza de IA representa el nivel más elevado en el ecosistema documental. Su objetivo es establecer principios éticos, valores corporativos y pautas estratégicas que orientarán el uso, desarrollo y adquisición de IA en la organización.

A diferencia de documentos técnicos o de seguridad, este marco no busca implantar controles operativos, sino definir qué significa un uso responsable y aceptable de la IA para la organización.

Aspectos a considerar:

  • Propósito y alcance.
  • Objetivo general de la IA en la organización (razones y aplicaciones).
  • Compromiso institucional hacia el uso ético y responsable.
  • Principios éticos y organizacionales:
  • Transparencia, inclusión, equidad, no discriminación, respeto por los derechos humanos y sostenibilidad.
  • Afirmación de compromiso con recomendaciones internacionales (OCDE, UNESCO, NIST AI RMF,
    ISO/IEC 42001).
  • Conexión con los valores institucionales existentes.

Este documento puede existir como una política independiente o formar parte de documentos institutionales preexistentes (como el Código de Ética, la Política de Responsabilidad Social o la Carta de Valores), para arraigar la gobernanza de IA en el marco cultural y ético de la organización.

2. Política de Uso Responsable de la IA

Alcance: Establece cómo la organización permitirá y regulará el uso de la IA por parte de sus colaboradores y en sus procesos, asegurando un marco ético y legal.

Podría incluir:

3. Normativa de Desarrollo y Operación de Modelos (MLOps / Agentics)

Alcance: Proporciona lineamientos para diseñar, entrenar, desplegar y mantener modelos de IA de forma segura y controlada.

Podría incluir:

  • Procesos de entrenamiento, validación y documentación (model cards, datasheets).
  • Gestión de datos (calidad, privacidad, reducción de sesgos).
  • Monitoreo y mejora continua de los modelos en producción.

Aplicación de las funciones del
AI Risk Management Framework (RMF):

  • MAP: identificar propósito, contexto, actores y posibles impactos.
  • MEASURE: definir métricas de desempeño, sesgos y confiabilidad.
  • MANAGE: aplicar controles, supervisión humana y remediación continua.

4. Gestión de Riesgos y Seguridad en IA

Alcance: Permite identificar, evaluar y manejar los riesgos asociados al uso de IA, tanto técnicos como regulatorios y operativos.

Podría incluir:

  • Marco de gestión de riesgos (alineado a NIST AI RMF e ISO/IEC 23894).
  • Medidas específicas de ciberseguridad (ENISA, NIST, OWASP Top 10 LLM).
  • Plan de respuesta ante incidentes relacionados con IA.

5. Plan de Transparencia, Auditoría y Capacitación

Alcance: Establece cómo la organización generará confianza interna y externa sobre el uso de IA, garantizando control y rendición de cuentas.

Podría incluir:

  • Procedimientos de auditoría y reportes sobre el uso de IA.
  • Definición de roles y comités de gobernanza.
  • Formación y concientización para el personal en el uso responsable de IA.

Normativas y Marcos de Referencia

Nota


Estos documentos no son una fórmula única. Cada organización debe adaptarlos a su tamaño, sector, cultura y madurez tecnológica. Lo esencial es iniciar la construcción de una base sólida que permita crecer con la IA de forma segura, ética y sostenible.

Por Lic.
Bernardita Götte

Compliance Consultant en Segu-Info


Con Información de blog.segu-info.com.ar