Blog
dark mode light mode Search Archivos descargables
Search
Popular tags
The Latest
View All
38 min read
Share 0
Share 0
share this

Gobierna tu IA con ISO 42001

Natalia Molina
Content marketing

ISO 42001 es el primer estándar internacional que te ayuda a usar la inteligencia artificial de forma segura, ética y confiable. Mitiga riesgos y demuestra tu compromiso con la transparencia para liderar en esta nueva era tecnológica.

Gobernanza de IA paso a paso con ISO 42001

En el Episodio 1 revisamos los riesgos que nadie te cuenta de la IA generativa y en el Episodio 2 mostramos cómo “hackean” tu IA (y cómo prevenirlo). Ahora cerramos con la gobernanza: cómo usar IA de forma segura, ética y confiable con ISO 42001, el primer estándar internacional para gestionar la IA en organizaciones reales.

“Lo que no se mide no se puede mejorar.”

Jacquie Gutiérrez, líder del área compliance de Hackmetrix

La medición es el primer paso para identificar debilidades, tomar decisiones basadas en datos y fortalecer el sistema, asegurando que los controles y requisitos de la norma se estén aplicando de manera efectiva.

En Hackmetrix ayudamos a las empresas a certificarse en ISO 42001 de manera ágil y sin complicaciones. Nuestra plataforma y equipo de expertos en compliance te guían en cada etapa: desde el diagnóstico inicial y la definición del alcance, hasta la implementación de políticas, controles y la preparación para auditorías.

Lo más importante que aprendimos del webinar

¿Qué es ISO 42001? El estándar para una IA segura, ética y confiable

Se introdujo la ISO 42001, el primer estándar internacional para la gestión de la inteligencia artificial. Esta norma ayuda a las empresas a desarrollar, implementar y gestionar sistemas de IA de forma responsable, confiable y transparente.

Las 7 cláusulas de ISO 42001, el “Qué de la norma”

Estas cláusulas establecen los requisitos del sistema de gestión, cubriendo desde el contexto de la organización hasta la mejora continua. Se destacaron puntos clave como el liderazgo de la alta dirección, la planificación que incluye la gestión de riesgos y la evaluación del desempeño para medir y mejorar el sistema.

Los 9 dominios de control de ISO 42001: Cómo implementar 38 controles

Estos dominios, que contienen un total de 38 controles, ofrecen una guía práctica para implementar las cláusulas. Cubren aspectos como:

    Algunos dominios de control:

    • Políticas relacionadas con la IA: La necesidad de tener documentación clara.
    • Organización interna: Asignación de responsabilidades.
    • Recursos para los sistemas de IA: Identificación de recursos necesarios (humanos, de datos, herramientas, etc.).
    • Evaluación de los impactos: Análisis de los efectos de la IA en la sociedad y los individuos.
    • Ciclo de vida del sistema: Prácticas de desarrollo seguro y monitoreo.
    Controles iso 42001

    Ya dominaste los conceptos clave de la norma ISO 42001. Ahora, es momento de llevar tu conocimiento al siguiente nivel. Suscríbete a Hacknews para acceder a noticias, tips y retos.

    Glosario de Seguridad de IA

    Alucinación (IA): Cuando la IA inventa información o datos que parecen reales pero son falsos.

    Compliance: El proceso de asegurar que una empresa cumpla con las leyes, normas y estándares de seguridad.

    Gestión de Riesgos: El método para identificar, evaluar y controlar los peligros que la IA puede presentar.

    ISO 27001: Una norma para gestionar la seguridad de la información en general.

    ISO 42001: El primer estándar para gestionar específicamente la seguridad y el uso ético de la IA.

    Requisitos: Lo que la norma pide que se haga (el “qué”).

    Controles: Las acciones específicas para cumplir con la norma (el “cómo”).

    Mejora Continua: El proceso de evaluar un sistema constantemente para hacerlo más seguro y robusto con el tiempo.

    🎥 Serie GenIA con Seguridad: próximos episodios

    1: Los riesgos que nadie te cuenta de la IA generativa

    2: Hackeando tu IA (antes de que otros lo hagan)

    demo hackmetrix

     Transcripción del webinar “Gobierna tu IA con ISO 42001”

    Bienvenida y contexto del webinar

    Natalia: Hola a todos, ¿cómo están? Espero que estén muy bien. Bienvenidos a este último espacio de GenIA con seguridad. Es probable que nos hayamos visto en los tres espacios o bueno, ese sea su primer espacio.

    De todas formas, bienvenidos. Soy Natalia Molina del equipo de Hackmetrix y soy del equipo de marketing. Probablemente, como les menciono, nos hemos visto en otros espacios. Justo me encuentro desde la ciudad de Cali. 

    Y me gustaría que en el chat me puedan contar desde qué ciudad se conectan, desde que ciudad están también, si han estado en los otros dos webinars. Si no, en la descripción pueden encontrar el enlace de los otros dos webinars de esta serie de tres webinars de GenIA con seguridad.

    Entonces, nuevamente bienvenidos. ahí en el chat desde dónde se conectan. Les voy a contar más o menos para los que pronto no estuvieron en los otros escenarios, en los otros episodios, que hemos visto en estos tres webinars.

    Entonces, en el primer webinar de esta serie, vimos los riesgos que nadie te cuenta. Era un webinar un poco más general donde vimos riesgos, vimos algunos casos, de todas formas ahí en el link está y en el segundo vimos algunos hackeos a la inteligencia artificial y cómo podríamos prevenirlos. Y para este tercer webinar es un poco más dirigido a la normativa, es un poco más compliance. 

    No sé si ustedes son del equipo de seguridad de sus trabajos, o vinieron e invitaron a al CISO, al encargado de seguridad, si no es así, alcanzan a llamarlo y a decirle que llegue o también va a quedar grabado para que se los puedan compartir.

    Mencionando eso, mencionando eso, justo este estos webinars, ya lo he mencionado antes, pero si no están también se los repito, justo en los anteriores webinars los hemos hecho todos en YouTube para que así ustedes los puedan compartir con sus equipos. si de pronto alguien lo puede en este espacio o lo puedan usar como capacitación, como concientización dentro de sus equipos. 

    Y es importante, ah, y otra cosita, para que puedan comentar y responder todas las preguntas que hacemos aquí o dejarle una pregunta a nuestro expositor, denle denle suscribir y ahí se les activa el chat. Ya le dan suscribir al canal y ahí ya pueden dejar sus comentarios y preguntas.

    Entonces, bueno, nuevamente bienvenidos a este espacio. Un saludo a Dre Life que nos saluda desde Santiago de Chile. Y para este espacio, para el espacio de hoy, nos acompaña Jacqui Gutiérrez, nuestra querida Jacqui desde México. Hola, Jaquii, ¿cómo estás? 

    Jacqueline: Hola, hola, Nati. ¿Todo bien? ¿Y tú?

    Natalia: Bien, bien también. Qué bueno. Hoy con menos calor que el resto de días, pero así es. 

    Jacqui: Acá está lloviendo a cántaros, entonces también un poquito menos calor, pero bueno, las consecuencias de la lluvia.

    Natalia: Jacqui nos acompañó en el primer episodio, pero probablemente hay personas que no estuvieron en el primer episodio. Entonces, cuéntanos, Jacqui, quién eres, qué haces en Hackmetrix y bueno, y cómo has apoyado a tantas empresas durante estos procesos.

    Jacqueline: Les cuento, yo soy Jaqueline Gutiérrez, yo soy de Guadalajara, pero actualmente vivo en Ciudad de México, soy ingeniera industrial. Por ahí tuve obviamente experiencia en otros aspectos. Trabajé en IBM, justamente como lo ven ahí en la imagen, que es algo quizás mucho más tecnológico. 

    Yo trabajaba en piso de producción, pero bueno, la vida me llevó acá a Hackmetrix, donde he aprendido básicamente todo de compliance, lo aprendí desde cero, entré como super junior y ahora pues lo que hago es eso, ¿no? ayudar a las organizaciones con todo este conocimiento que he adquirido a lo largo de de los años con el equipo, con también otras personas que me han enseñado bastante a que se certifiquen, a que logremos que pues justo quizás no solo sea el papelito y la estrellita, ¿no?, sino que las empresas realmente sean más seguras y entonces pues hemos estado acá trabajando desde entonces con Hackmetrix. 

    De pronto ya puede ser más modesta, pero les cuento que cuando hablamos en el primer episodio de Mike de nuestra inteligencia artificial, que es sobre compliance, ya que es una de las que ha entrenado esta inteligencia artificial con su conocimiento. 

    Natalia: Entonces, bueno, rápidamente también para las que no conocen a Hackmetrix, les voy a contar qué hacemos de forma rápida. Entonces, somos una empresa de ciberseguridad y simplificamos la ciberseguridad, ayudamos a empresas a certificarse en diferentes normas.

    En seguridad de la información ISO 27001 es la que vamos a mencionar hoy en PCI y también tenemos otros frentes de negocios, hacemos ethical hacking, tenemos unos hacker éticos muy pros y simulaciones de phishing en, ¿cómo es que se llama? En pocas palabras. 

    Entonces, para entrar en para entrar ya en acción, a las personas que acaban de llegar, veo que ya llegaron nuevas personas, les cuento que para poder dejar sus preguntas aquí en el chat, deben suscribirse al canal porque si no YouTube no los deja no los deja comentar. 

    Entonces, denle suscribir al canal y ahí pueden dejar todas las preguntas para Jacqui que vamos a hacer algunas paradas donde vamos a leer las preguntas y bueno, ¿qué mejor que aprovecharla aquí a ella para tener todas estas respuestas y más aún que la inteligencia artificial puede ser muy desconocida para algunos y más aún la gobernanza de esta inteligencia artificial?

    Jacqueline: Muchas gracias, Nati. Bien, entonces ahí bueno, saludos a todos los que se están uniendo, a los que ya tenían aquí ratito con nosotros y estuvieron en otro en otros de nuestros webinars de esta serie, pues increíble, vamos teniendo esa seguidilla de la del conocimiento y de la información, ¿vale? 

    Riesgos y vulnerabilidades de la IA

    Jacqueline: Comenzar comentándoles y contándoles de esto de los riesgos y las vulnerabilidades de la inteligencia artificial. Justamente nuestro primer webinar hablamos de estos cuatro casos y derivado de eso estuvimos revisando los riesgos, ¿no? 

    Entonces, los vamos a repasar un poquito. Los riesgos y vulnerabilidades de la IA pues son, yo creo que ya amplios. Algunos quizás ya los conocen, algunos quizás están poniéndose apenas al día con todo esto, pero bueno, tuvimos un caso donde empezamos a ver que la inteligencia artificial, el utilizar el vibe coding.

    el utilizar estas técnicas con agentes, asistentes virtuales y demás para generar código empezó a generar problemas, evidentemente, ¿no? y no solo en cuestiones de seguridad, sino incluso de negocio, porque estos códigos no son revisados correctamente y al pasarlos a producción pues ocasionaban interrupciones o fallos, etcétera. 

    También tuvimos por ahí el caso de Samsung, no sé si lo escucharon, donde básicamente un ingeniero, un desarrollador ingresó código a a Chat GPT, que era confidencial quizás para hacer algún trabajo. Y luego después de un mes, según la noticia se descubrió que ese código se filtró. Entonces ahí se infringió totalmente el tema de la confidencialidad, ¿no? Y pues no estamos hablando de de cualquier tipo de información, sino que era pues código fuente de Samsung. 

    Entonces, de hecho, Samsung por ahí hasta prohibió el uso de estas herramientas y demás. Pero bueno, también otro caso que tuvimos que platicábamos en el primer webinar era el tema de una vulnerabilidad que se identificó en esta herramienta de de Gitlab, que es como este asistente que te va ayudando a generar código y se descubrió que pues también tenía como que por ahí una vulnerabilidad, una inyección de cosas no confiables para no dar términos quizás muy técnicos donde pues un atacante podría obtener ese código, ¿no? O sea, este asistente te da recomendaciones. 

    Entonces, si tú usabas tu propio código, eso luego lo podría mostrar a otros usuarios y cosas por ahí también ya más importantes y filtrado de información. Y el último caso que veíamos y creo que es uno de los riesgos que pueden impactar no solo a las empresas, sino yo creo que también a un nivel personal, a los que estemos aquí, que usemos herramientas de de inteligencia artificial como chat GPT o demás en cosas pues quizás hasta personales o como ya nuestro nuevo Google, ¿no? De chat, dime esta información o en qué año nació tal persona y cualquier cosa para la que la usen también este riesgo de la alucinación. 

    Aquí recordemos que la alucinación en términos de IA se refiere a esta generación de información, de imágenes, de contenido que pues es engañoso, puede ser falso, ¿no? Porque no tenemos realmente una manera muy clara de ver las fuentes. por ahí chat creo que sí te muestra abajito como que las fuentes de las que está tomando la información, pero bueno, eso hemos visto que pues el auge de todo esto ha ocasionado que a veces la gente no lo verifica, lo toma como que la realidad y ahí está el problema, ¿no? Entonces, este caso que encontramos y que también fue muy sonado de un abogado que utilizó el Chat GPT para hacer la defensa, generar la defensa que iba a usar en su caso. 

    Y bueno, resultó que muchos de los de los casos de las referencias que estaba usando eran falsas. Entonces, imagínense eso, ¿no? Contratar un abogado y que al final termine siendo terrible tu caso y seguramente lo perdieron. 

    Riesgos clave de la IA: Un resumen

    Jacqueline: Bueno, enlistandose un poquito ya estos casos puntualmente en un riesgo, en una en una vulnerabilidad descrita les hicimos esta listita, ¿no? Y podemos tener justamente los errores en entornos productivos por falta de revisión. Aquí es donde les comentaba, ¿no? Es importante que obviamente la los asistentes y estas herramientas son nuestros aliados, pero no podemos hacerlos como que 100% el el responsable de nuestro trabajo. 

    Entonces ahí ese es uno de los riesgos principales que identificamos. También tenemos el filtrado de información confidencial o sensible justamente por este uso irresponsable de las herramientas como en el caso de Samsung donde literalmente el usuario compartió la información, ¿no? Ni siquiera fue un tema y mucho de un ataque. tenemos también el riesgo muy potencial de la introducción de vulnerabilidades por usar este tipo de asistentes, porque de repente justo eso también puede ser manipulado por los desarrolladores de la propia herramienta, etcétera. 

    Y la propagación de información falsa, errónea, engañosa o directamente inventada, ¿no? por las por la inteligencia artificial, que es como el caso de este abogado y como el caso de muchas fake news o lo que sea que seguramente por ahí ya les toca ver. Les digo también a un nivel quizás personal, no solamente en entornos de negocios o de empresas. Pero bueno, lo prometido para este webinar, eso fue un poquito el repaso que queríamos llevar para empezar el tema y entrar de lleno con esto.

    Introducción a la ISO 42001

    Jacqueline: Qué es la ISO 42001. Entonces, les cuento, esta normativa es el primer estándar internacional que se crea para empezar a regular este tema, ¿no? Y la ISO, las normativas ISO nos ayudan a implementar un sistema de gestión que en este caso va a ser de inteligencia artificial o bueno, de SGIA, que es por ahí las siglas que se manejan. Y el objetivo de esta normativa es básicamente ayudar a las empresas, ayudar a las organizaciones a que puedan desarrollar, implementar y gestionar correctamente estos sistemas de IA. 

    Y los tres puntos que mencioné, las tres características, es justo que sea de manera responsable, confiable y transparente, ¿vale? Esta normativa también a grandes rasgos básicamente abarca todo, desde el uso, desde el desarrollo, desde el entrenamiento. Ahora sí que la palabra uso podría incluso involucrar todo eso, ¿no?, puede ser aplicable a cualquier aspecto de uso en herramientas de IA.

    Estructura de la ISO 42001

    Jacqueline: Entonces, bueno, nos vamos a poner ya un poquito más técnicos para explicarles la estructura de una de una de estas normativas. Si quizás ya han implementado antes algún sistema de gestión. Por ejemplo, justamente nosotros trabajamos mucho con la ISO 27001, creo que me atrevo a decir que es pues de las más conocidas, que es la de seguridad de la información, donde generas un SGSI, ¿no?, pero quizás también están familiarizados con los sistemas de gestión de calidad que son de la 9001, pero bueno, aquí pueden meter cualquier tema continuidad del negocio, gestión de riesgos, etcétera. 

    La ISO tiene para todos. Entonces, si están familiarizados con alguna de esas normativas, también les cuento que básicamente todas tienen esta estructura de cláusulas. Son siete cláusulas que definen las bases de lo que va a ser el sistema de gestión. Entonces, se llaman de esta forma. Vamos a irlas comentando un poquito a detalle para que podamos entrar más de lleno y entender bien el objetivo de esta normativa.

    Las 7 cláusulas de la ISO 42001

    Jacqueline: Entonces, bueno, la primera que tenemos es justamente el contexto de la organización. Estas cláusulas manejan requisitos, o sea, se desglosan en otros requisitos para que la empresa vaya aplicándolos. Entonces, los requisitos de esta cláusula buscan que las empresas puedan identificar correctamente el alcance. Esto siempre es ya en la práctica nos ha tocado pues con con los clientes y demás, que es pues la parte más importante y un poquito la más compleja, porque es importante que la empresa identifique qué es lo más crítico, qué es lo que quiere implementar, dónde quiere proteger esa, por ejemplo, si es seguridad la información, qué es lo proteger, etcétera. 

    Entonces, es en qué parte van a implementar estos controles. Es lo que nos ayuda a entender esta cláusula. Así como entender tu contexto, como un tipo análisis foda de, oye, lo de fuera, no sé, que si los cambios regulatorios, que sí sanciones, aspectos legales, etcétera, todo eso la la norma nos ayuda a entenderlo para cómo afecta mi empresa, pero también aspectos internos como lo sería quizás este análisis joda, ¿no? Entonces, eso se maneja en esta cláusula de contexto de la organización. 

    Luego tenemos la de liderazgo, que aquí los requisitos buscan asegurar que la empresa asigne correctamente las responsabilidades. Aquí obviamente no solo hablamos de responsabilidades como, bueno, tus funciones como administrador es esto, esto y esto, sino responsabilidades derivadas de este sistema, ¿no? O sea, cómo interactúas con la inteligencia artificial, qué te corresponde entonces hacer, cómo hacemos esta gestión, etcétera.

    Entonces, por ahí esta cláusula nos ayuda a eso y se llama liderazgo porque justamente las acciones que nos pide la norma hacer es para que la alta dirección principalmente y bueno, el comité que se realice de esto, los encargados del proyecto, los involucrados en general puedan demostrar ese liderazgo, puedan demostrar que están comprometidos y que van a cumplir esas responsabilidades, ¿saben? que es factible que lo hagan, lo cubran y con esa motivación que de repente es necesario. 

    Luego tenemos la cláusula de planificación que se puede llamar planeación o planificación. La traducción la pueden ver de estas dos formas. y yo creo que me atrevo a decir que esta es de las cláusulas más importantes porque habla de la gestión de riesgos. La gestión de riesgos también, pues como bien les comentaba, es un tema que se repite no solo en las ISO, sino en otros estándares de seguridad, en regulaciones legales, en muchas cosas, porque pues es una base, ¿no?, de de todo este tema de poder protegernos o proteger la información. 

    Entonces, estos requisitos buscan que la organización establezca las bases de su metodología, de cómo los vas a evaluar, cómo los vas a identificar, cómo vas a tratar esos riesgos, quiénes son los responsables. Entonces, esta metodología abarca todos estos puntitos, estos requisitos justamente desglosan esas cositas que debemos hacer a detalle para tener una metodología adecuada, ¿no? que podamos protegernos, abordar estos riesgos a tiempo y además, tener a las personas adecuadas. La siguiente cláusula se llama soporte. 

    Estos requisitos básicamente proponen acciones para asegurar que la empresa tenga para su sistema de gestión todos los recursos necesarios que lo soportan. Entonces, incluye cosas como capacitaciones, concientización al personal, así como adquirir nuevas competencias, cómo la empresa se asegura de que su personal y sobre todo el que está alcanzado por este sistema realmente esté consciente de pues justo los riesgos, los impactos, la importancia que tiene sus acciones a cumplir con estos requisitos, ¿no? mantener este cumplimiento, mantenernos en alineación con las buenas prácticas y demás. 

    Entonces, esta cláusula nos desglosa ese tipo de acciones para asegurar que todos estemos alineados. Y luego viene la cláusula de operación. Esta cláusula básicamente es el aplicar, el llevar a la acción esa metodología de gestión de riesgos y todo lo que hayas definido en la cláusula seis. Vale, o sea, en la cláusula es más justo el sentarte a hacer la estrategia, analizarlo, definir qué te sirve, qué herramientas, qué evaluación, qué metodología. Y en esta cláusula la norma básicamente te dice, haz eso, aplícalo, genera la evidencia y llévalo a la realidad. Entonces, es aquí donde ya lo llevamos a la ejecución. 

    También tenemos la cláusula de evaluación de desempeño. Y aquí es importante entender y saber que justo cualquier sistema de gestión y yo creo que no solo de las ISO, como bien les digo, yo creo que en cualquier otro estándar, es importante recordar que debes evaluar periódicamente si realmente está teniendo un buen desempeño o no, si estás realmente llegando a lo que tú esperabas, o sea, si tú si tú en tu organización es justo decir, yo quiero utilizar mi sistema de inteligencia artificial teniendo protección de datos. teniendo un uso responsable donde sé que mi que mi sistema no da información errónea, no sé, ahí cualquier objetivo que ustedes puedan tener siempre va ligado a métricas, a decir, “Ah, okay, voy a identificar estos indicadores que me van a ayudar a medir si estoy logrando ese objetivo.” Entonces esta cláusula nos nos da estos requisitos, estas pautas para asegurar que la empresa está midiendo eso y bueno, haciendo los ajustes que se necesiten, si es necesario para para lograrlo. 

    Y de ahí va derivado justamente quizás esta última cláusula, ¿no? Porque sabemos, como dicen por ahí, que lo que no se mide no se puede mejorar. Entonces, derivado de todas estas evaluaciones, todas las hizo, también hacen mucho, mucho énfasis en la mejora continua de sus sistemas de gestión. Entonces, al principio, cuando tú implementas un sistema de gestión por primera vez, quizás los auditores pueden ser un poquito light, pueden ser muy muy amigables, pero quizás ya para próximas auditorías o en este proceso infinito que conlleva el tener una certificación ISO y con este compromiso periódico, puede que les vayan pidiendo justo este robustecimiento del sistema, cómo lo estás mejorando, qué estás implementando, qué iniciativas tienes y demás. Entonces también está esta cláusula está enfocada en en eso. 

    Entonces, bueno, aquí sé que es quizás como mucha información, puede ser un poquito técnico. Entonces, ahora sí que vamos a hacer un pequeño break. Ay, Nati. No sé si hay alguna pregunta o si alguien tiene algún comentario.

    Natalia: Bueno, por el momento no hay preguntas, pero aprovecho y les menciono que para poder escribir aquí en el chat de YouTube, deben suscribirse y ya se les activa el chat y pueden empezar a escribir. Lo que sí es que nos han dejado algunos mensajes, algunos mensajes como que están desde Buenos Aires. Liliana María está de Bogotá. Un gusto tenerte aquí, Liliana. Y bueno, y ahora sí nos llega una pregunta. Sergio nos dice, ya la ya la pongo. Sergio nos dice, las cláusulas 4 y 5 pueden corresponderse con la 27001. Vale, ahí. Hola, hola Sergio, espero que estés muy bien. 

    Jacqueline: Entiendo bien tu consulta, como si pueden hacer quizás un match o si son similares como los objetivos y demás, la realidad es que sí, al final como comentaba, las ISOs tienen esta misma estructura de cláusulas. Entonces, por ejemplo, la 27001 también te va a pedir que definas un alcance, que definas que la alta dirección tiene estas responsabilidades y tiene que tener este compromiso. 

    Entonces, todo eso se comparte entre normativas e incluso si una organización quiere implementar más de una normativa, que es buenísimo y es muy recomendado, si estos alcances empiezan como a replicar o o ampliarse, porque quizás seguramente tú en el sistema de inteligencia artificial, si es que lo desarrollas o lo usas, puedes decir, “Bueno, cumplo con esto, pero también quiero aplicar seguridad de la información, ¿no? Seguramente esto tiene otras cuestiones importantes. Entonces vas por el sistema de de SGCI y lo complementas. Entonces si se va compartiendo, va correspondiendo a la misma información, a las mismas prácticas. Entonces ahí hace match. No sé si por ahí quizás sí fue lo que le preguntaba Sergio, espero haber respondido.

    Natalia: Bueno, démosle espacio que pronto nos pueda responder. Perfecto, justo una cosa, si le dan suscribir y no les aparece el chat, denle refrescar a la página y de pronto ahí sí les aparece. Sí, les aparece. Listo. Perfecto. Exacto. Sergio dice que Exacto, que era que era lo que preguntaba. Y aquí, entonces, bueno, aquí aprovecho yo hago mis dudas. Si yo ya me certifiqué en ISO 27001, entonces el camino para tomar la ISO 42001 es más corto, es más sencillo. 

    Jacqui: Ahí por el simple hecho de que ya tienes la experiencia en el proceso de implementación certificación, que al final es es un ciclo, o sea, es implementar, mejorar la auditoría, etcétera, ya la llevas de gana y ya tienes esa experiencia y va a ser muchísimo más sencillo implementar entonces la 42000 o cualquier otra. pero si justo como comentaba, si estos alcances son iguales, o sea, si no sé, la plataforma o la aplicación que decidiste certificar en en 27001 es la misma que usa inteligencia artificial y que quizás quieres certificar ahora con esta nueva normativa, te va a ser el, o sea, va a ser sencillo, o sea, ya tienes más de la mitad del trabajo realizado, ¿no? Pero si quieres darle otro enfoque, porque quizás en los activos o esta plataforma que tienes certificada en 27001 no es la misma que usa inteligencia artificial. 

    Sí, van a ser quizás aspectos separados, documentación separada, la evidencia se tiene que generar para la normativa correspondiente, pero esa experiencia que ya tienes es la base, ¿no? Ya todo se te va a hacer como que super más sencillo y la implementación, la ejecución y todas estas como tareitas que se derivan de implementar estas normativas, lo vas a tener también ya muchísimo más trabajado.

    Natalia: Lo pueden compartir en un futuro si dicen, “Bueno, en este momento yo no voy a tomarle ISO 42001. Pero puede ser que en seis meses sí o en un año sí vuelven al video.

    Motivación del webinar

    Jacqueline: También parte de hablar de esta normativa ahí rápido para cerrar el comentario de Nati, sabemos que quizás ahorita es una normativa muy nueva, se se publicó, por decirlo así, desde el 2023, pero sí me di cuenta por ahí en algún evento que tuvimos interactuando con con otras empresas y demás y mucha gente todavía no la conoce, entonces bueno, también por eso quisimos hacer este gran webinar. Así que bueno, si no hay más preguntas para darle honor al tiempo.

    Requisitos vs Controles

    Jacqueline: Les vamos a continuar hablando de los controles aquí para hacer esa pequeña diferenciación y que nos quede como más claro el término, porque de repente pues justo la la normativa o los propios auditores, si alguien por aquí ya ha pasado auditoría, seguramente le le ha causado esta impresión, pues los auditores llegan a ser justos muy técnicos, ¿no? van a utilizar la jerga específica, van a utilizar la nomenclatura específica y demás. 

    Entonces, les explico ahí rápidamente los requisitos. justamente que son los que se engloban en las cláusulas que acabamos de ver, nos van a decir lo que nos van a decir el qué debemos hacer, o sea, grandes rasgos, tú tienes que tener esto, la política tal, la acción tal, pero los controles que generalmente en una estructura de una norma vienen como anexos por ahí también si alguien está familiarizado con las 27001 sabrá que su anexo A, que lo llaman 27002 es justamente todos los controles y la guía práctica de de ahora sí lo que la norma quiere que hagas, ¿no? 

    Entonces, los requisitos son el qué debemos hacer y los controles son el cómo lo podemos hacer. Y digo, ¿cómo podemos? Porque al final, recordemos eso, la normativa nos propone estas guías, nos da esta base ser simplificada a lo que a lo que ellos obviamente conocen  y estudian para darnos estas prácticas, pero obviamente la norma quizás es este esta bola de plastilina que ya luego justo cada empresa la tiene que moldear a su a su contexto, ¿no? Pero justo los controles nos ayudan a entender el cómo hacer todas estas cositas. Entonces, bueno, ya he entendido también un poquito esa diferenciación. Les voy a contar también a grandes rasgos, a alto nivel, un poquito todos los controles que maneja esta norma. Son poquitos, podemos decirlo, porque nosotros que justo trabajamos con estas otras normativas, la 27001 en su versión pasada tenía 114 controles, la actual tiene 93, entonces 38 controles está manejable, está está tranquilito. 

    Dominios de control de la ISO 42001

    Jacqueline: Y bueno, se dividen en estos nueve dominios. Vamos a ir platicándolo por dominios, ¿vale? Entonces, bueno, el primer dominio que nos da la norma se llama políticas relacionadas con la IA. Como pueden ver, pues sí, la nomenclatura también tiene la A para dar a entender justo que ya estamos hablando de controles. Este dominio, les cuento, entonces básicamente nos habla de la necesidad de tener políticas, de tener documentación. Sé que eso puede ser un poquito la parte tediosa y la la gente así como de, “Ay, no, tengo que hacer esto y actualizar la documentación. Pero lo que no está escrito de repente se pierde y no se estandariza y no se cumple. Entonces, pues la normativa lo sabe. 

    Así que estos requisitos, perdón, controles son los que nos van a pedir esta generación de documentación y de políticas, ¿vale? Para que justamente no haya un conflicto también un control. justamente este dominio nos dice eso, alineación con otras políticas, porque sabemos que entonces el negocio puede ser pues super complejo, ¿no? Quizás no todo tiene que ver con IA, quizás sí, pero en caso de que no, es también nos nos ayuda a entender el cómo hacer el análisis para decir, “Okay, lo que yo quiero implementar aquí no tiene ningún conflicto con mis objetivos de negocio, con mis objetivos de otras áreas, etcétera.” Entonces ese control nos ayuda a eso. 

    Luego tenemos el A3. que se llama organización interna. Aquí podemos incluso y empezar a hacer la relación con las cláusulas porque este dominio es similar a lo que te busca ayudar la cláusula cinco, la de liderazgo. ¿Se acuerdan que decíamos como de que ahí están las responsabilidades, el cómo la empresa se compromete a cumplirlo, cómo demuestra este liderazgo. Pues bien, aquí estos controles justamente ya lo llevan a la práctica, ya te dicen, tienes que definir, documentar, asignar y comunicar adecuadamente todas las responsabilidades y funciones que se deriven de de este uso de inteligencia artificial o de este desarrollo de esta tecnología dentro de tu empresa, etcétera. Entonces, este dominio está enfocado en ese tema. 

    Luego vienen los recursos para los sistemas de IA. Aquí también podemos hacer quizás una relación con la cláusula siete, que era la de soporte, donde hablábamos que que también justo parte de ese objetivo de de la cláusula, asegurar que que la organización tenga los recursos para soportar este sistema. 

    Aquí este dominio, estos controles lo desglosan, lo desmenuzan para que justamente lo tengamos más claro y nos lo desglosa como en tipos de recursos que la normativa, obviamente pues la gente que hace esto ya tiene todo el experto y sabe que los tipos de recursos mínimos que necesita el uso o desarrollo de estos sistemas de IA son documentales, recursos de datos, o sea, la información que utilizas, ya sea para entrenarlo, para realizarlo, para en sí, para cualquier cosa se necesita información. los recursos de herramientas, es decir, si estás utilizando quizás otros sistemas o aplicaciones para para este desarrollo de del sistema de y los recursos de sistemas de computación, ¿no?, que por ejemplo tenemos servicios de almacenamiento, de procesamiento, de capacidad, etcétera. Todos esos también están considerados como los mínimos esenciales. 

    Y por último y no menos importante, recursos humanos, ¿no? Entonces, también ahí nos da estas pautas de qué debemos hacer para que el personal esté capacitado, qué debemos hacer para asegurar que todos estos recursos que acabamos de mencionar los tengamos identificados, ¿no? A alto nivel se nos vienen ejemplos, pero pues obviamente para la organización en particular tienes que decir qué qué recursos son, no solamente tengo ese documento, sino cuál es, dónde está, etcétera. 

    Entonces este dominio se enfoca un poquito en esa parte. Posteriormente tenemos el dominio A5, evaluación de los impactos. Aquí también hago un énfasis muy puntual en que este dominio se relaciona completamente con él con la cláusula 6 y 8, que era lo que les hablaba de gestión de riesgos. ¿Por qué? Porque básicamente también estos impactos necesitan o la norma nos pide que también tengan esta metodología de evaluación. Necesitamos identificarlos, necesitamos evaluar su criticidad, su gravedad y necesitamos tratarlos de la manera que se pueda. Obviamente quizás a veces no podemos eliminar el impacto o el riesgo desde cero, pero es entenderlo para poder tratarlo, ¿no? Como dicen, tienes que ir al doctor para saber qué tienes, para saber qué luego qué te tienes que tomar. 

    Entonces estos impactos, la normativa hace mucho énfasis en impactos a la sociedad y a los individuos. Es aquí donde justamente a pesar de que nosotros lo veamos mucho como este aspecto de negocio, que obviamente es super importante entender qué queremos hacer con nuestro sistema de ya a nivel negocio, a nivel pues sí, comercial, empresarial, cómo impacta esto en la sociedad. O sea, imagínense, o sea, el grado que tiene este auge y estas herramientas, esta tecnología, que pues incluso no solo este estándar, ¿no?, las regulaciones van a empezar a tener este tipo de requisitos a las empresas porque es muy importante entender cómo entonces lo que nosotros ofrecemos va a impactar a la sociedad o a los individuos, no sólo de manera positiva o negativa, o sea, las dos. Entonces, bueno, en este dominio se desglosan algunos controles que se basan en esa parte, en entender estos impactos. 

    Luego tenemos el dominio A6, que habla del ciclo de vida del sistema. Estos controles también son, este dominio es larguito, les puede parecer más interesante a las personas técnicas, ¿no?, de tecnología, de desarrollo, de operaciones, no sé cómo se llame el área dentro de cada una de sus empresas, pero justamente estos controles hablan de todo lo relacionado a la creación y desarrollo, o sea, nos va a pedir que documentamos e implementemos, entre muchas otras cosas, requerimientos del sistema del diseño y las funcionalidades que tiene nuestro sistema de ya, de cómo se va a generar este código, cuáles son las prácticas de desarrollo seguro, qué pruebas le van a hacer, qué validaciones, cómo lo van a desplegar en un entorno productivo, cómo lo van a monitorear, etc. 

    Entonces, eso que quizás si eres o estar en una empresa de desarrollo, pues seguro ya lo tienen también como muy trabajado y bajado a la realidad en sus procesos de de de codificar de desarrollo de software, pero ahora va a ser entendiendo también esta parte de de IA, ¿no? De de que es un sistema también enfocado al uso de IA. Entonces, bien, aquí también ya acabamos estos. 

    Natalia: Justo si hay una pregunta y Gisel nos dice, ¿quién debería ser el área que lidere este tipo de certificación? 

    Jacqueline:  Bien, ahí pues justo más que un debería es es un ¿Quién podría? Al final realmente la organización tiene todo el criterio de de adaptarse a las normativas porque no no nos exige que sea alguien en específico. Pero claro, al ser estos temas un poquito más técnicos, 100% les recomendaría que fuera una persona que sí tuviera el conocimiento en ello. Puede ser el CTO, puede ser el área de tecnología, el gerente, líder, ahí dependiendo de cómo tengan la jerarquía en la empresa, e incluso, o sea, lo que siempre se recomienda a nivel también de cualquier sistema de gestión, pues es involucrar a la alta dirección, ¿no? 

    Quizás el CEO o el gerente de finanzas, el gerente de producto o cualquier otro rol como CT Level, aunque no tenga el conocimiento técnico, es super recomendable que lidere también estas estés estos proyectos y que se y que se involucre, que participe activamente. Pero en definitiva recomendaría que fuera alguien pues si con el conocimiento técnico, quizás no del todo, porque de todos modos vamos a involucrar al área de desarrollo justamente en caso de que la organización sí desarrolle sistemas y no solo los use. Pero creo que sería alguien con conocimiento técnico de preferencia. 

    Natalia: Aprovecho y hago yo una pregunta que tengo y es que esa pregunta la he escuchado en otros escenarios y aquí también se me viene a la mente y es yo, ¿cómo podría convencer al alto directivo de venga certifiquémonos en ISO 42001 o cuál sería como el camino? Tomó el camino del miedo, del terror o o qué camino de pronto podrías recomendarnos para persuadir a la alta dirección de invertir en esto?

    Jacqueline: Claro, ahí lamentablemente creo que sí todos como seres humanos aprendemos a la mala. Entonces, mostrar justamente como les enlistamos, ¿no? Los riesgos y vulnerabilidades, yo creo que sería una de las formas quizás un poquito más sencillas de persuadir, porque no quiero decir como he inyectar el pánico y el terror, ¿no? sino que pues igual hiciste ser realistas en que si hacemos este uso, este desarrollo de cosas de inteligencia artificial sin ningún tipo de supervisión, eventualmente nos va a suceder algo, ¿saben? O sea, o quizás algo va a empezar a ser cada vez más cercano de que a algún amigo, algún colega, algún colaborador le pasó algo. 

    Entonces ahí es justo, ¿no? Creo que en algunas otras charlas que hemos dado internamente, sobre todo los hackers, aquí se las voy a robar a nuestros hackers. Pero es eso, solamente hay dos casos, que ya te hayan hackeado y lo sepas o que no lo sepas, pero realmente te va a ver, es como algo inevitable. Entonces, si tienen la posibilidad de hacerlo así, las malas noticias siempre llegan primero. 

    Entonces si me lees me iría por el tema de de la preocupación y mostraría los riesgos que existen, quizás haciendo un análisis de cómo nos impacta la empresa en particular, o sea, no llegar con data tan general porque luego pues eso sí puede ser como a que lo pueden ver muy lejos, pero algo específico al sector donde trabajen de riesgos, de vulnerabilidades, de casos reales que han ocurrido y llegan con eso a a la antirección, seguro algún miedito sí les va si les va a generar si llegan con el de Samsung.

    Natalia: Eso iba a decir. Esto iba a poner ese comentario. Dale. Sí, exactamente. qué justo como comenta René, la normativa no nos exige la creación de un comité.

    Jacqueline: Pero incluso dentro de nuestra propia metodología, internamente como empresa y lo que hacemos también hacia nuestros clientes es recomendarles justo un comité que esté como conectado, que sea cross functional o como lo digan entre departamentos, porque justo se complementa muchísimo, ¿no? O sea, a veces tenemos muy perdido o o muy olvidado el área de recursos humanos de finanzas o esta es contabilidad, alguna que digas, “Es que no es técnica, no pasa nada, no utilizan sistemas y luego por eso justo son los eslabones como más débiles porque no están concientizados y demás.” Entonces muy buena observación ahí de René. quería también mencionarlo. 

    Otros dominios de control clave en la ISO 42001

    Jacqueline: Para continuar también tenemos un control, el A.7 s sobre datos para sistemas de IA. Aquí justo también podemos desglosar lo que hablábamos antes, ¿no?, de los recursos necesarios, que hablábamos de recursos de datos. Entonces, incluso imaginen la importancia que tiene los datos justamente en cualquier sistema, pues que tiene un dominio específico, tiene controles específicos que nos piden que tengamos este ciclo de vida gestionado también. 

    ¿A qué me refiero con esto? La normativa nos pide que documentamos y entendamos este ciclo de vida considerando desde que obtienes los datos. Es super importante para el cumplimiento normativo y en general para proteger bien nuestra información o nuestro desarrollo y demás. entender de dónde estamos obteniendo los datos y los procesos de adquisición. es un control tal cual de la normativa, adquisición, es decir, que nosotros podamos verificar justamente esas fuentes de donde viene la información, ¿vale? Entonces, eso es como super importante ciclo, lo que continúa de este ciclo de vida, por decirlo así, de los datos, pues también es obtenerlos, prepararlos, porque quizás la la data viene desordenada, viene incompleta, a lo mejor sí vemos que viene repetida y eso no es lo que necesitamos para nuestro sistema, etcétera. 

    Entonces, también tener documentos de procedimientos de preparación alineados a lo que necesitamos para asegurar también que tenga una calidad adecuada a la data. Justamente es otro control, la calidad de la data utilizada. Entonces, es importante llevar como toda esa gestión del ciclo de los datos, entenderlos y para qué los usamos también. Eso es super importante. Me parece que viene en un dominio más adelante, pero justamente el siguiente dominio se llama información para las partes interesadas. el nombre. La verdad, la primera vez que también estuve estudiando esto dije, “No, o sea, no se entiende nada, necesito leerlo todo.” 

    Así que también les cuento que, o sea, este dominio, los controles que que tiene este dominio, lo que buscan es ayudar a las organizaciones a tener procesos y mecanismos para permitir a estas partes interesadas, que recordemos que puede ser desde tus colaboradores, desde tus socios, proveedores, tus clientes, obviamente, ahí puede tener alguien, otros otras partes interesadas, inversionistas, no sé, el proporcionarle estos mecanismos o canales de comunicación adecuados para reportar incidentes. También por ahí si ya tienen un SGCI o han trabajado con alguna autora normativa de seguridad de la información principalmente, seguro han escuchado gestión de incidentes, ¿no? También es un tema muy muy regulado y muy importante. 

    Entonces, estos controles nos ayudan a eso. nos piden que definamos bien estos procedimientos y mecanismos y canales de comunicación con nuestras partes interesadas, generalmente externos, para que podamos asegurar que el sistema está funcionando bien, que no hay incidentes graves, que no hay filtrado, que no hay sesgo, etcétera. Entonces, este dominio nos ayuda a eso. Luego viene el penúltimo dominio que se llama uso de sistema de IA. 

    Aquí justo ya hago la relación con el tema de los datos que les comentaba, porque estos controles lo que buscan es que la organización justamente tenga supercaro cuál es el el proceso, cuál es el uso responsable que debe tener nuestro sistema de ya. O sea, ¿cómo debería utilizarlo cualquier tipo de usuario? Aquí lo digo muy ambiguo, pero dependerá de cómo lo usen cada uno de ustedes, pero es entender cuál es ese proceso responsable, si no le estoy metiendo justamente información confidencial, si no lo estoy utilizando quizás con algunos ahí objetivos medio medio raros o que puedan ser no etcétera. 

    Y sobre todo si nosotros como organización entregamos el servicio a clientes de IA, tenemos que tener como supercaro y documentado cuáles son los objetivos de ese sistema y el uso previsto autorizado, ¿no? También como para evitar alguna situación externa fuera de nuestro control, que algún cliente justo lo quiera usar para otra cosa y demás. Entonces, la empresa siempre se debe respaldar con esa documentación de que de manuales, de guías, de cosas que digan, “Nosotros buscamos esto con nuestro sistema y el lo que puede hacer y sus limitantes, etcétera, es esto, ¿no? Entonces también este dominio nos hace mucho énfasis en eso y tiene estos controles asociados. 

    Y por último tenemos el dominio de relaciones con terceros, que aquí a diferencia del ocho, que es más como esta comunicación y de incidentes, este dominio de A10 de relación con terceros hace mucho énfasis en el tema de más que nada como estas responsabilidades contractuales, ¿no? podemos tener todo más que nada pues no va a dejar de ser eso, una política interna, un manual, un aviso, no sé. Pero este dominio también nos hace énfasis en el tema contractual, regulatorio. Ahora sí que cómo la organización le va a asegurar que estas partes externas, estos terceros, realmente cumplan con su parte de responsabilidad al hacer uso de de estos sistemas y de esta tecnología. 

    Nosotros ya entregamos quizás todos los manuales, la documentación, las guías, pero bueno, sabemos que pueden cumplirse o no, así que todo por contrato siempre es lo más ideal. Entonces estos controles nos ayudan a entender esa parte y asegurar que que pues nuestros contratos o la relación que tengamos que no solo que tengamos, que vayamos a generar quizás con cualquier otro nuevo tercero que llegue a la empresa siempre esté super cara. De hecho, aquí podemos hacer una equivalencia. No sé si por ahí también han escuchado el término de responsabilidad compartida. 

    Este término, al menos yo en lo personal, lo escuché por primera vez en todo lo que tiene que ver con la nube, con Cloud, donde justamente no todos los proveedores estos gigantes de nube, Amazon, Google, Asure, te dicen, “Yo me estoy haciendo cargo de la responsabilidad de mi seguridad física, de mi perímetro, de mis servidores, de todo lo que tiene que ver justo con mi centro de datos, ¿no?.

    Pero a ti como usuario, como cliente, como empresa, no sé, ahí obviamente como todo lo que tenga disponible los servicios de nube que son infinitos, cómo le toca al usuario, obviamente la responsabilidad de configurarlos correctamente, de usarlos correctamente, o sea, si ustedes se meten a la documentación de cualquiera de estos proveedores, es un mar de de documentación, no tienen para todo, tratan de ser obviamente super transparentes, entonces al usuario le le toca eso, ¿no? Le toca configurar, levantar las cosas bien, hacer las cosas bien internamente, cómo sus empleados utilizan estos servicios de manera correcta y demás. Entonces, un poquito podemos hacer esa equivalencia con este dominio para entender justo qué le toca a quién y que todos se hagan responsables y haya claridad y transparencia. 

    De la teoría a la práctica: Cómo empezar a ser seguro

    Jacqueline: Entonces bien, con esto terminamos justamente el tema de los controles de de la estructura de la normativa, ahora sí que de manera general y quizás un poquito a a alto nivel, pero seguramente, bueno, pueden preguntarse de, “Ay, ¿cómo entonces empiezo a ser seguro?” No, o sea, todo lo que escucho es como que malvado y negativo, pero no, no todo es preocupación y todos son riesgos, ni todo no todo es malo. Entonces, siempre hay algo que podemos hacer para empezar a ser seguros. Así que aquí les enlistamos así algunas. 

    Natalia: Jacquie, antes de pasar a cómo ser, a cómo iniciar en seguros, hay una pregunta que yo creo que puede ser que de pronto cambiemos de tema un poquito y se nos vaya y es que René nos dice que terceros que tengan intervención con las operaciones e infraestructura de la compañía, es creo que fue algo que dijiste hace poco.

    Jacqueline: Digo, básicamente la normativa lo pone como terceros, ahora sí que involucrando a cualquier persona, ¿no? Y en este caso, si hablamos de terceros que tienen intervención con operaciones o incluso la infraestructura de la compañía o participan de alguna manera en el sistema de IA, porque entiendo justo que también está mucho el tema del desarrollo tercerizado o incluso el reclutamiento, ¿no? que incluso desde la contratación de personas ahí se nos puede escapar algún tema cultural o demás, pero sí, cualquier tercero proveedor pues ya un cliente, no sé, que también quizás tenga acceso a activos de la empresa o así, es importante verificar esa parte contractual, ya sea con aceptación de términos y condiciones. 

    Entiendo que la actualidad ya no siempre implica un contrato firmado de manera física, pero tener esas bases con contratos o términos y condiciones, con cualquier tercero. Ahora sí que involucra a cualquier tercero. No sé si por ahí también iba la pregunta de René, pero espero haber podido contestar.

    Prácticas para comenzar a ser seguros

    Jacqueline: Les cuento rápido estas prácticas que identificamos después de todos estos casos de preocupación de cómo podemos comenzar a ser seguros. Aquí realmente también estos puntos pueden parecer quizás como muy generales, pero la realidad es que así de general y de sencillo, por decirlo de una mejor manera, es empezar a ser seguros con el uso de la IA y ser responsables y ser éticos.

    Y estos puntos pueden ser aplicados a nivel empresa porque puedes llevarlo con tu equipo, hacerlo de manera personal en tu trabajo, pero también a manera personal, porque también lo comentábamos en el primer webinar, sé que hay personitas que de repente, y lo digo porque yo tengo conocidos, de que ya le preguntan a chat GPT hasta si se van a morir o no y ya se vuelve su mejor amigo y se vuelve su doctor y así. Entonces, es nada más recordar que estas herramientas son nuestras aliadas y al final es facilitarnos un poco la vida explotarlas en lo bueno.

    A nivel diseño. He visto también cosas increíbles que se pueden hacer con estas herramientas, pero eso siempre manteniendo esa supervisión humana, siempre manteniendo todavía que es nuestro criterio, validando las fuentes y demás. Entonces, bueno, ya les dije quizás ahí un poquito el spoiler, pero les comento las prácticas.

    Prácticas clave para el uso seguro de la IA

    Jacqueline: Principalmente es revisar cómo, por qué y para qué usamos la IA. Este punto quizás es muy en la empresa que es derivado justo de los controles también, ¿no? Si nos empezamos a hacer estos cuestionamientos, vamos a empezar a entender el por qué se usa y no solo dejarnos llevar quizá por la ola de de lo que está en vanguardia o de lo que todo el mundo está realizando, sino sí quizás detenernos un poquito y entenderlo a nuestro contexto, ¿vale? Porque obviamente todo el mundo la está utilizando y estamos yendo a este lugar de innovación. 

    Pero entendiéndolo desde nuestro lugar es lo más importante. Así también tenemos el identificar o definir quién toma las decisiones importantes. Esto también va relacionado a asignación de funciones, el accountability que le llaman, ¿no?, ¿quién me va a autorizar esto?, ¿puedo realmente usar esta herramienta para mi trabajo? también pasa mucho, o sea, los desarrolladores, diseñadores y demás creo yo que son los que más impacta un poquito en en cosas de negocio, pero sabemos que recursos humanos, finanzas, nosotros como compliance al hacer investigaciones y demás podemos usar hasta un chatGPT, pero estas herramientas que ya involucran más una cuestión importante del negocio, como lo es un código, como lo es un diseño, un prototipo, etcétera.

    Es importante que puedan tener autorización No, que sí lo platiquen, que sí digan, “Oye, bueno, si yo quizás no sé bien si mi jefe me va a permitir usar esto, que lo conversen para que no haya ningún incidente y no sean ustedes el próximo caso Samsung. Lo siguiente justo es capacitación y concientización. se deriva también de la norma, pero yo creo que ya es una base en cualquier en cualquier empresa de cualquier sector y no solo en temas de seguridad de la información o de inteligencia artificial, sino en cualquier aspecto, ¿no? Incluso en cosas de protección civil, ¿no? Aquí en México que luego nos tiembla mucho, hasta eso necesitamos estar concientizados. 

    Así que capacitar y concientizar periódicamente en el uso responsable también es una gran práctica que puedes empezar desde hoy. Lo siguiente es la documentación, implementación de documentación. Eso quizás ya conlleva sí sentarse a conversar más con el equipo y demás, pero estoy casi segura que en este pimponeo de ideas ya se les ocurrieron algunas cositas que podrían cómo que empezar a mejorar en el cómo usan o desarrollan su sistema de IA. Entonces, todo eso se puede llegar a convertir en un proceso formal y bien estructurado que los va a ayudar muchísimo a gestionar bien estos temas, ¿no? Y esta seguridad. 

    Y por último, pues lo que identificamos también pues como una práctica muy importante es que si realmente en su empresa aplica el caso de que ustedes están ofreciendo servicios de IA, pues puedan tener realmente claro el tema de los datos, ¿no? la información es el activo más valioso que tenemos hoy en día, lo hemos dicho ya en repetidas ocasiones. Entonces, saber qué información estamos utilizando, que no estamos infringiendo quizás por ahí justo regulaciones de datos personales, de protección de la información, de información privada, etcétera, es como super importante. Entonces, no necesariamente lo tiene que hacer para un cumplimiento normativo, realmente por simple ética y justamente un uso responsable. Es muy recomendado que empiecen a verificar eso, cómo están trabajando la información, cómo la obtienen, qué información le están dando a sus sistemas para entrenar, etcétera. Entonces, ahí también es una una gran propuesta que les que les recomendamos.

    Cómo nuestra plataforma te ayuda con la ISO 42001

    Jacqueline: Y por último, aquí ya me voy a ir un poquito a nuestra plataforma. Es para contarles eso, que nosotros con todo este análisis, con todo este conocimiento que hemos adquirido, todo mi equipo de compliance, nosotros desde nuestra plataforma también ya podemos ofrecerles esto. Tenemos la normativa ISO para ayudarlos a certificarse. Esto conlleva que nosotros tenemos plantillas de la documentación, justamente de todos estos procedimientos y políticas que les contaba, nosotros ya generamos unas plantillas de base que sabemos que van a funcionar para ayudarlos a ese cumplimiento, que no empiecen desde cero. 

    Tenemos justamente una metodología con multinorma en caso de que también ya manejen quizás alguna otra ISO, como también lo veíamos al inicio y bueno, ahora si también cualquier cosa, cualquier interés que tengan, nuestra plataforma los puede ayudar también a certificarse, pero en general cualquier consulta o cosa muy normativa y demás, pues también la idea, lo que buscamos es que concienticemos justamente a toda la comunidad y podamos tener este apoyo que de repente las ISOs son muy técnicas o pueden parecer muy aburridas, pero nos ayudan bastante a protegernos. Así que eso, no sé si por ahí quizás hay alguna otra cosita. 

    Natalia: Bueno, Miguel Cabrera nos dice que excelente exposición, Jacqui y también nos felicita por todos los eventos. Qué bueno que estaban en los eventos. recuerden que en la descripción pueden encontrar el link del evento pasado y asimismo el link del evento antepasado. Son tres webinars y ese es el tercer y último webinar, además nos hace Gisel una última preguntita y es, ¿qué error juega la transparencia en la IA dentro de esta norma?, bien, ahí muchas gracias por todos los comentarios antes de continuar. 

    Jacqueline: Diría que un rol súper importante. Digo, entiendo que también no es como que vayamos por la vida compartiendo todos nuestros documentos confidenciales o la manera en la que la empresa trabaja, ¿no? Pero pensándolo justo en el sistema de ya el usuario, si es super importante que sepamos que estamos hablando con inteligencia artificial, que me está respondiendo con base en ciertas fuentes, entender de dónde me está contestando. 

    Ahí les puedo dar el ejemplo justo rapidísimo de nuestra inteligencia que llamamos Mike. nosotros la entrenamos con nuestras investigaciones, entonces podemos darle la certeza a los clientes que justamente lo que te va a contestar está basado en algo que investigamos por nuestra cuenta. Entonces la transparencia es clave para tanto para el usuario principalmente, ¿no? Si queremos que consuman nuestros servicios o ustedes como usuarios al estar obviamente chateando con con chat la redundancia o utilizando cualquier otra herramienta. Supongo que también para ustedes es super importante saber de dónde viene toda esta información. Entonces diría que muy clave la transparencia.

    Cierre del webinar

    Natalia: Y aquí algo pues aquí aprovechando el momento, algo que podrían hacer como concientización dentro del equipo es que cada persona le pregunte a su inteligencia artificial a la que usa, ¿qué tanto sabes de mí? Ya a veces como que nos dejamos llevar por hablar tanto con la inteligencia artificial o bueno, hablar no preguntar tanto que le hemos dado demasiada información y ni siquiera somos conscientes de ello. 

    Entonces eso es algo pequeño que se podría hacer y ahí empezar como una capacitación sobre el tema. Por otro lado, les cuento que nosotros en Hackmetrix semana a semana enviamos un newsletter nuestro hack news donde les contamos los mejores hackeos. Por ejemplo, esta semana que sí o sí había que actualizar Chrome, ahí se lo contamos, que hay que actualizar algo en iOS, en Android, todo lo que está pasando y todos los chismecitos de ciberseguridad, todo lo contamos ahí. 

    Entonces pueden escanear este este QR o también en la descripción del video está el link, también se lo pueden enviar a sus equipos y ahí también les estoy contando sobre capacitaciones de otras plataformas y nuestras, capacitaciones gratuitas, cursos y todo lo que puedan aprender, que nos permita pues evolucionar y también nos permita estar en tendencia. Entonces, listo, les dejo el link y por cierto soy yo la que lo escribe, o sea, al correo de los hacknews, hola Natalia, te vi en el evento y tengo esta duda, compárteme esto, compárteme lo otro y ahí de una estoy atenta con ustedes.

    Entonces, adicional a que obviamente los invitamos mucho a que se suscriban, les comparto de que también cualquier otro blog que tengan que conozcan, suscríbanse, o sea, mantenerse al tanto de todos estos casos, de cualquier cosa que suceda en ciberseguridad o o en este entorno pues técnico y de ya que cada vez está más rápido, está buenísimo y les va a ayudar mucho también a a empezar como lo veíamos. 

    A ser seguros desde ya. Bueno, perfecto. Y haciéndole honor al tiempo porque se nos pasó, solo es que hablan del hack y me emociono, me emociono porque le sirve mucho a los equipos. Entonces, aprovecho y les agradezco por acompañarnos en estos tres webinars, por acompañarnos en este espacio, por sus preguntas, también por sus buenos comentarios y te agradezco a ti, Jacqui, por estar aquí, por acompañarnos con tu conocimiento y bueno, y con tu buena actitud. Gracias a ustedes, un gustazo empezar a hablar de todo esto. Bueno, nos vemos en unos próximos episodios. ¿Quién sabe? nuevamente gracias y bueno, que tengan final, buena final de tarde y gracias.

    demo hackmetrix

    Share
    Share
    Content marketing Natalia Molina 31 posts
    Mercadóloga apasionada por las estrategias digitales, la ciberseguridad y la creación de contenido. Con experiencia en gestión de riesgos, seguridad de la información y tecnología, combina creatividad y análisis para generar contenidos que conectan y eduquen.
    www.hackmetrix.com
    LinkedIn