La Inteligencia Artificial (IA) ha dejado de ser un experimento y se ha convertido en parte del día a día de las organizaciones: desde automatizar procesos y programar aplicaciones hasta asistir en la toma de decisiones.
El desafío ya no es si podemos utilizarla, sino cómo gobernarla de manera segura, ética y alineada a las regulaciones nacionales y internacionales.
Si bien su adopción trae oportunidades enormes, también plantea desafíos éticos, regulatorios, de seguridad y de confianza. Por eso, ahora es el momento de comenzar a planificar cómo gobernar su uso
Por eso, desde Segu-Info compartimos una propuesta de mínimos necesarios: pocos documentos, pero con un alcance amplio, que permitan cubrir los principales ejes de la IA.
Relación entre Gobernanza, ética y seguridad en la IA
La adopción de Inteligencia Artificial requiere una visión integral que diferencie los niveles de responsabilidad dentro de las organizaciones.
El Marco de Gobernanza de IA debe ser impulsado desde los niveles directivos y estratégicos, definiendo los principios éticos, sociales y legales que guiarán su adopción: transparencia, inclusión, equidad, rendición de cuentas y respeto por los derechos humanos.
Este marco establece qué tipo de IA la organización está dispuesta a desarrollar o utilizar, en qué condiciones y con qué objetivos, integrando la gestión del riesgo reputacional, legal y ético.
Por su parte, el área de Seguridad de la Información y sus políticas específicas (uso responsable, desarrollo seguro, gestión de riesgos de SI, respuesta a incidentes en IA, etc.) toman como base esos lineamientos éticos y los traducen en controles técnicos, operativos y de gestión para proteger los sistemas, modelos, datos y flujos de información.
De esta forma, la seguridad en IA no asume la responsabilidad de la ética o gobernanza, sino que implementa mecanismos que las materializan en la práctica, asegurando que las decisiones éticas y de gobierno se reflejen en medidas concretas y verificables.
Este enfoque permite construir un "árbol de documentos" coherente, donde la gobernanza define el marco y la intención, y la seguridad garantiza su cumplimiento técnico y operativo.
1. Marco de gobernanza de IA
El marco de gobernanza de IA constituye el nivel más alto dentro del ecosistema documental. Su función es definir los principios éticos, valores corporativos y lineamientos estratégicos que orientarán el uso, desarrollo y adquisición de IA dentro de la organización.
A diferencia de los documentos técnicos o de seguridad, este marco no busca establecer controles operativos, sino definir qué entiende la organización por un uso aceptable y responsable de la IA.
Elementos que podría contemplar:
- Propósito y alcance
- Objetivo general de la IA dentro de la organización (por qué y para qué se usa).
- Compromiso institucional con el uso ético y responsable.
- Principios éticos y organizacionales
- Transparencia, inclusión, equidad, no discriminación, respeto por los derechos humanos y sostenibilidad.
- Declaración de compromiso con las recomendaciones internacionales (OCDE, UNESCO, NIST AI RMF, ISO/IEC 42001).
- Alineación con los valores institucionales existentes.
Este documento puede existir como una política independiente o integrarse a documentos institucionales ya existentes (por ejemplo, el Código de Ética, la Política de Responsabilidad Social o la Carta de Valores), de modo que la gobernanza de IA forme parte del marco cultural y ético de la organización.
2. Política de uso responsable de la IA
Alcance: Define cómo la organización permitirá y regulará el uso de la IA por parte de sus colaboradores y en sus procesos, asegurando un marco ético y legal.
Podría incluir:
- Principios de uso seguro y responsable.
- Cumplimiento regulatorio (LPDP, RGPD, AI Act (Ley de Inteligencia Artificial de la Unión Europea), normativas locales, etc.).
- Reglas claras para el uso cotidiano de herramientas de IA en la organización.
3. Normativa de Desarrollo y Operación de Modelos (MLOps / Agentics)
Alcance: Establece lineamientos para diseñar, entrenar, desplegar y mantener modelos de IA de forma segura y controlada.
Podría incluir:
- Procesos de entrenamiento, validación y documentación (model cards, datasheets).
- Gestión de datos (calidad, privacidad, reducción de sesgos).
- Monitoreo y mejora continua de modelos en producción.
Aplicación de las funciones del AI Risk Management Framework (RMF):
- MAP: identificar propósito, contexto, actores y posibles impactos.
- MEASURE: definir métricas de desempeño, sesgos y confiabilidad.
- MANAGE: aplicar controles, supervisión humana y remediación continua.
4. Gestión de Riesgos y Seguridad en IA
Alcance: Permite identificar, evaluar y tratar los riesgos asociados al uso de IA, tanto técnicos como regulatorios y operativos.
Podría incluir:
- Marco de gestión de riesgos (alineado a NIST AI RMF e ISO/IEC 23894).
- Medidas de ciberseguridad específicas (ENISA, NIST, OWASP Top 10 LLM).
- Plan de respuesta a incidentes relacionados con IA.
5. Plan de Transparencia, Auditoría y Capacitación
Alcance: Define cómo la organización generará confianza interna y externa sobre el uso de IA, garantizando control y rendición de cuentas.
Podría incluir:
- Procedimientos de auditoría y reportes de uso de IA.
- Definición de roles y comités de gobernanza.
- Capacitación y concientización para el personal en IA responsable.
Normativas y Marcos de Referencia
- NIST AI RMF (2023) – Gestión de riesgos en IA
- NIST AI Resource Center (2025).
- ISO/IEC 42001 (2023) – Sistema de gestión para IA
- ISO/IEC 23894 (2023) – Gestión de riesgos de IA
- ENISA – Recomendaciones de ciberseguridad en IA
- OWASP Top 10 for LLM Applications (2025) – Amenazas en modelos de lenguaje
- EU Borrador de la Ley de IA
- EU Artificial Intelligence Act (2024) – Regulación de IA de alto impacto
Disclaimer
Estos documentos no son una receta única. Cada organización debe adaptarlos a su tamaño, sector, cultura y madurez tecnológica. Lo importante es empezar a construir una base sólida que permita crecer con la IA de manera segura, ética y sostenible.
Por Lic. Bernardita Götte
Compliance Consultant en Segu-Info