Servicios de consultoría y asesoría

¡Hola!, te compartimos el artículo de: Abril, 2026

Consejos para implementar la ISO 42001
Por David Mondragón Tapia

En pleno ascenso tecnológico, respecto a la relevancia que cada vez más juega la “IA” o inteligencia artificial, encontramos que esta tecnología se aplica en más actividades y sectores económicos del ser humano (ej. salud, educación, investigación, manufactura, hogar, entre otros), previéndose que siga siendo uno de los principales impulsores de la rápida transformación digital que estamos experimentando, así como uno de los principales motores económicos de los años por venir. Como resultado de esta interesante tendencia, llama la atención de expertos en la materia (técnicos y legales) que ciertos usos o aplicaciones dadas a la “IA”, podrían estar implicando ya serios desafíos sociales hacia el año 2030, como por ejemplo: la desaparición de algunos trabajos y el surgimiento de nuevos, cambios en los paradigmas de colaboración y eficacia en el binomio “hombre-máquina”, la potencial manipulación o supresión de los derechos humanos, así como una mayor exposición a la integración tecnológica voluntaria o forzada. Ante este panorama, la Organización Internacional de Normalización (ISO por sus siglas en inglés) lanzó al mundo una norma internacional, con el objetivo de ayudar a las organizaciones a desempeñar de manera responsable, su función en el desarrollo, suministro, uso y/o supervisión de productos y/o servicios que utilizan sistemas de IA. Y aunque una norma por sí sola no es suficiente para evitar la adopción sesgada o incorrecta de la “IA”, si ayuda significativamente a prevenir situaciones en donde la tecnología puede:

  • Tomar decisiones de forma automática y autónoma.
  • Diseñar sistemas en sustitución de la lógica y el esfuerzo humano.
  • Moldear su comportamiento durante su uso o aplicación.

La norma ISO 42001

La norma ISO 42001 liberada al mercado en el mes de diciembre del año 2023, define los requisitos necesarios para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Inteligencia Artificial (SGIA), de acuerdo con el análisis hecho del contexto de la organización y centrando la aplicación de los requisitos y controles de IA, en las características exclusivas de la “IA”. Ciertas características de la “IA” como son: 1) la capacidad de aprendizaje y mejora continua ó 2) la falta de transparencia, pueden justificar la adopción de diferentes medidas de seguridad (ref. ISO 42001, anexo “A”), si es que estas plantean inquietudes adicionales respecto a cómo se realizaría la tarea de forma tradicional. Además, otros aspectos como son: 1) los objetivos y necesidades de la organización, 2) sus procesos o actividades, 3) el tamaño y estructura organizacional y 4) las expectativas de las distintas partes interesadas o stakeholders, influyen también en la definición y operación de un SGIA, por lo que se espera que todos estos factores de influencia cambien y por ende, se revisen periódicamente (ciclo de vida).

Así pues, la norma ISO 42001 es un apoyo para las organizaciones que buscan la adopción de un Sistema de Gestión de Inteligencia Artificial, integrando para esto, los procesos y la estructura de gestión general necesaria para tal fin. Cualquier cuestión específica relacionada con la IA, debe considerarse en el diseño de los procesos, los sistemas de información y los controles seleccionados como necesarios; algunos ejemplos de estos procesos de gestión son:

  • Para la determinación de los objetivos organizacionales, la participación de las partes interesadas y/o la política de IA.
  • La gestión de riesgos y oportunidades.
  • Los procesos para la gestión de algunos puntos de preocupación relacionados con la confiabilidad de los sistemas de IA, como son: seguridad, protección, equidad, transparencia, robustez tecnológica, etc.
  • Los procesos para la gestión de proveedores, socios y terceros que proporcionen o desarrollen sistemas de IA para la organización.
  • Entre otros.

Consejo No. 1: el AISIA

Al implementar un SGIA con base en los requisitos y controles de IA previstos en la norma ISO 42001, se debe tener en cuenta que un aspecto importante a considerar, es la definición y realización periódica de las Valoraciones de los impactos de los sistemas de IA (ref. ISO 42005). Para esto, es necesario contar con los siguientes elementos:

  1. El inventario de activos aplicable a las tecnologías de IA, por ejemplo: proceso o actividad desarrollada (ej. desarrollo o uso), producto o servicio entregado (ej. nombre comercial), sistemas de IA implicados (ej. imágenes, predicciones, etc.), componentes de IA o tipos de activos integrados en los sistemas de IA (ej. modelo y algoritmo, componente de NLP/NLU o data lake).
  2. Los tipos de impactos y los criterios aplicables para evaluar su influencia positiva o negativa, en los individuos (ej. velocidad), los grupos de individuos (ej. bienestar), en la sociedad (ej. económico) o en su conjunto.
  3. La fórmula para ponderar el peso de cada activo valorado (consecuencias vs impactos), información que posteriormente deberá de ser utilizable durante el análisis de riesgos de IA.

Los resultados obtenidos en la Matriz de valoración de impactos de los sistemas de IA, debe revisarse y actualizarse continuamente, dependiendo del rol desempeñado por la organización (ej. desarrollador, integrador, suministrador, etc.) y de su incidencia en el ciclo de vida del sistema de IA.

Consejo No. 2: la gestión de riesgos de IA

Una vez que se cuenta con los resultados de las Valoraciones de los impactos de los sistemas de IA, se debe considerar también el desarrollo de una práctica de gestión de riesgos de IA (ref. ISO 23894), estableciendo un marco de referencia, principios y un proceso general, en donde los procedimientos de Valoración de riesgos de IA y Tratamiento de riesgos de IA, serán la base para entregar un nivel adecuado de protección a la organización. Al igual que con la Valoración del impacto del sistema de IA (AISIA por sus siglas en inglés), también se recomienda que la gestión de riesgos de IA se efectúe con frecuencia y de acuerdo al ciclo de vida del sistema de IA (cambios).

La mecánica para realizar el análisis de riesgos de IA y el tratamiento de los riesgos que así lo requieran (criterios de aceptación), es parecida a la que se sigue para otros sistemas de gestión ISO como puede ser el Sistema de Gestión de Seguridad de la Información o SGSI. Sin embargo, se requiere adecuar el método, enfoques, parámetros, criterios, escalas y fórmulas de estimación del nivel de riesgo, a las características exclusivas de la “IA”. Incluso la selección de las opciones de tratamiento (ej. mitigar o trasferir), de los controles de IA y sus medidas aplicables (ref. anexos “A” y “B” de la ISO 42001), la elaboración de un plan de tratamiento y una declaración de aplicabilidad o SOA, es similar a aquella realizada en un SGSI.

Consejo No. 3: los controles de IA

Obtenidos los resultados de la Valoración de riesgos de IA, a partir de la integración de los resultados de la Valoración del impacto del sistema de IA (AISIA), toca identificar aquellos riesgos de IA que incumplan con los criterios de aceptación establecidos, para definir los riesgos de IA que requerirán tratamiento. Para el tratamiento adecuado de los riesgos de IA, se deben considerar las características de los activos valorados (ej. proceso o actividad, sistema de IA, componente de IA, etc.), así como los detalles dados por el análisis de riesgos de IA (ej. amenazas, vulnerabilidades, consecuencias, etc.). Con toda la información anterior y partiendo de la estructura de controles de IA disponible en el anexo “A” de la ISO 42001, se deben seleccionar los controles y las medidas correspondientes a las opciones de tratamiento seleccionadas (ej. mitigar), para finalmente volver a estimar el riesgo residual (menor o igual a los criterios de aceptación) y en su caso, proceder a la implementación de los controles y medidas escogidas, con base en los lineamientos contenidos en el anexo “B” de la misma 42001. Solo así se podrá ofrecer el nivel de protección adecuado en materia de tecnología de “IA”, garantizando un rol responsable de la organización.

Reflexión final

En conclusión, al afrontar el reto de establecer y certificar su propio Sistema de Gestión de Inteligencia Artificial, es importante recordar algunos consejos prácticos para lograr con éxito la misión. Consejos tales como:

  1. Definir y realizar ejercicios de valoración de los impactos de los sistemas de IA (AISIA), de acuerdo con el rol desempeñado por su organización y el ciclo de vida del sistema de IA.
  2. Integrar los resultados del ejercicio de AISIA, dentro de la gestión de riesgos de IA (análisis de riesgos de IA).
  3. Definir y realizar ejercicios de gestión de riesgos de IA con base en la valoración y tratamiento de riesgos de IA.
  4. Brindar el nivel adecuado de protección a la organización con base en la selección “ad-hoc” de los controles de IA y sus medidas, con el fin de desempeñar un rol responsable en cuanto a la tecnología de IA.

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte a desarrollar el sistema de gestión de IA de tu organización, ¡escríbenos, será un gusto platicar contigo y poder apoyarte!

Referencias y/o consultas

1. International Standard ISO/IEC 42001:2023. Information Technology - Artificial Intelligence - Management System. First Edition, Dic-2023.

2. International Standard ISO/IEC 23894:2023. Information Technology - Artificial Intelligence – Guidance on risk management. First Edition, Feb-2023.

3. International Standard ISO/IEC 42005:2025. Information Technology - Artificial Intelligence (AI) – AI system impact assessment (AISIA). First Edition, May-2025.

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.