Accede a la biblioteca de artículos pasados

¡Se te pasó leer el artículo anterior!
Aquí lo puedes encontrar.

Junio, 2026

Protección de la información con base en la norma ISO 27001
Por David Mondragón Tapia

Panorama 2025-2026

Durante el año 2025 y lo que va del 2026, la seguridad de la información ha enfrentado un panorama crítico. Lo anterior se puede afirmar cuando más del 60% de las empresas PyMEs en México, han sufrido algún tipo de ataque digital, esto sin considerar que las PyMEs representan entre el 95 y 99 por ciento del total de empresas en el país. La situación se agrava aún más si consideramos que a nivel mundial, el Fondo Monetario Internacional (FMI) estima que la ciberdelincuencia costará al mundo la impresionante cifra de 23 billones de dólares para el año 2027, lo que representará un incremento del 175% con respecto al 2022 (¡en solo cinco años!). ¡Si, seguramente coincidimos con el pensamiento!, el panorama se ve preocupante y a la vez interesante.

Como ya se mencionó anteriormente, en México, más del  60% de las PyMEs mexicanas fueron blancos de intentos de robo de datos, ransomware y/o accesos no autorizados, provocando pérdidas económicas, paros operativos y/o daños en la reputación, resultando en incidentes que superaron generalmente la capacidad de respuesta de estas. Lo anterior, ha dejado al descubierto la ausencia de estrategias formales de seguridad de la información, ciberseguridad, protección de la privacidad y monitoreo continuo de seguridad, principalmente. En el caso de Latinoamérica (ej. México, Colombia y Chile), los ataques digitales vienen creciendo año con año tanto en frecuencia como en costo, destacando nuevamente el ransomware, así como los fraudes online y el robo de datos. Desde la pandemia de COVID-19, tendencias como la digitalización y el trabajo flexible, han incrementado la exposición de las empresas y las personas, a sufrir algún tipo de ciberataque. ¿Y tú, ya estás preparad@ para este desafio?

Amenazas y riesgos a la seguridad de la información

Hoy en día, la necesidad de ofrecer una seguridad ad-hoc para la información de las organizaciones y las personas, enfrenta amenazas evolutivas destacando algunas de las siguientes:

  1. Ransomware: a través del secuestro de información considerada “crítica” por la parte interesada, exigiendo a cambio de su liberación, un pago.
  2. Phishing y fraudes online: a través de campañas masivas y/o dirigidas a sujetos o grupos de sujetos, para robar las credenciales y los datos financieros de estos.
  3. Robo de identidad: a través del uso indebido y no autorizado de los datos personales o información de identificación personal, mismos que fueron obtenidos mediante filtraciones.
  4. Ataques a la cadena de suministro: a través de la vulneración de los proveedores, para posteriormente tener acceso a los sistemas corporativos del objetivo final.
  5. Falta de capacitación interna: en México, la nula o escasa concientización, capacitación y/o formación en materia de seguridad de la información, provoca que muchas PyMEs enfrenten incidentes frecuentes o incluso recurrentes.

No quepa la menor duda, que aunque hoy existen diferentes tipos de recursos y opciones aplicables a la seguridad de la información de una organización, es la falta de planes, programas o sistemas de seguridad de la información y particularmente en el sector de las empresas PyMEs en México, lo que  las convierte en objetivos fáciles para la delincuencia informática. Ante tan preocupante situación, las organizaciones pero también las personas, deben procurar seguir algunas de las recomendaciones que a continuación se comparten:

  • La habilitación de capacidades de monitoreo continuo.
  • La implementación de planes de respuesta a incidentes.
  • La inversión en copias de seguridad seguras y preferentemente completas para mitigar el riesgo de ransomware.
  • El uso de autenticación de múltiples factores.
  • La implementación del cifrado de datos sensibles.
  • La capacitación y concientización del personal especialmente en la detección de phishing y en buenas prácticas digitales.

Seguridad de la información vs Norma ISO 27001

En la actualidad, todas las organizaciones requieren y manejan algún grado de información para la realización o cumplimiento de sus operaciones diarias, en muchas ocasiones integrando también “información de identificación personal o datos personales”. Si a la anterior situación, le adicionamos que la información digital crece en cuanto a los tipos y la cantidad de información que se viene manipulando, el panorama se torna mucho más retador para los profesionales y las áreas responsables de la seguridad de la información. Es en este contexto, que ofrecer y garantizar un nivel de protección adecuado contra las amenazas que podrían comprometer la seguridad de la información, ya no es solo una expectativa, sino que se volvió una necesidad o exigencia del mercado y la sociedad.

La norma internacional ISO 27001 en su edición del año 2022, es la contribución hecha por la Organización Internacional de Normalización, para definir los requisitos necesarios para planear y operar un Sistema de Gestión de Seguridad de la Información, de acuerdo con las características contextuales de su propia organización. La norma considera dentro de sus requisitos, algunos enfocados en las actividades de valoración y tratamiento de riesgos de seguridad de la información, de acuerdo con las necesidades de protección de cada organización. Los requisitos establecidos en la norma, son genéricos, facilitando con esto que puedan ser aplicables y cumplidos por cualquier organización, sin importar su tipo (ej. privada o pública), su tamaño (ej. micro, pequeña, mediana o grande) o su naturaleza (ej. financiera, tecnológica, manufactura, aeroespacial, educación, etc.).

Al implementar y certificar su Sistema de Gestión de Seguridad de la Información, se asegura que la confidencialidad, integridad y disponibilidad de la información se protege, mediante la aplicación de un proceso de gestión de riesgos y diversos controles de seguridad de la información, brindando con esto “confianza” a cualquier parte interesada, en que los riesgos a la información se gestionan adecuadamente.

Controles de seguridad de la información

Al implementar un Sistema de Gestión de Seguridad de la Información con base en la norma ISO 27001, la organización deberá definir y aplicar un proceso para el Tratamiento de los Riesgos de (S)eguridad de la (I)nformación (ref. sección 6.1.3), considerando entre otros aspectos los siguientes: 

  1. La selección de las opciones de tratamiento adecuadas para los riesgos de seguridad de la información (ej. aceptar, reducir, evitar, etc.), considerando los resultados del proceso de Valoración de Riesgos de SI.
  2. La determinación de todos los controles de SI que sean necesarios para implementar las opciones de tratamiento seleccionadas.
  3. La elaboración del Plan de tratamiento para garantizar que las opciones y los controles de SI seleccionados, son implementados.

Estos dos últimos puntos se podrán cubrir mediante el uso y determinación de los controles de SI (ej. organizacionales, físicos, etc.) que se encuentran contenidos en el Anexo “A” de la norma ISO 27001, así como mediante el uso complementario de cualquier otra fuente de información especializada (ej. NIST-CSF, CIS Controls o la misma ISO 27017, 27018 y 27032).

Regresando a alguna de las amenazas a la seguridad de la información que vienen evolucionando de manera acelerada, imaginemos por un momento el escenario siguiente: “ocurre un acceso no autorizado a nuestra infraestructura e información corporativa, a través de un usuario utilizado por uno de nuestros proveedores, provocando divulgación de información sensible, ¿qué se debería haber hecho para evitar esta situación? La respuesta puede tener muchas posibilidades, pudiendo ir desde la definición, aplicación y supervisión de una serie de requisitos de seguridad (ej. control de acceso), hasta la elaboración y seguimiento de mejores contratos y acuerdos con los proveedores o terceros.

De acuerdo con los controles de seguridad de la información de la ISO 27001 Anexo “A”, se ha establecido el control: 5.19 Seguridad de la información para la relación con proveedores, en donde se dice que se deben definir e implementar los procesos y procedimientos necesarios para gestionar los riesgos de seguridad de la información, de acuerdo con el tipo de relación establecida con un proveedor o tercero, además se debieran abordar los requisitos de seguridad de la información aplicable a cada tipo de relación con un proveedor (ref. al control 5.20 Abordar la seguridad de la información dentro de los acuerdos con proveedores).

Lo anterior nos señala que ya se han definido una serie de controles organizacionales, con el fin de proteger la información mediante la implementación de medidas o acciones, aplicables a los diversos riesgos de SI, de acuerdo con los resultados de una gestión de riesgos de SI y sin necesidad de estar improvisando (¿seguridad por aproximaciones?).

Reflexión final

En conclusión, la seguridad de la información en los años 2025-2026, está marcada por un crecimiento acelerado de los ataques y los costos globales. En México, es particularmente vulnerable el sector PyME con más del 60% de este tipo de organizaciones mexicanas, experimentando diversos tipos de incidentes mientras que a nivel mundial, los ataques a las telecomunicaciones y los servicios públicos crecieron más del 30%.

También en los años 2025–2026, los sectores más atacados tanto a nivel global como en México son: 1) gobierno, 2) educación, 3) telecomunicaciones, 4) PyMEs, 5) finanzas y 6) salud, ocupando el ransomware y el robo de datos, los primeros lugares en cuanto a las principales amenazas. Los principales motivos y razones de tales tendencias, son:

  • En gobierno y educación, por la gran cantidad de datos personales que manejan.
  • En las telecomunicaciones, porque se puede afectar a millones de usuarios simultáneamente.
  • En las PyMEs mexicanas, porque el sector es el más vulnerable debido a la falta de sistemas, programas o planes formales de seguridad o ciberseguridad.
  • Y finalmente en las finanzas y salud, porque el robo de datos tiene consecuencias económicas y sociales graves.

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte a desarrollar el Sistema de Gestión de Seguridad de la Información de tu organización, ¡escríbenos, será un gusto platicar contigo y poder ayudarte!

Referencias y/o consultas

1. International Standard ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection - Information security management systems - Requirements.

2. Portal de ISO Standards: https://www.iso.org

3. Portal de SentinelOne: https://www.sentinelone.com/es/cybersecurity-101/cybersecurity/cyber-security-statistics/

4. Portal de Tantius: https://tantius.com.mx/estadisticas-de-ciberseguridad/

5. Blog de PreyProject: https://preyproject.com/es/blog/estadisticas-seguridad-informatica

Mayo, 2026

Protección de la privacidad con base en la norma ISO 27701
Por David Mondragón Tapia

Antecedentes

No obstante que para el 2025 se estimó que al menos el 75% de la población mundial, tendría protegidos sus datos personales mediante alguna ley de privacidad, los datos personales se encuentran cada vez más amenazados dentro del ciberespacio, debido entre otras razones a que los ataques y filtraciones siguen aumentando, causando cada trimestre que millones de registros queden expuestos para fines distintos a los autorizados por sus titulares. Dicha tendencia de endurecimiento regulativo, se viene presentando sobretodo en regiones como: Europa, Asia y América Latina, siendo el caso de México, uno a destacar debido al aumento en el número de solicitudes recibidas por el Instituto de Transparencia, con el propósito de proteger los datos personales, lo que refleja una mayor preocupación ciudadana por el mal uso de dicha información.

Desde la perspectiva de la ciberseguridad el panorama es más complejo y desafiante, no solo en México sino a nivel global, pues las amenazas muestran un proceso de evolución acelerado a raíz del “aprovechamiento” de la IA, lo que viene presionando a las organizaciones públicas y privadas para invertir más en seguridad y cumplimiento.

Amenazas y riesgos de la privacidad

En nuestros días, el derecho a la privacidad enfrenta amenazas persistentes como son:

  1. Filtraciones masivas de datos: en donde las empresas y los gobiernos, siguen siendo el blanco preferido de los ataques que logran exponer millones de registros personales, con datos como son: nombres, correos, contraseñas, datos financieros, entre otros.
  2. Rastreo digital y vigilancia: en donde a través del uso de diversas plataformas y aplicaciones populares, se recopila información sobre el comportamiento, ubicación y preferencias de las personas (ej. cookies persistentes y de rastreo), siendo esto sin un consentimiento claro en muchas ocasiones.
  3. Uso indebido de datos biométricos: cada vez es más común que se utilice el reconocimiento facial y las huellas digitales, con el propósito de fortalecer la seguridad en el control de acceso, sin embargo, su almacenamiento centralizado representa un riesgo considerable para la privacidad.
  4. Phishing y robo de identidad: finalmente tenemos los ataques de ingeniería social, que siguen siendo una de las principales maneras para obtener datos personales y posteriormente hacer un mal uso de estos.

No cabe duda que aunque las leyes en materia de privacidad avanzan en el mundo, los ataques también se vienen sofisticando, por lo que la sola regulación no garantiza tener una seguridad y protección de la privacidad de manera inmediata. Ante esta realidad, las organizaciones y las personas deben procurar algunas de las acciones siguientes:

  • Revisión periódica de las configuraciones de privacidad en redes sociales y aplicaciones.
  • Uso de contraseñas robustas y autenticación de múltiple factor.
  • No compartir datos sensibles en la medida de lo posible y mucho menos en plataformas no verificadas.
  • No abrir y/o responder a correos sospechosos y campañas de phishing, manteniéndose alertas en todo momento ante estos.

Protección de la privacidad vs Norma ISO 27701

En la actualidad casi todas las organizaciones procesan datos personales o también llamada en el mundo de la normas ISO, como “información de identificación personal”. Si a esta situación le agregamos que los tipos y la cantidad de datos personales que se están procesando, va en aumento, al igual que el número de situaciones en las que una organización necesita interactuar con otras, para el procesamiento de dicha información, el panorama se vuelve más complejo. En este contexto, la protección de la privacidad es una necesidad social y un derecho irrenunciable de las personas, así como un tema que cuenta con requisitos legales específicos a nivel mundial (ej. GDPR).

La norma ISO 27701 en su nueva edición del año 2025, puede y debería ser utilizada por las organizaciones que tratan o intervienen en el tratamiento de datos personales o información de identificación personal, demostrando con esto su compromiso con la protección de la privacidad, al cumplir con los requisitos necesarios para un Sistema de Gestión de Información de Privacidad. Con esto, una organización cualquiera puede generar evidencia de cómo gestiona el procesamiento de información de identificación personal, pudiendo utilizarla también para facilitar el cierre de acuerdos con socios comerciales o algunas otras partes interesadas, cuando la protección de la privacidad sea un aspecto de interés mutuo. El apego a los requisitos y controles propuestos por la norma ISO 27701, puede servir también para el cumplimiento de algunas otras normas ISO relacionadas (ej. ISO 29100), así como para el GDPR o Reglamento General de Protección de Datos por sus siglas en español.

Objetivos de control y controles de privacidad

Al implementar un Sistema de Gestión de Información de Privacidad con base en la norma ISO 27701, la organización deberá definir y aplicar un proceso para el Tratamiento de los Riesgos de Privacidad, relacionados con el tratamiento de información de identificación personal, básicamente mediante lo siguiente: 

  1. La selección de las opciones de tratamiento adecuadas para los riesgos de privacidad identificados, considerando los resultados del proceso de Valoración de Riesgos de Privacidad.
  2. La determinación de todos los controles que sean necesarios para implementar las opciones de tratamiento seleccionadas, entre otros aspectos.

Este último punto se podrá cubrir mediante la determinación de los objetivos de control y los controles de privacidad contenidos en el Anexo “A” de la norma ISO 27701, así como de cualquier otra fuente de información especializada y relacionada.

Ahora bien, retomando algunas de las amenazas persistentes al derecho a la privacidad, pensemos por un momento en alguno de los escenarios siguientes: ¿qué se debería hacer o cómo se debería responder, cuando ocurre una filtración masiva de datos que incluye datos biométricos o cuando se sufre el robo de identidad? La respuesta puede tener muchas aristas dependiendo de quién conteste la pregunta, pudiendo ir desde la aplicación de un plan de continuidad y recuperación detonando el plan de respuesta a incidentes, hasta la activación de protocolos de comunicación e informes a las partes interesadas.

De acuerdo con los controles de privacidad de la ISO 27701 Anexo “A”, el objetivo de control para: “Garantizar la seguridad del procesamiento de información de identificación personal”, establece en su control: A.3.12. Respuesta ante incidentes de seguridad de la información, que las organizaciones deberán responder ante los incidentes de seguridad de la información, relacionados con el procesamiento de información de identificación personal, de conformidad con los procedimientos documentados para tal fin (ref. al control A.3.11. Planeación y preparación para la gestión de incidentes de seguridad de la información).

Lo anterior nos muestra que se han identificado y definido ya, una serie de controles de privacidad para la implementación de medidas o acciones aplicables a diversos riesgos de privacidad, de acuerdo con los resultados de una gestión de riesgos especializada y sin necesidad de estar adivinando o improvisando (¿privacidad por tanteo?).

Reflexión final

En conclusión, la necesidad social de que las organizaciones pero también los individuos, protejan o aprendan a proteger su derecho a la privacidad, es hoy un tema obligatorio al menos para el 75% de la población mundial. Sin embargo, también es un hecho que la privacidad dentro del ciberespacio, ¡está en un punto crítico!, pues aunque hay más regulaciones también hay más amenazas. La clave para ofrecer una mejor protección de la privacidad y seguridad de la información, está en desarrollar y combinar políticas públicas, estándares internacionales (ej. ISO 27701 y 27001), inversión en ciberseguridad y sobretodo, en adoptar “hábitos” responsables en el manejo y uso de información de identificación personal o datos personales.

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte a desarrollar el Sistema de Gestión de Información de Privacidad de tu organización, ¡escríbenos, será un gusto platicar contigo y poder ayudarte!

Referencias y/o consultas

1. International Standard ISO/IEC 27701:2025. Information security, Cybersecurity and Privacy protection - Privacy Information Management Systems - Requirements and guidance. 2nd Edition, 10-2025.

2. Portal de ISO Standards: https://www.iso.org

3. Portal de Kiteworks: https://www.kiteworks.com/es/gestion-de-riesgos-de-ciberseguridad/pronostico-tendencias-seguridad-datos-y-cumplimiento-en-2025/

4. Portal del Instituto de Transparencia, Acceso a la Información Pública, Protección de Datos Personales y Rendición de Cuentas de la Ciudad de México: https://infocdmx.org.mx/index.php/protege-tus-datos-personales/estad%C3%ADsticas.html

Abril, 2026

Consejos para implementar la ISO 42001
Por David Mondragón Tapia

En pleno ascenso tecnológico, respecto a la relevancia que cada vez más juega la “IA” o inteligencia artificial, encontramos que esta tecnología se aplica en más actividades y sectores económicos del ser humano (ej. salud, educación, investigación, manufactura, hogar, entre otros), previéndose que siga siendo uno de los principales impulsores de la rápida transformación digital que estamos experimentando, así como uno de los principales motores económicos de los años por venir. Como resultado de esta interesante tendencia, llama la atención de expertos en la materia (técnicos y legales) que ciertos usos o aplicaciones dadas a la “IA”, podrían estar implicando ya serios desafíos sociales hacia el año 2030, como por ejemplo: la desaparición de algunos trabajos y el surgimiento de nuevos, cambios en los paradigmas de colaboración y eficacia en el binomio “hombre-máquina”, la potencial manipulación o supresión de los derechos humanos, así como una mayor exposición a la integración tecnológica voluntaria o forzada. Ante este panorama, la Organización Internacional de Normalización (ISO por sus siglas en inglés) lanzó al mundo una norma internacional, con el objetivo de ayudar a las organizaciones a desempeñar de manera responsable, su función en el desarrollo, suministro, uso y/o supervisión de productos y/o servicios que utilizan sistemas de IA. Y aunque una norma por sí sola no es suficiente para evitar la adopción sesgada o incorrecta de la “IA”, si ayuda significativamente a prevenir situaciones en donde la tecnología puede:

  • Tomar decisiones de forma automática y autónoma.
  • Diseñar sistemas en sustitución de la lógica y el esfuerzo humano.
  • Moldear su comportamiento durante su uso o aplicación.

La norma ISO 42001

La norma ISO 42001 liberada al mercado en el mes de diciembre del año 2023, define los requisitos necesarios para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Inteligencia Artificial (SGIA), de acuerdo con el análisis hecho del contexto de la organización y centrando la aplicación de los requisitos y controles de IA, en las características exclusivas de la “IA”. Ciertas características de la “IA” como son: 1) la capacidad de aprendizaje y mejora continua ó 2) la falta de transparencia, pueden justificar la adopción de diferentes medidas de seguridad (ref. ISO 42001, anexo “A”), si es que estas plantean inquietudes adicionales respecto a cómo se realizaría la tarea de forma tradicional. Además, otros aspectos como son: 1) los objetivos y necesidades de la organización, 2) sus procesos o actividades, 3) el tamaño y estructura organizacional y 4) las expectativas de las distintas partes interesadas o stakeholders, influyen también en la definición y operación de un SGIA, por lo que se espera que todos estos factores de influencia cambien y por ende, se revisen periódicamente (ciclo de vida).

Así pues, la norma ISO 42001 es un apoyo para las organizaciones que buscan la adopción de un Sistema de Gestión de Inteligencia Artificial, integrando para esto, los procesos y la estructura de gestión general necesaria para tal fin. Cualquier cuestión específica relacionada con la IA, debe considerarse en el diseño de los procesos, los sistemas de información y los controles seleccionados como necesarios; algunos ejemplos de estos procesos de gestión son:

  • Para la determinación de los objetivos organizacionales, la participación de las partes interesadas y/o la política de IA.
  • La gestión de riesgos y oportunidades.
  • Los procesos para la gestión de algunos puntos de preocupación relacionados con la confiabilidad de los sistemas de IA, como son: seguridad, protección, equidad, transparencia, robustez tecnológica, etc.
  • Los procesos para la gestión de proveedores, socios y terceros que proporcionen o desarrollen sistemas de IA para la organización.
  • Entre otros.

Consejo No. 1: el AISIA

Al implementar un SGIA con base en los requisitos y controles de IA previstos en la norma ISO 42001, se debe tener en cuenta que un aspecto importante a considerar, es la definición y realización periódica de las Valoraciones de los impactos de los sistemas de IA (ref. ISO 42005). Para esto, es necesario contar con los siguientes elementos:

  1. El inventario de activos aplicable a las tecnologías de IA, por ejemplo: proceso o actividad desarrollada (ej. desarrollo o uso), producto o servicio entregado (ej. nombre comercial), sistemas de IA implicados (ej. imágenes, predicciones, etc.), componentes de IA o tipos de activos integrados en los sistemas de IA (ej. modelo y algoritmo, componente de NLP/NLU o data lake).
  2. Los tipos de impactos y los criterios aplicables para evaluar su influencia positiva o negativa, en los individuos (ej. velocidad), los grupos de individuos (ej. bienestar), en la sociedad (ej. económico) o en su conjunto.
  3. La fórmula para ponderar el peso de cada activo valorado (consecuencias vs impactos), información que posteriormente deberá de ser utilizable durante el análisis de riesgos de IA.

Los resultados obtenidos en la Matriz de valoración de impactos de los sistemas de IA, debe revisarse y actualizarse continuamente, dependiendo del rol desempeñado por la organización (ej. desarrollador, integrador, suministrador, etc.) y de su incidencia en el ciclo de vida del sistema de IA.

Consejo No. 2: la gestión de riesgos de IA

Una vez que se cuenta con los resultados de las Valoraciones de los impactos de los sistemas de IA, se debe considerar también el desarrollo de una práctica de gestión de riesgos de IA (ref. ISO 23894), estableciendo un marco de referencia, principios y un proceso general, en donde los procedimientos de Valoración de riesgos de IA y Tratamiento de riesgos de IA, serán la base para entregar un nivel adecuado de protección a la organización. Al igual que con la Valoración del impacto del sistema de IA (AISIA por sus siglas en inglés), también se recomienda que la gestión de riesgos de IA se efectúe con frecuencia y de acuerdo al ciclo de vida del sistema de IA (cambios).

La mecánica para realizar el análisis de riesgos de IA y el tratamiento de los riesgos que así lo requieran (criterios de aceptación), es parecida a la que se sigue para otros sistemas de gestión ISO como puede ser el Sistema de Gestión de Seguridad de la Información o SGSI. Sin embargo, se requiere adecuar el método, enfoques, parámetros, criterios, escalas y fórmulas de estimación del nivel de riesgo, a las características exclusivas de la “IA”. Incluso la selección de las opciones de tratamiento (ej. mitigar o trasferir), de los controles de IA y sus medidas aplicables (ref. anexos “A” y “B” de la ISO 42001), la elaboración de un plan de tratamiento y una declaración de aplicabilidad o SOA, es similar a aquella realizada en un SGSI.

Consejo No. 3: los controles de IA

Obtenidos los resultados de la Valoración de riesgos de IA, a partir de la integración de los resultados de la Valoración del impacto del sistema de IA (AISIA), toca identificar aquellos riesgos de IA que incumplan con los criterios de aceptación establecidos, para definir los riesgos de IA que requerirán tratamiento. Para el tratamiento adecuado de los riesgos de IA, se deben considerar las características de los activos valorados (ej. proceso o actividad, sistema de IA, componente de IA, etc.), así como los detalles dados por el análisis de riesgos de IA (ej. amenazas, vulnerabilidades, consecuencias, etc.). Con toda la información anterior y partiendo de la estructura de controles de IA disponible en el anexo “A” de la ISO 42001, se deben seleccionar los controles y las medidas correspondientes a las opciones de tratamiento seleccionadas (ej. mitigar), para finalmente volver a estimar el riesgo residual (menor o igual a los criterios de aceptación) y en su caso, proceder a la implementación de los controles y medidas escogidas, con base en los lineamientos contenidos en el anexo “B” de la misma 42001. Solo así se podrá ofrecer el nivel de protección adecuado en materia de tecnología de “IA”, garantizando un rol responsable de la organización.

Reflexión final

En conclusión, al afrontar el reto de establecer y certificar su propio Sistema de Gestión de Inteligencia Artificial, es importante recordar algunos consejos prácticos para lograr con éxito la misión. Consejos tales como:

  1. Definir y realizar ejercicios de valoración de los impactos de los sistemas de IA (AISIA), de acuerdo con el rol desempeñado por su organización y el ciclo de vida del sistema de IA.
  2. Integrar los resultados del ejercicio de AISIA, dentro de la gestión de riesgos de IA (análisis de riesgos de IA).
  3. Definir y realizar ejercicios de gestión de riesgos de IA con base en la valoración y tratamiento de riesgos de IA.
  4. Brindar el nivel adecuado de protección a la organización con base en la selección “ad-hoc” de los controles de IA y sus medidas, con el fin de desempeñar un rol responsable en cuanto a la tecnología de IA.

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte a desarrollar el sistema de gestión de IA de tu organización, ¡escríbenos, será un gusto platicar contigo y poder apoyarte!

Referencias y/o consultas

1. International Standard ISO/IEC 42001:2023. Information Technology - Artificial Intelligence - Management System. First Edition, Dic-2023.

2. International Standard ISO/IEC 23894:2023. Information Technology - Artificial Intelligence – Guidance on risk management. First Edition, Feb-2023.

3. International Standard ISO/IEC 42005:2025. Information Technology - Artificial Intelligence (AI) – AI system impact assessment (AISIA). First Edition, May-2025.

Marzo, 2026

Lecciones aprendidas de la ISO 27001
Por David Mondragón Tapia

Una curiosidad agobiante

De los últimos 7 años de colaboración como consultor, apoyando a diversas organizaciones en proyectos para la implementación y certificación de Sistemas de Gestión de Seguridad de la Información ISO 27001, he podido observar una situación a la que llamaría por decir lo menos, “curiosa”.  Dicha situación peculiar radica en el hecho -obvio para unos pocos y desconocido para la gran mayoría-, de que para poder ofrecer seguridad a la información de una organización, es necesario desarrollar una práctica de Gestión de Riesgos de Seguridad de la Información (ref. ISO 27005 ó 31000). Para esto, se requiere entre otras cosas: un marco de referencia, de personal competente, de datos suficientes, una cultura adecuada y de herramientas de apoyo. Para elaborar y mantener actualizada una Matriz de valoración de riesgos y un Plan de tratamiento de riesgos de una organización pequeña a mediana, podría sorprender a más de uno y seguramente agobiar al responsable o a todo el equipo responsable de la gestión de riesgos. Definitivamente el rol del Risk Manager o Gestor de Riesgos, es uno de esos roles que llegó para quedarse en las organizaciones, que vislumbren un futuro más seguro sin importar su tamaño, tipo o naturaleza.

Sistema de Gestión de Seguridad de la Información

¡Recordemos brevemente algunos detalles de la norma ISO 27001! La ISO 27001 es la norma internacional que establece una serie de requisitos necesarios para implementar y certificar un Sistema de Gestión de Seguridad de la Información o SGSI. De estos requisitos, recordemos que algunos están orientados hacia la construcción del sistema de gestión ISO y otros hacia las actividades necesarias para llevar a cabo una Gestión de Seguridad de la Información de manera especializada. Un Sistema de Gestión de Seguridad de la Información basado en dicha norma, requiere cumplir para obtener la eventual certificación, con algunos de los siguientes aspectos claves:

  • La determinación de las obligaciones legales, regulatorias y/o contractuales aplicables en materia de seguridad de la información.
  • La definición de un alcance aplicable a la protección de la información de la organización.
  • Una política de seguridad de la información alineada a la estrategia organizacional.
  • La definición de roles y responsabilidades especializados en seguridad de la información (ej. Information Security Officer)
  • La definición de las actividades necesarias para gestionar los riesgos vinculados a la seguridad de la información.
  • La ejecución sistemática de las actividades de valoración y tratamiento de los riesgos de seguridad de la información.
  • La evaluación continua de la eficacia y desempeño de la seguridad de la información y sus controles aplicables (ej. tecnológicos y físicos; ref. ISO 27002).
  • Entre otros aspectos.

Un Sistema de Gestión de Seguridad de la Información, permite proteger la confidencialidad, integridad, disponibilidad y privacidad de la información de una organización, a partir de la valoración y tratamiento de riesgos de seguridad de la información, con base en la selección e implementación de los controles de seguridad de la información más convenientes y adecuados.

Curiosidad No. 1

Al desarrollar la práctica de Gestión de riesgos de seguridad de la información de la organización -un aspecto clave de la operación del SGSI (ref. sección 8. Operación, ISO 27001)-, es recomendable primero identificar el alcance del sistema de gestión, con el fin de determinar el universo de activos a proteger (inventario de activos) y luego utilizar el enfoque “basado en activos”, por ser el enfoque ideal para alcanzar el nivel de detalle necesario durante el “análisis de riesgos”, que permita establecer el nivel de protección adecuado para la organización.

En el papel, lo anterior sonará simple y elemental, pero en la práctica requiere de una buena definición del método de análisis de riesgos, así como de una gran capacidad para manejar y discriminar volúmenes considerables de datos relacionados a la identificación y análisis de riesgos. La situación se puede agravar, si además no se cuenta con la herramienta de apoyo adecuada.

Curiosidad No. 2

Anteriormente se mencionó que el enfoque “basado en activos”, es el recomendado para la Gestión de riesgos de seguridad de la información. Lo anterior se debe al nivel de detalle que exige al método de análisis de riesgos utilizado, al requerirle parámetros como son: activos (primarios y de apoyo), vulnerabilidades, amenazas, eventos o incidentes, consecuencias, controles existentes, entre otros parámetros, además de requerir también la definición de criterios de evaluación, de impacto y de aceptación, entre otros aspectos, ponderaciones y demás fórmulas. Un activo puede tener “n” vulnerabilidades, cada vulnerabilidad puede ser explotada por “m” amenazas, por cada combinación factible de vulnerabilidad y amenaza se identifican “n x m” riesgos y para cada riesgo pueden requerirse “c” controles para su tratamiento. Eso quiere decir que un solo activo puede tener “n x m” riesgos y cada riesgo puede requerir “c” controles, por lo que “a” activos puede abrir la relación anterior tantas veces como el valor que adquiera “a” (ej. a x (n x m) x c).

Curiosidad No. 3

A pesar de que el enfoque “basado en activos” es el recomendable para establecer un nivel de protección adecuado para la información de la organización, existe otro enfoque complementario que se debe saber integrar y combinar con el de “activos”, ese es el enfoque “basado en eventos”. El enfoque “basado en eventos” es una forma más general de analizar y tratar un riesgo identificado, limitando la cantidad de información y agrupando todos los posibles eventos que tendrían posibilidad de afectar a un activo de interés, calculando de manera simple su probabilidad e impacto, para estimar el nivel de riesgo y luego determinar las medidas a tomar, en caso de requerir tratamiento. Al combinar el enfoque “basado en eventos” con el enfoque “basado en activos”, es posible disminuir y simplificar el análisis de riesgos junto con el volumen de información manejada, pero se debe saber cuándo y cómo hacerlo, para evitar que sea en detrimento del nivel de protección requerido por la organización.

Curiosidad No. 4

Del ámbito de las mejores prácticas para gestionar servicios tecnológicos, surge una idea consistente en establecer “modelos” para el manejo de situaciones que son repetitivas y que pueden abordarse de la misma forma en beneficio del servicio. Así pues, un modelo de incidentes o un modelo de solicitudes de servicio, se puede implementar a partir de definir los pasos, la secuencia, a los responsables, los tiempos, las entradas y salidas, así como los resultados finales que se deben alcanzar para cada situación. Tal idea se puede extrapolar a la Gestión de riesgos de seguridad de la información, particularmente para el tratamiento de los riesgos, creando un “modelo de tratamiento por activo” que permita predefinir los controles aplicables así como las variantes a considerar, en caso de que al activo le apliquen diferentes riesgos, sobre todo por cambios en su entorno lo que conlleva la aplicación de diferentes amenazas. De esta forma, se puede simplificar el tratamiento de los “n x m” riesgos, al seleccionar e implementar los “c” controles aplicables al riesgo, para los “a” activos.

Reflexión final

En conclusión el aprendizaje adquirido de los proyectos, debe servir para compartir algunas experiencias que sean de utilidad a otras organizaciones y personas, que deberán afrontar en algún momento el reto de establecer y certificar su propio SGSI. Recordemos que la seguridad de la información, ciberseguridad y protección de la privacidad de una organización (ref. ISO 27001:2022), requiere del desarrollo de una práctica de Gestión de riesgos de seguridad de la información. Para lograr lo anterior con éxito, es importante considerar las reflexiones finales siguientes:

  1. La gestión de riesgos de SI requiere: marco de referencia, personal competente, datos suficientes, cultura adecuada y herramientas de apoyo.
  2. La cantidad de información a manejar y el tiempo que puede demandar, requiere una posición o un equipo de tiempo completo, preferentemente.
  3. El rol del Risk Manager llegó para quedarse en las organizaciones.
  4. La certificación ISO 27001 viene creciendo como requisito y como habilitador en el mercado.
  5. Hoy se debe proteger la confidencialidad, integridad, disponibilidad y privacidad de la información.
  6. Para el análisis de riesgos, es importante manejar e integrar el enfoque “basado en activos” y el enfoque “basado en eventos”.
  7. Para el tratamiento de riesgos, es importante incorporar el concepto de “modelo de tratamiento por activo”.

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte a desarrollar una Gestión de riesgos de seguridad de la información, robusta y eficaz para tu organización, ¡escríbenos, será un gusto platicar contigo!

Referencias y/o consultas

1. International Standard ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection - Information security management systems - Requirements.

Febrero, 2026

Lecciones aprendidas de la ISO 22301: BIA y RA
Por David Mondragón Tapia

Antecedentes

Del año 2019 a la fecha, durante mi colaboración como consultor con diversas organizaciones en proyectos para la implementación y certificación de algunos sistemas de gestión basados en normas internacionales ISO (ej. ISO 27001 ó ISO 22301), pude notar que la idea inicial o los resultados iniciales que tenían u obtenían las organizaciones que servía, respecto a la capacidad real para ofrecer “continuidad del negocio”, mostraban diferentes áreas de oportunidad con el fin de alcanzar un mayor nivel de efectividad. 

La actividad de enseñanza de las normas ISO, me ha dejado claro que para leer e interpretar de manera “adecuada” una norma ISO certificable, se requiere saber o mostrar al menos cuatro características esenciales para mí, que son:

  1. el uso de las “formas verbales (ej. “debe o shall”),
  2. el tema de especialización de la norma (ej. continuidad del negocio),
  3. el uso de las guías de implementación aplicables a la norma  y
  4. un poco de sentido común e imaginación.

En mi opinión, la ausencia de alguna de estas cuatro características generalmente lleva a una lectura e interpretación deficiente, insuficiente o sesgada de la norma, sus conceptos, requisitos y/o lineamientos.  Y como consecuencia de lo anterior, las organizaciones pueden tener en el “papel”, planes y procedimientos de continuidad del negocio suficientes para recuperar las actividades prioritarias o críticas.

La gestión de la continuidad del negocio

Para adquirir una idea más amplia de lo que implica el concepto: “continuidad del negocio”, “planes de continuidad del negocio (BCP, por sus siglas en inglés)” y “gestión de la continuidad del negocio”, es importante retomar primero las definiciones siguientes:

  • Continuidad del negocio: es la capacidad de la organización para continuar con la entrega de productos y servicios, dentro de periodos de tiempo aceptables, a una capacidad predefinida, durante un evento disruptivo.
  • Planes de continuidad del negocio: es la información documentada que orienta a una organización para responder a un evento disruptivo, reanudar, recuperar y restaurar la entrega de productos y servicios, de manera que sea consistente con sus objetivos de continuidad del negocio.
  • Gestión de la continuidad del negocio: es el proceso de implementación y mantenimiento de la continuidad del negocio.

La norma internacional ISO/IEC 22301:2019, establece los requisitos necesarios para implementar y mantener un Sistema de Gestión de Continuidad del Negocio (SGCN), mismo que faculta a las organizaciones para desarrollar capacidades en materia de continuidad del negocio, que resulten adecuadas a la cantidad y tipo de impactos que pueden o no aceptar, después de experimentar un evento disruptivo (emergencia o desastre). Así pues la norma define los requisitos para establecer, implementar, mantener y mejorar continuamente un SGCN que sirva para: protegerse contra, reducir la probabilidad de ocurrencia de, prepararse para, responder ante y recuperarse de los eventos disruptivos cuando éstos se presenten. Tales requisitos son aplicables a cualquier tipo y tamaño de organización, siempre que esté buscando lo siguiente:

  1. Saber cómo responder ante un evento disruptivo y ser capaz de continuar con la entrega de sus productos y servicios.
  2. Evaluar la capacidad de la organización para cumplir sus propias necesidades y obligaciones en materia de continuidad del negocio.
  3. Mejorar su capacidad de recuperación, antes y después de un evento disruptivo.
  4. Implementar y certificar un SGCN.

De lo anterior, cabe destacar que la continuidad del negocio busca garantizar la entrega de productos y servicios, cuando se presenta un evento disruptivo que interrumpe la operación normal, a partir de garantizar la continuidad de las actividades prioritarias para esto, incluyendo los recursos necesarios.

ISO 22301: el Sistema de Gestión de Continuidad del Negocio

Como ya se indicó anteriormente, la norma ISO 22301 establece una serie de requisitos para implementar y certificar un Sistema de Gestión de Continuidad del Negocio o SGCN. De estos requisitos, algunos están dirigidos hacia las partes correspondientes al sistema de gestión ISO (ej. sección 4. Contexto de la organización ó 10. Mejora) y otros hacia las actividades especializadas para llevar a cabo una gestión de la continuidad del negocio (ej. sección 8. Operación).

De todo el conjunto de requisitos que se debe acreditar para certificar la norma ISO 22301, pero sobre todo para operar eficazmente el Sistema de Gestión de Continuidad del Negocio, se puede destacar la implementación de los aspectos claves siguientes:

  • El alcance aplicable a los productos y servicios, así como a los procesos prioritarios, asegurando niveles de servicio mínimos aceptables.
  • Las obligaciones legales, regulatorias y/o contractuales aplicables en materia de continuidad del negocio (compliance).
  • Una política de continuidad del negocio alineada a la estrategia organizacional.
  • Roles y responsabilidades especializados en continuidad del negocio.
  • La realización y mantenimiento del Análisis de Impacto al Negocio (BIA, por sus siglas en inglés) y la Valoración de Riesgos (RA, por sus siglas en inglés).
  • Estrategias y soluciones de continuidad del negocio de acuerdo con los resultados del BIA y el RA.
  • Planes y procedimientos de continuidad del negocio, de acuerdo con las estrategias y soluciones seleccionadas.
  • Ejercicios y pruebas de la continuidad del negocio.
  • Y por último, la medición, auditoría, revisión, corrección y mejora continua del SGCN.

De todo lo anterior, cabe destacar nuevamente que la clave para elaborar, operar y mantener planes y procedimientos de continuidad del negocio adecuados para la organización, son la selección de las estrategias y soluciones de continuidad del negocio ad-hoc, mismas que tienen su sustento en los resultados obtenidos del BIA y el RA.

Claves para el BIA y el RA

De acuerdo con la subsección 8.2 Análisis de impacto al negocio y evaluación de riesgos, dentro de la norma ISO 22301, el Análisis de impacto al negocio o BIA debe servir para establecer las actividades prioritarias, los requisitos de continuidad del negocio y los recursos necesarios. Todo lo anterior es posible, a partir de definir los productos y servicios para los que se planea ofrecer continuidad del negocio, analizando el impacto al negocio en el tiempo por la presencia de un evento disruptivo. Para la elaboración del BIA, la norma 22301 propone la integración y manejo de la información siguiente:

  • Los productos y servicios a analizar.
  • Las actividades necesarias para la provisión de los productos y servicios.
  • Los tipos de impactos y criterios para evaluar los impactos en el tiempo del evento disruptivo.
  • Los periodos de tiempo aceptables (ej. RTO y MTPD) y las capacidades mínimas específicas aceptables (ej. MBCO) para recuperar las actividades de los productos y servicios.

De acuerdo con la misma subsección 8.3, la Evaluación de riegos o RA debe servir para identificar los escenarios de riesgo relevantes, para las actividades prioritarias y sus recursos implicados, así como los riesgos que requieran tratamiento. Todo lo anterior es posible, a partir de identificar las actividades prioritarias y sus recursos necesarios, para seguir entregando los productos y servicios previamente definidos. Para la elaboración del RA, la norma 22301 propone la integración y manejo de la información siguiente:

  • Las actividades prioritarias y sus recursos necesarios, de acuerdo con el BIA.
  • El método para identificar los escenarios de riesgo (ej. amenazas) de las actividades prioritarias y sus recursos.
  • El método para analizar y evaluar los riesgos identificados (ej. criterios de evaluación).
  • Las opciones y medidas de tratamiento para los riesgos evaluados que así lo requieran (ej. mitigar o transferir).

Lo anterior, permite destacar claramente la dependencia y complementación que debe haber entre el BIA y el RA, con el fin de seleccionar posteriormente las estrategias y soluciones de continuidad del negocio ad-hoc para la organización, para lo que solamente faltará agregar la información referente a los requisitos de continuidad del negocio (ej. RTO, RPO, MBCO, etc.).

Conclusión final: lecciones aprendidas

Finalmente podemos decir que las lecciones aprendidas, obtenidas de estos poco más de 6 años de experiencias -en el caso de la norma ISO 22301 y la continuidad del negocio-, nos han dejado lo siguiente:

  1. Para leer e interpretar de manera “adecuada” una norma ISO certificable, se requiere saber o mostrar cuatro características esenciales: “formas verbales”, tema de especialización, guías de implementación y sentido común.
  2. La continuidad del negocio garantiza la entrega de productos y servicios, ante la presencia de un evento disruptivo que interrumpe la operación normal.
  3. Tener planes y procedimientos de continuidad del negocio, adecuados y efectivos para la organización, depende de la selección correcta de estrategias y soluciones de continuidad del negocio.
  4. Las estrategias y soluciones de continuidad del negocio ad-hoc para la organización, tienen su sustento en el BIA y el RA.
  5. Existe una fuerte dependencia y complementación entre los resultados del BIA y el RA.

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte a desarrollar la continuidad del negocio de tu organización, ¡escríbenos, será un gusto platicar contigo y apoyarte en este reto!

Referencias y/o consultas

1. International standard ISO 22301:2019. Security and resilience - Business continuity management systems – Requirements. 2nd Edition, 10-2019.

Enero, 2026

Nueva norma ISO 27701:2025, ¡adiós y bienvenida a la ISO 27001!
Por David Mondragón Tapia

De acuerdo con una información publicada en la revista Cybercrime Magazine, el costo de los daños causados por el cibercrimen, se esperaba que alcanzara la espeluznante suma de los 10.5 billones de dólares, para el término del año 2025. Más grave aún son, las proyecciones y tendencias hechas hacia el año 2030, que señalan que dicha suma solamente irá en ascenso. Si somos conscientes de lo anterior, tal vez la pregunta que nos estemos haciendo sea: ¿qué se puede hacer ante este panorama tan adverso para las organizaciones y personas en materia de ciberseguridad y protección de la privacidad?

Protección de la privacidad

En el mundo digital de hoy, el manejo de los datos personales se da con mucha mayor frecuencia de lo que pensamos. Dentro de este mundo, los entornos de trabajo hiperconectados y abiertos, integran una gran variedad de dispositivos y servicios digitales, con infinidad de posibilidades para su buen o mal uso; es en esta arena, que la “privacidad” se vuelve crucial para ofrecer un nivel mínimo de protección a las personas, sujetos o individuos, sin importar su naturaleza o posición.  Así pues, hoy en día los datos personales son uno de los activos más sensibles y valiosos que gestionan las organizaciones. Lo anterior, incrementa las expectativas y exigencias de las personas, de los organismos reguladores y de los propios gobiernos o autoridades en la materia, para cumplir con leyes, regulaciones y/o estándares desarrollados con el propósito de proteger los datos personales. Ante tal reto, en el año 2019 una de las normas de la serie 27000 (seguridad de la información), fue dada a conocer al público general bajo la norma ISO/IEC 27701:2019, con el fin de complementar la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), basado en las normas ISO/IEC 27001 y 27002, pero adicionando algunos requisitos y controles complementarios en materia de protección de la privacidad.

Sin embargo y a pesar del esfuerzo anterior, la necesidad de tener que implementar un SGSI para posteriormente complementarlo y volverlo un Sistema de Gestión de la Información de Privacidad (SGIP), no era práctica, por lo que el pasado mes de octubre del 2025 y después de concluir el proceso de revisión y liberación de la nueva norma ISO/IEC 27701:2025, esta situación cambio. La ISO 27701 año 2025, viene ahora a proporcionar ese marco que hacía falta para apoyar a las organizaciones del mundo, en la difícil tarea de demostrar un nivel adecuado de responsabilidad al gestionar los riesgos de la información de identificación personal (PII, por sus siglas en inglés), permitiendo con esto mejorar también sus prácticas en cuanto a la protección de la privacidad y quitando la dependencia de las normas ISO 27001 y 27002, pero sin dejar de verse como un binomio necesario: (Seguridad de la información) + (Protección de la privacidad).

La nueva norma ISO/IEC 27701:2025

Como ya se dijo anteriormente, la mayoría –si no es que todas- las organizaciones del mundo manejan y/o procesan información personal identificable (PII), incrementándose rápidamente la cantidad y los tipos de PII que se procesan, al igual que el número de situaciones en las que una organización necesita cooperar con otras organizaciones, en relación con el procesamiento de la PII. En este contexto, proporcionar la debida protección de la privacidad en el procesamiento de la PII, es una necesidad social y una exigencia mundial, por cumplir con leyes y regulación específica (ejemplo: GDPR en Europa). La norma ISO/IEC 27701:2025 establece ahora los requisitos para establecer, implementar, mantener, mejorar continuamente y certificar un Sistema de Gestión de la Información de Privacidad o SGIP, considerando su fácil integración o correspondencia con otras normas ISO claves como son:

  • La norma ISO/IEC 29100, necesaria para el establecimiento de un marco y los principios de privacidad.
  • La norma ISO/IEC 27018, que establece las directrices necesarias para la protección de información de identificación personal (PII), en nubes públicas que actúan como procesadores de PII.
  • La norma ISO/IEC 29151, que establece un código de prácticas (controles) para la protección de la información de identificación personal (PII).
  • Y finalmente el Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE), siendo la ley de privacidad y ciberseguridad más completa del mundo, ya que fortalece y unifica el concepto de “protección de datos personales” para todos los estados e individuos de la Unión Europea.

La nueva norma ISO/IEC 27701:2025, puede ser utilizada por cualquier organización responsable o corresponsable del tratamiento de PII, así como por las que son encargadas o subcontratadas para el tratamiento de PII, ya que al cumplir con los requisitos de esta, queda posibilitada para generar y entregar evidencia de cómo se maneja el procesamiento de PII. Tal evidencia puede además utilizarse para facilitar la construcción de acuerdos con socios comerciales, donde el procesamiento de PII sea relevante para el establecimiento de la relación, así como para facilitar las relaciones con otras partes interesadas, en general. La nueva ISO 27701 ha sido desarrollada bajo la “estructura de alto nivel” (anexo SL), lo que permite su alineación con otras normas de referencia e integración con otras normas de sistemas de gestión certificables (ref. Sistema de Gestión Integrado), en particular con el Sistema de Gestión de Seguridad de la Información especificado en la norma ISO/IEC 27001:2022.

El Sistema de Gestión de Información de Privacidad

Con base en todo lo anterior, la nueva norma ISO/IEC 27701:2025, es la norma internacional que viene a establecer los requisitos y controles necesarios (anexo A) para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de la Información de Privacidad (SGIP), siendo la norma que proporciona los lineamientos necesarios para ayudar a las organizaciones a poner en práctica, estos requisitos en materia de protección de la privacidad.

La norma fue diseñada para las organizaciones responsables y encargadas del procesamiento y tratamiento de información de identificación personal (PII), proponiendo un marco estructurado y reconocido internacionalmente que ayude a las organizaciones a demostrar responsabilidad, gestionar los riesgos relacionados con la información de identificación personal y mejorar continuamente sus prácticas de protección de la privacidad. Todo lo anterior es posible, a partir de la implementación y mantenimiento de un proceso de valoración y tratamiento de riesgos de privacidad, así como por la determinación de los planes de tratamiento y las declaraciones de aplicabilidad pertinentes (similar al SGSI).

Ahora las organizaciones que busquen y requieran certificar un SGIP, ya NO requerirán certificar primero un SGSI y luego el SGIP, ya que la nueva versión del estándar es para certificar un sistema de gestión independiente. No importa si tu organización es privada o pública, pequeña o grande, con o sin fines de lucro, de servicios, manufactura o tecnológica, con la nueva ISO 27701 cualquier organización que recopile, procese, almacene o controle información de identificación personal o PII, puede demostrar sus buenas prácticas de protección de la privacidad de manera sólida y consistente, logrando beneficios como son:

  1. El fortalecimiento de sus capacidades de privacidad y protección de datos personales.
  2. El cumplimiento de las normativas globales de privacidad, como el GDPR de la UE.
  3. El fortalecimiento de la confianza en: clientes, socios y organismos reguladores.
  4. El mantenimiento de su alineación con los sistemas ISO/IEC 27001 existentes.
  5. La facilitación de la rendición de cuentas y la gestión de la privacidad con base en la evidencia objetiva.

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte a robustecer la protección de la privacidad y la seguridad de la información de tu organización, ¡escríbenos, será un gusto platicar contigo y poder apoyarte en este reto!

Referencias y/o consultas

1. International Standard ISO/IEC 27701:2025. Information security, Cybersecurity and Privacy protection - Privacy Information Management Systems - Requirements and guidance. 2nd Edition, 10-2025.

2. Portal de ISO Standards: https://www.iso.org

3. International Standard ISO/IEC 27001:2022. Information security, Cybersecurity and Privacy protection - Information Security Management Systems – Requirements. 3rd Edition, 10-2022.

4. Portal de Ciberseguridad: https://cybersecurityventures.com/cybercrime-to-cost-the-world-8-trillion-annually-in-2023/>

Diciembre, 2025

ISO/IEC 22989:2022: conceptos y terminología de IA
Por David Mondragón Tapia

Antecedentes

Desde hace seis o cinco años (2019-2020) durante la pandemia de COVID-19, la Organización para la Cooperación y el Desarrollo Económico (OCDE), se encontraba liderando el esfuerzo por comunicar y difundir los cinco principios de la OCDE para Inteligencia Artificial Confiable (trustworthy AI), los cuales a pesar de no ser vinculantes desde el punto de vista legal (compliance), han sido suficiente para que los gobiernos de diversos países comenzaran a legislar y establecer leyes y/o estándares en la materia (ej. privacidad y datos personales en EUA, Europa, Asia y Latinoamérica; ley de IA en Europa; a nivel internacional la norma ISO/IEC 22989 por el Comité ISO, entre otros esfuerzos). Los cinco principios de la OCDE para IA Confiable, fueron desarrollados y propuestos por un grupo de expertos en IA, así como formalmente adoptados en el mes de mayo del 2019.  Con este hecho y a pesar de no ser vinculantes –legalmente-, los países miembros de la OCDE y algunos otros países socios, manifestaron su adhesión formal al primer conjunto de lineamientos creados para el establecimiento de políticas intergubernamentales en materia de Inteligencia Artificial, conviniendo en procurar y proteger los estándares internacionales dirigidos a garantizar que los sistemas de IA sean robustos, seguros, justos y confiables, desde el punto de vista tecnológico, ético y legal. 

Dentro del universo de países que aceptaron los cinco principios para desarrollar IA confiable, se encontraban los 36 países miembros del organismo en el año 2019, más los 6 países socios entre los que destacan: Brasil, Argentina, Colombia, Perú, Costa Rica y Rumanía.

La norma ISO/IEC 22989:2022

Como se mencionó ya anteriormente, junto a los cinco principios de la OCDE para IA Confiable, el Comité ISO también se encontraba trabajando en el desarrollo del primer estándar internacional en la materia, con el apoyo de la Comisión Electrotécnica Internacional (IEC), para que finalmente viera la luz en el mes de julio del año 2022, la norma ISO/IEC 22989:2022 en su primera edición. El Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de la información, Subcomité SC 42, Inteligencia artificial, fue el responsable de la generación y liberación del estándar. Con este último acontecimiento, la norma internacional ISO 22989 es el documento en donde se estableció la terminología aplicable a la inteligencia artificial, de manera descriptiva, así como puede servir de base para el desarrollo de otros estándares (ej. ISO 42001, ISO 23894 ó ISO 42005) y como apoyo a la comunicación entre diversas partes interesadas en el uso o aplicación de la tecnología (ej. productor de IA, proveedor de IA, integrador de IA, sujeto de IA, etc.).

En comunión con el espíritu de otras normas ISO certificables o de lineamientos (guidelines), la ISO 22989 también es un documento aplicable a todo tipo de organizaciones, sin importar su tipo, tamaño o sector (ej. empresas comerciales, agencias gubernamentales y organizaciones sin fines de lucro).

Es importante recalcar que aunque este documento proporciona conceptos y terminología estandarizados, con el fin de facilitar el entendimiento y uso de la tecnología de inteligencia artificial por parte de un grupo amplio de interesados, abarcando un amplio público tanto a nivel de expertos como para no profesionales, su lectura y análisis requiere de una formación sólida en ciencias de la computación, sobre todo para la lectura de las secciones: 5.10 Datos, 5.11 Conceptos de Machine Learning y 8. Ecosistema de IA, en donde se tocan temas más técnicos con respecto al resto del documento.

Destacables de la ISO 22989

Los avances en el uso o aplicación de la tecnología de inteligencia artificial, han convertido a la IA en una rama cada vez más importante de las tecnologías de la información. Con esto, la inteligencia artificial se ha vuelto un campo interdisciplinario, demandando diversas capacidades y/o competencias en materia de: informática, ciencia de datos, ciencias naturales, humanidades, matemáticas, ciencias sociales, estadística, entre otras. En el ámbito de la inteligencia artificial términos como: agente, inteligencia, comprensión, conocimiento, algoritmos, aprendizaje, decisiones, habilidades, actuadores, sensores, entornos, componentes, etc., se utilizan ampliamente. Por lo tanto, en la norma ISO 22989 se han establecido y documentado una serie de temas y subtemas, que buscan facilitar el camino para un mejor entendimiento y un uso responsable de esta tecnología, en las organizaciones.

Así pues, la norma 22989 ha sido estructurada de la siguiente manera (temas y aspectos principales):

  • Sección 3. Términos y definiciones: cubriendo términos relacionados con inteligencia artificial, datos, machine learning, neural networks, trustworthiness, natural language processing y computer visión.
  • Sección 4. Términos abreviados: como son el uso de “API”, “CPS”, “DNN”, “NPU”, entre otros términos.
  • Sección 5. Conceptos de IA: cubriendo aspectos como son los tipos de IA, el agente de IA, los conocimientos, los algoritmos, los datos, el machine learning, el IoT, los sistemas ciber-físicos, trustworthiness, los roles de las partes interesadas en IA, entre otros aspectos.
  • Sección 6. Ciclo de vida del sistema de IA: cubriendo aspectos como lo son el modelo del ciclo de vida, las fases del ciclo de vida y sus procesos, los procesos de iniciación, diseño, desarrollo, validación, despliegue, entre otros.
  • Sección 7. Descripción funcional del sistema de IA: cubriendo aspectos como son la importancia de los datos e información, el conocimiento y el aprendizaje, la predicción, la decisión y la acción, principalmente.
  • Sección 8. Ecosistema de IA: cubriendo aspectos como son los sistemas de IA, la función de los sistemas de IA, ingeniería, machine learning, big data y fuentes de datos, cloud, entre otros aspectos.
  • Sección 9. Campos de la IA: cubriendo aspectos como son el reconocimiento de imágenes, el procesamiento de lenguaje y la minería de datos.
  • Sección 10. Aplicación de los sistemas de IA: cubriendo aspectos como la detección y/o prevención de fraudes, los vehículos automatizados y el mantenimiento predictivo.
  • Anexo A: en donde se mapea el ciclo de vida del sistema de IA según la ISO 22989, contra la definición del ciclo de vida del sistema de IA hecho por la OCDE.

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte con la implementación y certificación de tu SGIA con base en la ISO 42001, ¡escríbenos, será un gusto platicar contigo!

Referencias consultadas

1. International Standard ISO/IEC 22989:2022. Information Technology - Artificial Intelligence – Artificial intelligence concepts and terminology. First Edition, Jul-2022.

2. International Standard ISO/IEC 42001:2023. Information Technology - Artificial Intelligence - Management System. First Edition, Dic-2023.

Noviembre, 2025

ISO/IEC 23894:2023: guía para la gestión de riesgos de IA
Por David Mondragón Tapia

La mayoría de los sistemas de inteligencia artificial integran un grado de interacción con los seres humanos, con el fin de realizar alguna función específica como puede ser: el análisis de imágenes (computer vision), la búsqueda de información (ej. Copilot o Siri), el procesamiento y entendimiento de lenguaje (NLP/NLU), la generación de lenguaje (chatbots), entre otras. Lo anterior implica que los sistemas de inteligencia artificial pueden procesar información, emitir juicios y decidir las mejores acciones para el logro de su función, a partir de simples reglas o modelos basados en relaciones estadísticas y matemáticas (modelos heurísticos y regresión lineal), o bien aprendiendo del análisis de sus acciones previas y ajustando continuamente su comportamiento (reinforcement/continuous learning).

La Inteligencia Artificial (IA) en nuestros días

La inteligencia artificial está cambiando la forma en que hacíamos las cosas, situación que algunos llaman como un salto del “enfoque tradicional”, hacia una nueva realidad o enfoque basado en la nueva relación “hombre-máquina” o tal vez sea más correcto decir “humano-tecnología”.

Las voces que manifiestan su creciente preocupación por la incorporación y uso de la inteligencia artificial en la vida cotidiana y laboral, se incrementan con el paso de los días, argumentando principalmente la falta de robustez tecnológica contra el nivel de madurez tecnológico exhibido por el ser humano, así como los usos o aplicaciones que se le vienen dando en los diferentes contextos y sectores de la vida, mostrando una vulnerabilidad crítica por la posibilidad de comprometer los derechos y principios fundamentales del ser humano (ej. manipulación o calificación de las personas, IA encubierta, sistemas de armas autónomas, entre otras). Es claro que un sesgo en el uso o aplicación de la inteligencia artificial, se puede concretar al inclinar las acciones decididas por el agente de inteligencia artificial, respecto a un tema o asunto en particular.  Lo anterior a su vez podría ser causado por sesgos en el método de recolección, tipo y/o cantidad de datos utilizados (ej. de internet o medios sociales), sesgos en el diseño y desarrollo de los modelos y algoritmos, sesgos en el proceso de entrenamiento, pruebas y validaciones, sesgos por las limitaciones propias del entorno en que se desenvuelve la tecnología, sesgos en el proceso de interacción con el usuario, entre otras posibilidades.  Cualquiera que sea la razón para un sesgo, lo importante es recalcar que aunque este pudiera ser bueno o malo, al final este podría resultar en un acto de injusticia, discriminación o daño a la persona, grupos de personas o la sociedad en su conjunto.

Para prevenir este tipo de situaciones (sesgos) en el uso o aplicación de la inteligencia artificial, se recomienda seguir algún modelo de gobierno y cumplimiento tecnológico (ej. OWASP), algún estándar internacional especializado en la materia (ej. ISO 42001) o alguna guía ética que ayude a operar sistemas de inteligencia artificial confiables (ej. OCDE).

Sistemas de Gestión de Inteligencia Artificial (IA)

La norma internacional ISO 42001, establece los requisitos que se deben cumplir para certificar un Sistema de Gestión de Inteligencia Artificial (SGIA), el cual basa su implementación y operación en dos pilares fundamentales para el sistema de gestión, que son:

  1. La gestión de riesgos de IA (controles de IA; ISO 23894).
  2. La valoración del impacto del sistema de IA (personas, grupos y sociedades; ISO 42005).

Para el desarrollo de una práctica de gestión de riesgos especializada en IA, la norma ISO 42001 recomienda utilizar la norma ISO/IEC 23894:2023, la cual, si estudiamos su estructura, es un reflejo de otra norma ISO clave para el desarrollo de una práctica de gestión de riesgos general, como lo es la ISO 31000. Lo anterior, no es algo nuevo, salvo la orientación que ahora se le debe dar hacia la inteligencia artificial o IA, ya que al menos se tiene otro caso similar y documentado para los Sistemas de Gestión de Seguridad de la Información con base en la norma ISO 27001, la cual basa también su implementación y operación exitosa, en el desarrollo de una gestión de riesgos pero orientada a la seguridad de la información. En este último caso, hablamos de la norma ISO 27005, la cual también es un reflejo de la ISO 31000, que como ya se señaló anteriormente, sirve para el desarrollo de una práctica de gestión de riesgos general.

Así pues, para hacer un uso responsable de la inteligencia artificial o IA en las organizaciones, se recomienda adoptar los requisitos establecidos por la norma ISO 42001 e integrar en el desarrollo de la capacidad organizacional para gestionar los riesgos de IA, la norma ISO 23894 o en su defecto, la ISO 31000 y posteriormente orientarla hacia el tema de la inteligencia artificial con la ayuda de la ISO 22989.

Norma ISO/IEC 23894:2023

La norma internacional ISO 23894 es un documento que proporciona orientación sobre cómo las organizaciones que desarrollan, producen, implementan o utilizan productos, servicios y/o sistemas que utilizan inteligencia artificial (IA), pueden gestionar los riesgos relacionados con el uso o aplicación de la tecnología. Además, la norma también busca apoyar a las organizaciones en la tarea de desarrollar e integrar la gestión de riesgos de IA, en sus actividades y funciones relacionadas con la gestión o manejo de dicha tecnología. Para lo anterior, la norma presenta y describe las actividades claves para la implementación e integración exitosa de la gestión de riesgos de IA. Es importante mencionar también, que la aplicación de esta norma puede adaptarse a cualquier organización y contexto, situación similar a la que se presenta con los requisitos de la norma ISO 42001.

Recordemos que aunque la norma ISO 23894 fue diseñada para el desarrollo de una práctica específica de gestión de riesgos de IA, se sugiere extender su uso o aplicación en conjunto con la norma ISO 31000, ya que aunque la ISO 23894 amplía la orientación específica sobre inteligencia artificial de acuerdo con el marco establecido por la 31000, se vuelve necesario complementar la información referente al marco para la gestión de riesgos, con los lineamientos detallados en la ISO 31000. La norma ISO 23894 como espejo de la 31000, se ha dividido en tres partes o secciones principales que son:

  • Sección 4. Principios de la gestión de riesgos de IA: en esta parte del documento se describen los principios de la gestión de riesgos, con algunas consideraciones específicas respecto a algunos de estos principios y la inteligencia artificial (sección 4 de la ISO 31000).
  • Sección 5. Marco de referencia: en esta parte del documento se establece el marco de gestión de riesgos para que la organización pueda integrarla en sus actividades y funciones significativas (sección 5 de la ISO 31000).
  • Sección 6. Proceso de gestión de riesgos de IA: en esta parte del documento se establecen las actividades para la gestión de riesgos, como son: establecimiento del contexto, valoración, tratamiento, registro y notificación de riesgos, comunicación y consulta, seguimiento y revisión (sección 6 de la ISO 31000).

Adicionales de la ISO 23894

Como ya se mencionó anteriormente, la norma ISO 23894 toma como base los lineamientos de la norma ISO 31000, destacando una estructura común en cuanto a principios, marco de referencia y proceso de gestión de riesgos, manteniendo hasta la misma numeración en las secciones o apartados que hay entre una y otra norma. Sin embargo y además de esta situación, la norma 23894 también incorpora en su estructura documental una serie de tres anexos, conteniendo la información siguiente:

  • Anexo A. Objetivos: en esta parte del documento se consideran diversos objetivos relacionados con la inteligencia artificial, según la naturaleza del sistema de IA y su contexto de aplicación, con el fin de identificar los riesgos de estos últimos. Entre los objetivos relacionados con la tecnología se encuentran los siguientes: responsabilidad, experiencia en IA, mantenibilidad, privacidad, seguridad, entre otros.
  • Anexo B. Fuentes de riesgos: en esta parte del documento se consideran diversas fuentes de riesgo, según la naturaleza del sistema de IA y su contexto de aplicación, con el fin de identificar los riesgos de estos últimos. Entre las fuentes de riesgo a considerar se encuentran los siguientes: complejidad del entorno, falta de transparencia y explicabilidad, nivel de automatización, preparación tecnológica, entre otras.
  • Anexo C. Gestión de riesgos y ciclo de vida del sistema de IA: en esta parte del documento se hace un mapeo entre las actividades del proceso de gestión de riesgos de IA (ej. establecimiento del contexto, valoración, tratamiento, etc.) y el ciclo de vida de un sistema de IA (ej. inicio, diseño, desarrollo, validación, despliegue, etc.).

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte con la implementación y certificación de tu SGIA con base en la norma ISO 42001, ¡escríbenos, será un gusto platicar contigo!

Referencias consultadas

1. International Standard ISO/IEC 23894:2023. Information Technology - Artificial Intelligence – Guidance on risk management. First Edition, Feb-2023.

2. International Standard ISO/IEC 42001:2023. Information Technology - Artificial Intelligence - Management System. First Edition, Dic-2023.

Octubre, 2025

ISO/IEC 42005:2025: complemento ideal para un SGIA (AIMS)
Por David Mondragón Tapia

Sistema de Gestión de Inteligencia Artificial (IA)

La adopción de un Sistema de Gestión de Inteligencia Artificial (SGIA) a partir de la norma ISO/IEC 42001:2023, cuando se realiza de manera correcta puede traer beneficios a cualquier organización por dos razones principales, que son:

  1. facilita a las organizaciones un uso responsable de la IA y
  2. reconoce dicho esfuerzo mediante la certificación con validez a nivel internacional.

Así pues, la ISO 42001 permite a las organizaciones la integración de los procesos y la estructura de gestión general necesaria para tal fin, además de  proporcionar los lineamientos indispensables para la implementación de los controles aplicables, que respalden dichos procesos y estructura de gestión. La norma NO ofrece orientación específica sobre los procesos de gestión que se deben adoptar, por lo que es posible utilizar y/o combinar otros marcos y normas generalmente aceptadas (ej. ISO 9001, 27001 y/o 27701), así como su propia experiencia para implementar dichos procesos (ej. gestión del ciclo de vida, gestión de riesgos, gestión de la calidad de los datos, pruebas y validaciones, gestión de liberaciones, etc.), siempre que sean adecuados para los usos o aplicaciones, los productos y/o servicios, y los sistemas de IA especializados y declarados en el alcance del SGIA.

Recordemos también que la norma ISO 42001 es aplicable a cualquier tipo de organización, sin importar su tamaño, tipo y naturaleza, siempre y cuando proporcione o utilice productos y/o servicios que utilicen o integren sistemas de IA. Además, recordemos también que se recomienda complementar su aplicación con otras normas como la ISO/IEC 22989:2022, documento en donde previamente se establecieron los conceptos y definiciones aplicables al campo de la inteligencia artificial (IA).

Sistema de Gestión de IA vs ISO 42005

Los requisitos que se deben cumplir para certificar un SGIA con base en la ISO 42001, basan su implementación y operación en dos actividades claves para el sistema de gestión que son:

  1. la gestión de riesgos de IA (ref. 6.1.2 y 6.1.3) y
  2. la valoración del impacto del sistema de IA (ref. 6.1.4 y controles A.5 en el anexo “A”).

En cuanto a la gestión de riesgos especializada en IA, se recomienda desarrollar esta capacidad organizacional con base en la norma ISO/IEC 23894:2023, la cual es un reflejo de otra norma ISO clave para el desarrollo de una práctica de gestión de riesgos general como lo es la ISO 31000. Lo anterior, no es algo nuevo, salvo la orientación que ahora se le debe dar hacia la inteligencia artificial o IA. Pero en cuanto a la valoración del impacto del sistema de IA (AISIA por sus siglas en inglés), esto sí es nuevo, ya que a partir del pasado mes de mayo del presente año, se recomienda ampliamente desarrollar esta otra capacidad organizacional con base en la nueva norma ISO/IEC 42005:2025, la cual propone entre otros aspectos los siguientes:

  • Términos y definiciones aplicables al proceso de AISIA.
  • Listado de abreviaturas aplicables a AISIA.
  • Relación de actividades y aspectos claves para desarrollar e implementar un proceso de AISIA (ej. tiempo vs ciclo de vida, alcance, responsabilidades, umbrales, etc.).
  • Relación de consideraciones claves para documentar los resultados del proceso de AISIA (ej. alcance, información del sistema de IA, datos, algoritmos, etc.).
  • Relación de anexos con información relevante sobre la integración de la ISO 42005 con la ISO 42001 (anexo “A”) ó la ISO 23894 (anexo “B”), así como otros temas relevantes (anexos “C a E”).

Así pues, la norma 42005 ha sido incorporada al conjunto de normas que se han elaborado por la ISO, con el fin de facilitar el manejo o uso responsable de la IA en las organizaciones, dependiendo para este fin de los usos o aplicaciones dados a la tecnología.

Norma ISO/IEC 42005:2025

La aplicación de sistemas, productos, servicios y componentes que incorporan algún grado o tipo de inteligencia artificial, viene generado una creciente exaltación pero a la vez preocupación, sobre cómo los sistemas de IA pueden impactar positiva y negativamente a todos los niveles de la sociedad. NO es un secreto que existe una verdadera preocupación, por los efectos negativos razonablemente previsibles que el uso de los sistemas de IA podría traer a los humanos (ej. resultados potencialmente injustos, dañinos o discriminatorios, reducciones no deseadas de la fuerza de trabajo, así como daños ambientales). Es innegable que el desarrollo y uso de sistemas de IA aparentemente benignos, puede tener el potencial de impactar significativamente a individuos, grupos de individuos, ambos casos y a la sociedad en general.

La norma ISO 42005 liberada y vigente a partir del pasado mes de mayo del 2025, es la aportación hecha a la sociedad y sus organizaciones por los comités técnicos de la ISO, para fomentar la transparencia y la confiabilidad de los sistemas que utilizan tecnologías de IA. Una organización que desarrolla y utiliza dichas tecnologías hoy, puede tomar las medidas necesarias para asegurar que las partes interesadas y afectadas por estas, se han identificado y considerado los impactos que podrían ocasionarse sobre ellas. Con esto las valoraciones de impacto de los sistemas de IA, jugarán el papel que se espera jueguen dentro del ecosistema de actividades de gobierno, gestión de riesgos y conformidad, que en su conjunto puedan dar confianza a la sociedad y facilitar la rendición de cuentas de las organizaciones implicadas.

En el ecosistema de actividades de gobierno (ISO/IEC 38507:2022), gestión de riesgos (ISO 23894) y conformidad (ISO 42001), cada una de las normas referidas destaca la necesidad de considerar los impactos en los individuos y las sociedades, de acuerdo con lo siguiente:

  • Gobierno: el organismo rector puede comprender los impactos para garantizar que el desarrollo y uso de los sistemas de IA, se ajustan a los objetivos, metas y valores de la organización.
  • Gestión de riesgos: en la realización de las actividades de gestión de riesgos, se pueden comprender mejor los impactos previsibles en los individuos y las sociedades, para incorporarlos en la valoración general de los riesgos de IA.
  • Conformidad: cuando la organización desarrolla o utiliza sistemas de IA, puede incorporar los resultados de la comprensión y documentación de estos impactos en su Sistema de Gestión de IA, para garantizar que los sistemas de IA en cuestión, cumplan con las necesidades y expectativas de las partes interesadas así como con los requisitos internos y externos, que pudieran aplicar a la organización.

De acuerdo con todo lo anterior, la realización constante de ejercicios de valoración de impactos de los sistemas de IA (AISIA), así como la utilización de los resultados obtenidos, es fundamental para las actividades de la organización con el fin de producir sistemas de IA confiables y transparentes. 

La norma ISO 42005 es pues, el documento que proporciona la orientación necesaria para que las organizaciones sepan y puedan implementar un proceso para completar dichos ejercicios, mejorando con esto el entendimiento de los componentes que intervienen en la producción de resultados verdaderamente útiles y fidedignos. El documento o guía incluye además algunas consideraciones claves sobre cómo y cuándo realizar dichas valoraciones, de acuerdo con las etapas del ciclo de vida de los sistemas de IA, junto con los lineamientos para generar la documentación adecuada de los resultados del proceso de AISIA. También incluye una explicación o guía sobre cómo el proceso de AISIA puede integrarse con el Sistema de Gestión de IA y la gestión de riesgos de IA de la organización. Finalmente cabe recalcar que la norma está dirigida a organizaciones que desarrollan, proporcionan o utilizan sistemas de IA, siendo aplicable a cualquier organización sin importar su tamaño, tipo y naturaleza (similar a la ISO 42001).

Reflexión final: importancia de la ISO 42005

Implementar un Sistema de Gestión de IA o SGIA por sus siglas en español, puede parecer una tarea nueva y compleja de realizar, sobre todo para quienes se están adentrando en este entorno por primera vez, debido a los diversos temas “nuevos” y el nivel de conocimiento “especializado” que demanda sobre los sistemas de inteligencia artificial (IA). Sin embargo y siendo honestos, ni es algo realmente nuevo ni el conocimiento requerido será un obstáculo que el tiempo y el estudio, no puedan solucionar por sí mismos.

La norma ISO/IEC 42001 establece una serie de requisitos mínimos y necesarios para utilizar de manera responsable la tecnología basada en IA, además de certificar -si así se desea- la operación de un SGIA. Para esto, al interactuar con dicho estándar es esencial identificar y comprender lo siguiente:

  1. El rol organizacional que se tiene respecto a la IA (ej. desarrollador, proveedor y/o usuario) así como la ubicación y complejidad de la cadena de suministro.
  2. Los usos o aplicaciones dados a la tecnología en los diversos productos y/o servicios en que se integre la IA.
  3. Los sistemas de IA que se integren para alcanzar las metas o tareas específicas de acuerdo con los usos o aplicaciones (ej. salud, logística, educación, etc.).
  4. Los riesgos e impactos relacionados con la utilización de los sistemas de IA a lo largo de su ciclo de vida.
  5. Los controles de IA que resulten más adecuados para el tratamiento de los riesgos e impactos por el uso de la IA (ej. políticas, organización interna, recursos, etc.).

Sobre estos últimos puntos, es importante destacar que además de los requisitos y controles de IA contenidos en la norma ISO 42001, se cuenta con otras normas ISO de apoyo para el establecimiento y operación de un gobierno, gestión y cumplimiento adecuado de dicha tecnología, como lo son el caso de las normas siguientes:

  • ISO/IEC 22989: con conceptos y terminología aplicable a la IA.
  • ISO/IEC 23894: para la gestión de riesgos de IA. 
  • ISO/IEC 38507: para el gobierno de la IA.
  • ISO/IEC 42005: para la valoración del impacto del sistema de IA (AISIA por sus siglas en inglés).

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte con la implementación y certificación de tu SGIA o AIMS con base en la ISO 42001, ¡escríbenos, será un gusto platicar contigo!

Referencias consultadas

1. International Standard ISO/IEC 42005:2025. Information Technology - Artificial Intelligence (AI) – AI system impact assessment (AISIA). First Edition, May-2025.

2. International Standard ISO/IEC 42001:2023. Information Technology - Artificial Intelligence - Management System. First Edition, Dic-2023.

Septiembre, 2025

Integración de la ISO/IEC 42001 con otras normas ISO
(Por David Mondragón Tapia)

Introducción a la norma ISO/IEC 42001:2023

En la actualidad, el desarrollo y uso acelerado que presenta la inteligencia artificial (IA) como tecnología disruptiva, tanto en el sector público como en el privado, aunado al potencial previsto y aún por venir, sigue generando diversas preocupaciones en la sociedad y entre los grupos de expertos en el tema, respecto a la posible falta de robustez tecnológica, así como por el uso o aplicación que se le pudiera dar en los diferentes contextos y sectores de la vida, temiéndose que su uso irresponsable llegue a comprometer los derechos y principios fundamentales del ser humano. Ejemplos de esto, los hemos podido atestiguar con diferentes casos muy sonados en los medios de información, al enterarnos que se está utilizando la IA para identificar y manipular a las personas sin su consentimiento, calificar a las personas de manera masiva o encubrir el uso de sistemas de IA para propósitos que no se transparentan. Así pues, un sesgo en el uso o aplicación de los sistemas de IA se puede concretar, al inclinar las acciones decididas por el agente de IA hacia una persona o grupo de personas, un objeto o grupo de objetos, o una posición o posiciones respecto a un tema o asunto en particular.  Lo anterior, podría a su vez ser causado por alguna de las razones siguientes:

  • sesgos o errores en el diseño y desarrollo de los modelos y algoritmos integrados,
  • sesgos en el método de recolección, tipo y/o cantidad de datos utilizados,
  • sesgos durante el proceso de entrenamiento, pruebas y validaciones para la implementación del sistema de IA,
  • sesgos durante los pilotos realizados para el uso del sistema de IA,
  • sesgos o errores por las limitaciones impuestas por su entorno y su uso exclusivo,
  • y finalmente sesgos durante el proceso de interacción con el usuario para incrementar su aprendizaje y lograr una adaptación continua de la IA.

Cualquiera que sea la razón para un sesgo, lo importante es recalcar que aunque este pudiera ser bueno o malo, intencional o no intencional, al final este podría resultar en un acto de discriminación, injusticia o daño a las personas, grupos de personas o sociedades. Con base en lo anterior y con el fin de evitar este tipo de desviaciones o sesgos en el uso o aplicación de los sistemas de IA, la incorporación de estándares internacionales como la norma ISO/IEC 42001:2023, viene a aliviar la situación y a contribuir con el logro de dicho reto.

Integración de la ISO/IEC 42001 con otras normas ISO

Como ya se dijo anteriormente, la IA se viene aplicando y/o integrando aceleradamente en diversos sectores que utilizan tecnologías de la información y comunicación, previéndose con esta tendencia, que sea uno de los principales impulsores económicos de estas últimas (las TICs). Como resultado de lo anterior, se espera también que ciertos usos o aplicaciones puedan presentar desafíos sociales enormes para la humanidad, en el futuro cercano. Por esta razón, la norma ISO/IEC 42001 se creó con el propósito de apoyar a las organizaciones a desempeñar de manera responsable, su papel o rol en el desarrollo, uso, supervisión y suministro de productos y/o servicios que utilicen sistemas de IA.

Recordemos que al proporcionar o utilizar sistemas de IA, la organización puede establecer objetivos u obligaciones relacionadas con aspectos referentes a una gestión responsable de la IA, pero también con otros temas relacionados con otras normas de sistemas de gestión. Tales son los casos de las normas siguientes:

  • la ISO/IEC 27001 para la seguridad de la información, ciberseguridad y protección de la privacidad,
  • la ISO /IEC 27701 para la información de privacidad y
  • la ISO 9001 para la gestión de la calidad de los productos y/o servicios.

Así pues, al proporcionar, utilizar o desarrollar sistemas de IA, es posible fortalecer o complementar la gestión de la organización, mediante la integración de las normas antes citadas, junto con la norma ISO/IEC 42001:2023 para Sistemas de Gestión de IA (SGIA), dando lugar a la conformación de un Sistema de Gestión Integrado o Integral (SGI).

ISO 42001 (SGIA) vs ISO 27001 (SGSI)

La integración o complementación de un Sistema de Gestión de IA (ISO 42001) con un Sistema de Gestión de Seguridad de la Información o SGSI (ISO 27001), en la mayoría de los contextos, permitirá que la seguridad sea clave para lograr los objetivos de la organización con respeto a los sistemas de IA. La forma en que esto último se logra, dependerá de cómo la organización defina sus objetivos de seguridad, naturalmente de su contexto, así como también de sus propias políticas organizacionales. Si una organización identifica la necesidad de implementar un Sistema de Gestión de IA y a la vez, definir y abordar los objetivos de seguridad de la información de manera exhaustiva y sistemática, puede implementar también un Sistema de Gestión de Seguridad de la Información conforme a la norma ISO 27001. Lo anterior será posible, gracias a que tanto la norma ISO/IEC 27001 como la norma ISO/IEC 42001, utilizan la “estructura de alto nivel (dada por el anexo SL)”, por lo que su uso integrado se facilita y resulta benéfico para la organización. En este caso considere solamente, que la forma de implementar los controles de IA referentes al desarrollo responsable de los sistemas de IA y que se relacionan con la seguridad de la información, puede integrarse con la implementación del SGSI de la organización.

ISO 42001 (SGIA) vs ISO 27701 (SGIP)

De la misma forma, la integración o complementación de un Sistema de Gestión de IA (ISO 42001) con un Sistema de Gestión de Información Privada o SGIP (ISO 27701) -por cierto, este último se basa también en el SGSI-, en muchos contextos y ámbitos de aplicación, conlleva que los sistemas de IA procesen información de identificación personal (PII por sus siglas en inglés) junto con otros tipos de información (ej. comercial, geográfica, transaccional, entre otras). De acuerdo con lo anterior, la organización puede bien definir sus objetivos y sus propias políticas de privacidad, para cumplir entonces con las obligaciones aplicables en la materia. Así pues, similar al caso de la norma ISO/IEC 27001, la organización puede beneficiarse de la integración del Sistema de Gestión de Información Privada, con el Sistema de Gestión de IA. Para este otro caso, hay que considerar también que tanto los objetivos como los controles de IA referentes a la valoración de impactos del sistema de IA, así como los que buscan la alineación con las políticas organizacionales y que se relacionan con la privacidad del Sistema de Gestión de IA, pueden integrarse con la implementación de SGIP de la organización.

ISO 42001 (SGIA) vs ISO 9001 (SGC)

Finalmente, la integración o complementación de un Sistema de Gestión de IA (ISO 42001) con un Sistema de Gestión de la Calidad o SGC (ISO 9001), podrá significar para muchas partes interesadas u organizaciones, que el cumplimiento con la norma ISO 9001 sea una señal importantísima respecto a la orientación hacia el cliente, así como de la auténtica preocupación por procurar una eficacia y mejora continua del SGC y de sus productos y/o servicios en el alcance. Así pues, la realización de una evaluación independiente para cumplir con los requisitos de la norma ISO 9001, además de facilitar el negocio o abrir puertas, inspirará también la confianza en cualquier cliente respecto a los productos y/o servicios que recibe de la organización (proveedor). Con lo anterior, el nivel de confianza del cliente en una organización o sistema de IA, puede verse reforzado considerablemente cuando se implementa un Sistema de Gestión de IA junto con un Sistema de Gestión de la Calidad, sobre todo cuando se utilizan o incorporan tecnologías de IA en los productos y/o servicios. Por último y con base en lo antes dicho, podemos afirmar que el Sistema de Gestión de IA puede complementarse con un Sistema de Gestión de la Calidad, al mostrar conformidad con los requisitos de la norma ISO 9001, ayudando así a cualquier organización a alcanzar sus objetivos estratégicos y de gestión en materia de IA.

Otras normas ISO relevantes

Además de las normas ISO 27001, 27701 y 9001 para los sistemas de gestión anteriormente mencionados, un Sistema de Gestión de Inteligencia Artificial o SGIA, también puede utilizarse junto con otros sistemas de gestión específicos para un sector. Tales son los casos siguientes:

  • la norma ISO 22000 para un sistema de IA que es utilizado en la producción, preparación y logística de los alimentos,
  • la norma ISO 13485 para cumplir con los requisitos relacionados con el software de dispositivos médicos o 
  • la norma IEC 62304 para cumplir con otro tipo de requisitos aplicables al sector médico.

Referencias consultadas

1. International Standard ISO/IEC 42001:2023. Information Technology - Artificial Intelligence - Management System. First Edition, Dic-2023.

Agosto, 2025

ISO/IEC 42001: controles para la IA
(Por David Mondragón Tapia)

La norma ISO/IEC 42001: 2023 para SGIA

Dentro de las miles de normas ISO que existen en la actualidad, la norma ISO/IEC 42001:2023 de reciente creación e incorporación al mercado de los Sistemas de Gestión certificables, es la que especifica los requisitos y proporciona la orientación necesaria para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Inteligencia Artificial (por sus siglas “SGIA”). El documento puede ser utilizado por cualquier organización que proporcione o utilice productos y/o servicios que integren sistemas de IA. Su objetivo es apoyar a las organizaciones que participan en el desarrollo, suministro y/o utilización de sistemas de IA, para que lo hagan de una manera responsable, logrando sus objetivos, cumpliendo con los requisitos y las obligaciones aplicables (compliance), así como con las expectativas que les imponga el mercado, la sociedad y/o las autoridades competentes.

Al igual que otras normas certificables, la norma ISO 42001 ha sido definida para poder ser aplicable a cualquier organización, independientemente de su tipo, naturaleza o tamaño, proporcionando las directrices necesarias para la implementación de los controles aplicables en materia de inteligencia artificial (por sus siglas “IA”). La norma NO es un documento técnico o exhaustivo que busque definir o enseñar lo que es la IA y/o los sistemas de IA, por el contrario, parte de este conocimiento y en su lugar proporciona una guía general sobre los procesos de gestión que se deberían implementar, para lograr un manejo responsable de la IA. Por lo tanto, los lineamientos contenidos en la ISO 42001 se pueden combinar con otras normas internacionales relacionadas (ej. ISO 23894 ó ISO 31000), otros marcos de referencia (ej. OCDE o UE), así como con la experiencia propia y adquirida durante los años de trabajo, para implementar procesos claves como son:

  • el proceso de gestión de riesgos de IA,
  • el proceso de valoración de impactos del sistema de IA,
  • el proceso de gestión del ciclo de vida de la IA,
  • el proceso de gestión de la calidad de los datos (limpieza e ingesta),
  • entre otros.

Cuando una organización logra cumplir los requisitos de la norma ISO 42001, se dice que está en capacidad de generar la evidencia necesaria de su rol, responsabilidad y rendición de cuentas, en relación con los sistemas de IA. Cabe señalar también que la ISO 42001, ha sido conformada de acuerdo con la estructura de alto nivel que le confiere el anexo “SL” o “L”, presentando números y títulos de apartados o secciones, textos, términos y definiciones comunes, para permitir su fácil integración y/o complementación con otras normas y sistemas de gestión como:

  • los sistemas de gestión de seguridad de la información (ISO 27001),
  • los sistemas de gestión de información de privacidad (ISO 27701),
  • los sistemas de gestión de la calidad (ISO 9001),
  • entre otros.

Gestión de riesgos de IA

Componente esencial en el funcionamiento de un SGIA con base en los requisitos propuestos por la norma ISO 42001, lo es el proceso de gestión de riesgos de IA. La gestión de riesgos de IA se recomienda desarrollar tomando como referencia los lineamientos establecidos en la norma ISO/IEC 23894:2023, la cual propone los siguientes elementos: 1) principios, 2) marco de referencia, 3) proceso de gestión de riesgos, 4) objetivos organizacionales aplicables a la IA y 5) fuentes de riesgo aplicables también a la IA. Mediante la implementación de los elementos anteriores, la gestión de riesgos de IA persigue lo siguiente:

  1. Crear y proteger el valor entregado en las organizaciones por la IA.
  2. Mayor certeza en el logro de los objetivos organizacionales entorno a la aplicación de IA.
  3. Asistir a las organizaciones en el establecimiento de su estrategia de IA.
  4. Contribuir a la mejora del sistema de gestión de IA.
  5. Ser parte de todas las actividades y partes interesadas del SGIA.
  6. Considerar el comportamiento humano y los factores culturales al incorporar la IA.
  7. Gestionar los riesgos de manera eficaz, eficiente y coherente.
  8. Enriquecer el proceso de toma de decisiones respecto a la estrategia de IA.

La ISO 23894 establece los lineamientos básicos para gestionar el riesgo de cualquier tipo de organización, adaptándose a su contexto y a cualquier tipo de riesgo. Por lo tanto, NO son lineamientos aplicables de manera exclusiva a un tipo de industria o sector específico. Respecto a los tres primeros elementos propuestos para la gestión de riesgos de IA, a continuación se presenta una breve descripción de estos:

1) Principios: siendo ocho en total (ej. integrada, adaptada, inclusiva, etc.), los cuales proporcionan la orientación necesaria sobre las características que debe tener, una gestión de riesgos eficaz y eficiente.

2) Marco de referencia: compuesto de seis partes en total, las cuales buscan asistir a la organización en la integración de la gestión de riesgos, en las actividades y funciones significativas con el apoyo de la alta dirección y en la toma de decisiones.

3) Proceso de gestión de riesgos: compuesto de seis actividades en total, las cuales implican la aplicación sistemática de políticas, procedimientos y prácticas a las actividades de establecimiento del contexto, valoración y tratamiento, registro e informe, comunicación y consulta, seguimiento y revisión de los riesgos.

De vuelta con la norma ISO 42001 dentro de su anexo “C”, se describen algunos objetivos que podrían aplicar a las organizaciones, al momento de valorar y tratar los riesgos de IA, así como se describen también diversas fuentes de riesgo aplicables al análisis de los riesgos de IA. Cabe señalar que la información contenida en el anexo “C”, se trata con mayor profundidad en la citada norma ISO 23894. Por lo tanto, el anexo “C” solamente pretende mostrar los aspectos básicos de los objetivos organizacionales y las fuentes de riesgo aplicables a los riesgos de IA, sin pretender ser exhaustivo o aplicable a todas las organizaciones. Es la organización en sí, la que debe determinar los objetivos y las fuentes de riesgo más convenientes, pudiendo complementar dicha información con otras fuentes o con la experiencia propia en la materia.

Controles para la IA

Como resultado de la aplicación del proceso de gestión de riesgos de IA y en particular de la actividad de tratamiento, viene la selección de las opciones y los controles de IA más adecuados para el tratamiento de los riesgos de IA. La norma ISO 42001 en sus anexos “A” y “B”, establece los objetivos de control (10) y los controles de IA (38), así como las guías de implementación para los controles de IA que sean seleccionados para el tratamiento de los riesgos, contemplando los siguientes objetivos de control:

  1. Políticas relacionadas con la IA (3 controles).
  2. Organización interna (2 controles).
  3. Recursos para sistemas de IA (5 controles).
  4. Valoración de impactos de sistemas de IA (4 controles).
  5. Guía para la gestión del desarrollo de sistemas de IA (2 controles) / Ciclo de vida de sistemas de IA (7 controles).
  6. Datos para sistemas de IA (5 controles).
  7. Información para partes interesadas de sistemas de IA (4 controles).
  8. Uso de sistemas de IA (3 controles).
  9. Relaciones con terceros y clientes (3 controles).

Los objetivos de control y los controles de IA relacionados en el anexo “A”, proporcionan a las organizaciones tan solo una referencia para poder lograr los objetivos organizacionales que hayan sido establecidos, así como para abordar los riesgos relacionados con el diseño y la operación de los sistemas de IA. Por lo tanto, NO todos los objetivos de control y los controles de IA listados en dicho anexo, aplican o son obligatorios de implementar, de hecho, cada organización puede diseñar e implementar sus propios controles tomando como base los controles contenidos en el anexo “A”.

La misma situación se repite para las guías de implementación de los controles de IA, ya que NO siempre son adecuadas ni suficientes para tratar todas las situaciones y no siempre cumplen con los requisitos de control específicos de cada organización. Por lo tanto, nuevamente es la organización la que decide si necesita ampliar o modificar las guías de implementación o bien definir sus propias guías de implementación para los controles de IA que cubran sus requisitos específicos y necesidades de gestión de riesgos.

Reflexión final

Los SGIA (ISO 42001) son aplicables a organizaciones que desarrollen, proporcionen o utilicen productos y/o servicios que integren sistemas de IA, siendo potencialmente aplicables a una gran variedad de productos y servicios, sectores (ej. salud, transporte, finanzas, etc.), obligaciones, buenas prácticas, expectativas o compromisos contractuales con las diferentes partes interesadas. 

Para alcanzar un desarrollo y uso responsable de los sistemas de IA, se deben establecer diversos objetivos organizacionales (anexo “C”), así como valorar y tratar los impactos y riesgos ocasionados por la aplicación de la IA en las organizaciones, derivando en la implementación de diversos objetivos y controles de IA. Finalmente, la norma ISO 42001 para la implementación de Sistemas de Gestión de IA, puede ser utilizada de manera independiente o mejor aún, como complemento o integrada a otras normas de Sistemas de Gestión (ej. ISO 9001 para un SGC ó ISO 27001 para un SGSI).

Referencias consultadas

1. International Standard ISO/IEC 42001:2023. Information Technology - Artificial Intelligence - Management System. First Edition, Dic-2023.

2. International Standard ISO 31000:2018, Risk Management – Guidelines, Second edition, Feb-2018.

3. International Standard ISO/IEC 23894:2023. Information Technology – Artificial Intelligence - Guidance on Risk Management. First Edition, Feb-2023.

Julio, 2025

AI Management System: ISO/IEC 42001
(Por David Mondragón Tapia)

Sistemas de IA (AIMS)

Nos encontramos a la mitad de la tercera década del siglo XXI, una época en donde los sistemas de inteligencia artificial (IA), ya se encuentran estrechamente ligados a nuestra actividad cotidiana, en ocasiones, sin notarlo. La mayoría de los llamados sistemas de IA han sido diseñados para interactuar con nosotros, realizando alguna función en particular como puede ser el procesamiento de lenguaje, la realización de búsquedas de información o el análisis de imágenes. Cabe destacar que de manera general, los sistemas de IA deben ser diseñados considerando los siguientes aspectos:

  1. Una meta a lograr.
  2. Un entorno dentro del cual se interactúa.
  3. Capacidades para percibir el entorno y sus cambios.
  4. Recopilación e interpretación de grandes cantidades de datos estructurados y no estructurados.
  5. Capacidad para procesar la información y emitir juicios a partir del conocimiento.
  6. Capacidad para decidir las mejores acciones para lograr la meta establecida.

Así de acuerdo con los aspectos anteriores, los sistemas de IA pueden procesar información, emitir juicios y decidir las mejores acciones para el logro de su meta, pudiendo utilizar reglas o modelos basados en relaciones estadísticas y matemáticas, así como aprender del análisis de sus acciones previas, ajustando continuamente su comportamiento.

La inteligencia artificial sigue siendo una tecnología disruptiva y transformativa en nuestros días, ya que además de venir a cambiar la forma en que hacíamos las cosas (tradicional), también viene a cambiar la forma en que las organizaciones y las sociedades se comportan.  Así los sistemas de IA y en particular la IA, constituye una disciplina científica que considera una diversidad de conocimientos, enfoques y técnicas para su funcionamiento, entre los que destacan:

  • Machine learning (ej. supervisado, por refuerzo, por redes neuronales o aprendizaje profundo).
  • Machine reasoning (ej. en la planeación, programación, representación del conocimiento, búsqueda u optimización).
  • Robotics (ej. para el control y percepción (sensores – actuadores) o en la integración con sistemas ciber-físicos).

Desarrollo y utilización de sistemas de IA confiables

Con el desarrollo y uso acelerado de la IA, así como de acuerdo con el pronóstico de su potencial aún por venir, se han levantado múltiples voces tanto en el sector público o gobierno como en el sector privado, manifestando su preocupación tanto por la falta de robustez tecnológica, como por el uso o aplicación que se le pudiera dar en los diferentes contextos y sectores de la vida, llegando a comprometer los derechos y principios fundamentales del ser humano. Ejemplos de esto, los podemos encontrar en las iniciativas siguientes:

  • Identificación y manipulación de las personas sin su consentimiento.
  • Calificación ciudadana normativa y masiva.
  • Sistemas con IA encubierta.
  • Sistemas de Armas Autónomas Letales (o LAWS).

Una desviación o sesgo en el uso o aplicación de los sistemas de IA, se puede concretar al inclinar las acciones decididas por el agente de IA (equivalente al cerebro humano) hacia una persona o grupo de personas, un objeto u objetos, o una posición o posiciones respecto a un tema o asunto particular.  Lo anterior, podría ser causado a su vez por desviaciones o sesgos en el método de recolección, tipo y/o cantidad de datos utilizados (ej. de internet), en el diseño y desarrollo de los modelos y algoritmos, durante el proceso de entrenamiento, pruebas y validaciones para la implementación del sistema de IA, durante los pilotos realizados para el uso del sistema de IA, por las limitaciones impuestas por su entorno y su uso exclusivo, y finalmente durante el proceso de interacción con el usuario para incrementar su aprendizaje y lograr una adaptación continua.  Cualquiera que sea la razón para una desviación o sesgo, lo importante es recalcar que aunque este pudiera ser bueno o malo, intencional o no intencional, al final este podría resultar en un acto de discriminación, injusticia o daño a las personas, grupos de personas o sociedades.

Con el fin de evitar este tipo de desviaciones o sesgos en el uso o aplicación de los sistemas de IA, la adopción de un modelo de gobierno y cumplimiento se hace mandatorio, ya sea con base en los marcos tecnológicos actuales pero adaptados para incluir el uso de la IA (ej. ITIL), ya sea incorporando estándares internacionales especializados en la materia (ej. ISO 42001) o ya sea adoptando guías y lineamientos éticos que ayuden a contar con sistemas de IA confiables (ej. Unión Europea u OCDE).

Sistemas de IA vs ISO 42001

La IA se aplica cada vez más en todos los sectores que utilizan tecnologías de la información, previéndose que sea uno de los principales impulsores económicos de estos últimos. Como resultado de esta tendencia, ciertos usos o aplicaciones podrían presentar serios desafíos sociales en el futuro próximo (2030). La norma ISO 42001 se creó con el objetivo de ayudar a las organizaciones, a desempeñar de manera responsable su función en el desarrollo, uso, supervisión y suministro de productos y/o servicios que utilizan sistemas de IA, ya que la adopción de IA podría plantear preocupaciones como:

  • La toma de decisiones automática, a veces de forma poco transparente e inexplicable.
  • El uso del análisis de datos, la comprensión y el aprendizaje automático, en lugar de la lógica humana para diseñar sistemas, cambiando la forma en que estos se desarrollan, justifican e implementan.
  • Los sistemas de IA que realizan aprendizaje continuo cambian su comportamiento durante su uso, requiriendo garantizar su uso responsable con el cambio de comportamiento.

La norma ISO/IEC 42001:2023 contiene los requisitos necesarios para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de IA (SGIA), de acuerdo con el contexto de una organización, centrando la aplicación de los requisitos en las características exclusivas de la IA. Ciertas características de la IA como son la capacidad de aprendizaje y mejora continua o la falta de transparencia, pueden justificar la adopción de medidas de seguridad diferentes, si es que estas plantean inquietudes adicionales respecto a cómo se realizaría la tarea de forma tradicional. 

Los objetivos y necesidades de la organización, sus procesos o actividad, tamaño y estructura organizacional, así como las expectativas de las distintas partes interesadas o stakeholders, influyen en la definición y operación de un SGIA, por lo que se espera que todos estos factores de influencia cambien y por ende, se revisen periódicamente.

La norma ISO 42001 para un SGIA

La norma ISO 42001 es una estándar internacional que busca facilitar a las organizaciones, la adopción de un Sistema de Gestión de IA, integrando los procesos y la estructura de gestión general necesaria para tal fin. Cualquier cuestión específica relacionada con la IA, debe considerarse en el diseño de los procesos, los sistemas de información y los controles seleccionados como necesarios; algunos ejemplos de estos procesos de gestión son:

  • Para la determinación de los objetivos organizacionales, la participación de las partes interesadas y/o la política de IA.
  • La gestión de riesgos y oportunidades.
  • Los procesos para la gestión de las preocupaciones relacionadas con la confiabilidad de los sistemas de IA, como: seguridad, protección, equidad, transparencia, etc.
  • Los procesos para la gestión de proveedores, socios y terceros que proporcionen o desarrollen sistemas de IA para la organización.

Así pues, la ISO 42001 proporciona los lineamientos necesarios para la implementación de los controles aplicables, que respalden dichos procesos. La norma NO ofrece orientación específica sobre los procesos de gestión, por lo que es posible utilizar y/o combinar otros marcos y normas generalmente aceptadas, así como su propia experiencia para implementar dichos procesos (ej. gestión de riesgos, gestión del ciclo de vida, gestión de la calidad de los datos, pruebas y validaciones, entre otros), siempre que sean adecuados para los casos de uso, productos y/o servicios específicos de la IA, dentro del alcance del SGIA.

Reflexión final: importancia de la ISO 42001 en la IA

Con la IA escalando posiciones de manera estrepitosa en la vida y actividad del ser humano, la norma ISO/IEC 42001:2023 viene a sumarse en el esfuerzo por guiar a las organizaciones que desarrollan, usan, supervisan y suministran productos y/o servicios con IA, proponiendo para esto un conjunto de requisitos para los Sistemas de Gestión de Inteligencia Artificial (SGIA).

Si su organización proporciona o utiliza productos y/o servicios que utilizan sistemas de IA, esta norma es de su interés, ya que le apoyará en la tarea de ser responsable en su aplicación, a la vez de alcanzar sus objetivos organizacionales, cumplir con los requisitos aplicables y las obligaciones relacionadas con las partes interesadas, así como cubrir las expectativas que se les impongan.

La norma es aplicable a cualquier tipo de organización, independientemente de su tamaño y naturaleza, siempre y cuando proporcione o utilice productos y/o servicios que utilicen sistemas de IA. Además, se recomienda complementar su aplicación con la norma ISO/IEC 22989:2022, en donde se establecen conceptos y definiciones aplicables a la inteligencia artificial.

Referencias consultadas

1. International Standard ISO/IEC 42001:2023. Information Technology - Artificial Intelligence - Management System. First Edition, Dic-2023.

2. The BCS AI Foundation Delegate Manual.  Purple Griffon, Ltd.  United Kingdom, 2019.

Information icon

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.