Mi organización decidió ir por ISO 42001 en Q3 del año pasado. Estamos en
proceso. Voy a contar lo que aprendí intentando alinear nuestro uso de Copilot
con el estándar.
ISO 42001 es el primer estándar internacional de Sistema de Gestión de
IA. Annex A tiene 38 controles agrupados. La estructura es similar a ISO 27001
pero el enfoque es distinto: gobernar el ciclo de vida de sistemas de IA.
El alcance importa más de lo que parece
Si declaras “todos los sistemas de IA de la empresa” en tu alcance, te
metes en un berenjenal. Yo declaré “sistemas de IA con impacto en clientes
externos y procesos críticos internos”. Eso me dejó fuera del scope pilotos
experimentales y herramientas internas de bajo riesgo. La auditora aceptó.
Copilot 365 es complicado de encajar
Es un sistema de IA, está dentro del alcance de cualquier organización
con uso empresarial. Pero el control no es solo tuyo. Es de Microsoft. ¿Cómo
justificas controles sobre algo que no controlas tú?
Lo que hice. Documenté el contrato con Microsoft como evidencia primaria
de controles compartidos. DPA, EDP, attestations. Cada control de Annex A donde
Microsoft es responsable principal, lo apoyé con documentación contractual.
Para los controles donde la responsabilidad es mía (configuración,
supervisión, uso adecuado), construí mi documentación. Políticas internas de
uso, capacitaciones, monitoreo, incident response.
Para los controles donde es responsabilidad compartida, documenté el
split: qué hace Microsoft, qué hago yo, dónde está la frontera. Esto fue lo más
laborioso.
El AI System Impact Assessment de cada caso de uso significativo de
Copilot. Cada agente custom tiene su AIAS. Plantilla común, contenido
específico.
Lo que me sorprendió
Que la auditoría no exigió evidencia técnica profunda de Copilot —
Microsoft ya tiene certificaciones que la auditora aceptó como base. Mi trabajo
fue probar mi gobierno encima de eso, no replicar la auditoría de Microsoft.
Que la madurez del programa importa más que la cantidad de documentos. La
auditora preguntó cómo decido aprobar un nuevo caso de uso de Copilot. Le
mostré el comité, las plantillas, las decisiones recientes con sus rationales.
Eso convenció más que mil páginas estáticas.
Lo que está mal en muchos programas que vi después
Sobredocumentación. Mil páginas de políticas que nadie ha leído. Nadie
aprueba un programa con políticas estáticas que no se aplican.
Subimplementación. Mucha política, poca evidencia operativa. La política
dice “revisamos riesgos trimestralmente” pero no hay actas trimestrales. La
auditora lo huele.
Si te pones a esto: empieza por el alcance honesto, después los AIAs de
tus casos de uso principales, después la política. La política sin casos no
protege a nadie.
No hay comentarios.:
Publicar un comentario