Saltar al contenido principal

Políticas y salvaguardias para el uso seguro de la IA

Consideraciones para la creación de un marco de gobernanza y salvaguardias de la IA

A lo largo de 2025 y principios de 2026, un equipo de profesionales de seguridad especializados en IA del Grupo de Trabajo de Inteligencia Artificial de Health-ISAC se reunió para elaborar un informe técnico que ofrece orientación sobre el desarrollo de marcos de gobernanza de la IA. El informe resultante incluye un ejemplo de Política de Uso Aceptable de la IA y una guía detallada para la gestión de los riesgos asociados. Establece definiciones claras del uso responsable de la IA generativa y los modelos de aprendizaje automático (MLA), prohíbe la exposición de información de salud protegida (PHI), información de identificación personal (PII) y datos confidenciales a herramientas públicas, y exige la autorización, la supervisión y la revisión humana de los resultados de la IA en contextos clínicos, de recursos humanos, legales y financieros.

Algunas características del documento incluyen:

  • Estructura formal de gobernanza de la IA. El documento presenta un modelo concreto de Comité de Gobernanza de IA con representación interdisciplinaria (legal, privacidad, seguridad, tecnología, ciencia de datos, negocios, ética) que rinde cuentas a la alta dirección o al Consejo de Administración. Define responsabilidades, proporciona ejemplos de indicadores y subraya que la gobernanza es imprescindible, no opcional.
  • Un marco de gobernanza de IA basado en pilares. El documento describe un marco de siete pilares: legislación/regulación/política, privacidad y ética de la IA, gobernanza de casos de uso, gobernanza del ciclo de vida de los modelos, contratación e incorporación de terceros, respuesta a incidentes de IA y gestión de brechas de seguridad, y formación y capacitación en IA. Cada pilar tiene objetivos y responsables específicos.
  • Hoja de ruta práctica para la implementación. Una hoja de ruta de implementación divide el trabajo en cuatro fases: Iniciación (comité, principios, inventario), Evaluación de riesgos e impacto (Evaluaciones de impacto en la protección de datos, auditorías de sesgo, revisiones de seguridad), Implementación del marco (políticas, registro de casos de uso, controles del ciclo de vida) y Seguimiento y revisión (revisiones periódicas, recapacitación, auditorías).
  • Política de uso aceptable de IA detallada y reutilizable. El documento incluye un modelo completo de política con su propósito y alcance, principios rectores, transparencia y ética, rendición de cuentas y supervisión, privacidad y seguridad de los datos, confidencialidad, usos aceptables y prohibidos, aplicación y definiciones, además de una tabla de "usos permitidos frente a usos no permitidos" para herramientas de IA públicas.
  • Se han asignado medidas de seguridad específicas a ocho categorías de riesgo de la IA. Cubre sistemáticamente la privacidad y la seguridad de los datos, la cadena de suministro y el riesgo de terceros, el riesgo de modelos y resultados, el sesgo y la equidad, la normativa y el cumplimiento, las vulnerabilidades de seguridad, el riesgo de gobernanza y supervisión, y la IA en la sombra, y combina cada uno con salvaguardas concretas como la minimización de datos, los SBOM, la debida diligencia de los proveedores, las pruebas de penetración (red teaming), los controles contractuales y la detección de IA en la sombra.

 

Autores: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)

Colaboradores de contenido: Murphy, Bill (LeanTaaS), Gosnell, Joe (Tucson Medical Center)

TLP:WHITE Este informe puede compartirse sin restricciones.

 

Lo que revela el ataque a Stryker sobre la seguridad de los dispositivos médicos
HSCC presenta una guía sobre riesgos de IA de terceros y transparencia en la cadena de suministro.