Ir ao contido principal

Políticas e salvagardas para o uso seguro da IA

Consideracións para a creación dun marco de gobernanza e salvagardas da IA

Ao longo de 2025 e principios de 2026, un equipo de profesionais de seguridade centrados na IA do Grupo de Traballo de Intelixencia Artificial Health-ISAC reuniuse para crear un libro branco que ofrece orientación sobre o desenvolvemento de marcos de gobernanza da IA. O libro branco resultante proporciona un exemplo de política de uso aceptable da IA ​​e orientación detallada sobre a xestión dos riscos da IA. Establece definicións claras do uso responsable da IA ​​xerativa e os LLM, prohibindo a exposición de PHI, PII e datos confidenciais a ferramentas públicas e esixindo autorización, supervisión e revisión humana dos resultados da IA ​​en contextos clínicos, de recursos humanos, legais e financeiros.

Algunhas das características do documento inclúen:

  • Estrutura formal de gobernanza da IA. O documento presenta un modelo concreto de Comité de Gobernanza da IA ​​con representación interfuncional (xurídico, privacidade, seguridade, tecnoloxía, ciencia de datos, negocios, ética) que depende da alta dirección ou do Consello. Define responsabilidades, exemplifica métricas e subliña que a gobernanza é imprescindible, non opcional.
  • Un marco de gobernanza da IA ​​baseado en piares. O documento describe un marco de sete piares: lexislación/regulación/política, privacidade e ética da IA, gobernanza dos casos de uso, gobernanza do ciclo de vida do modelo, contratación e incorporación de terceiros, resposta a incidentes de IA e xestión de infraccións, e formación e educación en IA. Cada piar ten obxectivos e responsables específicos.
  • Folla de ruta práctica para a súa implementación. Unha folla de ruta de implementación divide o traballo en catro fases: inicio (comité, principios, inventario), avaliación de riscos e impacto (DPIAs, auditorías de sesgos, revisións de seguridade), despregamento do marco (políticas, rexistro de casos de uso, controis do ciclo de vida) e seguimento e revisión (revisións periódicas, reciclaxe, auditorías).
  • Política de uso aceptable da IA ​​detallada e reutilizable. O documento inclúe unha política de exemplo completa con propósito e alcance, principios reitores, transparencia e ética, responsabilidade e supervisión, privacidade e seguridade dos datos, confidencialidade, usos aceptables e prohibidos, aplicación e definicións, ademais dunha táboa de "permitidos e non permitidos" para ferramentas públicas de IA.
  • Oito categorías de risco de IA están asignadas a salvagardas específicas. Abarca sistematicamente a privacidade e a seguridade dos datos, o risco da cadea de subministración e de terceiros, o risco do modelo e da saída, o sesgo e a xustiza, a normativa e o cumprimento das normas, as vulnerabilidades de seguridade, o risco de gobernanza e supervisión e a IA na sombra, e combina cada unha delas con salvagardas concretas como a minimización de datos, as SBOM (Metodos de Monitorización de Funcionamento), a dilixencia debida do provedor, a formación de equipos vermellos, os controis contractuais e a detección de IA na sombra.

 

Autores: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)

Colaboradores de contido: Murphy, Bill (LeanTaaS), Gosnell, Joe (Centro Médico de Tucson)

TLP:BRANCO Este informe pode ser compartido sen restricións.

 

O que revela o ataque a Stryker sobre a seguridade dos dispositivos médicos
HSCC presenta unha guía de transparencia da cadea de subministración e riscos de IA de terceiros