Situación · IA sin gobernanza

    Su organización usa IA. ¿Sabe cuál?

    Diagnóstico ejecutivo de Shadow AI bajo ISO 42001 e ISO 27001. Inventario, supervisión y trazabilidad antes de que un incidente lo pida.

    Solicitar diagnóstico Leer investigación Shadow AI (73%)

    Cifras de referencia

    73%

    de las organizaciones certificadas opera IA sin gobierno formal. Encuesta dirigida en 140 organizaciones de 12 países, enero 2026.

    ~70%

    de los requisitos del EU AI Act para sistemas de alto riesgo cubre ISO/IEC 42001:2023. El 30% restante son obligaciones legales fuera del SGIA.

    Tres riesgos convergentes

    • Regulatorio. EU AI Act exige inventario de sistemas de alto riesgo. GDPR/Ley 25.326 exige base legal para procesamiento automatizado.
    • Operacional. Incidente de fuga de datos vía herramienta de IA no inventariada. Cláusulas A.5.9 y A.8.1 de ISO 27001 quedan vacías.
    • Reputacional. Decisión algorítmica adversa con sesgo no auditable. La responsabilidad queda en la organización, no en el modelo.

    Qué evalúa Fernando Arrieta

    • Inventario real de sistemas de IA en uso productivo (propios y de terceros).
    • Cobertura del SGSI actual sobre esos sistemas.
    • Mapeo cláusula a cláusula contra ISO 42001 y EU AI Act (cuando aplica).
    • Mecanismos de supervisión humana, trazabilidad de decisiones y manejo de sesgos.
    • Brechas entre uso real y políticas declaradas.

    Lecturas relacionadas

    Investigación Shadow AI · 73% organizaciones certificadas

    ISO 42001 vs EU AI Act · matriz de cumplimiento

    Convergencia ISO 27001 + 42001 · 37 controles compartidos

    Capacidad limitada · 4 diagnósticos por mes

    El diagnóstico es el punto de partida.

    En 72 horas: mapa de brechas priorizado, hallazgos verificables y decisión sobre la mesa. Sin compromiso comercial previo.

    Solicitar diagnósticoWhatsApp

    ISO/IEC 17021-1 · Firewall 01C · Respuesta <24h · Confidencial

    DiagnósticoWhatsApp