LUDUS · Gobierno de IA

Política de Uso Aceptable de Inteligencia Artificial

Plantilla adaptable · Versión 1.0 · Incluye hoja de ruta de gobierno 30/60/90 días

Cómo usar esta plantilla. Reemplazá los campos [entre corchetes] con la información de tu organización. Ajustá el alcance, las herramientas aprobadas y las clasificaciones de datos a tu contexto. Esta plantilla es un punto de partida, no un documento legal definitivo: validala con Legal, Cumplimiento y Riesgo antes de publicarla.

1. Propósito y alcance

Esta política define cómo [nombre de la organización] permite el uso de herramientas de inteligencia artificial generativa (IA), con el fin de aprovechar sus beneficios mientras se protege la información, los sistemas y la reputación de la organización.

Aplica a todo el personal, contratistas y terceros que usen herramientas de IA en nombre de la organización o sobre información de la organización, en cualquier dispositivo.

2. Definiciones

3. Herramientas de IA aprobadas

Solo pueden usarse las herramientas de IA aprobadas por [Seguridad de la Información / Comité de IA]. El uso de herramientas no aprobadas (Shadow AI) está prohibido.

Herramienta aprobadaUso permitidoDueño / responsable
[p. ej. Asistente X — versión empresarial][tareas permitidas][área]
[ … ][ … ][ … ]

4. Datos: qué se permite y qué no

✓ Permitido introducir en la IA

  • Información pública o ya publicada.
  • Datos internos no sensibles.
  • Contenido anonimizado o agregado sin datos identificables.
  • [completar]

✕ Prohibido introducir en la IA

  • Datos personales o de clientes identificables sin autorización.
  • Credenciales, contraseñas, claves de API o tokens.
  • Información financiera, contractual o bajo secreto.
  • Código propietario o secretos comerciales [según política].

5. Uso aceptable y uso prohibido

✓ Aceptable

  • Redacción, resúmenes y borradores revisados por una persona.
  • Apoyo a la programación con revisión humana del código.
  • Ideación, investigación y aprendizaje.

✕ Prohibido

  • Tomar decisiones automáticas sobre personas sin supervisión humana.
  • Publicar salidas de IA sin revisión (riesgo de error o desinformación).
  • Conectar agentes a sistemas críticos sin aprobación de Seguridad.
  • Ejecutar código generado por IA sin revisión en entornos productivos.

6. Controles obligatorios

7. Responsabilidades

RolResponsabilidad
Patrocinador ejecutivo [cargo]Aprueba la política y la tolerancia al riesgo de IA.
Seguridad de la Información / CISOAprueba herramientas, define controles, monitorea y responde a incidentes.
Dueño de cada sistema de IAResponde por el uso, los accesos y el cumplimiento de su sistema.
Todo el personalCumple la política, reconoce prompts sospechosos y reporta incidentes.

8. Incumplimiento y vigencia

El incumplimiento de esta política puede derivar en [medidas disciplinarias según el reglamento interno]. Esta política entra en vigencia el [fecha], es propiedad de [área] y se revisa al menos [anualmente / cada 6 meses].

Anexo — Hoja de ruta de gobierno de IA (30 / 60 / 90 días)

30 días · Visibilidad
  • Publicar esta política de uso aceptable de IA.
  • Inventariar qué herramientas de IA se usan y a qué sistemas y datos acceden (CIS Control 2 y 3).
  • Nombrar dueños de cada sistema de IA y un patrocinador ejecutivo (NIST AI RMF — GOVERN).
  • Mapear casos de uso y riesgos; decidir go / no-go inicial (NIST AI RMF — MAP).
60 días · Control
  • Aplicar privilegio mínimo y revisión humana en acciones de riesgo (CIS Control 6).
  • Activar el registro de prompts, respuestas e invocaciones (CIS Control 8).
  • Clasificar y bloquear los datos que no deben entrar a la IA (CIS Control 3).
  • Revisar allowlists y configuraciones por defecto de las herramientas aprobadas.
90 días · Madurez
  • Modelar amenazas con MITRE ATLAS y hacer pruebas adversariales / pentest (CIS Control 16).
  • Alinear el programa a NIST AI RMF (MEASURE y MANAGE) y evaluar la adopción de ISO/IEC 42001.
  • Capacitar al personal en prompt injection e higiene de datos (CIS Control 14).
  • Establecer una cadencia de revisión y reporte al comité de riesgo.

LUDUS — Concientización en ciberseguridad por gamificación · LATAM. Guía completa en ciberludus.com/services/gobierno-seguro-ia.

Documento informativo y educativo. No constituye asesoría legal, regulatoria ni de cumplimiento. Adaptalo y validalo con las áreas de Legal, Cumplimiento y Riesgo de tu organización y su jurisdicción. Marcos citados: NIST AI RMF, ISO/IEC 42001, OWASP LLM Top 10, MITRE ATLAS y CIS Controls v8, pertenecientes a sus respectivos titulares.