Política de Uso Aceptable de Inteligencia Artificial
Plantilla adaptable · Versión 1.0 · Incluye hoja de ruta de gobierno 30/60/90 días
Cómo usar esta plantilla. Reemplazá los campos [entre corchetes] con la información de tu organización. Ajustá el alcance, las herramientas aprobadas y las clasificaciones de datos a tu contexto. Esta plantilla es un punto de partida, no un documento legal definitivo: validala con Legal, Cumplimiento y Riesgo antes de publicarla.
1. Propósito y alcance
Esta política define cómo [nombre de la organización] permite el uso de herramientas de inteligencia artificial generativa (IA), con el fin de aprovechar sus beneficios mientras se protege la información, los sistemas y la reputación de la organización.
Aplica a todo el personal, contratistas y terceros que usen herramientas de IA en nombre de la organización o sobre información de la organización, en cualquier dispositivo.
2. Definiciones
- IA generativa / LLM: sistemas que generan texto, código, imágenes u otro contenido a partir de instrucciones (p. ej. asistentes conversacionales, copilotos de código, agentes).
- Agente de IA: sistema de IA con capacidad de ejecutar acciones o invocar herramientas y datos de forma autónoma.
- Prompt injection: manipulación de un modelo mediante instrucciones maliciosas incrustadas en la entrada o en datos externos.
- Datos sensibles: [definir según la organización: datos personales, financieros, de clientes bajo secreto, credenciales, propiedad intelectual, etc.]
3. Herramientas de IA aprobadas
Solo pueden usarse las herramientas de IA aprobadas por [Seguridad de la Información / Comité de IA]. El uso de herramientas no aprobadas (Shadow AI) está prohibido.
| Herramienta aprobada | Uso permitido | Dueño / responsable |
| [p. ej. Asistente X — versión empresarial] | [tareas permitidas] | [área] |
| [ … ] | [ … ] | [ … ] |
4. Datos: qué se permite y qué no
✓ Permitido introducir en la IA
- Información pública o ya publicada.
- Datos internos no sensibles.
- Contenido anonimizado o agregado sin datos identificables.
- [completar]
✕ Prohibido introducir en la IA
- Datos personales o de clientes identificables sin autorización.
- Credenciales, contraseñas, claves de API o tokens.
- Información financiera, contractual o bajo secreto.
- Código propietario o secretos comerciales [según política].
5. Uso aceptable y uso prohibido
✓ Aceptable
- Redacción, resúmenes y borradores revisados por una persona.
- Apoyo a la programación con revisión humana del código.
- Ideación, investigación y aprendizaje.
✕ Prohibido
- Tomar decisiones automáticas sobre personas sin supervisión humana.
- Publicar salidas de IA sin revisión (riesgo de error o desinformación).
- Conectar agentes a sistemas críticos sin aprobación de Seguridad.
- Ejecutar código generado por IA sin revisión en entornos productivos.
6. Controles obligatorios
- Revisión humana (human-in-the-loop): toda acción de riesgo —enviar datos, borrar, modificar registros, ejecutar cambios— requiere aprobación explícita de una persona.
- Privilegio mínimo: los agentes acceden solo a los sistemas y datos estrictamente necesarios.
- Sin ejecución libre de código: no se ejecuta código generado por IA sin revisión; el acceso a backend requiere credenciales válidas y trazables.
- Registro y auditoría: se registran prompts, respuestas e invocaciones de herramientas para su revisión.
- Verificación de salidas: las salidas de IA se validan antes de usarse aguas abajo.
7. Responsabilidades
| Rol | Responsabilidad |
| Patrocinador ejecutivo [cargo] | Aprueba la política y la tolerancia al riesgo de IA. |
| Seguridad de la Información / CISO | Aprueba herramientas, define controles, monitorea y responde a incidentes. |
| Dueño de cada sistema de IA | Responde por el uso, los accesos y el cumplimiento de su sistema. |
| Todo el personal | Cumple la política, reconoce prompts sospechosos y reporta incidentes. |
8. Incumplimiento y vigencia
El incumplimiento de esta política puede derivar en [medidas disciplinarias según el reglamento interno]. Esta política entra en vigencia el [fecha], es propiedad de [área] y se revisa al menos [anualmente / cada 6 meses].
Anexo — Hoja de ruta de gobierno de IA (30 / 60 / 90 días)
30 días · Visibilidad
- Publicar esta política de uso aceptable de IA.
- Inventariar qué herramientas de IA se usan y a qué sistemas y datos acceden (CIS Control 2 y 3).
- Nombrar dueños de cada sistema de IA y un patrocinador ejecutivo (NIST AI RMF — GOVERN).
- Mapear casos de uso y riesgos; decidir go / no-go inicial (NIST AI RMF — MAP).
60 días · Control
- Aplicar privilegio mínimo y revisión humana en acciones de riesgo (CIS Control 6).
- Activar el registro de prompts, respuestas e invocaciones (CIS Control 8).
- Clasificar y bloquear los datos que no deben entrar a la IA (CIS Control 3).
- Revisar allowlists y configuraciones por defecto de las herramientas aprobadas.
90 días · Madurez
- Modelar amenazas con MITRE ATLAS y hacer pruebas adversariales / pentest (CIS Control 16).
- Alinear el programa a NIST AI RMF (MEASURE y MANAGE) y evaluar la adopción de ISO/IEC 42001.
- Capacitar al personal en prompt injection e higiene de datos (CIS Control 14).
- Establecer una cadencia de revisión y reporte al comité de riesgo.