Si su organización dispone de ISO 27001 y opera con IA, ISO 42001 no es un segundo proyecto. Es una extensión. La pregunta no es si añadirla, sino cómo añadirla sin duplicar trabajo, crear documentación paralela ni desestabilizar el SGSI que ya supera las auditorías.
La creencia habitual
Existen dos enfoques opuestos muy comunes. El primero trata la 42001 como un complemento ligero, algo que puede acoplarse al SGSI con unos pocos documentos nuevos. El segundo la trata como un sistema paralelo completo, implementado de forma independiente para evitar confusiones.
Ambos enfoques pierden de vista la intención de diseño. ISO 42001 se construyó sobre la misma Estructura Armonizada que la 27001, precisamente para que las organizaciones pudieran ampliar su sistema de gestión existente en lugar de construir uno segundo. Pero la extensión no es cosmética. Requiere decisiones deliberadas sobre qué compartir y qué mantener diferenciado.
Qué compartir, qué extender, qué añadir
Compartir (sin necesidad de rehacer)
Las cláusulas 4 a 10 de ambas normas son estructuralmente idénticas. Esto significa que el análisis de contexto existente, el compromiso de la dirección, el marco de planificación, la infraestructura de soporte, la evaluación del desempeño y los procesos de mejora pueden servir directamente a ambas normas. Una organización con un SGSI maduro de la 27001 ya ha realizado este trabajo. Reescribirlo para la 42001 es un desperdicio.
Los elementos compartidos incluyen habitualmente:
- Proceso de revisión por la dirección y su cadencia
- Estructura del programa de auditoría interna
- Control de documentos y registros
- Marco de competencia y formación
- Proceso de acciones correctivas
- Planificación de recursos y compromiso del liderazgo
Extender (adaptar los elementos existentes)
Algunos elementos sirven a ambas normas pero necesitan adaptación para acomodar el alcance específico de la IA. La metodología de gestión de riesgos es el ejemplo más claro: el marco de riesgos de la 27001 puede extenderse para cubrir los riesgos de la IA, pero las categorías de riesgo, los criterios de evaluación y las opciones de tratamiento necesitan incorporaciones específicas para la IA.
Otras extensiones habituales:
- Evaluación de proveedores (extendiendo el riesgo de proveedor a los proveedores de IA)
- Gestión del cambio (extendiéndola a las actualizaciones de modelos y el reentrenamiento)
- Respuesta ante incidentes (extendiéndola a los modos de fallo específicos de la IA)
- Declaración de alcance (incluyendo explícitamente los sistemas de IA)
Añadir (genuinamente nuevo)
Un pequeño número de controles del Anexo A de la 42001 no tiene equivalente en la 27001 y debe construirse desde cero. Estos incluyen:
- Evaluación del impacto de la IA para las partes afectadas
- Gobernanza de datos para sistemas de IA (procedencia de los datos de entrenamiento, idoneidad)
- Diseño de supervisión humana
- Gestión del ciclo de vida de los sistemas de IA
- Evaluación específica de terceros para IA
- Monitorización post-despliegue del comportamiento del modelo
Estas son las partes del SGIA que no pueden obtenerse adaptando el SGSI.
La migración no es un SGSI más grande. Es un SGSI que sabe dónde termina y dónde comienza el SGIA.
Un calendario de migración realista de 6 meses
Para una organización con un SGSI maduro de la 27001:
Meses 1–2: Evaluación de brechas. Mapear cada cláusula y control del Anexo A de la 42001 frente a las evidencias existentes de la 27001. Clasificar como compartir, extender o añadir. Construir un inventario de sistemas de IA en alcance y asignar titularidad.
Meses 2–4: Extensiones. Adaptar la metodología de riesgos, la evaluación de proveedores, la gestión del cambio y la respuesta ante incidentes para cubrir el alcance específico de la IA. Actualizar la declaración de alcance. Ampliar la Declaración de Aplicabilidad.
Meses 3–5: Nuevos controles. Construir los controles genuinamente nuevos de la 42001: evaluación de impacto, gobernanza de datos de IA, supervisión humana, gestión del ciclo de vida de la IA, monitorización post-despliegue. Desplegar y generar evidencias tempranas.
Meses 5–6: Auditoría interna conjunta (27001 + 42001), revisión por la dirección, preparación para la auditoría de Fase 1 de la 42001.
Una organización que comienza desde cero en la 42001, sin base de la 27001, necesita habitualmente 12 meses. El ahorro derivado de reutilizar la 27001 es real y significativo.
La pregunta sobre la migración se enmarca habitualmente como «¿Qué nuevos documentos necesitamos?». Un mejor enfoque es: «¿Qué nuevas capacidades necesita nuestro sistema de gestión y cómo las integramos en la cadencia operativa que ya tenemos?»
La documentación sigue a la capacidad, no al revés. Las migraciones construidas en torno a la documentación producen carpetas. Las migraciones construidas en torno a la capacidad producen un sistema de gestión que realmente gobierna la IA.
El cambio estructural
La certificación de sistemas de gestión avanza hacia una certificación modular y componible. La 27001, la 42001, la 27701, la 9001, la 22301 y la 14001 comparten todas la Estructura Armonizada. La expectativa del mercado es que las organizaciones maduras se certifiquen frente a varias de estas normas utilizando un único sistema de gestión integrado, con cada norma cubriendo el dominio en el que se especializa.
Las organizaciones que planifican ahora la modularidad añadirán normas futuras con un esfuerzo incremental. Las organizaciones que traten cada norma como un silo independiente cargarán con estructuras duplicadas durante décadas.
Qué significa esto para su organización
Audite el SGSI antes de planificar la extensión. La solidez de la migración depende enteramente de la calidad de la implementación existente de la 27001. Los cimientos débiles producen extensiones más débiles.
Secuencie la primera auditoría con cuidado. La primera certificación de la 42001 suele ser más limpia cuando se audita de forma independiente de la 27001, incluso cuando el sistema subyacente está integrado. Las auditorías combinadas son eficientes una vez que ambos sistemas están estabilizados.
Diseñe la Declaración de Aplicabilidad como un único documento con dos normas. La práctica moderna de GRC consiste en mantener una DdA unificada que haga referencia conjuntamente a los controles del Anexo A de la 27001 y del Anexo A de la 42001, con una atribución clara de qué control aborda los requisitos de cada norma.
Las organizaciones que certificarán la 42001 más rápidamente son las que tratan su SGSI como una plataforma, no como un producto. La plataforma absorbe nuevas normas. El producto queda obsoleto ante ellas.
¿Listo para extender su SGSI hacia la gobernanza de la IA?
📩 [email protected] · 🌐 zertia.ai
