Brochures

Training Data as an Information Asset Under ISO 27001:2022

Zertia Team · 7 min read
Share

Cuando ISO 27001:2022 añadió el control A.8.11 (“enmascaramiento de datos”) y amplió el lenguaje en torno a la clasificación de datos, la mayoría de implementadores lo registraron como una actualización menor. El cambio más grande fue más silencioso y más consecuente: la norma empezó a tratar los datos de entrenamiento como un activo de información de primera clase.

Esto importa porque la mayoría de organizaciones con sistemas de IA tienen datos de entrenamiento que nunca fueron tratados como activo de información en absoluto. Se trataron como artefacto técnico, propiedad del área de data science, gobernados informalmente, y clasificados inconsistentemente, si acaso.

## La creencia habitual

La asunción por defecto es que ISO 27001 cubre datos de producción, datos de cliente y datos de empleado. Los datos de entrenamiento, si se consideran en absoluto, se sitúan en una zona gris: no son datos operativos, no son exactamente propiedad intelectual, y no parecen el tipo de activo que pertenece al registro de 27001.

Esa asunción falla en el momento en que los modelos de la organización se vuelven comercialmente relevantes. Los datos de entrenamiento se convierten en el ingrediente que determina el comportamiento del modelo, y por tanto en el ingrediente cuya calidad, procedencia y seguridad determinan la calidad del producto y la responsabilidad sobre el producto.

## Qué espera realmente 27001:2022

Varios controles del Anexo A de 2022 aplican directamente a los datos de entrenamiento, aunque la norma no los singularice por nombre. Los controles aplicables incluyen:

A.5.12 (clasificación de la información): los datasets de entrenamiento requieren clasificación igual que cualquier otro activo de información, con implicaciones de acceso, manejo y retención.
A.5.13 (etiquetado de la información): las etiquetas de clasificación deben propagarse a través de los pipelines de entrenamiento, no detenerse en la base de datos operativa.
A.8.10 (borrado de la información): cuando los interesados ejercen derechos de supresión, la ruta desde almacenes operativos a conjuntos de entrenamiento raramente está documentada, y la norma la espera cada vez más.
A.8.11 (enmascaramiento de datos): trata específicamente técnicas como enmascaramiento, seudonimización y privacidad diferencial que son directamente relevantes para el gobierno de datos de entrenamiento.
A.5.34 (privacidad y protección de PII): se extiende a PII que termina en datos de entrenamiento, no solo a PII en bases de datos operativas.
A.8.12 (prevención de fuga de datos): incluye explícitamente los datos de entrenamiento como categoría donde debe evaluarse el riesgo de fuga.

Tomados en conjunto, estos controles producen una expectativa 27001 de que los datos de entrenamiento están clasificados, etiquetados, sujetos a borrado, sujetos a enmascaramiento donde corresponda, y monitorizados para detectar fugas. En la práctica, la mayoría de organizaciones no puede producir evidencia para ninguno de estos frente a sus datos de entrenamiento.

> El inventario de activos de información en la mayoría de documentos de SGSI termina en la base de datos de producción. Los datos de entrenamiento en object storage, alimentando a los modelos, están a menudo completamente fuera del mapa.
>

## Dónde está el problema real

Tres gaps concretos aparecen repetidamente en auditorías.

### 1. La procedencia no está documentada

La mayoría de datasets de entrenamiento se ensamblan a partir de una mezcla de datos internos, datasets licenciados, datos públicos extraídos y datos sintéticos. La procedencia de cada fragmento raramente se registra de una forma que el SGSI pueda auditar. Cuando llega una reclamación de copyright, una solicitud de un interesado, o una investigación regulatoria, la organización no puede responder qué vino de dónde.

### 2. La clasificación no se propaga

Un registro de cliente en la base de datos de producción puede estar clasificado como “Confidencial” con controles asociados. El mismo registro, extraído en un dataset de entrenamiento en formato Parquet en object storage, a menudo pierde su clasificación por completo. Los controles se detienen en el límite del pipeline.

### 3. El borrado no alcanza los conjuntos de entrenamiento

Cuando un interesado ejerce el derecho de supresión bajo GDPR o regímenes equivalentes, la mayoría de organizaciones borran de las bases de datos operativas pero no borran de los datasets de entrenamiento. El modelo entrenado sobre el dato sigue existiendo. Si eso constituye incumplimiento es una cuestión legal viva, y los reguladores están tomando cada vez más la posición de que sí.

## Replanteando la pregunta

La pregunta que la mayoría de implementaciones de SGSI hace es “¿Qué activos de información tenemos?”. La pregunta que las organizaciones que operan IA necesitan hacerse es “¿Qué activos de información tenemos, y cuántos de ellos existen solo en datasets de entrenamiento que no han sido clasificados, etiquetados, o mapeados a flujos de borrado?”.

La respuesta suele ser sorprendente. Los datasets de entrenamiento pueden contener datos estructurados de cliente, documentos internos no estructurados, contenido web extraído y datos licenciados de terceros, todo mezclado en un único activo cuyo perfil de clasificación es efectivamente el subconjunto de mayor riesgo pero cuyo manejo es el más laxo en la organización.

## El cambio estructural

El gobierno del dato ha pasado la última década moviéndose de la clasificación estática a la clasificación de ciclo de vida: el mismo dato tiene perfiles de riesgo distintos en reposo, en tránsito, en producción, en analítica, y ahora en entrenamiento. 27001:2022 codifica esta vista de ciclo de vida con el nuevo sistema de atributos y el conjunto de controles consolidado.

Los sistemas de IA empujan el ciclo de vida un paso más allá. Los datos de entrenamiento no son solo otra etapa; son una etapa donde el dato pierde su contexto original y adquiere riesgos nuevos: memorización del modelo, ataques de inferencia de pertenencia, entanglement de copyright, ataques de reconstrucción de privacidad. Cada uno es un modo de fallo que el framing de activo de información trata directamente (si el activo ha sido registrado) o pierde por completo.

## Qué significa esto para tu organización

Añade los datasets de entrenamiento a tu inventario de activos de información. Este suele ser un ejercicio de mapeo puntual, que revela entre 10 y 100 datasets significativos que no estaban formalmente registrados. El mapeo produce la base para aplicar los controles 27001:2022 de forma consistente.

Extiende las reglas de clasificación a los pipelines de entrenamiento. Cuando el dato pasa de producción a entrenamiento, la clasificación debería propagarse automáticamente, no resetearse. Esto suele requerir cambios de metadato en pipelines de datos y procesos ETL.

Construye trazabilidad de borrado antes de que los reguladores la exijan. Mapea la ruta desde una solicitud de borrado operativo hasta el impacto en el dataset de entrenamiento. En la mayoría de organizaciones ese mapa no existe. Construirlo ahora es más barato que bajo plazos regulatorios.

> Un SGSI que no sabe qué hay en sus datos de entrenamiento no está equivocado. Está incompleto. Y la incompletitud es exactamente donde vive el próximo hallazgo de auditoría.
>

¿Listo para cerrar el gap de datos de entrenamiento en tu SGSI?

📩 [[email protected]](mailto:[email protected]) · 🌐 [zertia.ai](http://zertia.ai)

Your fast track to compliance starts here

Our team is ready to support your compliance, cybersecurity, and privacy needs. Complete the contact form or reach out to [email protected], and our experts will guide you through the next steps.