Ir al contenido
Gobernanza y Conformidad

¿Qué es la ISO/IEC 42001 (norma de gestión de IA)?

La ISO/IEC 42001 es la primera norma internacional certificable para la gestión de la inteligencia artificial. Publicada en 2023 por ISO e IEC, define cómo una organización debe construir un Sistema de Gestión de IA (AIMS): una política de uso, evaluación de riesgo y de impacto, controles y mejora continua sobre todo el ciclo de vida de la IA. Es, para la IA, el equivalente de lo que la ISO/IEC 27001 es para la seguridad de la información: una empresa puede ser auditada por un tercero independiente y obtener la certificación para comprobar que usa IA de forma responsable.

Zamak TechnologiesActualizado el 10 de julio de 2026

Cómo funciona la ISO/IEC 42001 en la práctica

La norma no es una herramienta que se instala, sino un sistema de gestión que la empresa construye y mantiene sobre el uso de IA, con el mismo modelo de mejora continua (planificar, hacer, verificar, actuar) de las demás normas ISO. El ciclo tiene cuatro piezas.

1

Definir la política y la responsabilidad

La empresa pone por escrito para qué usa IA, qué está permitido, quién aprueba cada herramienta y quién responde por el programa. Sin dueño y sin regla, no hay sistema de gestión.

2

Evaluar riesgo e impacto de la IA

Cada uso de IA pasa por una evaluación de riesgo y de impacto: qué datos entran, qué decisión influye la IA, a quién puede afectar. Es lo que separa una norma de IA de una norma solo de seguridad.

3

Aplicar los controles y registrar la evidencia

A partir del Anexo A de la norma, la empresa selecciona los controles aplicables, los pone en práctica y guarda la prueba de que funcionan, en una Declaración de Aplicabilidad.

4

Auditar, certificar y mejorar

Un organismo de certificación independiente audita el sistema en dos etapas (documentación y operación). Aprobado, emite el certificado; el ciclo entonces se repite para mejorar de forma continua.

Fuente: ISO/IEC 42001:2023 (Sistema de Gestión de Inteligencia Artificial) y el modelo de sistemas de gestión de ISO.

Lo que cubre un Sistema de Gestión de IA (AIMS)

  • Política y gobernanza de IA Las reglas de uso, los roles y la rendición de cuentas: quién decide, quién aprueba herramientas y quién responde por el resultado.
  • Evaluación de riesgo y de impacto Un método repetible para juzgar cada uso de IA antes de habilitarlo, incluido el impacto sobre las personas y sobre el negocio.
  • Controles del Anexo A Un catálogo de controles de referencia (datos, transparencia, supervisión humana, ciclo de vida) de los cuales la empresa elige los aplicables y comprueba su adopción.
  • Gestión de datos y de ciclo de vida Reglas sobre los datos que alimentan la IA y sobre cada fase de la vida del sistema, del diseño al descarte.
  • Mejora continua y certificación Auditoría periódica, corrección de lo que falla y la certificación por un tercero como prueba externa de que el programa existe y funciona.

Por qué la ISO/IEC 42001 se convirtió en el sello de IA confiable que el mercado empezó a exigir

63%
de las organizaciones que sufrieron una filtración no tenían ninguna política de gobernanza de IA (IBM, Costo de una Filtración de Datos 2025)
20%
de las filtraciones se vincularon al uso no autorizado de IA, el shadow AI (IBM, 2025)
USD 670 mil
el costo extra promedio que un incidente de shadow AI agrega a una filtración (IBM, 2025)

La adopción de IA corrió por delante de la gobernanza, y el mercado reaccionó. Así como la ISO/IEC 27001 se volvió requisito en las compras de tecnología, la ISO/IEC 42001 se está convirtiendo en el sello que los grandes compradores piden antes de cerrar un contrato: en vez de preguntar si su IA es segura, el cliente pasó a preguntar si usted está certificado en ISO 42001. Por ser internacional, sirve como una sola prueba ante reguladores y clientes en varios mercados a la vez, de las Américas a Europa y Asia, donde nuevas leyes de IA (como la ley de IA de la Unión Europea) exigen justamente gobernanza demostrable. Para el negocio, la certificación deja de ser un costo y se vuelve un diferencial que abre puertas.

Cómo una empresa se prepara para la ISO/IEC 42001

Prepararse para la norma es menos sobre un certificado de última hora y más sobre empezar a gobernar el uso de IA que ya ocurre en la empresa. El camino más directo:

  1. Vea qué IA ya usa la empresaAntes de cualquier política, hay que ver el shadow AI: qué herramienta usa cada área, con qué datos. Lo que no se ve no se gobierna.
  2. Escriba la política y nombre al responsableUna regla clara de uso y una persona responsable del programa. Es la base que la norma exige y que la mayoría de las empresas aún no tiene.
  3. Evalúe el riesgo y aplique los controlesEjecute la evaluación de riesgo y de impacto, seleccione los controles del Anexo A y empiece a reunir la evidencia de que funcionan.
  4. Trátelo como postura continuaLa certificación no es una foto, es una película: la evidencia se reúne de forma continua, no se arma a último momento, la víspera de la auditoría.
  5. Solo entonces busque la certificaciónCon el sistema en marcha, un organismo independiente audita y certifica. Llegar al auditor con el sistema ya vivo acorta el camino.

En la práctica

La pregunta que revela el riesgo real: si un cliente grande exigiera la certificación de IA mañana como condición de contrato, ¿la empresa sabría por dónde empezar, o descubriría que nunca escribió una línea de política de IA?

Cómo trata la Zamak la conformidad con la ISO/IEC 42001

Zamak Technologies apoya el camino hacia la ISO/IEC 42001 como parte de la Gobernanza y Conformidad del Método Zamak: política de uso de IA, clasificación de datos, evaluación de riesgo, aprobación de herramientas y evidencia auditable sobre una plataforma de conformidad. Vale la distinción honesta: la norma documenta y comprueba el uso responsable de IA, no bloquea técnicamente que los datos salgan, lo que es una capa de defensa técnica dimensionada aparte. Un buen punto de partida es el autodiagnóstico de exposición a la IA, que muestra en minutos dónde la empresa está más expuesta.

Preguntas frecuentes sobre la ISO/IEC 42001

¿La ISO/IEC 42001 es obligatoria?
No. Es una norma voluntaria. Pero, como ocurrió con la ISO/IEC 27001 en la seguridad de la información, los grandes clientes y los sectores regulados cada vez más la exigen en el contrato, lo que la vuelve obligatoria en la práctica para quien quiere venderles.
¿Cuál es la diferencia entre el NIST AI RMF y la ISO/IEC 42001?
El NIST AI RMF es un marco voluntario y gratuito, creado en los Estados Unidos, que da un lenguaje común y un proceso para gestionar el riesgo de IA, sin certificación. La ISO/IEC 42001 es una norma internacional certificable: un tercero independiente la audita y emite un certificado. Muchas empresas usan el NIST AI RMF para estructurar la gestión de riesgo y buscan la ISO 42001 para tener la prueba externa y certificable. Los dos se complementan.
¿Necesito tener IA propia para adoptar la norma?
No. La ISO/IEC 42001 aplica a quien desarrolla, provee o solo usa sistemas de IA. Una empresa que solo usa herramientas de IA de terceros también tiene un sistema de gestión de IA que cuidar.
¿Cuánto tiempo lleva certificarse?
Depende del tamaño y de la madurez de la empresa, pero el tiempo lo domina la preparación: construir la política, evaluar los riesgos y reunir la evidencia. La auditoría en sí ocurre en dos etapas, y el certificado debe mantenerse con auditorías periódicas.
¿La certificación garantiza que nuestra IA nunca va a fallar?
No. Ninguna norma elimina el riesgo. La ISO/IEC 42001 comprueba que la empresa gestiona el riesgo de IA de forma estructurada y mejora de forma continua, lo que reduce la probabilidad y el impacto de un incidente, no lo lleva a cero.
¿Adoptar la norma frena la productividad del equipo?
No es ese el objetivo. La norma ayuda a decidir y a probar el uso de IA, no a prohibir la IA. Bien aplicada, le da al equipo libertad para usar IA con reglas claras, en vez de que cada uno improvise por su cuenta.

Términos relacionados

Endpoint e Identidad
MFAPAM (acceso privilegiado)SSO (inicio de sesión único)
Detección y Respuesta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operaciones)
Red y Acceso
ZTNAFirewallVPNSASE
Gobernanza y Conformidad
LGPDISO 27001SOC 2NIST CSFShadow ITEvaluación de madurez cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestión de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidad)FedRAMPGRC (gobernanza, riesgo, cumplimiento)vCIOvCISO
Conceptos y Fundamentos
Deep webZero TrustDefensa en profundidadSuperficie de ataqueEndpointMenor privilegio
IA y Seguridad
Shadow AIGobernanza de IAInyección de promptsOWASP LLM Top 10Deepfake