Semana 9: ISO 42001, NIST AI RMF, COBIT, OCDE y UNESCO
Microcredencial en Inteligencia Artificial y Análisis de Datos
Universidad Latinoamericana de Ciencia y Tecnología
Marzo 2026
Contenidos de la sesión
De principios voluntarios a regulación vinculante
Casi la mitad de las organizaciones reportan fallas de gobernanza vinculadas a proyectos de IA generativa (McKinsey 2025). Solo 1 de cada 5 empresas tiene gobernanza madura para IA agéntica (Deloitte 2026). La gobernanza responsable incrementa las tasas de éxito de proyectos entre un 30% y 40% (PwC 2025).
"NIST provee la metodología de gestión de riesgos. ISO 42001 provee el sistema de gestión auditable. El EU AI Act provee los requisitos legales. Una organización que implementa los tres no duplica esfuerzos si usa los crosswalks publicados." -- Global AI Compliance Center
El primer y único estándar internacional certificable específico para IA
Publicado en diciembre 2023, ISO/IEC 42001 se construye sobre la High Level Structure (Annex SL) de ISO, compartida con ISO 27001 (seguridad de información) e ISO 9001 (calidad). Sigue la metodología Plan-Do-Check-Act (PDCA) a través de diez cláusulas:
El Anexo A contiene controles que cubren:
Al compartir la estructura Annex SL, las organizaciones que ya tienen ISO 27001 o ISO 9001 pueden integrar ISO 42001 sin duplicar esfuerzos. Empresas como Swimlane mantienen la "triple certificación" (42001 + 27001 + 27701) bajo un sistema de gestión unificado.
Un estándar que madura rápidamente con normas acompañantes
Schellman (primer CB acreditado por ANAB para ISO 42001), BSI, SGS, TÜV SÜD y Applus+ Laboratories. La infraestructura de certificación se expande aceleradamente para satisfacer la creciente demanda global.
La certificación como ventaja competitiva y escudo regulatorio
Softtek (México) se convirtió en la primera empresa tecnológica de la región en obtener certificación ISO 42001, anunciada el 6 de noviembre de 2025, certificada por Applus+.
INTECO (Costa Rica) adoptó el estándar nacionalmente como INTE/ISO/IEC 42001:2026.
El organismo certificador G-Certi se posiciona para ofrecer servicios ISO 42001 en 104 economías con enfoque especial en la región.
ISO 42001 está siguiendo la misma trayectoria de adopción que ISO 27001: de estándar emergente a requisito de mercado. Las organizaciones con certificación temprana tendrán ventaja competitiva conforme la demanda se vuelva norma en contratos y licitaciones.
Cuatro funciones centrales para la gestión de riesgos de IA
El NIST AI RMF 1.0 (AI 100-1), publicado el 26 de enero de 2023, estructura la gobernanza de IA confiable en un ciclo iterativo de cuatro funciones, no una secuencia lineal. Identifica siete características de IA confiable: válida y confiable, segura, resiliente, responsable y transparente, explicable e interpretable, con privacidad mejorada, y equitativa.
Establece la cultura organizacional de riesgo de IA, políticas, roles y rendición de cuentas. Es la función fundacional que permea las otras tres.
Construye conciencia contextual: sistemas de IA, stakeholders, riesgos potenciales, usos previstos e imprevistos, y poblaciones vulnerables.
Proporciona métodos analíticos: detección de sesgo, monitoreo de desempeño, métricas de equidad y seguimiento de cumplimiento.
Prioriza mitigación de riesgos, asigna recursos, establece protocolos de respuesta a incidentes y planes de acción.
A diferencia de ISO 42001, el NIST AI RMF no es certificable. Es un marco de orientación flexible que las organizaciones adaptan a su contexto, y que reguladores y legisladores referencian en leyes y guías de enforcement.
Extensiones para IA generativa, ciberseguridad y derechos humanos
Publicado julio 2024. Identifica 12 categorías de riesgo únicas o exacerbadas por IA generativa. Contiene más de 200 acciones sugeridas. Texas TRAIGA crea safe harbor para entidades que cumplan sustancialmente con este perfil.
Borrador preliminar diciembre 2025. Integra el AI RMF con el Cybersecurity Framework 2.0 en tres áreas: asegurar sistemas de IA, defensa cibernética habilitada por IA, y contramedidas contra ataques cibernéticos con IA.
SP 800-218A: desarrollo seguro para IA generativa. SP 800-53 R5.2.0 (agosto 2025): nuevos controles relevantes para IA. Perfil de Derechos Humanos del Departamento de Estado.
NIST mantiene mapeos oficiales del AI RMF hacia: ISO/IEC 42001 (contribuido por Microsoft), ISO/IEC 23894, ISO/IEC 42005, EU AI Act, Recomendación de la OCDE, Singapore AI Verify, Guías de Japón AISI y Korea TTA Guidebook. Estos crosswalks permiten usar NIST operacionalmente mientras se persigue certificación ISO, un enfoque común en empresas estadounidenses.
Navegando vientos políticos sin perder relevancia técnica
En enero 2025, se revocó la Orden Ejecutiva 14110 de Biden que dirigía el trabajo de NIST sobre IA generativa. En julio 2025, el plan "America's AI Action Plan" ordenó a NIST revisar el AI RMF para eliminar referencias a desinformación, diversidad e inclusión, y cambio climático.
El AI RMF 1.1 está en desarrollo incorporando estas revisiones. Un decreto de diciembre 2025 creó un grupo de litigio de IA en el DOJ para impugnar leyes estatales, lo que provocó que 42 fiscales generales enviaran una carta oponiéndose.
El NIST AI RMF sigue siendo el estándar de facto para gobernanza de IA en EE.UU. Las agencias federales (FTC, CFPB, FDA, SEC, EEOC, DoD, GAO) lo referencian en guías de enforcement.
Empresas como Workday, IBM y AWS alinean sus prácticas de gobernanza al marco. Disponible en traducciones al japonés y árabe.
Las leyes estatales anti-discriminación subyacentes no se ven afectadas por los cambios políticos al marco mismo.
La lección para profesionales de gobernanza: los marcos técnicos son herramientas, no posiciones políticas. El valor del NIST AI RMF reside en su estructura de gestión de riesgos, que trasciende ciclos políticos y es aplicable independientemente de la dirección regulatoria del momento.
Un puente desde la gobernanza empresarial existente
Publicado por ISACA, COBIT estructura la gobernanza de tecnología empresarial en 5 dominios con 40 objetivos, operando a través de siete componentes: procesos, estructuras organizacionales, políticas y procedimientos, personas y competencias, cultura y ética, flujos de información, e infraestructura.
EDM: Evaluar, Dirigir y Monitorear (gobernanza a nivel de junta). APO: Alinear, Planificar y Organizar (estrategia, presupuesto, riesgo, recursos).
BAI: Construir, Adquirir e Implementar (desarrollo, gestión de cambios). DSS: Entregar, Dar Servicio y Soporte (operaciones, seguridad, continuidad).
MEA: Monitorear, Evaluar y Valorar (desempeño, cumplimiento regulatorio, aseguramiento).
Alineación de objetivos de IA con metas de negocio. Accountability y propiedad claras. Gestión de riesgos robusta a lo largo del ciclo de vida. Mecanismos de mejora continua. Loops de retroalimentación documentados. Guía de cumplimiento regulatorio.
ISACA usó el caso del chatbot de Air Canada como ejemplo de gobernanza inadecuada. El chatbot proporcionó información incorrecta sobre tarifas de duelo, generando responsabilidad legal. COBIT habría requerido supervisión en EDM01 y gestión de riesgos en APO12.
ISACA acelera su oferta para profesionales de gobernanza de IA
Advanced in AI Audit: primera certificación avanzada de auditoría específica de IA. Requiere CISA, CIA o CPA activo. Cubre gobernanza y riesgo de IA, operaciones de IA, y herramientas de auditoría de IA.
Advanced in AI Security Management: primera certificación de gestión de seguridad centrada en IA. Requiere CISM o CISSP activo. Complementa los conocimientos de ciberseguridad con gobernanza de IA.
Certificado de nivel introductorio sin prerrequisitos. Proporciona alfabetización básica en IA para profesionales de todas las áreas. Complementado por un AI Controls Toolkit.
Un estudio de junio 2025 desarrolló un marco de gobernanza de IA para ciudades inteligentes integrando COBIT 2019, demostrando mejoras medibles de madurez: 69.2% en DSS05 (Gestión de Servicios de Seguridad) y 60.7% en APO12 (Riesgo Gestionado).
COBIT no fue diseñado para riesgos específicos de IA como sesgo algorítmico, equidad o explicabilidad. Estos deben abordarse mediante las guías suplementarias de ISACA o integrando otros marcos (NIST, ISO 42001). Su fortaleza está en extender gobernanza de TI existente a la IA, no en reemplazar marcos especializados.
El lenguaje común global, actualizado para la era generativa
Adoptados originalmente en mayo 2019 como el primer estándar intergubernamental sobre IA, fueron actualizados en mayo 2024 para abordar IA generativa, IA de propósito general y evolución post-despliegue. El G20 adoptó principios alineados. 47 adherentes se han comprometido, incluyendo todos los miembros de la OCDE y la Unión Europea.
En noviembre 2023, la OCDE revisó su definición de sistema de IA, ahora adoptada por el EU AI Act, el Consejo de Europa, Estados Unidos, Naciones Unidas y Japón. Esta definición proporciona la terminología legal fundacional utilizada a través de jurisdicciones, logrando armonización conceptual sin precedentes.
Siete países latinoamericanos adherentes y un observatorio de referencia global
Siete países de la región se han adherido a los Principios de la OCDE sobre IA: Argentina, Brasil, Chile, Colombia, Costa Rica, México y Perú.
Una evaluación OCDE/CAF clasificó a Colombia y Uruguay como los más maduros, mientras que Costa Rica y México muestran "compromiso sólido."
Costa Rica, como miembro de la OCDE, participa en el Comité de Gobernanza de IA y el Global Partnership on AI (GPAI). La ENIA 2024-2027 se alinea explícitamente con los principios de la OCDE.
Los Principios de la OCDE cumplen una función única: no son certificables ni vinculantes, pero establecen el lenguaje y los valores compartidos que luego se operacionalizan a través de marcos técnicos (NIST, ISO) y se hacen exigibles mediante regulación (EU AI Act, leyes nacionales).
El instrumento normativo global más amplio: 193 estados miembros
Adoptada unánimemente en noviembre 2021 por los 193 estados miembros de la UNESCO. Articula 4 valores fundamentales, 10 principios y 11 áreas de acción política.
Derechos humanos y dignidad. Sociedades pacíficas y justas. Diversidad e inclusión. Medio ambiente y florecimiento del ecosistema.
Proporcionalidad y no causar daño. Seguridad. Privacidad. Gobernanza multi-stakeholder. Responsabilidad y rendición de cuentas. Transparencia y explicabilidad. Supervisión humana. Sostenibilidad. Conciencia y alfabetización. Equidad y no discriminación.
Evaluación de impacto ético. Gobernanza de datos. Género. Cultura. Educación e investigación. Salud. Economía y trabajo. Medio ambiente. Servicios públicos. Comunicación e información. Cooperación internacional.
Desplegada en más de 80 países (desde 50 en 2023). Evalúa preparación en cinco dimensiones: legal/regulatoria, social/cultural, económica, científica/educativa y técnica/infraestructural. Chile fue el primer país del mundo en completar el RAM. El 3er Foro Global sobre Ética de IA se celebró en Bangkok en junio 2025.
Costa Rica como líder regional en ética de IA según la UNESCO
Costa Rica está entre los 50 países iniciales del RAM y es uno de solo 10 países piloto para el Global Index on Responsible AI (junto a Canadá, India, Kenya y otros).
La UNESCO publicó el documento "Artificial Intelligence in Costa Rica: Justice, Ethics, and Inclusion".
En noviembre 2025, UNESCO se asoció con Costa Rica en una iniciativa para equipar funcionarios públicos de más de 300 entidades con competencias en IA, lanzando un MOOC co-desarrollado con la Universidad de Oxford.
La Escuela de Administración Pública de la UCR es miembro de la alianza SPARK-AI de la UNESCO.
La posición de Costa Rica en el ecosistema de la UNESCO es estratégica: participación simultánea en RAM, en el índice piloto de IA responsable, y con una estrategia nacional (ENIA) explícitamente alineada con los principios de la UNESCO y la OCDE.
Tipo, certificabilidad, enforcement y cobertura
| Dimensión | ISO 42001 | NIST AI RMF | COBIT 2019 | OCDE | UNESCO |
|---|---|---|---|---|---|
| Tipo | Estándar certificable | Marco de riesgo | Gobernanza de TI | Principios de política | Estándar ético |
| Certificable | Sí (único) | No | No (para IA) | No | No |
| Enforcement | Mercado + safe harbors | Referenciado por reguladores | Voluntario | Presión de pares | Voluntario (RAM) |
| Cobertura GenAI | Vía evaluación de riesgos | Perfil AI 600-1 | No específica | Actualizado 2024 | No específica |
| Audiencia principal | Todas las organizaciones | Todas las organizaciones | Líderes TI/negocio | Gobiernos | Todos los stakeholders |
| Alcance geográfico | Global (ISO) | EE.UU. / global | Global (ISACA) | 47 adherentes | 193 estados miembros |
| Relevancia para CR | INTE adoptó INTE/ISO 42001:2026 | Referencia técnica | Extensión de TI | CR es miembro OCDE | CR es país piloto |
Los marcos no compiten, se complementan en un ecosistema integrado
OCDE + UNESCO
Establece los valores universales y las barandillas éticas. Define el "por qué" y los principios rectores que orientan toda la gobernanza.
NIST AI RMF + ISO 42001 + COBIT
Proporciona estructuras de implementación, gestión de riesgos y cumplimiento operativo. Define el "cómo" se operacionalizan los principios.
EU AI Act + leyes nacionales
Hace la gobernanza exigible. Define obligaciones, prohibiciones, multas y mecanismos de enforcement. Define el "qué debe hacerse."
GPAI + acuerdos bilaterales
Soporta armonización transfronteriza, intercambio de mejores prácticas y coordinación entre jurisdicciones.
Mapeos oficiales que eliminan duplicación de esfuerzos
El consenso experto en 2026 es claro: integración de marcos, no selección de un marco único, define la mejor práctica. Los crosswalks oficiales publicados por NIST, ISO y centros de investigación permiten que las organizaciones construyan programas unificados donde cada marco aporta su fortaleza sin generar trabajo duplicado.
Mapeo contribuido por Microsoft. Las subcategorías del AI RMF se alinean con las cláusulas de ISO 42001. Permite usar NIST para operación diaria mientras se persigue certificación ISO.
Crosswalk oficial que vincula las funciones Govern/Map/Measure/Manage con los requisitos del EU AI Act por categoría de riesgo. Crucial para empresas con operaciones transatlánticas.
El Código de Práctica GPAI se mapea directamente a ISO 42001. La certificación ISO se posiciona como evidencia de conformidad ante los requisitos europeos.
Una empresa con operaciones en EE.UU. y Europa implementa ISO 42001 como sistema de gestión central, usa NIST AI RMF para la metodología de riesgo operacional, alinea con los requisitos del EU AI Act para su mercado europeo, adopta los principios OCDE como marco de valores, y referencia la Recomendación UNESCO para su política de derechos humanos. Un solo programa de gobernanza, múltiples marcos integrados.
Un mapa en rápida transformación
Singapur: primer marco de gobernanza para IA agéntica (enero 2026). China: más regulaciones sectoriales que cualquier otro país; legislación comprehensiva es prioridad 2026. India: AI Impact Summit con 118 países y USD 200B+ en compromisos de inversión.
Paris AI Action Summit (feb 2025): 62 países firmaron declaración. India AI Impact Summit (feb 2026): el mayor evento global de IA con 600,000+ asistentes. G7 "AI for Prosperity" (jun 2025). Total: más de USD 200 mil millones en compromisos de inversión en IA.
Cinco cambios estructurales en el panorama de gobernanza de IA
El EU AI Act (agosto 2026), el Colorado AI Act, y 24 estados de EE.UU. adoptando el NAIC Model Bulletin significan que la gobernanza pasa de mejor práctica a obligación legal. Las organizaciones que postergan se exponen a riesgos crecientes.
Los crosswalks oficiales proliferan. La definición OCDE se convirtió en estándar global. ISO 42001 se posiciona como la columna vertebral universal de compliance. La fragmentación regulatoria se mitiga mediante armonización técnica.
Solo 20% de empresas tiene gobernanza madura para IA agéntica. El marco de Singapur (enero 2026) es el primer intento de abordar riesgos de agentes autónomos. Los marcos existentes requieren adaptación continua.
El perfil Cyber AI de NIST y los controles de IA en SP 800-53 aceleran la integración entre seguridad de la información y gobernanza de IA. Las organizaciones necesitan equipos cross-funcionales que entiendan ambos dominios.
Organizaciones con alta madurez en IA sostienen iniciativas a 2.25x la tasa de las menos maduras (Gartner). Equipos de procurement comienzan a referenciar ISO 42001 junto a SOC 2. La gobernanza dejó de ser costo y se convirtió en diferenciador de mercado.
De la teoría a la práctica de marcos y estándares de gobernanza de IA
La mejor práctica no es elegir un marco, sino integrar varios según el contexto organizacional. Los crosswalks publicados eliminan duplicación. ISO 42001 como sistema certificable, NIST como metodología de riesgo, OCDE/UNESCO como valores, COBIT como puente desde TI, y regulación aplicable como obligación. Un programa, múltiples capas.
Con el EU AI Act activando obligaciones de alto riesgo en agosto 2026, leyes estatales creando safe harbors vinculados a marcos específicos, y Fortune 500 exigiendo ISO 42001 a proveedores, el costo de no gobernar supera ampliamente el costo de implementar. La transición de voluntario a obligatorio ya ocurrió.
Miembro de la OCDE, país piloto de UNESCO, primera estrategia de IA en Centroamérica (ENIA 2024-2027), estándar INTE/ISO 42001:2026 adoptado, y Primer Diálogo Nacional en noviembre 2025. La base está puesta; el desafío es pasar de estrategia a implementación concreta.
Los marcos son herramientas, no fines. Su valor se materializa cuando se implementan en organizaciones reales con roles claros, políticas ejecutables y cultura de datos. La ausencia total de marcos, como veremos en casos reales, produce consecuencias medibles: multas millonarias, daño reputacional, y en los casos más graves, daño humano directo.
Síntesis de la sesión y actividad práctica
Profundizaremos en el EU AI Act (enfoque basado en riesgo), estrategias nacionales de IA en Latinoamérica, regulación sectorial, sandbox regulatorios, el papel de organismos internacionales y tendencias regulatorias emergentes.
Después de esta presentación, trabajaremos en equipos un caso de análisis ético-crítico donde aplicarán los marcos y estándares de gobernanza que hemos discutido hoy, junto con los conceptos de semanas anteriores.