1. Dominarás los conceptos clave y definiciones fundamentales de la norma ISO 42001.

2. Analizarás las bases terminológicas para entender los sistemas de gestión.

Conceptos esenciales de ISO/IEC 22989

En este primer bloque de aprendizaje nos adentraremos en los conceptos fundamentales que rigen el universo de la inteligencia artificial (IA) desde la perspectiva normativa. Nuestros estudiantes aprenderán qué es y qué no es la IA, cómo se diferencia de otras tecnologías automatizadas, y por qué es esencial establecer un lenguaje común y criterios claros antes de auditar, diseñar o implementar sistemas basados en IA.

Exploraremos los siguientes conceptos clave definidos por la ISO/IEC 22989:

• Inteligencia Artificial vs sistemas deterministas

• Sistemas de IA (AI Systems) y componentes clave

• Aprendizaje automático (machine learning)

• Modelos entrenados y no entrenados

• Datos de entrenamiento, validación y prueba

• Sesgos, incertidumbre y errores en IA

• Explicabilidad, trazabilidad, autonomía y adaptabilidad

• Inteligencia artificial general vs IA débil

• Sistemas híbridos y supervisados

• Agentes inteligentes, contextos, entornos y objetivos

Además, los estudiantes se familiarizarán con herramientas de comprensión práctica que incluyen:

• Diagramas conceptuales para visualizar las relaciones entre los términos normativos.

• Casos de uso reales, como asistentes virtuales, vehículos autónomos o modelos predictivos, para aplicar los conceptos.

• Glosarios interactivos, que facilitan el dominio del vocabulario técnico exigido por la norma.

• Primeras actividades orientadas a clasificar y auditar tecnologías según los criterios de la norma ISO/IEC 22989.

Este bloque es la base teórica y conceptual que permitirá a los estudiantes desenvolverse con seguridad en los siguientes niveles del curso, donde abordaremos riesgos, evaluación de impactos, gobernanza de IA y los requisitos establecidos por la ISO/IEC 42001.

En este primer proyecto nos centraremos en TensorFlow (Keras) porque ofrece una curva de aprendizaje muy suave dentro de Colab: bastan unas pocas líneas para definir y entrenar la red, y TensorBoard ya viene integrado para auditarla. El objetivo es aprender a verificar, explicar y documentar el desempeño de una Feed‑Forward Neural Network (FFNN).). Más adelante, en un segundo ejercicio, reproduciremos parte de GPT‑2 con PyTorch para contrastar enfoques y repetir la auditoría en un contexto de modelos generativos, pero la base conceptual se sienta aquí.

Herramientas y conceptos que dominarás

• Google Colab – cuaderno en la nube con GPU gratuita: ejecutas todo sin instalar nada.

• TensorFlow / Keras – framework de alto nivel para construir y entrenar la FFNN.

• TensorBoard – panel interactivo para inspeccionar curvas de pérdida/precisión, histogramas de pesos y el grafo computacional.

• Feed‑Forward Neural Network (FFNN) – arquitectura básica de IA para clasificación binaria.

• Proceso de auditoría de IA – validación de datos de entrada, detección de over‑fitting, revisión de arquitectura y trazabilidad de métricas (alineado con ISO 22989 / ISO 42001).

• Gobierno del modelo – fijar versiones de librerías, registrar logs, y traducir hallazgos técnicos a decisiones de negocio.

• PyTorch + GPT‑2 (fase posterior) – se utilizará para simular un modelo de lenguaje y repetir la auditoría, comparando resultados con el flujo basado en TensorFlow.

Con esta ruta progresiva, los estudiantes adquirirán una visión completa de cómo auditar redes neuronales, primero en un entorno supervisado clásico y luego en un escenario de IA generativa.

En este bloque del curso, los estudiantes continuar adquiriendo una comprensión estructurada y actualizada de los conceptos técnicos, funcionales y metodológicos que definen a la inteligencia artificial según la norma ISO/IEC 22989.

Listado de conceptos clave que dominarán los estudiantes:

• Minería de datos vs. aprendizaje automático

• Algoritmos de machine learning y su entrenamiento

• Toma de decisiones autónomas y adaptativas

• Aprendizaje continuo (lifelong learning)

• Modelos explicables y trazabilidad algorítmica

• Diferencias entre IA simbólica y subsimbólica

• Redes neuronales artificiales (FFNN, CNN, RNN, LSTM)

• Evaluación y validación de calidad de datos

• Big data

• Computación semántica y estructuras ontológicas

• IoT, sistemas ciberfísicos e infraestructura de IA (nube y borde)

• Ciclo de vida funcional de los sistemas de IA

• Ecosistemas de la IA, arquitectura por capas y funciones en sistemas inteligentes

Aprende los principales campos de aplicación de la IA, y como entender su funcionamiento:

Principales dominios de aplicación de la IA:

• • Visión por computadora (Haremos ejercicio práctico para entenderlo).

  • Procesamiento de lenguaje natural

  • Natural language processing (NLP)

  • Natural Language Generation (NLG)

  • Optical Character Recognition (OCR)

  • Text-to-Image/Video Generation (T2I)

  • Agentes conversacionales

  • Sistemas de recomendación y personalización

  • Aplicaciones en salud, educación, industria, finanzas y transporte

• Aprende de las herramientas de IA mas famosas para entender conceptos como ChatGPT, Eleven Labs, Heygen, Sora, Explotion, entre otros.

1. Parte 1: Contexto (Cláusula 4.1)

   Aprenderán a:

   • Identificar y priorizar cuestiones internas y externas relevantes para la IA (SWOT + PESTEL) y conectarlas con riesgos/ oportunidades del SGIA.

   • Usar ISO 31000 como lista de verificación para cubrir factores de gobernanza, cultura, recursos, datos, cumplimiento y entorno.

   • Determinar el rol de la organización frente a cada sistema de IA (proveedor, productor, cliente, socio, sujeto, autoridad) y las implicaciones de cada rol.

   • Decidir si el cambio climático es material para sus modelos (huella de entrenamiento/inferencia) y cómo evidenciarlo.

   Al finalizar podrán:

   • Redactar un Registro de Contexto con 10–15 asuntos materiales, peso de impacto y dueño del riesgo.

   • Trazar cada asunto hacia políticas, objetivos o controles que lo tratan (trazabilidad “issue → control”).

Parte 2: Planeación estratégica (4.2–4.4, 5.1–5.3, 6.2)

Aprenderán a:

• 4.2 Partes interesadas: mapear poder–interés, capturar necesidades/temores y convertirlos en requisitos de política, objetivos o controles medibles.

• 4.3 Alcance: redactar un alcance claro (servicios, unidades, ubicaciones, exclusiones justificadas) y mantenerlo disponible y versionado.

• 4.4 Procesos: caracterizar procesos del ciclo de vida de IA (entradas, salidas, criterios, métodos, responsables, interfaces) y dibujar interacciones.

• 5.1 Liderazgo: traducir la intención directiva en recursos, revisiones y evidencias (minutas, KPIs, decisiones).

• 5.2 Política: formular compromisos verificables (cumplimiento, ética, transparencia, mejora continua) que sirvan de marco a los objetivos.

• 5.3 Roles: construir un Registro de Roles y Autoridades (quién hace/decide/escala) y una RACI por fases del ciclo de vida.

• 6.2 Objetivos: definir objetivos SMART que cumplan los 6 verbos ISO (consistentes, medibles, basados en riesgos, monitoreados, comunicados, actualizados) y su plan de logro (qué, recursos, quién, cuándo, evaluación).

Al finalizar podrán:

• Producir: Registro de Stakeholders, Declaración de Alcance, Mapa de Procesos + Caracterizaciones, Política de IA firmada, Registro de Objetivos con planes y dueños, Registro de Roles con evidencias de autoridad.

Parte 3: Ejercicio práctico (integración y despliegue)

Aprenderán a:

• Integrar todos los artefactos en un caso único (p. ej., “Riesgo de deserción v2” o un piloto de IA educativa).

• Demostrar el despliegue extremo a extremo: contexto → política → alcance → partes interesadas → objetivos → plan → controles → roles → evidencias.

• Mapear PII/IIP con roles 29100 (titular, responsable/controller, encargado/processor, tercero) y flujos de datos; alinear salvaguardas del Anexo A.

• Construir una matriz de trazabilidad que permita a un auditor seguir el “hilo rojo” desde un asunto/expectativa hasta el control y la evidencia.

Entregables del ejercicio:

• Registro de Contexto (con prioridades), Registro de Stakeholders (gestión y métricas), Declaración de Alcance, Política de IA (extracto operativo), Mapa de Procesos + RACI, Registro de Roles y Autoridades, Mapa PII + flujos, Registro de Objetivos + Planes, Matriz de Trazabilidad, y mockup de tablero de seguimiento (KPIs de 6.2).

Criterios de dominio:

• Coherencia entre artefactos (sin contradicciones).

• Objetivos con recursos, dueños y método de evaluación verificables.

• Evidencias enlazadas (minutas, contratos, controles técnicos) que soporten auditoría.

Al finalizar este módulo (ISO/IEC 42001, numerales 6.1, 8.2, 8.3, 8.4 y Anexo B), el estudiante será capaz de:

• Planificar la gestión de riesgos y oportunidades de la IA distinguiendo qué se debe tratar y por qué, definiendo criterios de riesgo y planificando acciones, su integración en procesos y cómo medir su efectividad. Norma ISO 42001 Norma ISO 42001 Norma ISO 42001

• Ejecutar una evaluación de riesgos de IA alineada con la política y objetivos de IA; capaz de producir resultados consistentes, válidos y comparables; que identifique riesgos respecto a los objetivos, analice consecuencias, probabilidades y niveles de riesgo, y deje evidencia documentada. Norma ISO 42001 Norma ISO 42001

• Aplicar el tratamiento del riesgo seleccionando opciones, determinando y contrastando controles con el Anexo A, usando la guía del Anexo B, y emitiendo una Declaración de Aplicabilidad (SoA) con justificaciones de inclusión/exclusión de controles, para luego ejecutar y obtener aprobación gerencial del plan y del riesgo residual. Norma ISO 42001 Norma ISO 42001 Norma ISO 42001

• Operar y mantener evaluaciones y tratamientos: realizar evaluaciones de riesgo y de impacto a intervalos planificados o ante cambios significativos; verificar la efectividad del plan de tratamiento y actualizarlo cuando sea necesario; y conservar evidencia documentada. Norma ISO 42001 Norma ISO 42001 Norma ISO 42001

• Realizar una Evaluación de Impacto del sistema de IA (EIA) para identificar consecuencias sobre individuos, grupos y sociedad a lo largo del ciclo de vida; documentar resultados y retroalimentar la evaluación de riesgos. Norma ISO 42001

• Aplicar la guía del Anexo B para implementar control

En este módulo (Anexo A y B) aprenderás a gobernar relaciones con terceros y clientes en todo el ciclo de vida de la IA: cómo asignar responsabilidades con una RACI contractual, definir procesos de evaluación de proveedores (datos, sesgos, seguridad, explicabilidad) y alinear expectativas de clientes (uso previsto, transparencia, soporte, canales de quejas). Practicarás la creación de cláusulas clave (uso permitido/prohibido, reporte de incidentes, retención y auditorías), el armado de paquetes de evidencia (system/model cards, EIA, métricas por subgrupos) y el uso de KPIs y runbooks compartidos para monitoreo, escalamiento y kill-switch. Saldrás con plantillas y prompts para implementar estas prácticas de forma trazable y auditable.

En este módulo sobre Apoyo (Capítulo 7) de ISO/IEC 42001, los estudiantes aprenderán a dimensionar y justificar los recursos para un SGIA, a definir competencias y planes de formación específicos para IA, a diseñar acciones de conciencia que alineen a toda la organización con el uso responsable de la IA; a establecer una estrategia de comunicación interna y externa y a estructurar la información documentada (procedimientos, SoA, EIA, registros del ciclo de vida, control de versiones y retención) con plena trazabilidad y evidencias para auditorías. Al finalizar, podrán montar un esquema de apoyo que haga operable, auditable y sostenible el SGIA.

Qué aprenderán en 8.1, 8.3 y 8.4 (ISO/IEC 42001):

8.1 Planificación y control operacional

Al finalizar, podrás:

• Traducir criterios operativos en controles verificables (procedimientos, roles, límites de uso, registros) y comprobar su diseño y eficacia con evidencia objetiva.

• Seguir la trazabilidad “política → procedimiento → registro → resultado” en actividades críticas (gobernanza de datos, cambios, terceros, incidentes, retiro).

• Aplicar benchmarking: contrastar controles con buenas prácticas de la industria (p. ej., Top controls para LLM usadas por Google, OpenAI, Amazon, Microsoft) para emitir un juicio sobre suficiencia de control.

• Identificar no conformidades típicas (controles definidos pero sin registros, criterios ambiguos, responsabilidades no asignadas) y fortalezas (criterios medibles, evidencias completas, segregación de funciones).

• Gestión de cambios de IA, y control a terceros y proveedores.

8.3 Tratamiento de riesgos de IA

Al finalizar, podrás:

• Evaluar decisiones de tratamiento (mitigar/transferir/aceptar/evitar) y su coherencia con la evaluación previa de riesgos (8.2) y con los controles seleccionados.

• Verificar evidencias: matriz de riesgo→control, criterios de aceptación, responsables, plazos y evidencia de implantación; coherencia con Anexos A/B.

• Detectar desalineaciones (riesgos altos con controles insuficientes, aceptaciones de riesgo sin justificación) y documentar mejoras (endurecer controles, ajustar umbrales, reforzar terceros).

8.4 Evaluación de impacto de sistemas de IA (AIA)

Al finalizar, podrás:

• Revisar metodologías AIA: cuándo se exige, qué dimensiones cubre (seguridad, privacidad, sesgo, legal/ética, seguridad funcional), quién participa y cómo se evidencian las decisiones.

• Comprobar la integración de resultados AIA en requisitos y controles (p. ej., límites de uso, HIL —human-in-the-loop— para acciones críticas, restricciones de datos, comunicación al usuario).

• Valorar calidad de la documentación (alcance, supuestos, alternativas consideradas, medidas de mitigación, re-evaluaciones tras cambios) y gatillos para re-hacer la AIA (nuevos datos/modelo, cambios de contexto).

  
  

Emitirás conclusiones defendibles sobre: (i) la suficiencia del control operacional; (ii) la consistencia entre riesgos y tratamientos; y (iii) la solidez de las AIA y su trazabilidad a controles y evidencias, sin necesidad de operar las plataformas.

1. Capítulo 9.1: Definirán indicadores para medir el desempeño del SGIA.

2. Capítulo 9.3: Ejecutarán revisiones por la dirección.

Aprende los conceptos y principios claves de las auditorías internas.

Aprende a modelar un programa de auditoría de acuerdo a la norma

En este módulo profundizaremos en la realización de la auditoría, una de las partes más críticas y detalladas del proceso. Desglosaremos el proceso en pasos manejables, empezando por las generalidades y luego pasando a cada fase en detalle: el inicio de la auditoría, la preparación de las actividades de auditoría, la realización de las actividades de auditoría, la preparación y distribución del informe de auditoría, la finalización de la auditoría y, finalmente, la realización de las actividades de seguimiento de una auditoría. Este módulo está diseñado para equiparte con los conocimientos y habilidades necesarios para realizar una auditoría de manera eficaz y eficiente, siguiendo la norma ISO 19011:2018

El Módulo 4 se centra en el desarrollo y la mejora de la competencia del auditor. Analizaremos las generalidades de la competencia del auditor, determinaremos los criterios de competencia necesarios y cómo evaluarlos de forma efectiva. Exploraremos las formas de seleccionar el método de evaluación más adecuado y cómo llevar a cabo la evaluación en sí. Este módulo también proporcionará orientación sobre cómo mantener y mejorar la competencia del auditor, incluyendo el desarrollo profesional continuo y la participación regular en auditorías. Este módulo está diseñado para garantizar que te conviertas en un auditor competente y efectivo, de acuerdo con la norma ISO 19011:2018

Aprende a redactar acciones correctivas como todo un profesional.