La perspectiva de Cyber Academy
La gobernanza de la IA es la disciplina de operar sistemas de IA bajo control: riesgo, transparencia, sesgo, validación, seguridad y exposición regulatoria. El sistema de gestión de referencia es ISO/IEC 42001, publicado en diciembre de 2023, el equivalente para la IA del ISMS de ISO 27001. El panorama de credenciales se divide en dos: ISO 42001 (PECB) para la capa del sistema de gestión, y las certificaciones ISACA Advanced in AI (AAIA para auditoría, AAIR para riesgo, AAISM para seguridad) para la capa de disciplina profesional. Ambas se corresponden con el EU AI Act y el NIST AI RMF.
TL;DR
- 1ISO/IEC 42001 es la norma de sistema de gestión para la IA (un sistema de gestión de IA, o AIMS), publicada en diciembre de 2023. Es el equivalente AIMS del ISMS de ISO 27001. PECB emite la vía Foundation, Lead Implementer y Lead Auditor.
- 2La vía Advanced in AI de ISACA es la capa de disciplina profesional: AAIA (auditoría), AAIR (riesgo), AAISM (seguridad). Cada una presupone una certificación ISACA existente (CISA, CRISC, CISM).
- 3El EU AI Act te dice qué demostrar para un sistema de alto riesgo. ISO 42001 te dice cómo organizar la prueba. El NIST AI RMF es el método operativo de riesgo que la alimenta.
- 4Elige según el rol: construir el sistema, ISO 42001 Lead Implementer. Auditar la IA, AAIA. Gestionar el riesgo de IA, AAIR o PECB AI Risk Manager. Asegurar modelos, AAISM. Liderar la entrega de IA, CAIP.
- 5No existe una única "certificación de gobernanza de la IA". Un profesional sénior combina la credencial de sistema de gestión ISO 42001 con una credencial de disciplina.
Pregunta a cinco proveedores sobre certificación de gobernanza de la IA y obtendrás cinco respuestas distintas, porque el mercado no se ha asentado. No hay un único certificado de gobernanza de la IA del modo en que hay un único CISM o un único CISA. Hay dos capas diferenciadas, emitidas por dos organismos distintos, que responden a dos preguntas distintas: cómo gobiernas la IA como organización, y cómo la auditas, evalúas su riesgo o la aseguras como profesional.
Esta página mapea las dos capas sobre la norma (ISO/IEC 42001), la regulación (el EU AI Act) y el marco estadounidense (NIST AI RMF), y luego te dice qué credencial encaja con qué rol y cómo formar a un equipo sin enviar a todo el mundo al mismo curso de cinco días. Está escrita para el CISO, el responsable GRC o el auditor que tiene que tomar la decisión.
Las dos capas de credenciales de gobernanza de la IA
Toda credencial de gobernanza de la IA del mercado se sitúa en una de dos capas.
- La capa del sistema de gestión responde a "¿cómo gobierna la organización su IA?". La referencia es ISO/IEC 42001, la norma internacional de sistema de gestión de IA. PECB emite una vía Foundation, Lead Implementer y Lead Auditor frente a ella, exactamente como hace con ISO 27001.
- La capa de disciplina profesional responde a "¿qué hace este profesional con la IA?". La referencia es la vía Advanced in AI de ISACA: AAIA para auditores, AAIR para gestores de riesgo, AAISM para gestores de seguridad. Cada una es avanzada y presupone que ya posees la certificación ISACA correspondiente.
Las dos capas son complementarias. Una función madura de gobernanza de la IA posee ambas: una credencial de sistema de gestión ISO 42001 para construir y operar el sistema, y una credencial de disciplina ISACA por cada función que opera dentro de él.
ISO/IEC 42001: el sistema de gestión de IA
ISO/IEC 42001:2023, publicada en diciembre de 2023, es la primera norma internacional para un sistema de gestión de IA (AIMS). Es el equivalente para la IA del ISMS de ISO 27001: una política, roles definidos, un proceso de evaluación del riesgo de IA, controles sobre el ciclo de vida del sistema de IA, un Anexo A de controles específicos de la IA y un ciclo de revisión por la dirección que mantiene todo el conjunto honesto.
La vía de certificación PECB frente a ella refleja la de ISO 27001:
- ISO 42001 Foundation (2 días) aporta el vocabulario y el modelo de sistema de gestión. Es el requisito previo para las credenciales sénior.
- ISO 42001 Lead Implementer (5 días) te enseña a construir el AIMS: alcance, evaluación del riesgo de IA, la Declaración de Aplicabilidad, los controles, el ciclo operativo. Es la credencial para quien sea dueño de la gobernanza de la IA.
- ISO 42001 Lead Auditor (5 días) te enseña a auditar un AIMS: evidencia, muestreo, técnica de entrevista, hallazgos. Es la credencial para la auditoría interna y para los auditores de los organismos de certificación.
La vía ISACA Advanced in AI: AAIA, AAIR, AAISM
Las credenciales Advanced in AI de ISACA son la capa de disciplina profesional. Son avanzadas por diseño: cada una presupone que ya posees la certificación ISACA fundacional de esa disciplina, y cada una está mapeada sobre ISO 42001 y las obligaciones de alto riesgo del EU AI Act en lugar de enseñarse en el vacío.
| Credencial | Disciplina | Presupone | Diseñada para |
|---|---|---|---|
| AAIA — Advanced in AI Audit | Auditar sistemas, modelos y gobernanza de IA | CISA | Auditores de TI sénior, responsables de cumplimiento |
| AAIR — Advanced in AI Risk | Evaluación, cuantificación, tratamiento y monitorización del riesgo de IA | CRISC | Gestores de riesgo de TI, CRO |
| AAISM — Advanced in AI Security Management | Modelado de amenazas de IA, ciclo de vida seguro del modelo, operaciones de seguridad de IA | CISM | CISO, arquitectos de seguridad |
Los tres cursos en Cyber Academy son AAIA, AAIR y AAISM. Elige por lo que haces, no por cuál es más reciente.
Dónde encajan PECB AI Risk Manager y CAIP
Otras dos credenciales PECB se sitúan junto a la vía ISO 42001. AI Risk Manager es una credencial de riesgo focalizada para profesionales que gestionan programas de riesgo específicos de IA (riesgo de modelo, sesgo, deriva, riesgo de modelos de terceros) sin el alcance completo de sistema de gestión de Lead Implementer. Certified Artificial Intelligence Professional (CAIP) es la credencial de profesional más amplia para quienes construyen y despliegan IA de forma responsable a lo largo del ciclo de vida, útil para líderes técnicos que necesitan el vocabulario de gobernanza sin ser dueños del AIMS.
Si ya operas un programa de riesgo ISO 27001 y quieres extenderlo a la IA, AI Risk Manager es el puente más corto. Si lideras la entrega de IA y necesitas la alfabetización en gobernanza que el AI Act ahora te exige, CAIP es el mejor encaje.
Cómo se corresponden las credenciales con el AI Act y el NIST AI RMF
Ninguna de estas credenciales existe de forma aislada. Se enseñan frente a la regulación y los marcos que una función de gobernanza de la IA tiene que satisfacer realmente.
| Instrumento | Qué es | ¿Certificable? | Papel en tu programa |
|---|---|---|---|
| EU AI Act | Regulation (EU) 2024/1689 | No: evaluación de la conformidad, no certificación | Qué demostrar para un sistema de alto riesgo |
| ISO/IEC 42001 | Norma de sistema de gestión de IA | Sí: certificación AIMS + credenciales PECB | Cómo organizar la prueba |
| NIST AI RMF | Marco voluntario estadounidense de riesgo (Govern, Map, Measure, Manage) | No | Método operativo de riesgo que alimenta el sistema |
| ISO/IEC 23894 | Guía de gestión del riesgo de IA | No | Metodología de riesgo, alineada con ISO, dentro del AIMS |
La vía canónica para una organización europea: construir el AIMS con ISO 42001 Lead Implementer, mapear las obligaciones de alto riesgo del AI Act sobre los controles del AIMS y usar el NIST AI RMF o ISO 23894 como metodología de riesgo. La credencial ISACA Advanced equipa entonces a la función (auditoría, riesgo o seguridad) que tiene que operar dentro de ese sistema.
Cómo formar a un equipo en gobernanza de la IA
El error es enviar a todo el mundo al mismo curso. La gobernanza de la IA es transversal, y las funciones necesitan profundidades distintas.
- Empieza con una base común. ISO 42001 Foundation, o una sesión de alfabetización sobre el AI Act que satisfaga la obligación de alfabetización en IA del Artículo 4 del Act, da a todos el mismo vocabulario antes de que se especialicen.
- Envía a los responsables de gobernanza y cumplimiento a ISO 42001 Lead Implementer. Ellos construyen y operan el AIMS.
- Envía a la auditoría interna a AAIA, a la función de riesgo a AAIR y a la función de seguridad a AAISM. Cada una opera dentro del AIMS desde su propio ángulo.
- Añade ISO 42001 Lead Auditor solo si operas un programa de auditoría interna frente al AIMS o formas parte de un organismo de certificación.
La decisión, en una línea
Construir el sistema: ISO 42001 Lead Implementer. Auditar la IA: AAIA. Gestionar el riesgo de IA: AAIR o PECB AI Risk Manager. Asegurar modelos: AAISM. Liderar la entrega de IA y necesitar alfabetización en gobernanza: CAIP. No hay un único certificado de gobernanza de la IA, y quien te venda uno te está vendiendo una porción.
Frequently asked questions
01¿Existe una certificación de gobernanza de la IA y cuál debería cursar?
No existe una única certificación de gobernanza de la IA. El espacio se divide en dos capas. La capa del sistema de gestión es ISO/IEC 42001: PECB emite Foundation (2 días), Lead Implementer (5 días, construir el AIMS) y Lead Auditor (5 días, auditar uno). La capa de disciplina profesional es la vía Advanced in AI de ISACA: AAIA para auditar la IA, AAIR para el riesgo de IA, AAISM para la gestión de la seguridad de la IA.
Para quien gobierna la IA a nivel organizativo, ISO 42001 Lead Implementer es la piedra angular. Para quien audita, evalúa el riesgo o asegura la IA dentro de un rol GRC existente, la credencial ISACA Advanced correspondiente es la señal más fuerte. La mayoría de los profesionales sénior poseen una de cada.
02¿Qué es ISO/IEC 42001 y cómo se relaciona con el EU AI Act?
ISO/IEC 42001:2023 es la norma internacional para sistemas de gestión de IA, publicada en diciembre de 2023. Define cómo una organización establece, opera y mejora la gobernanza de sus sistemas de IA: política, roles, evaluación del riesgo de IA, el ciclo de vida del sistema de IA, un Anexo A de controles específicos de la IA y el ciclo de revisión por la dirección. Es el equivalente AIMS del ISMS de ISO 27001.
La norma no satisface el EU AI Act por sí sola: el Act tiene requisitos técnicos específicos de producto para los sistemas de alto riesgo. Pero ISO 42001 aporta la base de sistema de gestión que reconocen los auditores y los organismos notificados. La vía canónica es ISO 42001 para construir el AIMS y, después, mapear las obligaciones de alto riesgo del AI Act sobre los controles del AIMS.
03AAIA vs AAIR vs AAISM: ¿qué certificación ISACA de IA?
Tres enfoques sobre la IA, todos presuponen una credencial ISACA existente. AAIA (Advanced in AI Audit) es para auditores: auditar sistemas, modelos y gobernanza de IA, mapeados sobre ISO 42001 y el AI Act. Habitualmente se posee junto con CISA.
AAIR (Advanced in AI Risk) es para profesionales del riesgo: evaluación, cuantificación, tratamiento y monitorización del riesgo de IA. Habitualmente se posee junto con CRISC. AAISM (Advanced in AI Security Management) es para responsables de seguridad: modelado de amenazas de IA, el ciclo de vida seguro del modelo y las operaciones de seguridad de IA. Habitualmente se posee junto con CISM.
04¿Cómo formo a todo un equipo en gobernanza de la IA?
Secuénciala por función. Empieza con una base común (ISO 42001 Foundation o una sesión de alfabetización sobre el AI Act que satisfaga el Artículo 4). Envía a los responsables de gobernanza y cumplimiento a ISO 42001 Lead Implementer; a la auditoría interna a AAIA; a la función de riesgo a AAIR; a la función de seguridad a AAISM.
Para un despliegue en varios equipos, una cohorte interna se factura por cohorte y adapta los ejercicios a tu parque de IA. La llamada de descubrimiento delimita qué roles necesitan primero qué credencial: la mayoría de los equipos compran de más plazas de Lead Implementer y de menos credenciales de disciplina.
05¿Dónde encaja el NIST AI RMF junto a ISO 42001?
El NIST AI Risk Management Framework (AI RMF 1.0, enero de 2023) es el marco voluntario estadounidense estructurado en torno a Govern, Map, Measure y Manage. No es certificable ni es una norma de sistema de gestión: es un manual de juego para la función de riesgo.
ISO 42001 y el NIST AI RMF son complementarios. ISO 42001 aporta el sistema de gestión certificable; el NIST AI RMF aporta el método operativo de riesgo que lo alimenta. Las organizaciones expuestas tanto al contexto europeo como al estadounidense operan un AIMS ISO 42001 con el NIST AI RMF, y la guía relacionada ISO/IEC 23894, como la metodología de riesgo de su interior.
