Seguridad de IA empresarial en LATAM: checklist para tu CISO
Lo que tu CISO va a preguntar antes de aprobar una IA conectada a datos productivos. Respuestas concretas, no marketing.
Toda implementación seria de IA empresarial pasa por el comité de seguridad. Si no tenés las respuestas listas, el proyecto se atrasa meses.
Checklist mínimo
Acceso a datos
- ¿Con qué credenciales se conecta? ¿Son de solo lectura?
- ¿Qué tablas y columnas tiene permitido leer? ¿Hay row-level security?
- ¿Se pueden auditar las queries ejecutadas?
Movimiento de datos
- ¿Se copian datos a la plataforma del proveedor? ¿Cuáles?
- ¿Se usan datos del cliente para entrenar modelos generales?
- ¿Dónde reside físicamente la infraestructura? ¿Hay opción regional?
Identidad y permisos
- ¿Integra con tu IdP (Azure AD, Okta, Google Workspace)?
- ¿Soporta SSO y MFA?
- ¿Cada usuario ve solo lo que su rol permite?
Trazabilidad
- ¿Hay log inmutable de cada pregunta y cada respuesta?
- ¿Por cuánto tiempo se retiene? ¿Quién puede exportarlo?
Modelos de IA
- ¿Qué LLM se usa? ¿Hay opción de modelo privado?
- ¿Los prompts pasan por el proveedor del modelo? ¿Bajo qué contrato?
El truco: pedir las respuestas por escrito
Si el proveedor responde en una llamada y se niega a mandar un documento firmado, alarma. Una plataforma seria tiene este pliego listo y lo entrega en 24 horas.
Cumplimiento regional
LATAM tiene su propio mapa: Ley 25.326 en Argentina, LGPD en Brasil, Ley de Datos en México. Tu proveedor tiene que conocer el marco aplicable al país donde opera tu empresa, no solo GDPR.
