Cómo integrar IA Secury Threats dentro de ISO27001 en 3 pasos
1- ANALIZAR ( ISO27001 ref: 4.1-2 A.5.7 A.5.31)
Analizar el contexto en el que se utiliza la AI en el ámbito de la organización (codificación, chats de atención al cliente, análisis de datos, etc.), identificando y seleccionando las amenazas aplicables (utilizando ISO27090, Top Owasp LLM ,…) y las regulaciones de IA.
2- ANÁLISIS DE RIESGOS ( ISO 6.1 )
Realice una iteración de riesgo de seguridad de la información sobre las amenazas identificadas y seleccionadas (información errónea, aviso del sistema, fuga de datos, inyección, etc.) utilizando la información de las amenazas explicadas en los documentos fuente.
3-TRATAMIENTO DE RIESGOS ( ISO anexo A)
Incluso si no hay un control específico sobre la AI, hay muchos controles que deben aplicarse específicamente teniendo en cuenta las amenazas de integridad y confidencialidad de la AI, para reducir los riesgos
Algunos ejemplos: (no exhaustivo)
A.5.1 Políticas
-Política de IA ética
-Política de uso de herramientas de IA (Copilot, Chatgpt, etc.)
A.8.28 Codificación de LLM
-uso y control del código generado por IA
-requisitos específicos de OWASP LLM
A.5.34 Nuevos datos personales
-declarar en RAT la creación de Perfil de Personas
A.8.12 DLP
-Fugas de datos producidas por el chat de IA
A.6.3 Conciencia de AI
Sensibilización de la IA para personas internas sobre el uso de IA generativa, sobre los temas de las Amenazas: desinformación, elaboración de perfiles, copyrigths, etc.
