Enrique Cervantes, CISO de CESCE y uno de los miembros más activos de ISMS Forum, participa de forma directa en distintas iniciativas técnicas impulsadas por esta comunidad en materia de ciberseguridad y gobernanza de la inteligencia artificial. Con una amplia experiencia en ciberseguridad y gobierno tecnológico, su foco actual se centra en integrar gobernanza, control regulatorio y gestión operativa de la IA en entornos empresariales complejos.

También es uno de los coordinadores de otra publicación técnica como es la Guía DevSecOps y ahora forma parte de otro grupo de trabajo sobre gestión de los activos de la IA  a través de inventario, necesidad detectada desde el grupo de trabajo de Gobernanza de la IA (GIA) de esta comunidad de expertos. 

Una compañía semipública, vinculada a los seguros de crédito a la exportación, como es CESCE ya lleva tiempo adaptándose al Reglamento de Inteligencia Artificial (RIA). Enrique gestiona la parte de infraestructura tecnológica y de seguridad: “Abordamos tanto la implementación de cualquier innovación tecnológica, pero también a nivel de ciberseguridad gestionamos la parte más técnica de estas aplicaciones y del aspecto regulatorio que tenemos que cumplir”. 

Sobre esta cuestión de la IA indica que: “Lo que estamos haciendo es trabajar desde ambos prismas, simultáneamente, tecnológico y regulatorio.  En el campo regulatorio hemos aprobado nuestro Código Ético que es el elemento del que derivan las demás normas de la compañía. Ahí a nivel de Consejo de Administración aprobamos nuestra política de IA, en esta política lo que definimos es unas bases sobre las que sustentar la aproximación la IA en la compañía”. 

De esta forma nos indica que: “Definimos el órgano de gobierno e la IA, los usos permitidos y no permitidos, los aceptables y no aceptables del uso de la IA en la compañía alineándolos con el RIA, sabiendo que esta normativa está en evolución. Lo que deriva de esta norma de gestión de IA que hemos implementado a nivel de Código Ético son una serie de anexos operativos, que están ligados a esa norma, pero no están dentro de ella.  Esto es debido a que la normativa evoluciona muy rápido. Ahora estamos con el trabajo de estos anexos operativos”. 

Para el CISO de CESCE: “A nosotros como empresa, nos sirve mucho la entrada escalonada de una norma tan compleja como el RIA, sobre todo porque nos permite adaptarnos a algo que evoluciona muy rápido. Si hubiera que hacerlo de golpe en un entorno donde la tecnología y legislación está evolucionando de forma notable, para una empresa como la nuestra fuertemente regulada sería una carga continua de trabajo. De esta forma nos adaptamos mejor tanto a la realidad tecnológica como regulatoria existente en estos momentos”. 

A juicio de este experto en seguridad de la información pertenecer a una comunidad tan activa como es la que configura ISMS Forum a través de sus eventos y grupos de trabajo es de gran ayuda y además ha destacado los trabajos que se están haciendo sobre la IA,  el Handbook de IA: “nos ha sido útil para presentarlo tanto a mi Comité Ejecutivo como en el propio Consejo para que conozcan los tiempos de implementación del RIA o para explicar los usos prohibidos, aceptables o no aceptables de la IA. Es un trabajo hecho por profesionales que trabajan en grandes empresas con los que podemos intercambiar opiniones en el seno de ISMS Forum”. 

El RIA defiende derechos fundamentales

Sobre el debate, ahora abierto en Europa de si hay que simplificar la normativa en determinados casos, como es en el propio RIA, Enrique Cervantes considera que: “Es evidente que el ámbito regulatorio en cuanto a IA es controvertido. Sobre todo, por el momento en el que esta la IA a nivel mundial. Hay voces que señalan que una regulación excesiva en materia de ciberseguridad puede hacer que Europa pierda capacidad competitiva respecto a EEUU y China que abogan por una regulación más laxa en este ámbito”.

Desde su perspectiva, “la regulación que actualmente se está impulsando en Europa en materia de IA tiene como eje central la protección de los derechos fundamentales y no debe interpretarse como un freno a la evolución tecnológica. El marco normativo delimita con claridad los usos inaceptables —como el fraude, el perfilado abusivo o las prácticas engañosas hacia los ciudadanos—, ámbitos en los que resulta razonable y necesario establecer límites. Este enfoque no restringe la capacidad competitiva, sino que aporta seguridad jurídica y refuerza la confianza en el desarrollo y despliegue de la IA en el mercado europeo”.

Respecto a cómo las pymes deben adaptarse al fenómeno de la IA, nuestro interlocutor señala que “el principal consejo que se les puede dar es que empiecen poco a poco. Y empezar por lo importante. Es bueno revisar el Handbook de IA de ISMS Forum porque da las pautas legales de la aplicación del propio RIA. La norma se aplica de forma progresiva, lo primero son los aspectos de base y a confirmar si la empresa está haciendo usos inaceptables de la IA. Desde un nuevo grupo de trabajo de ISMS Forum hemos puesto en marcha una iniciativa para crear una guía que recoja en un inventario los sistemas de IA existentes”, Esta herramienta nace como un marco de gobernanza orientado a dotar a las organizaciones de mayor visibilidad, control y coherencia en la gestión de sus sistemas de inteligencia artificial, incluyendo soluciones de IA generativa y desarrollos no declarados.

El inventario permitirá identificar activos, riesgos y responsabilidades asociadas, alineándose con los principales estándares y marcos regulatorios en materia de IA y ciberseguridad. El objetivo es facilitar una gestión más estructurada, anticipar riesgos y reforzar la capacidad de demostrar cumplimiento en un entorno normativo cada vez más exigente.

La iniciativa será presentada oficialmente en la III AI & Cyber Security Forum, que tendrá lugar el próximo 11 de marzo en Madrid, donde se expondrá el enfoque general del proyecto y su propuesta de valor para las organizaciones.

Esta actividad ya está en marcha. “Al igual que ocurrió hace años con la adopción del cloud, en un momento determinado los responsables de infraestructuras se encontraron con un número elevado de entornos sin una gestión adecuada, en gran medida por no haber realizado previamente un inventario correcto. Estamos observando que puede producirse una situación similar con la IA si no establecemos unas bases claras y no realizamos un inventario estructurado de los sistemas de IA que se están desarrollando. Es imprescindible comenzar cuanto antes a inventariar todas estas iniciativas para determinar con precisión cómo les impacta la normativa”, comenta Cervantes.