Soluciones Aegis Sectores Perspectivas Precios Empresa Solicitar evaluación
Evaluación de ejemplo — Organización ficticia Solo a título ilustrativo Telecomunicaciones

Informe Seguridad IA

NordTel Communications S.A. — Operador europeo de telecomunicaciones

Fecha de evaluación
Q1 2026
Tipo de evaluación
OASAT 2
Empleados
~6,800
Asesor
OneCompliant .r.o.
Nota: NordTel Communications S.A. es una organización ficticia creada con fines ilustrativos. Todos los resultados, puntuaciones y recomendaciones son meramente ilustrativos. Las evaluaciones de los clientes reales se mantienen estrictamente confidenciales, de conformidad con las obligaciones aplicables en materia de privacidad y confidencialidad.
Resumen ejecutivo

Gobernanza IA general de Gobernanza IA : alto Risk

OASAT de NordTel Communications OASAT ha puesto de manifiesto importantes Gobernanza IA en los seis ámbitos de control. La adopción de la IA ha superado a su gobernanza: se han identificado 23 herramientas de IA no autorizadas que se utilizan activamente en las distintas unidades de negocio, sin controles de ejecución, sin audit y con un riesgo normativo significativo en virtud de la Ley de IA de la UE, NIS2 y el RGPD. Es necesario adoptar medidas correctoras inmediatas en tres áreas críticas antes de que venzan los plazos reglamentarios.

Risk globalRisk Gobernanza IA
BajoModeradoAltoCrítico
72 / 100 — Alto Risk. Se requieren medidas de gobernanza inmediatas.
3
Hallazgos críticos que requieren una actuación inmediata
7
risk que requieren una intervención en un plazo de 30 días
23
AI no autorizadas que se ha constatado que están en uso
4
Marcos normativos con exposición a brechas significativas
Risk del dominio

Puntuaciones Risk madurez en los seis OASF .

Cada ámbito se evaluó con arreglo al marco OASF y se le asignó una puntuación en función de risk y la madurez en materia de gobernanza. La madurez se puntúa del 1 al 5: 1 = Ad hoc, 2 = En desarrollo, 3 = Definido, 4 = Gestionado, 5 = Optimizado.

Dominio Risk Vencimiento Brecha clave
Gobernanza de datosOASF Crítico 1,4 / 5 No existe policy de clasificación de datos de IA. PII de los clientes PII a modelos de lenguaje grandes (LLM) externos sin que se someta a inspección ni a supresión de datos confidenciales.
Modelo de gobernanzaOASF Crítico 1,2 / 5 No existe un registro de modelos aprobados. Se están utilizando activamente 23 AI no aprobadas en 8 unidades de negocio.
Acceso e identidadAI Alto 2,1 / 5 Las interacciones con la IA no están vinculadas a la identidad. No hay integración de SSO con las herramientas de IA. No existe audit que vincule el uso de la IA con personas concretas.
Seguridad operativaOASF Alto 1,8 / 5 No hay defensas contra la inyección de comandos. No hay supervisión de entradas adversas. No hay un modelo de amenazas AI.
Audit cumplimiento normativoOASF Crítico 1,0 / 5 No se registra ninguna interacción con la IA. No hay audit . No se puede demostrar el cumplimiento del artículo 12 de la Ley de IA de la UE ni del artículo 30 del RGPD.
Respuesta ante incidentesOASF Moderado 2,4 / 5 Existe un proceso general de gestión de incidentes, pero no cuenta con categorías de incidentes, guías de actuación ni procedimientos de escalado AI.
Conclusiones principales

risk críticos yrisk que requieren atención inmediata.

OASAT · Crítico
PII de los clientes PII a modelos de IA externos sin ser revisados
Crítico

Los agentes de atención al cliente están utilizando ChatGPT otras herramientas de IA destinadas al consumidor para redactar respuestas y resumir reclamaciones, incluyendo los nombres completos de los clientes, sus datos de contacto, números de cuenta y el contenido de las comunicaciones. No se han establecido controles de inspección, supresión ni gobernanza de los datos. Esto supone una infracción activa del RGPD y un incumplimiento de la Ley de IA de la UE.

Artículo 5 del RGPD — Minimización de datos Art. 32 del RGPD — Seguridad del tratamiento Ley de la UE sobre la IA, art. 10 NIS2 . 21 de la DirectivaNIS2
OASAT · Crítico
Ausencia total de audit de la IA: no se pueden presentar pruebas reglamentarias
Crítico

No existe ningún registro de AI en ninguna parte de la organización. Si así lo exigiera un organismo regulador o en caso de una investigación por una violación de la seguridad de los datos, NordTel no podría demostrar qué datos fueron tratados por qué AI , cuándo ni quién lo hizo. Esto supone una infracción directa de los requisitos de conservación de registros establecidos en el artículo 12 AI de la UE y de las obligaciones relativas a los registros de tratamiento recogidas en el artículo 30 del RGPD.

Ley de la UE sobre la IA, art. 12 Art. 30 del RGPD NIS2 . 23 — Notificación de incidentes
OASAT · Crítico
23 AI no autorizadas que se utilizan activamente en las empresas
Crítico

La evaluación identificó 23 AI distintas que se utilizan de forma activa en ocho unidades de negocio; ninguna de ellas ha sido aprobada, evaluada ni registrada. Entre estas herramientas se incluyen modelos de lenguaje grande (LLM) destinados al consumidor, asistentes de generación de código, servicios de resumen de documentos y complementos de productividad AI. AI «en la sombra» AI se extiende a toda la organización, sin que exista una visibilidad, un control ni una gobernanza centralizados.

Ley de la UE sobre la IA, art. 9 — Risk OASF — IA en la sombra NIS2 21 de la DirectivaNIS2
OASAT · Alto
Datos de configuración de red compartidos con los asistentes AI
Alto

Los miembros del equipo de ingeniería de redes están utilizando asistentes de programación basados en IA (GitHub Copilot, ChatGPT) para ayudar en la creación de scripts de automatización de redes. La evaluación ha confirmado que en las instrucciones se incluyen detalles de la topología de la red, parámetros de configuración y esquemas de direccionamiento IP. Esto supone tanto un risk para la seguridad risk un posible incumplimiento de la normativa sobre interceptación legal.

NIS2 21 deNIS2 — Seguridad de las redes RGPD, art. 32 OASF
OASAT · Alto
No dispone de capacidad de respuesta ante incidentes AI
Alto

El proceso actual de respuesta ante incidentes de NordTel no incluye categorías de incidentes ni procedimientos de respuesta AI. En caso de una filtración de datos AI, una manipulación de modelos o un fallo en la gobernanza, la organización no cuenta con una vía de respuesta definida, un procedimiento de escalación ni la capacidad para cumplir con el plazo de notificación de 72 horas establecido por el RGPD.

RGPD, art. 33 — Notificación 72h NIS2 . 23 OASF
OASAT · Alto
Laguna enrisk de la Ley de IA de la UE: dos casos de uso sin abordar
Alto

Es probable que dos de los casos de uso de la IA identificados en la evaluación se clasifiquen comorisk el anexo III de la Ley de la UE sobre la IA: la puntuación crediticia asistida por IA para la toma de decisiones sobre contratos de pospago y la gestión de redes mediante IA para infraestructuras críticas. Ninguno de ellos ha sido sometido a la evaluación de conformidad ni al marco de supervisión humana exigidos por la Ley de la UE sobre la IA.

Anexo III de AI de la UE Artículo 14 de AI de la UE AI : supervisión humana Artículo 17 de AI de la UE sobre AI
Análisis de las lagunas normativas

Situación actual en materia de cumplimiento de los marcos normativos aplicables.

La evaluación comparó Gobernanza IA actuales Gobernanza IA de NordTel con cuatro marcos normativos aplicables. Las deficiencias señaladas representan requisitos que actualmente no se cumplen y que suponen un riesgo normativo.

AI de la UE sobre AI

Art. 9 — No existe ningún sistema risk de IA implantado
Art. 10 — Ausencia de gobernanza de datos para AI
Art. 12 — Ausencia de registro / audit
Art. 14 — Ausencia de un marco de supervisión humana
~
Art. 13 — Medidas de transparencia parcial

NIST AI RMF

GOBIERNO — Ausencia de Gobernanza IA y de rendición de cuentas
~
MAP — risk parcial risk relacionados con la IA (esta evaluación)
MEDIDA — No se realiza ninguna risk ni seguimiento de risk relacionados con la IA
GESTIÓN — No existe risk ni controles relacionados con la IA

NIS2

Art. 21 — Seguridad IA no aplicadas
Art. 21 — Cadena de suministro: Seguridad IA se aborda la cuestión de Seguridad IA
Art. 23 — Ausencia de un procedimiento de notificación AI
~
Medidas generales de seguridad parcialmente aplicables

RGPD + AI

Art. 5 — No se aplica el principio de minimización de datos en AI
Art. 30 — Ausencia de registros de actividades AI
Art. 32 — No se aplicarán medidas técnicas para Seguridad IA
~
Art. 33 — Existe una notificación general de incumplimiento
Hoja de ruta para la rehabilitación

Programa de gobernanza prioritario: tres fases.

La evaluación recomienda un programa de corrección estructurado en tres fases, ajustado a los plazos reglamentarios y a risk operativos. La fase 1 aborda los riesgos críticos inmediatos. La fase 2 establece la arquitectura de gobernanza. La fase 3 pone en práctica la aplicación en tiempo de ejecución.

Fase 1
Risk inmediata Risk
Semanas 1 a 6
Aplicar policy provisional sobre el uso de la IA policy bloquear LLM de los usuarios finales a los modelos de lenguaje grandes ( LLM ) para puestos de responsabilidad
Implementar un sistema básico de registro AI para las unidades de negocio orientadas al cliente
Realizarrisk , conforme a la Ley de IA de la UE, para la IA utilizada en la puntuación crediticia y la gestión de redes
Impartir formación OASAP a los equipos de atención al cliente y de ingeniería de redes
Establecer un procedimiento de contacto y notificación para la respuesta AI
Fase 2
Arquitectura de gobernanza
Semanas 7 a 16
Implantar el marco OASF en los seis ámbitos de control
Crear y publicar un registro AI aprobados
Aplicar policy de clasificación de datos mediante IA policy las normas de gestión correspondientes
Elaborar guías de respuesta ante incidentes AI para AI en todas las categorías críticas
Programa completo de sensibilización sobre OASAP
Fase 3
Aplicación en tiempo de ejecución
Semanas 17 a 26
Implementar gateway de IA Aegis gateway punto de acceso a la IA de la empresa
Integrarpolicy OASF con los controles Aegis
Habilitar audit completo audit de IA y la elaboración de informes de gobernanza
Conectaraudit Aegis con el SIEM para una supervisión continua
Primera evaluación de la madurez en materia de gobernanza: objetivo de madurez de 3,5+ en todos los ámbitos

¿Estás listo para evaluar tu Gobernanza IA ?

Esta es una evaluación de ejemplo con fines ilustrativos. Una OASAT real OASAT se adapta a las características específicas de tu organización —tu sector, tu AI , tus obligaciones normativas— y define el marco de gobernanza que Aegis aplica Aegis en el entorno de producción. Precio fijo. Entrega en unas semanas.

Solicita tu evaluación Consulta los precios de las evaluaciones