NordTel Communications S.A. — Operador europeo de telecomunicaciones
OASAT de NordTel Communications OASAT ha puesto de manifiesto importantes Gobernanza IA en los seis ámbitos de control. La adopción de la IA ha superado a su gobernanza: se han identificado 23 herramientas de IA no autorizadas que se utilizan activamente en las distintas unidades de negocio, sin controles de ejecución, sin audit y con un riesgo normativo significativo en virtud de la Ley de IA de la UE, NIS2 y el RGPD. Es necesario adoptar medidas correctoras inmediatas en tres áreas críticas antes de que venzan los plazos reglamentarios.
Cada ámbito se evaluó con arreglo al marco OASF y se le asignó una puntuación en función de risk y la madurez en materia de gobernanza. La madurez se puntúa del 1 al 5: 1 = Ad hoc, 2 = En desarrollo, 3 = Definido, 4 = Gestionado, 5 = Optimizado.
| Dominio | Risk | Vencimiento | Brecha clave |
|---|---|---|---|
| Gobernanza de datosOASF | Crítico | 1,4 / 5 | No existe policy de clasificación de datos de IA. PII de los clientes PII a modelos de lenguaje grandes (LLM) externos sin que se someta a inspección ni a supresión de datos confidenciales. |
| Modelo de gobernanzaOASF | Crítico | 1,2 / 5 | No existe un registro de modelos aprobados. Se están utilizando activamente 23 AI no aprobadas en 8 unidades de negocio. |
| Acceso e identidadAI | Alto | 2,1 / 5 | Las interacciones con la IA no están vinculadas a la identidad. No hay integración de SSO con las herramientas de IA. No existe audit que vincule el uso de la IA con personas concretas. |
| Seguridad operativaOASF | Alto | 1,8 / 5 | No hay defensas contra la inyección de comandos. No hay supervisión de entradas adversas. No hay un modelo de amenazas AI. |
| Audit cumplimiento normativoOASF | Crítico | 1,0 / 5 | No se registra ninguna interacción con la IA. No hay audit . No se puede demostrar el cumplimiento del artículo 12 de la Ley de IA de la UE ni del artículo 30 del RGPD. |
| Respuesta ante incidentesOASF | Moderado | 2,4 / 5 | Existe un proceso general de gestión de incidentes, pero no cuenta con categorías de incidentes, guías de actuación ni procedimientos de escalado AI. |
Los agentes de atención al cliente están utilizando ChatGPT otras herramientas de IA destinadas al consumidor para redactar respuestas y resumir reclamaciones, incluyendo los nombres completos de los clientes, sus datos de contacto, números de cuenta y el contenido de las comunicaciones. No se han establecido controles de inspección, supresión ni gobernanza de los datos. Esto supone una infracción activa del RGPD y un incumplimiento de la Ley de IA de la UE.
No existe ningún registro de AI en ninguna parte de la organización. Si así lo exigiera un organismo regulador o en caso de una investigación por una violación de la seguridad de los datos, NordTel no podría demostrar qué datos fueron tratados por qué AI , cuándo ni quién lo hizo. Esto supone una infracción directa de los requisitos de conservación de registros establecidos en el artículo 12 AI de la UE y de las obligaciones relativas a los registros de tratamiento recogidas en el artículo 30 del RGPD.
La evaluación identificó 23 AI distintas que se utilizan de forma activa en ocho unidades de negocio; ninguna de ellas ha sido aprobada, evaluada ni registrada. Entre estas herramientas se incluyen modelos de lenguaje grande (LLM) destinados al consumidor, asistentes de generación de código, servicios de resumen de documentos y complementos de productividad AI. AI «en la sombra» AI se extiende a toda la organización, sin que exista una visibilidad, un control ni una gobernanza centralizados.
Los miembros del equipo de ingeniería de redes están utilizando asistentes de programación basados en IA (GitHub Copilot, ChatGPT) para ayudar en la creación de scripts de automatización de redes. La evaluación ha confirmado que en las instrucciones se incluyen detalles de la topología de la red, parámetros de configuración y esquemas de direccionamiento IP. Esto supone tanto un risk para la seguridad risk un posible incumplimiento de la normativa sobre interceptación legal.
El proceso actual de respuesta ante incidentes de NordTel no incluye categorías de incidentes ni procedimientos de respuesta AI. En caso de una filtración de datos AI, una manipulación de modelos o un fallo en la gobernanza, la organización no cuenta con una vía de respuesta definida, un procedimiento de escalación ni la capacidad para cumplir con el plazo de notificación de 72 horas establecido por el RGPD.
Es probable que dos de los casos de uso de la IA identificados en la evaluación se clasifiquen comorisk el anexo III de la Ley de la UE sobre la IA: la puntuación crediticia asistida por IA para la toma de decisiones sobre contratos de pospago y la gestión de redes mediante IA para infraestructuras críticas. Ninguno de ellos ha sido sometido a la evaluación de conformidad ni al marco de supervisión humana exigidos por la Ley de la UE sobre la IA.
La evaluación comparó Gobernanza IA actuales Gobernanza IA de NordTel con cuatro marcos normativos aplicables. Las deficiencias señaladas representan requisitos que actualmente no se cumplen y que suponen un riesgo normativo.
La evaluación recomienda un programa de corrección estructurado en tres fases, ajustado a los plazos reglamentarios y a risk operativos. La fase 1 aborda los riesgos críticos inmediatos. La fase 2 establece la arquitectura de gobernanza. La fase 3 pone en práctica la aplicación en tiempo de ejecución.
Esta es una evaluación de ejemplo con fines ilustrativos. Una OASAT real OASAT se adapta a las características específicas de tu organización —tu sector, tu AI , tus obligaciones normativas— y define el marco de gobernanza que Aegis aplica Aegis en el entorno de producción. Precio fijo. Entrega en unas semanas.