ISO 42001: cómo implementar un Sistema de Gestión de Inteligencia Artificial en tu empresa

Implementar un Sistema de Gestión de Inteligencia Artificial es una estrategia efectiva para no quedarse atrás una carrera vertiginosa liderada por la nueva tecnología. Las organizaciones necesitan garantizar que el uso que hace de la IA es socialmente responsable, ajustado a la ley, transparente e incluyente.

El uso de la IA ha revolucionado la forma de operar de las organizaciones, pero también implica superar grandes retos y abordar riesgos hasta hace poco desconocidos. Por ello, la mejor forma de avanzar hacia ese objetivo que es su uso responsable pasa por implementar un Sistema de Gestión de Inteligencia Artificial.

Qué hacer antes de implementar un Sistema de Gestión de Inteligencia Artificial

Las preocupaciones y las dudas que sobre el uso de la IA han surgido desde sus inicios no tardaron en despertar el interés de la Organización Internacional de Normalización. Interés que adquiere forma en un estándar diseñado para la Gestión de Sistemas de Gestión de Inteligencia Artificial: ISO 42001.

ISO 42001 es reciente, se publicó en 2023. Por ello, un primer paso, antes de implementar un Sistema de Gestión de Inteligencia Artificial, es conocer la norma y hacer que la conozcan personas con implicación directa dentro de la organización.

Ya entrando sobre el terreno, aparecen dos pasos preliminares, necesarios para implementar un Sistema de Gestión de Inteligencia Artificial:

1. Evaluar las prácticas de gestión de la IA

Es lo que se conoce como análisis de brechas. Las organizaciones que pretenden implementar un Sistema de Gestión de Inteligencia Artificial integran una de dos condiciones, o las dos: desarrollan productos de Inteligencia Artificial o hacen uso de ella.

Es predecible que esas organizaciones hayan tomado algunas precauciones para tratar riesgos ante las preocupaciones que han sido ampliamente divulgadas. Y es probable que algunas de esas acciones se ajusten a lo que solicitará ISO 42001, estándar de gestión que se implementará.

La tarea en el análisis de brechas es establecer que falta, cuáles son las deficiencias para alcanzar la conformidad con los requisitos de ISO 42001. La mejor forma para hacerlo es tomar los requisitos de la norma en orden y establecer si la organización ha hecho algo, ha hecho mucho o no ha hecho nada para satisfacer cada uno de ellos.

2. Conformar un equipo de trabajo

Implementar un Sistema de Gestión de Inteligencia Artificial es una tarea que requiere la participación de profesionales en diferentes áreas: IT, Recursos Humanos, Cumplimiento o Alta Dirección, entre otros. Es importante conformar un equipo interdisciplinario que reúna las competencias y habilidades que requerirá el trabajo.

Hay que anotar que la tarea implica un desafío que no es de menor relevancia: implementar un Sistema de Gestión de Inteligencia Artificial que no entre en conflicto con los intereses comerciales de la organización, pero que trate los riesgos implícitos en el uso de la nueva tecnología.

Cómo implementar un Sistema de Inteligencia Artificial en la organización

La implementación de la norma ISO 42001 exige asumir un enfoque estructurado. Esto significa que la organización tiene que pensar en sus procesos y en su estructura funcional como puntos de enlace para el futuro sistema.

Implementar un Sistema de Gestión de Inteligencia Artificial difiere un poco de la misma tarea en otras áreas como Calidad o Seguridad y Salud en el Trabajo. El proyecto debe seguir los siguientes pasos:

1. Identificar y evaluar los riesgos

La evaluación de riesgos para un sistema de gestión de esta naturaleza considera amenazas específicas y singulares, de hecho, puede sobrepasar los límites de expertos en gestión de otro tipo de riesgos:

• Transferencia algorítmica y responsabilidad algorítmica: hacen referencia a la capacidad que tiene un sistema de IA, para tomar decisiones basadas en algoritmo, sin tener que considerar si son justas, legales o éticas.
• Seguridad de datos y de información: es otro riesgo inherente al uso de sistemas de IA que también tiene una alta repercusión en el cumplimiento de la organización.
• Riesgos éticos y legales: es necesario identificarlos y evaluarlos antes de avanzar en la tarea de implementar un Sistema de Gestión de Inteligencia Artificial. Es información relevante para los pasos siguientes.

2. Crear políticas y definir objetivos

Las políticas en un sistema de gestión IA expresan el compromiso de la organización, representada por la Alta Dirección, con el uso ético, responsable, inclusivo, transparente, legal y respetuoso de los derechos humanos de la nueva tecnología.

Los objetivos estarán alineados con ese compromiso: incluir al mayor número de personas sin sesgo alguno, eliminar riesgos de cumplimiento, crear marcos de rendición de cuentas transparentes, propiciar espacios para la discusión y el debate sobre el uso de IA, etc.

3. Obtener los recursos para el sistema

La asignación de recursos es una responsabilidad de la Alta Dirección. Es preciso hacer un presupuesto, planificar y obtener una lista de recursos necesarios para implementar un Sistema de Gestión de Inteligencia Artificial. ISO 42001 es un estándar que tiene una alta dependencia de recursos tecnológicos, algo que debe tener siempre presente el equipo implementador.

Recursos humanos, logísticos, financieros y de estructura serán también importantes. Es necesario que el equipo implementador solicite estos recursos con la debida oportunidad y se asegure de que la Alta Dirección los autorice.

4. Diseñar e implementar controles

ISO 42001, al igual que ISO 27001, entrega un anexo con controles. También incorpora un anexo con directrices para implementar los controles de IA. Algunos de estos controles buscan verificar y monitorear los procesos de toma de decisiones de una IA y de sus resultados, que es una de las mayores preocupaciones para personas y organizaciones.

Otros se enfocan en prevenir sesgos en las decisiones de la Inteligencia Artificial, pero también ante la segregación o la no inclusión de personas sin razón justificada. Existen, finalmente, controles especializados en la respuesta ante fallos o desviaciones en el comportamiento de sistemas de IA.

5. Documentar y registrar

La información documentada en ISO 42001 se compone de documentos y registros. Básicamente, se distinguen tres tipos:

• Documentos de desarrollo: incluyen procedimientos, instrucciones, registro del proceso de desarrollo y diseño de un producto y las validaciones efectuadas antes de su aprobación.
• Documentos de cumplimiento: entregan evidencia sobre la conformidad con los requisitos de ISO 42001, pero también del cumplimiento de obligaciones regulatorias o legales.
• Registro de incidentes: pretende dejar una memoria histórica sobre todos los eventos negativos que pueden retardar o impedir el logro de objetivos y la forma en que se abordaron.

6. Monitorear y supervisar

El equipo encargado de implementar un Sistema de Gestión de Inteligencia Artificial necesita diseñar y establecer procedimientos eficaces para monitorear el proyecto y, posteriormente, hacer seguimiento de su desempeño. Esto incluye evaluar el rendimiento del sistema y considerar actualizaciones de acuerdo con el avance de la tecnología o los cambios en el marco legal y regulatorio.

Software ISO 42001

El Software ISO 42001 es un aliado tecnológico para aquellas organizaciones que se plantean dar el salto cualitativo que implica estandarizar la gestión de sistemas de inteligencia artificial. Incorpora las herramientas imprescindibles para alcanzar la integración entre la IA y el marco regulatorio.

El software tiene capacidad para realizar un análisis de brechas, monitorear el sistema, gestionar y documentar su rendimiento y realizar evaluaciones de riesgos. Todo para que la organización pueda beneficiarse de las ventajas que ofrecen los sistemas de gestión de Inteligencia Artificial normalizados. Si aún te quedan dudas de sus beneficios, solo tienes que contactar con uno de nuestros consultores sin compromiso.