El rol de ISO 42001 e ISO 27001 en sistemas de IA robustos

Los sistemas de IA contribuyen al desarrollo de diversas industrias tecnológicas, pero también de empresas de todos los tamaños en sectores que van desde automoción y aeronáutica, hasta retail, logística y organizaciones financieras, pasando por el sector farmacéutico y sanitario.

Es difícil encontrar un modelo de empresa que no haga uso, en mayor o menor grado, de sistemas de IA. Por supuesto, la novedad que aún representa esta tecnología y el dinamismo y evolución que la caracterizan, plantean retos para las empresas que necesitan establecer modelos de gobernanza y gestión sólidos.

Las oportunidades son lo suficientemente atractivas como para buscar opciones de gestión que garanticen la transparencia, la privacidad de los datos y el respeto a los derechos de las personas, características esenciales en sistemas de IA robustos. Esos son los aportes que pueden hacer ISO 42001 e ISO 27001.

Cuáles son los objetivos de ISO 27001 e ISO 42001

ISO 27001 es el estándar con reconocimiento internacional diseñado para gestionar los riesgos que amenazan la seguridad de la información de las organizaciones y la privacidad de los datos de terceros que gestione la empresa. 93 controles de seguridad, distribuidos en cuatro categorías, aparecen en el Anexo A de la norma ISO 27001.

ISO 42001 es un reciente estándar, publicado en diciembre de 2023, para dotar de herramienta eficaces para que las organizaciones hagan un uso seguro, responsable, ético, transparente, equitativo y respetuoso de los derechos humanos, de los sistemas de Inteligencia Artificial. Es una norma diseñada para organizaciones que desarrollen o utilicen sistemas de IA, que también entrega controles y una guía para la implementación de esos controles en sus Anexos A y B.

El trabajo colaborativo e integrado entre ISO 42001 e ISO 27001 facilita a las organizaciones abordar los riesgos de seguridad de la información, de privacidad de datos y los inherentes al uso de IA. Se genera así confianza en los clientes y en otras partes interesadas, entre ellas los organismos reguladores.

Cuál es el alcance de los sistemas de IA

Cuando se habla de sistemas de IA se hace referencia a todos los desarrollos tecnológicos, aplicaciones, software, asistentes de voz, chatbots, algoritmos de aprendizaje o robots autónomos, entre otros. Otra cosa es el alcance de los sistemas de Inteligencia Artificial, que se refiere a los límites físicos, virtuales o digitales que tiene la aplicación del sistema.

La definición del alcance es una tarea crítica porque de ello dependen procesos de gestión de riesgos, de redacción de políticas o de alineación con procesos comerciales de la organización.

Definir el alcance de un sistema de IA supone algunos problemas, sobre todo cuando se habla de su interacción en la red o en otro tipo de plataformas digitales. La capacidad de aprendizaje, por ejemplo, podría eventualmente hacer que el sistema sobrepase, de forma autónoma, los límites definidos en el alcance. Es uno de los riesgos que deben tratar los sistemas de gestión de Inteligencia Artificial.

Es tan importante la definición del alcance de un sistema de IA, que un fallo, una extralimitación o un alcance que no goce de la suficiente amplitud podrían ocasionar vacíos en los que no se gestionarían riesgos, falta de recursos o proposición de objetivos ineficaces o inalcanzables que no será posible alinear con la estrategia comercial de la empresa.

Cuál es el rol de ISO 42001 e ISO 27001 en los sistemas de IA robustos

Los requisitos de ISO 42001 e ISO 27001 permiten a la organización construir un marco de operación seguro para los sistemas de IA. Los dos estándares solicitan a la organización definir el alcance de los respectivos sistemas de gestión. Esa definición de alcance, que considera el contexto interno y externo de la organización, perfectamente puede ser el mismo que se utilice para los sistemas de IA.

Los requisitos y los objetivos de los dos estándares, plasmados estos últimos en las correspondientes políticas, crean un marco de seguridad para gestionar de forma eficiente los riesgos de seguridad de la información y los que tanto preocupan a las personas, a las empresas, a la sociedad y a los organismos reguladores, relacionados con el uso de IA.

Cómo pueden las organizaciones determinar el alcance de los sistemas de IA

El alcance de los sistemas de IA será el que determine el mismo uso de la tecnología, los sistemas utilizados y, en particular, la evaluación que se realice con base en cinco elementos esenciales:

1. Sistemas y tecnologías existentes

Es preciso realizar un inventario detallado de los productos de IA que utiliza o desarrolla la organización, especificando los procesos asociados a esta tecnología, como atención al cliente, robótica, minería de datos o procesamiento de lenguaje natural.

2. Contexto interno y externo

Para la determinación del alcance de los sistemas de Inteligencia Artificial y para cumplir los requisitos de ISO 42001 e ISO 27001 es preciso considerar el contexto interno y externo de la organización. Para hacerlo se tienen en cuenta los elementos, factores, condiciones o circunstancias que tienen la capacidad para afectar el logro de los objetivos.

3. Necesidades y expectativas de las partes interesadas

Es necesario identificar las partes interesadas, sus expectativas y requisitos. Los clientes y usuarios ocupan una primera línea. Siguen los organismos reguladores, los inversores, la Alta Dirección, los empleados, los proveedores y grupos representantes de la comunidad. Excluir o ignorar alguna de las partes interesadas hace que la gestión establezca objetivos ineficaces, con las consecuencias que esto tiene sobre el resultado final de la gestión de riesgos.

4. Documentación

Todos los procedimientos y tareas que se desarrollen para definir el alcance de los sistemas de Inteligencia Artificial se documentan y se comunican a las partes interesadas.

5. Alineación

Se trata de verificar que el alcance no entra en conflicto con los intereses comerciales de la organización y con sus estrategias de negocios.

Cuál es el aporte de ISO 42001 e ISO 42001 a la gestión de sistemas de IA

ISO 42001 es el estándar que se ocupa de la gestión de sistemas de Inteligencia Artificial. Dentro de los riesgos que aborda están los que impactan en la seguridad de la información y la privacidad de los datos. Además de los controles propios de ISO 42001, el estándar se apoya en los requisitos y controles de ISO 27001 para lograr los objetivos asociados a la seguridad de la información y tratar los riesgos que amenazan la integridad y la privacidad de los datos.

Además de los controles y el enfoque sistemático para satisfacer las expectativas y necesidades de las partes interesadas, los dos estándares ISO garantizan la mejora continua de la gestión, que es un requisito presente en los textos de las normas.

Ambos estándares solicitan a la organización crear una estructura organizacional para conducir la gestión, asignar roles, responsabilidades y recursos, definir alcance, partes interesadas y sus requisitos y publicar una política en la que se incluyan los grandes objetivos de la gestión.

Qué elementos tener en cuenta en la redacción de la política de gestión de IA

Los dos estándares necesitan una política publicada por la Alta Dirección. En el caso de sistemas de Inteligencia Artificial, es preciso contar con una política creada pensando en la gestión de los riesgos y las posibles afectaciones reputacionales, financieras, legales o normativas para la organización, de acuerdo con la solicitud de ISO 42001. Para ello es preciso tener en cuenta:

• Misión y visión: la política necesita alinearse con lo propuesto en esos documentos.
• Comunicación: la política debe ser comunicada a todas las partes interesadas y estar disponible y accesible sin dificultad.
• Sistemas de IA incluidos: que no es otra cosa que la definición del alcance y el inventario de sistemas mencionados.
• Roles, responsabilidades y autorizaciones: definir a quiénes se asignan tareas o procesos específicos y quiénes están autorizados a utilizar los sistemas de IA, incluyendo las directrices para el uso adecuado.
• Relación con otras políticas: en este caso la principal interacción será con la política de ISO 27001, por supuesto. Pero también podría haber puntos de coyuntura con ISO 45001, con ISO 14001 o ISO 9001, o con la política de cumplimiento de la organización.
• Reportes de incidentes: incluir directrices para el diseño de procesos que permitan reportar incidentes, problemas o amenazas, y establecer canales para recibir comentarios o sugerencias que busquen la mejora del SGIA.
• Cumplimiento: declarar el compromiso con el cumplimiento regulatorio en temas sensibles como la protección de datos (RGPD), por ejemplo, o los códigos éticos y de conducta propios u otros que sean aplicables.
• Ciclo de vida de los sistemas de IA: describir las fases que conforman el ciclo de vida de los sistemas, que es una extensión del alcance y, por ello, un punto de referencia obligatorio para la gestión de riesgos.
• Integración de los sistemas en los procesos operativos: definir cómo se usará la tecnología en los procesos operativos, garantizando cumplimiento, transparencia y confiabilidad.
• Relaciones con terceros: la política abordará las interacciones en la cadena de suministro, ascendente y descendente, así como con otras partes interesadas externas.

Software ISO 42001

El uso de sistemas de IA genera riesgos que necesitan ser tratados y la automatización es el camino. El Software ISO 42001 es un desarrollo dotado de elementos de Inteligencia Artificial que provee las herramientas necesarias para implementar y mantenr un sistema de gestión de IA en base a esta norma. Las organizaciones encuentran en él funcionalidades que automatizan procesos de la gestión, analizan brechas y evalúan riesgos, entre otras muchas.

El software se ha diseñado para que se adapte sin problemas a todo tipo de organizaciones, independientemente de su tamaño o sector. Además, su uso es sencillo e intuitivo. Si quieres conocer en profundidad cómo funciona y qué beneficios puede ofrecer a tu empresa, solo tienes que contactar con uno de nuestros consultores.