Normas ISO para implementar IA a considerar en el desarrollo de sistemas de inteligencia artificial

Las normas ISO para implementar IA que se consideran en el desarrollo de sistemas de Inteligencia Artificial cumplen diferentes roles. Unas se ocupan de los temas regulatorios, otras de los requisitos de seguridad de la información y privacidad de datos y otras de las preocupaciones éticas o de transparencia.

Algunas de las normas ISO para implementar IA se han diseñado y publicado con el propósito específico de apoyar el desarrollo seguro de los proyectos de sistemas de Inteligencia Artificial. Aquellas de publicación anterior a la irrupción de IA tienen objetivos y entregan requisitos que se ajustan a las necesidades de las organizaciones que tratan con aplicaciones o desarrollan sistemas de Inteligencia Artificial.

Cuáles son las normas ISO para implementar IA que se deben considerar

La razón por la que se consideran normas ISO para implementar IA es controlar y gestionar todos los riesgos inherentes a esta tecnología, que ha generado preocupaciones e inquietudes en las empresas, en las personas y en la sociedad en general.

Las normas ISO para implementar IA que contribuyen al uso seguro, transparente, legal, equitativo y ético, son las siguientes:

1. ISO 27001 para la gestión de la seguridad de la información

ISO 27001 es el estándar internacional para gestión de riesgos de seguridad de la información. Los objetivos de la norma hacen que las organizaciones puedan tratar con seguridad el entorno en el que operan los sistemas de IA, que necesitan procesar grandes cantidades de datos confidenciales y que los destacan como objetivo de ciberataques y todo tipo de infracciones de seguridad.

La norma proporciona requisitos, orientaciones y, sobre todo, los controles del Anexo A para proteger la información de la organización y la de terceros. ISO 27001 solicita a las organizaciones gestionar, documentar, revisar, monitorear, auditar los resultados de la gestión de riesgos, de tal forma que se garantice la mejora continua y la protección frente a amenazas externas.

Las solicitudes de ISO 27001 a la organización incluyen los siguientes aspectos:

• Evaluaciones, inspecciones, revisiones y auditorías periódicas para verificar la efectividad de la gestión de riesgos y de los controles utilizados.
• Implementar controles que aseguren el acceso seguro a los datos privados que utilicen los sistemas de IA.
• Diseñar e implementar procesos de gestión de incidentes que evidencien riesgos o brechas de seguridad.

2. ISO 23894: guía para la gestión de riesgos de IA

Dentro de las normas ISO para implementar IA, ISO 23894 es una guía para la gestión de riesgos emergentes inherentes al uso de esta tecnología, como los problemas que puede ocasionar la capacidad de un algoritmo para guiar a los seres humanos a tomar ciertas decisiones, sin que sean conscientes de que lo hacen impulsados por estímulos externos.

Este estándar, que en la práctica ofrece orientaciones y no requisitos en el sentido exacto en el que se utiliza la palabra en el contexto ISO, ayuda a las organizaciones a identificar, evaluar y tratar los riesgos emergentes relacionados con el desarrollo o uso de sistemas de IA. Las solicitudes más relevantes de esta guía son:

• Identificar riesgos y categorizarlos de acuerdo con el impacto y la probabilidad de ocurrencia.
• Diseñar e implementar estrategias eficaces para eliminar o mitigar los riesgos.
• Revisar el comportamiento y rendimiento de las estrategias de gestión de riesgos, para guardar coherencia con el avance de la tecnología.
• Documentar todos los procesos de gestión de riesgos.

3. ISO 38507, gobernanza de la Inteligencia Artificial

La gobernanza de la IA hace referencia a la implementación de procesos que aseguren el uso responsable, ético, legal y transparente de los sistemas de IA y al establecimiento de mecanismos adecuados para verificarlo.

Como parte de las normas ISO para implementar IA, ISO 38507 entrega directrices que ayudan a que la organización haga un uso adecuado de la Inteligencia Artificial, siempre alineado con los principios legales y éticos y con las obligaciones de cumplimiento que le son aplicables. Para cumplir con sus objetivos solicita lo siguiente:

• Asignar roles y responsabilidades para la gobernanza de los sistemas de IA.
• Crear políticas y publicar directrices claras sobre el uso de IA que promuevan y faciliten la rendición de cuentas.  
• Verificar el cumplimiento de las orientaciones y directrices de gobernanza, auditando el sistema con periodicidad.

4. ISO 25010, evaluación de calidad de los sistemas y del software de IA

Las normas ISO para implementar IA no solo tienen alcance sobre los sistemas de Inteligencia Artificial, también sobre el software que conduce esos sistemas. El estándar encargado es ISO 25010. La norma especifica los atributos de calidad que caracterizarán estas aplicaciones en cuanto a confiabilidad, accesibilidad, facilidad de uso, funcionalidad, mantenimiento y seguridad. Lo hace solicitando a la organización:

• Comprobar que el sistema y su software cumplen con los atributos de calidad solicitados.
• Implementar mecanismos de monitoreo que permitan hacer seguimiento de los sistemas y del software.
• Realizar evaluaciones de uso periódicas.
• Revisar que el sistema y su software utilizan controles adecuados para protegerlos de vulnerabilidades y de acceso indebido a los datos.

5. ISO 27701, gestión de información de datos personales e información privada

Las normas ISO para implementar IA no pueden prescindir de un sistema que se ocupe de los riesgos a los que están expuestos los datos personales y la información privada que, en grandes cantidades, tratan los sistemas de IA.

ISO 27701 es un estándar accesorio de ISO 27001, que lo complementa en lo relacionado con la necesidad de proteger los datos privados y evitar vulnerabilidades de la seguridad de la información, de acuerdo diferentes normativas, siendo la más relevante RGPD. Solicita lo siguiente:

• Planificar e implementar un sistema de gestión de información y datos privados.
• Garantizar la minimización de datos utilizados por los sistemas de IA.
• Proporcionar evidencia de transparencia a las partes interesadas sobre el uso de datos personales e información privada.
• Diseñar e implementar controles que protejan los datos de accesos no autorizados u otro tipo de infracciones.

6. ISO 42001, gestión de sistemas de Inteligencia Artificial

Está a la cabeza de las normas ISO para implementar IA. Es el estándar integral, el primero en su género para implementar, mantener, mejorar y certificar un Sistema de Gestión de Inteligencia Artificial. ISO 42001 aborda las consideraciones de igualdad, éticas y legales, pero también las amenazas únicas que surgen dentro de la organización.

Se trata de un estándar que ofrece una estructura habilitada para gestionar riesgos y oportunidades, avanzar hacia la mejora continua, proporcionar evidencia de cumplimiento y certificar la gestión.

ISO 42001 es, entre las normas ISO para implementar IA, la que mayor capacidad tiene para operar y crear un marco seguro de trabajo, debido al uso de la estructura de alto nivel que acompaña a las más importantes publicaciones ISO, pero también a sus anexos de controles y de guía de uso de estos.

Software ISO 42001

El Software ISO 42001 es una plataforma desarrollada con base en Inteligencia Artificial para gestionar con eficacia los riesgos asociados a esa tecnología. La solución tecnológica cuenta con funcionalidades integradas para automatizar tareas, predecir eventos, identificar eventualidades en tiempo real y garantizar el cumplimiento regulatorio y normativo en el uso de IA.

La plataforma, creada y alojada en la nube, representa un avance destacado en la digitalización de sistemas de gestión para organizaciones de todo tipo y sector. Para conocer a fondo el software y las ventajas que ofrece su implementación, solo tienes que solicitar información a nuestros asesores.