Estándar de sistemas de gestión de IA: guía práctica sobre ISO/IEC 42001

Los sistemas de gestión de IA cuentan con un marco normativo que facilita a las organizaciones hacer un uso responsable, ético, equitativo, legal y transparente de la Inteligencia Artificial. A la espera de otras regulaciones, los sistemas de gestión encuentran en la norma ISO 42001 una guía confiable para asegurar el cumplimiento y el tratamiento de los riesgos asociados a la IA.

ISO 42001 entrega las herramientas necesarias para desarrollar sistemas de gestión de IA que aseguren el uso responsable de la Inteligencia Artificial tanto para organizaciones que la desarrollen como para aquellas otras que hagan uso de ella.

Qué es ISO 42001 para sistemas de gestión de IA

Los órganos legislativos de diferentes países trabajan para crear un marco legal para el uso de la IA. La Unión Europea ha tomado la delantera al publicar la Ley de Inteligencia Artificial, que tiene como eje de cumplimiento el estándar ISO/IEC 42001, que es su nombre completo.

El desarrollo de sistemas de gestión de IA cambia a partir de la publicación de ISO 42001. Desde ese momento, las organizaciones cuentan con una guía metodológica y sistemática para abordar riesgos y desafíos de IA, pero también para aprovechar oportunidades cada vez más atractivas.

Es el enfoque metódico el que facilita el logro de los objetivos de ISO 42001. La norma permite a las organizaciones abordar riesgos como la privacidad de datos, los derechos de las personas, las infracciones éticas o la probabilidad de que los algoritmos preparados para aprender puedan tomar decisiones o influir en las personas para que realicen acciones que suponen autónomas.

ISO 42001 e ISO 27001

El estándar de sistemas de gestión de IA comparte estructura de Alto Nivel con ISO 27001. Los dos estándares se alinean en torno a la protección de los datos y de la información. Las dos Normas ISO entregan anexos de controles.

ISO 42001, además de la estructura de Alto Nivel, comparte otra característica reconocida en la mayoría de los estándares de reciente publicación: la adopción del ciclo PDCA (planear, hacer, verificar y actuar), que promueve la mejora continua.

En cuanto a los controles, ISO 42001, al igual que ISO 27001, no obliga al uso de todos los que se incluyen en el Anexo A. Pero sí es preciso argumentar, en la Declaración de Aplicabilidad, las razones por las que se adoptan unos y se prescinde de otros. Se realiza con posterioridad a la definición del alcance del estándar de sistemas de gestión de la IA ISO 42001 y del contexto de la organización.

Cómo elegir los controles en el estándar de sistemas de gestión de IA

Antes de decidir cuáles son los controles de la ISO 42001 que servirán para proteger los sistemas de gestión de IA, conviene revisar algunos elementos clave:

1. Gestión de riesgos

En un escenario de coherencia, es evidente que antes de elegir controles es necesario conocer los riesgos y las amenazas a los que se enfrentarán los sistemas de gestión de IA. Es importante hacerlo durante el ciclo de vida completo.

2. Impacto de los sistemas de Inteligencia Artificial

La evaluación del impacto de los sistemas de Inteligencia Artificial se basa en la presunción de las consecuencias que puede tener el uso de un producto o un sistema de Inteligencia Artificial para los usuarios, para las personas a su alrededor, para la sociedad y para otras partes interesadas.

3. Ciclo de vida completo de los sistemas de IA

Para todos los efectos, desde gestión de riesgos y determinación de alcance en ISO 42001 hasta el cumplimiento regulatorio, los sistemas de gestión de IA se ocupan de los desarrollos de Inteligencia Artificial durante todo el ciclo de vida del producto. Es decir, desde su concepción, pasando por su diseño y comercialización, hasta la eliminación o disposición final.

4. Mejora continua

Es importante considerar la capacidad que tengan los controles para mejorar los sistemas de gestión de IA, así como los indicadores para medir el rendimiento y la mejora continua.

5. Cadena de suministro

Cuando se trata de Inteligencia Artificial o de seguridad de la información, los riesgos no necesariamente están dentro de la organización. Pueden aparecer en algún punto de la cadena de suministro. Por supuesto, hasta allá tienen que llegar los controles.

Por qué las organizaciones necesitan implementar sus sistemas de gestión de IA con base en ISO 42001

Contar con un marco normativo para gestionar los riesgos asociados al desarrollo o uso de IA es ya un beneficio importante. Los sistemas de gestión de IA basados en la norma ISO 42001, no obstante, proponen otras interesantes ventajas:

1. Abordar todos los riesgos

Los sistemas de gestión de IA basados en ISO 42001 cuentan con las herramientas adecuadas para abordar de forma integral todos los riesgos. Pueden ser de carácter ético, legal, operativo o relacionados con los derechos de las personas. También pueden abordar aquellos que se relacionan con la toma de decisiones que atentan contra los mismos seres humanos, influidas por información sesgada proporcionada por IA.

2. Generar confianza y tranquilidad

La organización que logra demostrar que gestiona los riesgos con eficacia y que esa gestión tiende hacia la mejora ganará la confianza de sus consumidores, de las personas, de los organismos reguladores, de sus trabajadores y de sus inversionistas.

3. Obtener ventaja competitiva

El cumplimiento, la confianza y la tranquilidad que genera un marco normativo con reconocimiento internacional hacen que la organización esté preparada para obtener el mejor rendimiento de la Inteligencia Artificial y adquirir ventaja competitiva.

4. Prepararse para cumplir con el marco regulatorio

La primera Ley de Inteligencia Artificial entró en vigor en la UE, pero no será la única. Se prevén réplicas en otros continentes, como Asia y América, en 2025. La expectativa promoverá la preparación de las empresas para cumplir con las regulaciones, por supuesto, de la mano de ISO 42001.

Cómo implementar ISO 42001

El paso a paso para planificar, implementar ISO 42001, certificar el sistema y mejorarlo es muy similar al proceso que se sigue para adoptar otras normas ISO. Básicamente, se puede resumir en catorce pasos:     

• Realizar un análisis de brechas para saber en qué estado está la organización y qué le falta para alcanzar la conformidad.        
• Obtener el aval de la Alta Dirección, que será la que asigne los recursos.
• Conformar un equipo implementador conformado por personas expertas en el área, profesionales del área de IT, recursos humanos, cumplimiento, etc. 
• Crear las políticas, fijar objetivos, identificar contexto y definir alcance.
• Identificar, evaluar, priorizar y gestionar los riesgos.
• Redactar la declaración de aplicabilidad de los controles.
• Realizar una auditoría interna para identificar problemas.
• Diseñar e implementar acciones correctivas.
• Realizar una nueva auditoría interna.
• Revisión de la Alta Dirección.
• Elegir un organismo certificador y solicitar una auditoría de terceros.
• Afrontar y aprobar la auditoría de certificación.
• Realizar auditorías y revisiones continuas para mejorar el sistema.  
• Afrontar una auditoría de recertificación en tres años.

Software ISO 42001

La automatización es la herramienta más eficaz en la implementación de sistemas de gestión de IA. El Software ISO 42001 es un desarrollo tecnológico diseñado para digitalizar sistemas de gestión, identificar riesgos y proveer toda la información necesaria para practicar auditorías, medir el comportamiento de los controles y encontrar problemas u oportunidades en tiempo real.

La plataforma, que emplea precisamente Inteligencia Artificial, es una herramienta que ayuda a alcanzar la excelencia empresarial, el cumplimiento y la mejora continua. Puedes solicitar más información sin compromiso contactando con nuestros asesores o participando en una demo online gratuita.