Gestión de riesgos de la IA: entender las amenazas asociadas a los sistemas de IA

La gestión de riesgos de la IA busca identificar, evaluar, priorizar, eliminar, mitigar o buscar formas para convivir con una amenaza o aprovechar una oportunidad asociadas al uso o desarrollo de sistemas de Inteligencia Artificial. Para ello, acude a una serie de herramientas, principios y marcos normativos como ISO 42001.

Repitiendo un axioma reconocido en gestión de riesgos, lo que se busca es disminuir el peligro y aumentar el beneficio. Entonces, ¿qué hace diferente la gestión de riesgos de la IA? La respuesta está en lo particular y específico del tipo de riesgo del que se ocupa.

Relación entre gestión de riesgos de la IA y gobernanza de la IA

La gobernanza de la Inteligencia Artificial es el marco conformado por reglas, políticas y estándares que rigen la investigación, diseño, desarrollo, uso e, incluso, el desecho de productos o sistemas de IA. Este entramado de normas busca crear una barrera sólida que impida el acceso no permitido, manteniendo a salvo a las personas de cualquier amenaza que pueda representar la IA.

La gestión de riesgos de la IA está dentro de ese marco de gobernanza y forma parte integral de él. El marco lo conforman el escenario y sus normas. La gestión de riesgos es el vigilante que procura que todo esté bajo control.

La gobernanza es un conjunto de normas, prácticas y procedimientos. La gestión de riesgos de la IA es un proceso que busca mantener a salvo de irrupciones y accesos no permitidos a los sistemas de Inteligencia Artificial, pero también verificar que esos sistemas no vulneren los derechos de las personas o su integridad.

Por qué es importante la gestión de riesgos de la IA

La IA es un avance científico de enorme relevancia, pero también despierta recelos. Esto no ha impedido que irrumpa en casi todos los sectores de la producción, el comercio y los servicios. A pesar de las dudas, la expectativa sobre las oportunidades asociadas a la innovación, eficiencia y productividad hacen que industrias de todo el mundo se rindan ante esta tecnología.

¿Y los temores? ¿Y los riesgos? Por supuesto, son reales, pero también lo son los beneficios. Ese es el papel de la gestión de riesgos de la IA: favorecer un uso responsable de las tecnologías de IA y crear un marco de trabajo seguro sin dejar de aprovechar las oportunidades.

Cuáles son las amenazas de las que se encarga la gestión de riesgos de la IA

Las preocupaciones relacionadas con la IA son de carácter muy diferente: toma de decisiones autónomas por parte de la Inteligencia Artificial, la pérdida de empleos o el uso indebido y enmascarado de contenidos sujetos a derechos de autor son tal vez las más representativas.

A nivel corporativo el asunto se analiza desde un punto de vista académico y científico, sin dejar de incluir las preocupaciones de las personas. En las organizaciones, la gestión de riesgos de la IA se enfoca en cuatro grandes grupos:

1. Riesgo de los datos

El desarrollo de un sistema de Inteligencia Artificial hace uso de una gran cantidad de datos. El uso operativo de algunos de esos sistemas, en particular los que trabajarán en áreas como atención al cliente, dependerá del acceso a datos privados de muchas personas.

La gestión de riesgos de la IA necesita enfocar esfuerzos en la mitigación de los riesgos que amenazan los datos propios y los de terceros en todas las etapas del ciclo de vida de la IA, desde su diseño y concepción, hasta su deshecho. Algunos de esos riesgos de datos específicos son:

• Seguridad de los datos: incluye el acceso no autorizado, la manipulación indebida, la corrupción o el compromiso sobre la confidencialidad.
• Privacidad de los datos: se refiere a la exposición indebida o con fines comerciales o delictivos de la información de usuarios u otros terceros.
• Integridad de los datos: la corrupción de los datos llevará a la IA a conclusiones erradas y a la toma de decisiones sesgadas.

2. Riesgo del modelo

El riesgo del modelo es, en la práctica, el robo, acceso indebido o publicación no autorizada del modelo (diseño de la IA), que permitirá manipular su arquitectura, modificar su comportamiento y conducirlo para que actúe de una forma que no fue la propuesta por su creador. Algunos ejemplos son los siguientes:

• Manipulación de los datos de entrada para hacer que la IA llegue a conclusiones erradas, tome decisiones sesgadas o elabore predicciones incorrectas.
• Entrada maliciosa de mensajes que logran mimetizarse de tal forma que IA piensa que son legítimos. Ya dentro, actúan como un virus que tiene acceso a información confidencial o puede entregar información errónea a la IA. En un chatbot, por ejemplo, un mensaje malicioso puede hacer que el asistente diga algo que nunca debería decir.
• Imposibilidad para interpretar el proceso de análisis y de toma de decisiones. Los modelos son de difícil interpretación y la falta de transparencia puede implicar dificultades para detectar sesgos. La gestión de riesgos de la IA necesita comprobar que los sistemas basados en esta tecnología incorporen mecanismos de rendición de cuentas.
• Ataques a la cadena de suministro, que ocurren cuando ciberdelincuentes logran identificar vulnerabilidades en un sistema de IA, en cualquier etapa de su ciclo de vida. Usualmente, el atacante accede a un componente en la instalación del proveedor, antes de que llegue al sitio en que formará parte de una estructura de IA mayor.

3. Riesgos operativos

El riesgo operativo u operacional, es el que sufre una organización por fallos en sus procesos internos de producción. Estos pueden suponer pérdidas importantes o, incluso, suspender la actividad. Por sorprendente que parezca, la Inteligencia Artificial no deja de ser un producto más, expuesto al error humano o al cualquier otro riesgo operativo. Son riesgos que es necesario gestionar, entre ellos:

• Falta de controles que impidan o alerten sobre deterioro. El deterioro progresivo de un sistema de IA podría ocasionar errores de funcionamiento, lo cual entraña riesgos.
• Falta de soporte que facilite la operación del sistema a largo plazo, la actualización, el mantenimiento o la escalabilidad, generando un rendimiento inconsistente, además de errores y desviaciones en el funcionamiento.
• Dificultad para integrar la IA con otros sistemas de IT, lo que causaría cuellos de botella, silos de información o comunicaciones rotas. La consecuencia es vulnerabilidad a ataques informáticos.
• Falta de estructuras eficaces de gobernanza, que expone el desarrollo de sistemas de IA al libre albedrío del desarrollador y de sus intereses particulares. Este tipo de desarrollos carecen de supervisión adecuada, con las consecuencias previsibles.

4. Riesgo ético y legal

En este grupo se ubican la mayoría de los riesgos mencionados en la introducción de este apartado. La gestión de riesgos de la IA necesita enfocarse en la prevención de riesgos éticos y legales no solo por las afectaciones a las personas, sino por las consecuencias reputacionales y económicas para la organización. En este segmento es necesario gestionar estas amenazas:

• Ausencia de transparencia que, además de las consecuencias obvias, afectará la reputación de la empresa y menoscabará la confianza de sus clientes, inversionistas y reguladores, entre otras partes interesadas.
• Incumplimiento normativo y regulatorio, destacando en este segmento la violación del RGPD. Multas, sanciones o cierre de operación serán las consecuencias prácticas.
• Sesgo algorítmico, que puede llevar a la toma de decisiones discriminatorias. Esto sería especialmente grave en una IA que, por ejemplo, asigne créditos en un banco o participe en procesos de contratación de personas en una organización.
• Falta de ética en las decisiones de la IA, generando conflictos e inquietudes en las personas que verán vulnerados sus derechos a la privacidad, la igualdad, la autonomía y a los derechos de autor.
• Ausencia de rendición de cuentas o de otros mecanismos que permitan explicar las decisiones de una IA, auditar resultados o realizar escrutinios legales válidos para justificar una acción, una conclusión o una decisión. Esto es especialmente grave si se ubica en el contexto de un litigio judicial.

Cuáles son los marcos de gestión de riesgos de la IA disponibles

Estandarizar la gestión de riesgos de la IA, utilizando un marco diseñado para ese propósito, es una tendencia comprensible y aceptable. Un estándar de sistemas de gestión de IA permite crear políticas, diseñar e implementar procesos coherentes de gestión de riesgos y, en general, adoptar las mejoras prácticas para garantizar un escenario de operación seguro, legal, ético y transparente. A nivel global existen varios de estos estándares, como los que se mencionan a continuación:

• Instituto Nacional de Normas y Tecnología (NIST): es un marco resultado de la cooperación entre instituciones estatales y organizaciones del sector privado. Es un estándar voluntario, disponible para organizaciones de todos los tamaños y ubicaciones.
• Ley de Inteligencia Artificial de la UE: es una obligación legal que regula el desarrollo y operación de sistemas de IA, enfocando sus requisitos a prevenir los riesgos en las áreas de salud, seguridad y derechos humanos.
• Normas ISO: la Organización Internacional de Normalización, en colaboración con la Comisión Electrotécnica Internacional, ha desarrollado varios estándares con el propósito de gestionar los riesgos asociados al desarrollo, uso o deshecho de sistemas de IA. Entre las Normas ISO para implementar IA destaca, por su versatilidad, capacidad para escalar y flexibilidad, ISO 42001.

Software ISO 42001

La automatización de la gestión de riesgos de la IA asegura la efectividad y la capacidad para alcanzar los objetivos, en particular cuando se ha implementado el estándar ISO. El Software ISO 42001 se ha diseñado en colaboración con la misma Inteligencia Artificial y está dotado con funcionalidades de esta tecnología.

Este desarrollo tecnológico impulsará el uso de IA en tu empresa, puesto que tiene capacidad para realizar evaluaciones de riesgos y análisis de brechas, monitorear el SGIA y documentar los procedimientos relacionados con él, entre otras funcionalidades. Para más información, puedes contactar con nuestros consultores expertos.