Roles y responsabilidades en ISO 42001: claves para la gestión y desarrollo de sistemas de IA

Asignar roles y responsabilidades en ISO 42001 es uno de los pasos que conforman el proceso de implementación de un sistema de gestión de Inteligencia Artificial basado en el estándar de ISO. Es, además, una de las formas en las que la alta dirección demuestra liderazgo.

Una vez el SGIA se ha implementado y certificado, se mantienen las asignaciones pensando en el mantenimiento y mejora continua del sistema. Por eso es tan importante saber qué personas asumirán los roles y responsabilidades en ISO 42001. También es necesario saber dónde encontrarlas y definir un perfil adecuado para ellas en el que se consideren criterios como conocimiento, experiencia y competencias.

Cuál es la importancia de ISO 42001

ISO 42001 es el primer estándar de sistemas de gestión IA de alcance internacional. La norma, que puede ser utilizada por todo tipo de organizaciones de cualquier tamaño, complejidad y procedencia, entrega requisitos, orientaciones y controles para tratar los riesgos asociados al uso de la Inteligencia Artificial, entre ellos privacidad de datos, toma de decisiones con base en información sesgada, cumplimiento legal, derechos humanos y transparencia.

El uso de Inteligencia Artificial plantea reticencias en las personas y estas crean incertidumbre en el ámbito corporativo. Es lo que motivó la publicación de un estándar eficaz para gestionar los riesgos y garantizar el uso responsable, ético, transparente y legal de la nueva tecnología.

Se trata de una tecnología que está en constante evolución, lo que representa un desafío para el aún nuevo estándar. Pero también es una razón para tomarse muy en serio la definición de roles y responsabilidades en ISO 42001 y la elección de las personas que asumirán esos puestos.

La estructura del estándar es un buen punto de partida para identificar los roles y responsabilidades en ISO 42001. Es el siguiente paso antes de elegir a las personas que tendrán a su cargo la operación del sistema de gestión de Inteligencia Artificial.

Elementos clave en la estructura de la norma ISO 42001

ISO 42001:2023 adopta la estructura armonizada o de alto nivel que caracteriza a las publicaciones ISO más populares, como ISO 9001 o ISO 45001. Sin embargo, lo más interesante es que se trata de la misma estructura de ISO 27001, estándar de gestión de Seguridad de la Información, que tiene más de un punto de coyuntura con la norma de IA. De hecho, ISO 42001 e ISO 27001 son estándares complementarios.

Cinco elementos se destacan en la estructura de ISO 42001:

1. Alcance y definiciones

En las normas ISO se recogen dos tipos de alcance. En los tres primeros capítulos del texto se menciona el alcance general de ISO 42001. La primera referencia aparece en el capítulo 1, en el que se expresa que se trata de un estándar que puede ser utilizado para establecer, implementar, mantener y mejorar un sistema de gestión de IA en organizaciones que desarrollan, utilizan o comercializan productos de IA.

La siguiente referencia aparece en la cláusula 4.3, que solicita a la organización determinar el alcance del sistema dentro de la organización. Este puede ser sobre una ubicación en particular, sobre un área o departamento, sobre algunos procesos o sobre una línea de productos.

2. Gestión de riesgos

La gestión de riesgos es el elemento más importante en un SGIA. Es, además, un ejemplo claro sobre la importancia de la asignación de roles y responsabilidades en ISO 42001. Aunque la norma entrega orientaciones claras y precisas para cumplir con el requisito, acompañadas de un anexo de controles y una guía para utilizarlos, es lógico que uno de los roles clave sea el del experto en esta área, que probablemente requiera contar con conocimientos técnicos muy específicos.

3. Gobernanza de datos e información

Preservar la privacidad de los datos y la seguridad de la información son objetivos esenciales para ISO 42001. Objetivos que se incluyen en las políticas y que son la guía para crear procedimientos de gobernanza que, además, busquen asegurar el cumplimiento de requisitos regulatorios. Dentro de estos, el mejor ejemplo es RGPD, aunque también se puede mencionar el Reglamento de Resiliencia Operativa Digital (DORA).

Definir la estructura de gobernanza implica identificar activos de información, establecer su propietario, clasificarlos, asociar controles para mitigar los riesgos y, por supuesto, definir roles y responsabilidades en ISO 42001 específicos y adecuados para cumplir las exigencias regulatorias y normativas.

4. Controles de seguridad

Los controles de ISO 42001 aparecen en el Anexo A de la norma. El Anexo B entrega una guía útil para implementar los controles enumerados en el Anexo A. El Anexo C habla de algunas fuentes de riesgos de IA y de objetivos organizacionales y el D hace referencia a normas específicas para diferentes sectores.

Los controles del Anexo A incluyen algunos recurrentes y de uso común en otros ámbitos de la empresa, como cifrado de datos, controles de acceso y enmascaramiento de datos, entre otros.

5. Seguimiento, monitoreo y evaluación

La norma asigna una importancia especial a las actividades que permiten evaluar el sistema y su capacidad para lograr los objetivos, así como a las que realizan seguimiento para recopilar la información que evidencia el cumplimiento y la conformidad con los requisitos. Entre los roles y responsabilidades en ISO 42001 es preciso destacar el diseño de metodologías que permitan hacer seguimiento en tiempo real de la gestión, la implementación de indicadores confiables de rendimiento y, por supuesto, la práctica de auditorías, inspecciones y revisiones.

Cuáles son los roles y responsabilidades en ISO 42001 que es preciso asignar

De la lectura de texto de la norma se deducen los roles y responsabilidades en ISO 42001 que se espera se encarguen de la implementación del sistema de gestión de Inteligencia Artificial (SGIA), su mantenimiento y su mejora. En orden de aparición, estos son los mínimos:

1. Liderazgo de la gestión

El liderazgo de la gestión corresponde a la alta dirección. Es el órgano encargado de asignar otros roles y responsabilidades en ISO 42001, destinar los recursos, revisar el estado del sistema, suscribir las políticas y definir los objetivos generales, entre otras demostraciones del liderazgo. No se espera, sin embargo, que asuma todas sus responsabilidades de forma directa, algunas funciones se pueden delegar en las personas que designen para cumplir con los demás roles.

2. Administradores y supervisores de datos e información

Los administradores y supervisores de datos tienen a su cargo la implementación de los controles de seguridad y el monitoreo constante de su desempeño, comprobando el cumplimiento con los requisitos del estándar, pero también con regulaciones como RGPD. Los supervisores de datos son la primera línea de defensa que utiliza la gestión de riesgos para preservar la integridad, confidencialidad, privacidad y seguridad de la información y los datos privados de terceros.

3. Ingenieros y expertos técnicos

En el éxito de estándares como ISO 42001 e ISO 27001 el componente tecnológico es alto. Por tanto, la exigencia de profesionales con la suficiente capacitación y conocimientos técnicos profundos es igualmente elevada. Entre los llamados a ocupar roles y responsabilidades en ISO 42001 están, por supuesto, los ingenieros encargados del diseño y desarrollo de los sistemas de IA.

4. Expertos en ISO 42001

Aunque el sistema podría obtener interesantes beneficios de profesionales expertos en los requisitos legales o de experimentados oficiales de cumplimiento, por citar dos áreas con relación transversal, es evidente que el sistema necesitará tantos expertos con ISO 42001 como sean necesarios no solo para cumplir con funciones rutinarias, sino para auditar el sistema o impulsar la mejora continua.

Software ISO 42001

El Software ISO 42001 es una solución tecnológica, resultado de la misma Inteligencia Artificial, que tiene la capacidad para automatizar las tareas cotidianas del sistema de gestión, proveer los informes necesarios para la auditoría, mostrar el estado de la gestión en tiempo real o predecir escenarios teóricos futuros, tan útiles para la gestión de riesgos.

Esta plataforma avanzada se ha probado con éxito en terrenos de alta exigencia. El siguiente paso es la implementación en tu organización para asegurar un marco de operación de IA seguro y que permita aprovechar las infinitas oportunidades de la Inteligencia Artificial. Nuestros consultores te ayudarán en el proceso, solo tienes que contactar aquí.