| 25 años generando CONFIANZA
ISO 42001 de inteligencia artificial es el primer estándar internacional en abordar uno de los temas de los que más se habla y se indaga en la red alrededor del mundo. Esto ya agrega un interesante valor a la norma publicada en 2023.
La capacidad que entrega a las organizaciones para gestionar riesgos y oportunidades asociados al uso de herramientas o aplicaciones de IA, o al desarrollo de ellas, es tal vez el punto más importante de ISO 42001 de inteligencia artificial.
Sin embargo, este nuevo estándar global tiene mucho más para explorar. A continuación, profundizamos en lo que es ISO 42001 de inteligencia artificial, sus beneficios, e incluimos una breve guía para su pronta implementación.
¿Qué es ISO 42001 de inteligencia artificial?
ISO 42001 es un estándar para planificar, establecer, implementar, mantener y mejorar un Sistema de Gestión de Inteligencia Artificial. Es un estándar certificable y ha sido diseñado para organizaciones que utilizan aplicaciones, productos o desarrollos basados en inteligencia artificial, pero también para las organizaciones que desarrollan este tipo de productos.
El objetivo prioritario de ISO 42001 de inteligencia artificial es tratar los riesgos que tienen la capacidad de impedir el uso responsable y ético de la inteligencia artificial. Pero también crea un marco de gestión proclive al aprovechamiento de oportunidades generadas por IA.
Un aspecto importante, y a la vez muy interesante, es la capacidad que tiene el estándar para tratar un tema que avanza a una velocidad vertiginosa. Ante ese panorama, es previsible que encontremos actualizaciones de ISO 42001 de inteligencia artificial en uno o dos años, mucho más ágiles que las que se acostumbran para otros estándares ISO.
La Gestión de Riesgos es importante en ISO 42001. Pero también lo es la necesidad de generar equilibrio entre el poder de la tecnología y las mejores prácticas de gobernanza y sostenibilidad.
¿Por qué implementar ISO 42001 de inteligencia artificial?
Los beneficios que entrega ISO 42001 son muchos. Las ventajas que el estándar ofrece justifican su implementación. Entre ellas se encuentran:
- Permite aprovechar las sorprendentes funcionalidades que ofrece la IA, garantizando la responsabilidad en el uso y las mejores prácticas éticas. Esto es especialmente importante para organizaciones que utilizan modelos ESG o GRC.
- Garantiza el cumplimiento de cualquier regulación sobre IA, o normas que controlan la privacidad de los datos y el acceso legítimo a la información privada, confidencial o privilegiada.
- Aprovechar las ventajas estratégicas y competitivas que ofrece el uso seguro, controlado y responsable de la tecnología basada en inteligencia artificial.
- Establecer controles eficaces para evitar el uso irresponsable o malintencionado de la tecnología.
- Integrar la Gestión de Sistemas de Inteligencia Artificial con otros como Seguridad de la Información, Cumplimiento, Calidad o Gestión Anticorrupción.
- Mejorar la reputación de la organización, para nuevos talentos que buscan empleo, para clientes y consumidores, para organismos reguladores, para inversionistas o para mercados en otros continentes.
¿Cuáles son los componentes clave de ISO 42001 de inteligencia artificial?
ISO 42001 adopta la estructura de Alto Nivel acostumbrada para las recientes publicaciones ISO. Los requisitos, vistos desde la generalidad, son iguales o similares. Sin embargo, la clave de la comprensión del estándar está en:
1. Sistemas de Gestión de Inteligencia Artificial
El estándar solicita crear políticas, procedimientos y procesos para Gestionar el uso de la Inteligencia Artificial, con el fin de construir un marco seguro para el alcance de los objetivos propuestos por la organización.
2. Gestión de riesgos de IA
La norma solicita adoptar un enfoque sistemático para identificar, evaluar, analizar, mitigar, eliminar, trasladar, compartir o tolerar riesgos asociados con el uso y aprovechamiento de herramientas basadas en Inteligencia Artificial.
3. Impacto de la Inteligencia Artificial
El uso de inteligencia artificial puede tener impacto sobre diversas partes interesadas. Estos impactos pueden ser sobre cuestiones éticas, legales, sociales, ambientales, comunitarias o familiares.
4. Protección de datos y seguridad de la información
La inteligencia artificial no está por encima de las obligaciones de cumplimiento sobre privacidad de datos o Seguridad de la Información.
5. Anexos
ISO 42001 de inteligencia artificial incluye cuatro Anexos que entregan información detallada, esencial para la implementación. Los anexos son:
- Anexo A: Guía y orientaciones para la construcción de sistemas de inteligencia artificial, que incluye controles sobre IA.
- Anexo B: Directrices para la implementación de los controles del Anexo A y para la gestión de datos.
- Anexo C: Objetivos del Sistema y descripción de algunos riesgos potenciales.
- Anexo D: Protocolos y estándares apropiados para sectores e industrias específicas.
¿Cómo implementar ISO 42001 de inteligencia artificial?
El paso preliminar, antes de avanzar en la práctica de la implementación, es obtener una copia completa y fidedigna del estándar. Por supuesto, designar un equipo implementador que se encargará de la lectura y comprensión del texto, para después:
1. Realizar un análisis de brechas
Si la organización utiliza aplicaciones de IA o las desarrolla, seguro ya ha adelantado algo con respecto a controles o medidas de seguridad. El análisis de brechas busca identificar lo que ya se ha hecho, lo que falta y, por supuesto, lo que hay que hacer para alcanzar la conformidad.
2. Establecer alcance, objetivos, contexto y crear políticas
Es, en resumen, la construcción de la documentación que crea el marco del Sistema de Gestión de IA, sobre el que operarán los controles. Es la parte en donde más influye la personalización y la situación particular de la organización.
3. Realizar la evaluación de riesgos
ISO 42001 solicita a las organizaciones identificar, evaluar, categorizar y tratar riesgos potenciales para la misma organización, para sus usuarios, y para la comunidad.
Pero también solicita que se evalúe el impacto de la inteligencia artificial en un radio de alcance mucho más amplio, en donde se considere el efecto de la implementación en personas y comunidades.
Finalmente, la norma exige desarrollar planes de acción para tratar los riesgos, de acuerdo con la escala típica: eliminar, mitigar, trasladar, compartir, tolerar.
4. Incorporar la ética a la Gestión de IA
La organización necesita incorporar consideraciones éticas en el diseño, desarrollo e implementación de productos de IA, o en el uso de herramientas y aplicaciones basadas en IA.
5. Proteger los datos y cumplir con las regulaciones sobre protección de datos
ISO 42001 solicita cumplir con normas y regulaciones sobre protección de datos (RGPD), y sobre Seguridad de la Información. Esto incluye implementar controles para evitar el acceso no autorizado, las infracciones de seguridad, las violaciones de datos y los ciberataques.
6. Auditar el sistema
Con el Sistema en este estado la organización está lista para auditarlo. Las auditorías internas encuentran fallas y no conformidades que se pueden corregir antes de llegar a la auditoría de certificación.
7. Solicitar la auditoría de certificación
En cada país, hay dos o más organismos certificadores avalados por ISO para practicar las auditorias de terceros y expedir las certificaciones. Es importante saber que una vez solicitada, la auditoría puede practicarse en un periodo de tiempo que va de tres a seis meses.
8. Mejorar continuamente
Con la auditoría de certificación no concluye la tarea. ISO 42001 solicita que el sistema mejore continuamente. Las certificaciones, por otra parte, tienen vigencia de tres años. Luego será necesario afrontar una auditoría de recertificación y mostrar evidencia de mejora continua será una exigencia del auditor.
Software ISO 42001
La implementación de ISO 42001 de inteligencia artificial por definición necesita tecnología de apoyo. El Software ISO 42001 de ISOTools reduce tiempos y costes en la implementación, elimina esfuerzos duplicados, facilita la planificación estratégica y operativa, y proporciona informes globales de gestión, entre otras funcionalidades.
De a conocer a un asesor las necesidades de su organización. Contáctelo aquí.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...