¿Cuál es la diferencia entre ISO 42001 e ISO 27001?

La diferencia entre ISO 42001 e ISO 27001 se podría resumir en el objetivo de gestión: mientras la primera se enfoca en los Sistemas de Inteligencia Artificial, la segunda lo hace en la Seguridad de la Información.

Los dos estándares comparten una estructura de Alto Nivel y se enfocan en prevenir o eliminar riesgos en sus respectivas áreas. Aunque existen puntos de coyuntura y de colaboración relevantes, es la diferencia entre ISO 42001 e ISO 27001 la que permite entender cuál es la funcionalidad de cada una y por qué una no sustituye a la otra.

Diferencia entre ISO 42001 e ISO 27001 en alcance y objetivos

La principal diferencia entre ISO 42001 e ISO 27001 es su objetivo de gestión: mientras una se enfoca en la gestión de los Sistemas de Inteligencia Artificial (ISO 42001), la otra lo hace en la Seguridad de la Información (ISO 27001).

El objetivo específico de ISO 42001 es mitigar o eliminar los riesgos asociados al uso o desarrollo de Inteligencia Artificial relacionados con la ética, la transparencia, el respeto de los derechos humanos, la equidad, la inclusión, la gobernanza e incluso los derechos de propiedad intelectual.

ISO 27001 busca garantizar la seguridad, la confidencialidad y la transparencia en el tratamiento de la información de la organización o de aquella otra que la organización debe tratar por alguna razón, en cualquier formato: digital, papel u oral. De lo anterior se desprende que la norma tiene alcance sobre los equipos, las personas, las instalaciones físicas o sobre las redes de transmisión de datos, de voz o de información en general.

Además de compartir la estructura de Alto Nivel, las dos entregan sendos anexos con controles para la prevención o eliminación de riesgos. Por supuesto, cada una lo hace con el enfoque en las amenazas sobre la capacidad para alcanzar sus objetivos específicos.

Los dos, para hablar de similitudes y no solo de diferencia entre ISO 42001 e ISO 27001, son estándares que contribuyen de forma significativa a la gobernanza de las organizaciones, particularmente las que se compromete con criterios ESG.

¿La diferencia entre ISO 42001 e ISO 27001 impide su integración?

No. Al contrario, es el camino para tomar. Es importante entender que las dos normas son complementarias y que tienen puntos de confluencia inevitables, relacionados con la gestión de los datos y la privacidad de la información, que forman parte de las preocupaciones de ISO 42001.

Al compartir la estructura de Alto Nivel, la integración será fácil. Así, las organizaciones pueden obtener un marco de gestión integral que podría, eventualmente, incluir estándares que tienen algún punto de coyuntura con la gestión de sistemas IA. Sería el caso de ISO 45001 en sistemas SST, ISO 9001 en calidad o ISO 14001 para la gestión ambiental.

La integración no depende de la diferencia entre ISO 42001 e ISO 27001. Es más, se trata de un proyecto que presenta interesantes beneficios:

• Enfoque integral y unificado para la gestión de riesgos.
• Visión general para garantizar el cumplimiento normativo y regulatorio.
• Coherencia en la toma de decisiones para ambos estándares.
• Garantía de privacidad de datos en todos los procesos, en particular en las organizaciones que desarrollan productos de IA.
• Transparencia y equidad en todos los procesos.

Qué desafíos plantea la integración de las normas ISO 42001 e ISO 27001

La integración es el objetivo final ideal para las organizaciones que aceptan los dos sistemas de gestión. Otras preferirán avanzar apenas hasta una alineación de objetivos, que es algo aceptable, si se piensa que se trata de dos sistemas que tienen puntos de acción comunes.

Es necesario entonces dejar atrás la diferencia entre ISO 42001 e ISO 27001 y pensar en trabajar en los desafíos que plantea la integración. Estos retos se producen en tres áreas:

1. Desafíos en la alineación de los controles

Los controles de ISO 42001 e ISO 27001 no pueden integrarse porque se han dotado de estructuras diferentes, porque son diferentes y porque están diseñados para contener amenazas diferentes.

Sin embargo, sí pueden ser alineados. Significa que en ningún caso la acción de unos puede afectar la capacidad de trabajo de los otros. La alineación también implica colaboración para los controles que tienen relación o que trabajan sobre los puntos de unión de ambos estándares, que se refieren en su mayoría a la privacidad de datos.

2. Desafíos en la gestión de riesgos

Los requisitos sobre identificación, evaluación y gestión de riesgos son básicamente los mismos. La diferencia entre ISO 42001 e ISO 27001 en el área de gestión de riesgos está en el tipo de eventualidades que abordan, por supuesto.

ISO 42001 solicita que se gestionen los riesgos que amenacen la seguridad, la privacidad, la equidad y la transparencia, etc. Seguridad, privacidad y transparencia son también palabras utilizadas en los requisitos sobre gestión de riesgos en ISO 27001, aclarando que el estándar de SI trabaja para garantizar la seguridad de activos de información.

3. Desafíos en la mejora continua

Los dos estándares, al igual que todas las normas ISO que adoptan la estructura de Alto Nivel, solicitan la mejora continua. El desafío en el caso de los sistemas de gestión de IA y de SI es aprovechar la capacidad de colaboración que un estándar puede ofrecer al otro para mejorar de forma continua:

• La integración de ISO 42001 con ISO 27001 crea una estructura de gobernanza eficaz que tiene la capacidad para rastrear cualquier cambio o modificación que se produzca debido al avance vertiginoso de la IA, con el fin de identificar sobre la marcha nuevos riesgos. Riesgos que afectan la gestión de IA, pero también la Seguridad de la Información.
• La integración de prácticas de gestión de riesgos de SI en la gestión de IA garantiza que los riesgos únicos de IA se aborden. La base de riesgos de SI es mucho más completa, lo que garantiza la mejora continua del sistema de IA.

Cuáles son las diferencias en el proceso de certificación de los estándares ISO 42001 e ISO 27001

Estructuralmente no existe ninguna diferencia en el proceso de certificación, pese a la diferencia entre ISO 42001 e ISO 27001. Si se produce la integración efectiva, por supuesto, se realizará un proceso único de auditoría de terceros y certificación.

Si los dos sistemas van a por la certificación de manera independiente, los procesos no tienen ninguna variación:

• Planificación de la implementación de ISO 42001 o ISO 27001
• Implementación.
• Seguimiento y monitoreo.
• Auditorías internas.
• Acciones correctivas.
• Revisión de la efectividad de las acciones correctivas.
• Nuevas acciones correctivas.
• Auditorías internas finales.
• Revisión de la Alta Dirección.
• Solicitud al organismo certificador.
• Auditoría de certificación.
• Acciones correctivas recomendadas por el auditor de terceros.
• Auditoría de revisión.
• Expedición de la certificación.

Software ISO 42001

El Software ISO 42001 de ISOTools se ha diseñado para proveer a las organizaciones de las herramientas necesarias para llevar a buen puerto el proyecto de implementación, auditoría, mantenimiento y mejora continua del Sistema de Gestión de IA.

Esta solución se ha desarrollado aprovechando el avance tecnológico que supone la misma Inteligencia Artificial. El resultado es una plataforma que tiene la capacidad para automatizar muchas de las tareas que implica la gestión, eliminando el error humano y propiciando el logro acelerado de objetivos. Para mayor información, contacta con uno de nuestros consultores.