ISO 42001: el estándar para sistemas de gestión de inteligencia artificial (IA)

El estándar para sistemas de gestión de inteligencia artificial, publicado en 2023 bajo la nomenclatura ISO 42001, ha llegado para resolver los problemas que a los que se enfrentan gran parte de las organizaciones en el mundo que desarrollan o ya hacen uso de algún tipo de producto o sistema de IA.

La inteligencia artificial es, hasta el momento, el mayor avance tecnológico conseguido, pero también es el más disruptivo. Los riesgos asociados al uso de IA ocasionan preocupación y, en algunos casos, incluso conflictos que ya alcanzan los estrados judiciales.

Por eso se hizo urgente diseñar un estándar para sistemas de gestión de inteligencia artificial. El objetivo era entregar a las organizaciones herramientas eficaces para tratar las amenazas y aprovechar las oportunidades que ofrece esta tecnología y hacerlo en un marco de seguridad, respeto, transparencia y legalidad. Por eso aparece ISO 42001.

Qué es el estándar para sistemas de gestión de inteligencia artificial ISO 42001

ISO 42001:2023 es el primer estándar para sistemas de gestión de inteligencia artificial diseñado para identificar, prevenir, tratar o aprovechar los riesgos y las oportunidades que encuentran las organizaciones que desarrollan o utilizan esta tecnología. Se ha desarrollado sobre la base de la estructura de alto nivel (10 capítulos), añadiendo cuatro anexos: A, B, C y D.

El estándar para sistemas de gestión de inteligencia artificial ISO 42001 es una herramienta útil para todas las empresas que desarrollan o utilizan IA, en cualquier lugar del mundo y sin importar su tamaño, sector o complejidad.

Al utilizar la estructura de alto nivel, y dado que tiene puntos de coyuntura evidentes con otros estándares, como ISO 27001 (seguridad de la información) e ISO 9001 (gestión de la calidad), es aconsejable y hasta cierto punto natural que la organización trabaje para lograr la integración de los tres estándares.

Finalmente, ISO 42001 sigue el modelo PDCA (planificar, hacer, verificar, actuar), que promueve la mejora continua para un estándar que busca crear un marco ético y seguro para el uso de la avanzada tecnología.

Estructura del estándar para sistemas de gestión de inteligencia artificial

La mencionada estructura de ISO 42001 utiliza los tres primeros capítulos para proporcionar orientaciones, directrices y puntos de referencia. Los requisitos, que son el eje de la gestión, aparecen así en los siguientes 7 capítulos:

1. Contexto

La organización debe identificar elementos, factores o condiciones que tienen la capacidad para afectar, de forma positiva o negativa, al logro de los objetivos propuestos para el sistema. De la definición del contexto se deriva la definición del alcance del sistema.

2. Liderazgo

El requisito de liderazgo se satisface con la definición de roles, responsabilidades y cargos de gobernanza, así como su asignación a las personas designadas por parte de la Alta Dirección. Como complemento, la Alta Dirección publica la política, en la que menciona los grandes objetivos y se compromete a asignar los recursos necesarios.

3. Planificación

El equipo designado debe planificar las actividades necesarias para identificar, categorizar, priorizar y tratar los riesgos. Debe hacerlo en coherencia con los objetivos generales publicados en la política y los específicos, definidos para un periodo de tiempo limitado, propuestos por el equipo con el ánimo de alcanzar la conformidad con los requisitos. La planificación incluye generar cronogramas de trabajo, flujos de trabajo, asignar tareas y establecer indicadores de rendimiento.

4. Apoyo

La organización debe asignar y entregar los recursos que demanda la gestión para llevar a la práctica lo planificado. Además, debe conservar toda la documentación.

5. Operación

En esta fase se pone en práctica lo planificado, se implementan los procesos, se crean las estrategias y se realiza la evaluación y gestión de riesgos. Es el momento en el que el estándar para sistemas de gestión de inteligencia artificial se pone en marcha y se pueden identificar los primeros aciertos, pero también las primeras deficiencias que se deben corregir.

6. Evaluar

Para alcanzar la conformidad con el requisito, la organización debe crear métricas e indicadores de rendimiento, diseñar metodologías de evaluación y utilizar las herramientas que el mismo estándar ofrece: revisiones, inspecciones y auditorías.

7. Mejora continua

El último capítulo habla de la mejora continua. Se trata de identificar las oportunidades de mejora con base en los resultados y hallazgos que muestran las herramientas de evaluación utilizadas. Este es el punto en que termina un ciclo y se inicia otro de acuerdo con el modelo PDCA.

Controles que incluye el estándar para sistemas de gestión de inteligencia artificial

El estándar incorpora cuatro anexos: A, B, C, D. El Anexo A es el que contiene los controles de ISO 42001. El B es una guía de orientación para el uso de los controles del Anexo A. En el Anexo C se encuentran los objetivos y las fuentes de riesgos recurrentes. El D, finalmente, contiene una guía sobre las normas que son aplicables a diferentes sectores y dominios.

Los controles del Anexo A, que son lo más relevante en los cuatro anexos, son los siguientes:

• A.2. Políticas: desde la política, la Alta Dirección solicita desarrollar e implementar sistemas de IA seguros y dentro de unas consideraciones éticas para que sean respetuosos con los derechos de las personas, transparentes y legales, pero, sobre todo, utilizados de acuerdo con los resultados de la gestión de riesgos.
• A.3. Gobernanza: asegurar que los roles, responsabilidades y cargos definidos se asignen a las personas competentes y que esas personas cuenten con la autoridad y los recursos necesarios para desarrollar sus funciones.
• A.4. Recursos: asignar los recursos suficientes, y en el momento oportuno, es una forma de prevenir los riesgos asociados a la IA.
• A.5. Evaluación del impacto del sistema de IA: identificar y evaluar el posible impacto del sistema de IA lleva a identificar los riesgos. Es el primer paso para la gestión de riesgos de la IA.
• A.6. Ciclo de vida del sistema de IA: es necesario verificar que la gestión de riesgos tenga alcance sobre todo el ciclo de vida del sistema, desde su concepción hasta su disposición final, pasando por el diseño y el desarrollo.
• A.7. Seguridad y gestión de datos: la organización necesita diseñar procesos para la gestión segura de los datos en los que se garantice la calidad, privacidad e integridad, desde la recolección hasta el almacenamiento.
• A.8. Información para las partes interesadas: todas las partes interesadas, usuarios, clientes, proveedores, reguladores y comunidad, entre otras, recibirán información completa y suficiente sobre el sistema, su desarrollo, sus alcances o sobre la ocurrencia, o posible ocurrencia, de incidentes.
• A.9. Uso de la IA: controles de seguridad para el desarrollo y uso de la tecnología.
• A.10. Relaciones con terceros: los objetivos del sistema y su alcance deben ir hasta las actividades de la cadena de valor, en sentido ascendente y descendente. Esto significa que, tanto clientes como proveedores, deben implementar los controles.

Beneficios del estándar para sistemas de gestión de inteligencia artificial

El principal beneficio que entrega el estándar para sistemas de gestión de inteligencia artificial es la posibilidad de aprovechar las oportunidades ilimitadas que ofrece este avance tecnológico dentro de un marco de seguridad. La transparencia y la ética son elementos que vienen adheridos al uso del estándar. Otros beneficios destacables son:

• Prevención de riesgos de forma proactiva, con base en evaluaciones sistemáticas y continuas.
• Aumento de la credibilidad y la confianza de los usuarios, los inversionistas, los socios, los reguladores y la sociedad.
• Mejora de la eficiencia operativa, como consecuencia de la solicitud del estándar sobre mejora continua.
• Garantiza el cumplimiento, porque es un requisito del estándar para sistemas de gestión de inteligencia artificial que, a la vez, asegura la conformidad con la Ley de Inteligencia Artificial de la UE.
• Crea un marco de seguridad sostenible, sólido y proclive al crecimiento y al aprovechamiento de oportunidades.

Software ISO 42001

La implementación de un estándar para sistemas de gestión de inteligencia artificial basado en la norma ISO 42001 implica crear procesos, producir documentos, redactar procedimientos, aplicar la debida diligencia, etc. El Software ISO 42001 se ha diseñado, precisamente, para ayudar a las organizaciones a implementar y mantener un sistema de gestión de inteligencia artificial de acuerdo con los requisitos del estándar.

Además de incorporar herramientas de Inteligencia Artificial y de otras tecnologías avanzadas como Big Data, la plataforma se basa en el modelo PDCA de mejora continua. Por ello, es un aliado tecnológico de enorme valor a la hora de automatizar y digitalizar un sistema basado en el estándar para sistemas de gestión de inteligencia artificial. Si necesitas ampliar la información, solo tienes que contactar con nuestros consultores.