Cómo evaluar y abordar los riesgos de la Inteligencia Artificial con la norma ISO/IEC 42001:2023

La implementación de la norma ISO 42001 crece a ritmo acelerado alrededor del mundo, demostrando que es la herramienta más eficaz para evaluar y gestionar los riesgos de la Inteligencia Artificial.

La gestión de los riesgos de la Inteligencia Artificial bajo los requisitos del estándar ISO 42001 guarda algunas similitudes con la gestión de seguridad de ISO 27001. No obstante, la norma de IA entrega un enfoque holístico e integral, aportando controles específicos para los riesgos que implica la nueva tecnología.

Los requisitos para la gestión de riesgos de la Inteligencia Artificial aparecen en las cláusulas 6.1.2 a 6.1.4. Es en estos apartados del estándar donde se incluyen los requisitos críticos sobre los que el auditor enfocará su atención para avalar el sistema de gestión y recomendar la certificación.

Requisitos de ISO 42001 para la gestión de riesgos de la Inteligencia Artificial

ISO 42001 es un estándar diseñado para ayudar no solo a las organizaciones que desarrollan o utilizan sistemas de IA de alto riesgo, si no a todas aquellas que los usan, a tratar las amenazas asociadas a esta tecnología de manera proactiva, eficaz y responsable.

Para hacerlo, la gestión de riesgos de la Inteligencia Artificial solicita a las organizaciones, realizar tres actividades clave, que son las requeridas en las mencionadas cláusulas 6.1.2. a 6.1.4. Estas son las siguientes:

1. Evaluación de riesgos de la Inteligencia Artificial

La evaluación de riesgos de la Inteligencia Artificial busca identificar las amenazas, estableciendo la gravedad del posible impacto y la probabilidad de ocurrencia. El propósito es obtener una lista priorizada de los riesgos a los que están expuestas las organizaciones, las personas, los consumidores, los empleados y otras partes interesadas.

En este listado aparecerán riesgos relacionados con seguridad de la información, sesgos en toma de decisiones, entrenamiento no intencionado y violaciones de derechos de autor de las personas, entre otros.

2. Evaluación del impacto de la Inteligencia Artificial

Esta evaluación de impacto, diferente de la que forma parte de la primera etapa, se enfoca en las afectaciones, positivas o negativas, que puede tener la IA sobre amplios grupos de interés que no necesariamente tienen una relación directa o cercana con la organización. Es el caso de sociedades, grupos de personas caracterizadas por su raza, su credo político, sus creencias religiosas o su condición social, entre otras.

Esta evaluación suele identificar problemas como los que se mencionan a continuación:

• Acceso indebido a información originada en el sector público, pero que goza de cierto nivel de reserva, como las intimidades de algunos procesos judiciales o los detalles sobre la toma de algunas decisiones de los gobernantes.
• Difusión de información errónea, debido a un sesgo de la IA originado en un fallo de entrenamiento.
• Estafas o confusiones en la opinión de las personas, ocasionadas por la difusión de contenidos en los que se simula la voz o la imagen de personalidades reconocidas por la sociedad.
• Consumo excesivo de recursos naturales, especialmente del agua, entre otros riesgos de sostenibilidad asociados al uso continuo de la Inteligencia Artificial.
• Pérdida de empleos y desaparición total de actividades completas.
• Violaciones que provocan sanciones de la Ley de IA de la UE, entre otras.

3. Gestión de los riesgos de la Inteligencia Artificial

En esta última etapa, las organizaciones necesitan actuar para evitar que los riesgos causen daño, siempre atendiendo las prioridades establecidas en la primera etapa. Entra la gestión en la teoría general de gestión de riesgos, que se basa en cuatro opciones:

• Eliminar el riesgo: es la opción ideal y la que debería cubrir todos o la mayoría de los riesgos identificados. La eliminación implica hallar la causa raíz e implementar una acción correctiva que elimine la amenaza. Esta acción puede ser modificar o eliminar un proceso, sustituir alguna función o restringir el acceso a la IA a determinados grupos de personas.
• Mitigar el riesgo: la mitigación busca reducir la gravedad del impacto hasta un nivel aceptable, o hacer algo para que la probabilidad de ocurrencia disminuya. La disminución del riesgo puede ser el resultado de procesos de capacitación o de la implementación de los controles de la ISO 42001.
• Transferir el riesgo: la transferencia, en gestión de riesgos, utiliza dos mecanismos. El primero es contratar con un tercero el proceso o la actividad que genera el riesgo y, el segundo, firmar contratos con compañías de seguros. Cualquiera de las opciones lleva el riesgo a otro lugar y elimina el impacto financiero para la organización, pero no logra eliminar el riesgo reputacional.
• Aceptar el riesgo: esta será la opción para los llamados riesgos residuales, que se espera sea una mínima cantidad. La aceptación de un número mayor o menor de riesgos depende de otra actividad accesoria a la gestión, que es la determinación del apetito de riesgo de la organización.

En cualquier caso, antes de tomar una decisión sobre qué opción tomar, es importante revisar la lista de controles del Anexo A de ISO 42001. Muchos problemas pueden encontrar solución ahí.

Por qué es importante gestionar los riesgos de la Inteligencia Artificial con el estándar ISO 42001

La Inteligencia Artificial es una tecnología que representa muchas oportunidades y muy atractivas, para un buen número de empresas. También es un avance tecnológico que genera reticencias.

Ante un escenario especulativo, lo que corresponde es aplicar un tratamiento estandarizado que proporcione tranquilidad, confianza y transparencia. Es lo que hace la gestión de riesgos de la Inteligencia Artificial basada en la norma ISO 42001. Gestionar los riesgos de IA es bueno, hacerlo bajo el estándar internacional es excelente.

La mejor herramienta para ello es un sistema de gestión certificado, automatizado con base en una plataforma tecnológica especializada. Es el punto culminante en el que se puede asegurar la mejora continua y la gestión sistemática de las amenazas, ayudando a las organizaciones a aprovechar las oportunidades dentro de un marco de seguridad y tranquilidad para todas las partes interesadas.

Software ISO 42001

El Software ISO 42001 es un aliado tecnológico creado con base en la misma Inteligencia Artificial. Entrega a las organizaciones una serie de herramientas y funcionalidades interconectadas que hacen del sistema de gestión basado en la norma una máquina sincrónica que entrega resultados y que siempre se está mejorando a sí misma.

Es una avanzada solución que ayuda a salvar con éxito muchos de los desafíos a los que se enfrentan las empresas que implementan sistemas de gestión ISO, como gestión de documentos o de riesgos, auditorías o inspecciones. Nuestro equipo de expertos puede explicarte ampliamente las funcionalidades y ventajas del software, solo tienes que solicitar aquí más información.