lunes, 30 de septiembre de 2024

SISTEMA DE GESTIÓN DE INTELIGENCIA ARTIFICIAL (SGIA): DEFINICIÓN Y COMPONENTES CLAVE

Las organizaciones que utilizan tecnologías de IA, de un modo u otro, son ya mayoría. El desarrollo de la Inteligencia Artificial es vertiginoso y sus beneficios, indudables. Pero su integración también implica para las empresas la necesidad de superar algunos retos. Para conseguirlo, la herramienta más eficaz es un Sistema de Gestión de Inteligencia Artificial (SGIA).

Un uso adecuado de la nueva tecnología permite a organizaciones de todos los sectores disminuir costes, aumentar la productividad e impulsar la innovación. Sin embargo, existen riesgos que es necesario afrontar. Esas amenazas trasgreden los límites definidos por el uso de la IA para abordar temas de privacidad de datos y seguridad de la información. El Sistema de Gestión de Inteligencia Artificial deja entonces de ser una opción para convertirse en una necesidad.

Uno de los objetivos del SGIA es alcanzar un equilibrio adecuado entre los riesgos y los beneficios. Sin embargo, esta tecnología no para de desarrollarse, los riesgos evolucionan con ella y es preciso contar con un marco de operación que garantice el uso ético, transparente, legal y responsable de la IA. Es ahí donde un Sistema de Gestión de Inteligencia Artificial cobra especial valor.

Por qué se desarrolló un estándar para el Sistema de Gestión de Inteligencia Artificial

ISO 42001 es el estándar internacional para Sistemas de Gestión de Inteligencia Artificial. Se desarrolló en colaboración con expertos reconocidos a nivel internacional y representantes de diferentes partes interesadas, entre ellas, organizaciones del sector de la tecnología, ONGs, organismos estatales, grupos comunitarios y legisladores.

ISO consideró necesario integrar un comité técnico de Alto Nivel que tuviera la capacidad para abordar las preocupaciones de la comunidad internacional en cuanto al uso de Inteligencia Artificial. Así se desarrolló un estándar de gestión que sigue el ciclo PDCA y que garantiza el uso ético, seguro, legal, responsable y transparente de la IA.

Componentes clave del Sistema de Gestión de Inteligencia Artificial

Un sistema de gestión es un engranaje sincronizado y armónico de procesos que se han diseñado para cumplir unos requisitos. Los requisitos, a su vez, buscan dar cumplimiento a lo que se expresa en unas políticas. Y las políticas se basan en objetivos que pretende alcanzar la Alta Dirección con la implementación del sistema de gestión.

Se entiende así que una de las razones que justifican la existencia del sistema de gestión es la necesidad de alcanzar unos objetivos. Todo esto, en términos generales y válido para cualquier área. En el caso del Sistema de Gestión de Inteligencia Artificial, el gran objetivo es tratar las amenazas y establecer controles para eliminar o mitigar los riesgos asociados al uso de Inteligencia Artificial. Para ello, el SGIA integra los siguientes elementos:

1. Gobernanza y rendición de cuentas

ISO 42001 exige a la organización que asigne responsabilidades y funciones, dentro de un marco de gobernanza estructurado, para el Sistema de Gestión de Inteligencia Artificial. Esta estructura estará capacitada y habilitada para rendir cuentas y supervisar todos los niveles en los que tenga alcance el sistema. Si es preciso, el sistema podrá contar con órganos consultores, comités técnicos y de ética, auditores e inspectores.

2. Gestión de riesgos

La organización realizará evaluaciones de riesgos periódicas que midan el impacto y la probabilidad de ocurrencia. Los riesgos que se identificarán, evaluarán, clasificarán y tratarán se enmarcarán, como mínimo, en las siguientes categorías: ética, área legal, operaciones, derechos humanos, transparencia y seguridad de la información.

3. Ética

A pesar de que los riesgos éticos se incluyen en el ítem anterior, su importancia es tal que se menciona como un elemento único y esencial en un Sistema de Gestión de Inteligencia Artificial. El trabajo se enfoca en prevenir sesgos y discriminación en el uso de la IA o por decisiones tomadas por basándose en esta.

4. Transparencia

ISO 42001 solicita documentar todos los procesos de toma de decisiones, así como la forma en que se obtiene trazabilidad sobre procesos que llevan a la toma de decisiones e indicadores de rendimiento. El propósito es comprender cómo funciona la IA, cómo toma decisiones y que las partes interesadas encuentren información constante y transparente sobre todos los procesos.

5. Gestión de datos

ISO 42001 pide a la organización que implemente controles y enfoque la gestión de riesgos en la protección de los datos y la seguridad de la información. Por esa razón, ISO 27001 es un aliado estratégico eficaz para ISO 42001.

6. Mejora continua

ISO 42001 se basa en el modelo PDCA, lo que garantiza la mejora continua. Sin embargo, el requisito aparece en el capítulo X de la norma de manera explícita, al igual que otras normas ISO que adoptan la estructura de Alto Nivel.

7. Cumplimiento

ISO 42001 solicita a la organización cumplir con las leyes, regulaciones, directivas y decretos locales, nacionales o internacionales. Destaca, en el caso de Europa, el cumplimiento de RGPD, dentro de esas obligaciones.

8. Partes interesadas

ISO 42001 necesita conocer las expectativas y necesidades de las partes interesadas en un Sistema de Gestión de Inteligencia Artificial y tenerlas en cuenta para la redacción de políticas, las evaluaciones de riesgos, definición del alcance e implementación de indicadores de rendimiento.

Qué anexos de ISO 42001 forman parte del Sistema de Gestión de Inteligencia Artificial

Al igual que ISO 27001, y por la misma razón (el carácter técnico del estándar), ISO 42001 incorpora cuatro anexos, distinguidos con las letras A, B, C y D.

De estos anexos, el más relevante es el Anexo A, que incluye controles en diferentes áreas:

  • Políticas para el uso de Inteligencia Artificial.
  • Estructura de gobernanza interna.
  • Recursos para los Sistemas de IA y para el Sistema de Gestión.
  • Análisis de impacto.
  • Ciclo de vida de los sistemas y productos de IA.
  • Gestión de datos.
  • Partes interesadas.
  • Relaciones e interacciones con terceros.

Por su parte, el Anexo B entrega directrices y orientaciones para implementar los controles del Anexo A. El Anexo C habla de objetivos y riesgos y el D se centra en el uso de IA en diferentes entornos, dominios o sectores.

ISO 42001 presenta interesantes similitudes con ISO 27001. Es natural, considerando los objetivos de cada uno de estos estándares y los puntos de conjunción que tienen. Al igual que el estándar de seguridad de la información, la norma sobre Inteligencia Artificial también manifiesta una gran dependencia de la tecnología para alcanzar objetivos.

Tomado de: https://www.isotools.us/

Publicadas por a la/s No hay comentarios.:
Etiquetas: , , , , , , ,

6 PASOS BÁSICOS PARA LA EVALUACIÓN DE RIESGOS SEGÚN ISO 27001

Conocemos muchas organizaciones, que se esfuerzan en utilizar herramientas de evaluación de riesgos, como parte de su proyecto de implementación de la norma ISO 27001. El resultado suele ser una gran inversión de tiempo y dinero y muy pocos beneficios. 

La evaluación de riesgos según ISO 27001, es un proceso en el cual una organización debe identificar los riesgos de seguridad de su información y determinar la probabilidad de ocurrencia y su impacto.

Básicamente, la organización debe reconocer todos los posibles problemas que pueden afectar a su información, la probabilidad de que esto ocurra y que consecuencias traería. El propósito de la evaluación de riesgos según ISO 27001 es identificar que controles son necesarios para reducir el riesgo, basándose en el Anexo A que especifica 133 de ellos.

¿Cómo se lleva a cabo la evaluación de riesgos según ISO 27001?

La evaluación del riesgo inicia con la identificación y evaluación de los activos, vulnerabilidades y amenazas. Un activo es cualquier cosa que tenga valor para la organización. En términos de información, podemos identificar activos como el hardware, software, personal, infraestructura, datos – en diferentes formas, impresos o digitales – proveedores, socios, etcétera.

Una vulnerabilidad es una debilidad que puede afectar un activo o un control de proceso, que es susceptible de ser convertida en una amenaza. Una amenaza es cualquier evento o suceso que puede dañar un sistema de una organización. En este orden de ideas, una vulnerabilidad es la falta de un antivirus. Esto crea una amenaza que es el ataque de un virus que puede deteriorar o destruir la información almacenada en ordenadores, o el software destinado al tratamiento de la información.

Cuando se trata de organizaciones de menor tamaño – menos de 50 empleados -, no se requiere de herramientas sofisticadas para realizar una evaluación de riesgos. El uso de una hoja de cálculo de Excel, en la que se incorpore una lista de vulnerabilidades y amenazas puede bastar.

Sin embargo, y aunque el proceso no es complicado, organizaciones de mayor tamaño pueden requerir el uso de metodologías un tanto más complejas. Veamos algunos pasos básicos que pueden ayudarlas en este propósito:

6 pasos básicos para la evaluación de riesgos según ISO 27001

Metodología de evaluación del riesgo

Es preciso definir reglas para la gestión del riesgo, que sean utilizadas por toda la organización en la misma forma. Este suele ser un problema común a muchas organizaciones. Es necesario establecer si la organización requiere una evaluación cuantitativa o cualitativa de los riesgos, la escala de medición que se ha de utilizar y los niveles aceptables de riesgo.

Aplicación de la evaluación

Establecidas las reglas, el paso procedente, como ya lo hemos advertido, es hacer una lista de los activos que intervienen en el tratamiento de la información, las vulnerabilidades, sus amenazas, el impacto y las probabilidades, con el fin de calcular el nivel de riesgo.

Implementación

A esta altura del proceso, ya sabremos que no todos los riesgos tienen la misma importancia o la misma probabilidad de ocurrencia. Pero también tendremos claro que algunos de los riesgos que hemos identificado nos muestran niveles inaceptables.

¿Cómo eliminar estos riesgos, o reducir su impacto negativo? Veamos cuatro alternativas:

  • Aplicar los controles – 133 – que establece el Anexo A de la norma.
  • Transferir el riesgo. Una póliza de seguros suele ser la mejor opción para este caso.
  • Identificar el proceso que da origen al riesgo, eliminarlo o modificarlo de tal forma que no se genere la amenaza.
  • Aceptarlo, dimensionando sus consecuencias y su impacto real.

El informe

En este paso, solo es necesario documentar lo que se ha hecho hasta aquí, de forma que la información esté disponible para auditores, administradores del sistema, Alta Dirección o cualquier persona que desee establecer comparaciones en el futuro.

Declaración de aplicabilidad

Este documento, de vital importancia durante la auditoría de certificación, establece el perfil de seguridad de la organización, y el registro de los controles que se han implementado y puesto en práctica con el fin de prevenir los riesgos.

El plan de tratamiento de riesgos

La evaluación de riesgos según ISO 27001, no tendría objeto si no se lleva a la práctica. Todo lo que hemos hecho hasta el momento está dentro del campo teórico y es preciso llevarlo a la realidad, mediante un plan de tratamiento de riesgos.

El plan adjudica responsabilidades para el diseño, implementación y puesta en práctica de los controles. Igualmente establece plazos, recursos, presupuesto y acciones de seguimiento.

Todo esto no se produce de la noche a la mañana. La evaluación de riesgos según ISO 27001 es solo el comienzo. El desarrollo de todo el proyecto requiere aprobación de la Alta Dirección, erogación de recursos y en algunos casos, cambio de la cultura organizacional. Así es que es mejor empezar ahora.

Tomado de: https://www.isotools.us/

Publicadas por a la/s No hay comentarios.:
Etiquetas: , , , ,

EVALUACIÓN Y TRATAMIENTO DEL RIESGO EN ISO 27001 – 6 PASOS BÁSICOS

La Evaluación del Riesgo (a menudo llamado Análisis de Riesgo) es probablemente la parte más compleja de la implementación ISO 27001; pero a la vez la evaluación (y tratamiento) del riesgo es el paso más importante al comienzo de su proyecto de seguridad de la información – establece las bases para la seguridad de la información en su compañía.

La pregunta es – ¿por qué es tan importante? La respuesta es algo simple pero no entendida por muchas personas: la filosofía principal de ISO 27001 es encontrar cuáles incidentes pueden ocurrir (p.e. evaluando los riesgos) y encontrar las maneras más apropiadas para evitar dichos incidentes (p.e. tratamiento de los riesgos). No sólo eso, también tiene que evaluar la importancia de cada riesgo para que pueda enfocarse en los más importantes.

A pesar que la evaluación y tratamiento de riesgos (gestión de riesgo) es un trabajo complejo, a menudo se tejen mitos innecesarios a su alrededor. Estos 6 pasos básicos deben indicarle lo que debe hacerse.

1. Metodología de evaluación de riesgos ISO 27001

Este es el primer paso en su viaje hacia la gestión de riesgo. Usted necesita definir las reglas para llevar a cabo la gestión de riesgo porque usted querrá que toda la organización lo haga de la misma manera – el principal problema con la evaluación del riesgo se presenta si diferentes partes de la organización lo ejecutan de maneras diferentes. Por lo tanto, usted necesita definir si quiere una evaluación cualitativa o cuantitativa del riesgo, cuáles escalas se usarán para la evaluación cualitativa, cuál será el nivel aceptable de riesgo, etc.

2. Implementación de evaluación del riesgo

Una vez que conoce las reglas, puede empezar encontrando cuáles problemas potenciales pueden ocurrirle – usted necesita listar todos sus recursos, luego las amenazas y vulnerabilidades relacionadas con esos recursos, evaluar el impacto y probabilidad de ocurrencia para cada combinación de recursos/amenazas/vulnerabilidades y finalmente calcular el nivel de riesgo.

En mi experiencia, las compañías normalmente están conscientes sólo del 30% de sus riesgos. Por lo tanto, usted probablemente encontrará este ejercicio algo revelador – cuando termine usted apreciará el esfuerzo que llevó a cabo.

3. Implementación del tratamiento del riesgo

Por supuesto, no todos los riesgos tienen el mismo origen – usted debe enfocarse en los más importantes, llamados riesgos “no aceptables”.

Existen cuatro opciones que usted puede escoger para mitigar cada riesgo “no aceptable”:

  • Aplicar controles de seguridad del Anexo A para disminuir el riesgo – lea este artículo Resumen del Anexo A de la Norma ISO 27001:2013.
  • Transfiera el riesgo a otras personas – e. a la compañía aseguradora comprando una póliza de seguros.
  • Evite el riesgo al detener la ejecución de la actividad que es muy riesgosa, o al hacerla de una manera completamente diferente.
  • Acepte el riesgo – si, por ejemplo, el costo de la atenuación del riesgo es mayor que el daño en sí.

Aquí es donde usted necesita ser creativo – cómo disminuir el riesgo con la mínima inversión. Sería más fácil si su presupuesto fuese ilimitado, pero eso nunca va a pasar. Y debo decirle que desafortunadamente la dirección está en lo cierto – es posible alcanzar el mismo resultado con menos dinero – usted sólo debe averiguar cómo.

4. Reporte de evaluación del riesgo del SGSI

Al contrario de los pasos anteriores, este es algo fastidioso – usted necesita documentar todo lo que ha hecho hasta ahora. No sólo para los auditores, ya que usted mismo podría querer verificar los resultados en uno o dos años.

5. Declaración de aplicabilidad

Este documento realmente muestra el perfil de seguridad de su compañía – basado en los resultados del tratamiento de riesgos usted necesita hacer una lista de todos los controles que ha implementado, por qué los implementó y cómo lo hizo. Este documento también es muy importante porque el auditor de certificación lo usará como su guía principal durante la auditoría.

6. Plan para el tratamiento de riesgos

Este es el paso donde tiene que moverse de la teoría a la práctica. Seamos francos – hasta ahora este trabajo de evaluación del riesgo había sido puramente teórico, pero ahora es tiempo de mostrar resultados concretos.

Este es el propósito del Plan de Tratamiento de Riesgos – definir exactamente quién va a implementar cada control, cuándo, con cuál presupuesto, etc. Yo prefiero llamar a este documento “Plan de Implementación” o “Plan de Acción”, pero sigamos con la terminología usada en ISO 27001.

Una vez que haya escrito este documento, es crucial que obtenga la aprobación de la dirección porque llevará tiempo y esfuerzo considerables (y dinero) para implementar todos los controles que usted planificó acá. Y sin su compromiso usted no obtendrá recursos.

Y eso es todo – usted empezó su viaje desde no saber cómo establecer la seguridad de la información hasta tener una clara imagen de lo que necesita para la implementación. El punto es – ISO 27001 le obliga a hacer ese viaje de manera sistemática.

Tomado de: https://advisera.com/

Publicadas por a la/s No hay comentarios.:
Etiquetas: , , , ,
Suscribirse a: Entradas (Atom)