Las organizaciones que utilizan tecnologías de IA, de un modo u otro, son ya mayoría. El desarrollo de la Inteligencia Artificial es vertiginoso y sus beneficios, indudables. Pero su integración también implica para las empresas la necesidad de superar algunos retos. Para conseguirlo, la herramienta más eficaz es un Sistema de Gestión de Inteligencia Artificial (SGIA).
Un uso adecuado de la nueva tecnología permite a organizaciones de todos los sectores disminuir costes, aumentar la productividad e impulsar la innovación. Sin embargo, existen riesgos que es necesario afrontar. Esas amenazas trasgreden los límites definidos por el uso de la IA para abordar temas de privacidad de datos y seguridad de la información. El Sistema de Gestión de Inteligencia Artificial deja entonces de ser una opción para convertirse en una necesidad.
Uno de los objetivos del SGIA es alcanzar un equilibrio adecuado entre los riesgos y los beneficios. Sin embargo, esta tecnología no para de desarrollarse, los riesgos evolucionan con ella y es preciso contar con un marco de operación que garantice el uso ético, transparente, legal y responsable de la IA. Es ahí donde un Sistema de Gestión de Inteligencia Artificial cobra especial valor.
Por qué se desarrolló un estándar para el Sistema de Gestión de Inteligencia Artificial
ISO 42001 es el estándar internacional para Sistemas de Gestión de Inteligencia Artificial. Se desarrolló en colaboración con expertos reconocidos a nivel internacional y representantes de diferentes partes interesadas, entre ellas, organizaciones del sector de la tecnología, ONGs, organismos estatales, grupos comunitarios y legisladores.
ISO consideró necesario integrar un comité técnico de Alto Nivel que tuviera la capacidad para abordar las preocupaciones de la comunidad internacional en cuanto al uso de Inteligencia Artificial. Así se desarrolló un estándar de gestión que sigue el ciclo PDCA y que garantiza el uso ético, seguro, legal, responsable y transparente de la IA.
Componentes clave del Sistema de Gestión de Inteligencia Artificial
Un sistema de gestión es un engranaje sincronizado y armónico de procesos que se han diseñado para cumplir unos requisitos. Los requisitos, a su vez, buscan dar cumplimiento a lo que se expresa en unas políticas. Y las políticas se basan en objetivos que pretende alcanzar la Alta Dirección con la implementación del sistema de gestión.
Se entiende así que una de las razones que justifican la existencia del sistema de gestión es la necesidad de alcanzar unos objetivos. Todo esto, en términos generales y válido para cualquier área. En el caso del Sistema de Gestión de Inteligencia Artificial, el gran objetivo es tratar las amenazas y establecer controles para eliminar o mitigar los riesgos asociados al uso de Inteligencia Artificial. Para ello, el SGIA integra los siguientes elementos:
1. Gobernanza y rendición de cuentas
ISO 42001 exige a la organización que asigne responsabilidades y funciones, dentro de un marco de gobernanza estructurado, para el Sistema de Gestión de Inteligencia Artificial. Esta estructura estará capacitada y habilitada para rendir cuentas y supervisar todos los niveles en los que tenga alcance el sistema. Si es preciso, el sistema podrá contar con órganos consultores, comités técnicos y de ética, auditores e inspectores.
2. Gestión de riesgos
La organización realizará evaluaciones de riesgos periódicas que midan el impacto y la probabilidad de ocurrencia. Los riesgos que se identificarán, evaluarán, clasificarán y tratarán se enmarcarán, como mínimo, en las siguientes categorías: ética, área legal, operaciones, derechos humanos, transparencia y seguridad de la información.
3. Ética
A pesar de que los riesgos éticos se incluyen en el ítem anterior, su importancia es tal que se menciona como un elemento único y esencial en un Sistema de Gestión de Inteligencia Artificial. El trabajo se enfoca en prevenir sesgos y discriminación en el uso de la IA o por decisiones tomadas por basándose en esta.
4. Transparencia
ISO 42001 solicita documentar todos los procesos de toma de decisiones, así como la forma en que se obtiene trazabilidad sobre procesos que llevan a la toma de decisiones e indicadores de rendimiento. El propósito es comprender cómo funciona la IA, cómo toma decisiones y que las partes interesadas encuentren información constante y transparente sobre todos los procesos.
5. Gestión de datos
ISO 42001 pide a la organización que implemente controles y enfoque la gestión de riesgos en la protección de los datos y la seguridad de la información. Por esa razón, ISO 27001 es un aliado estratégico eficaz para ISO 42001.
6. Mejora continua
ISO 42001 se basa en el modelo PDCA, lo que garantiza la mejora continua. Sin embargo, el requisito aparece en el capítulo X de la norma de manera explícita, al igual que otras normas ISO que adoptan la estructura de Alto Nivel.
7. Cumplimiento
ISO 42001 solicita a la organización cumplir con las leyes, regulaciones, directivas y decretos locales, nacionales o internacionales. Destaca, en el caso de Europa, el cumplimiento de RGPD, dentro de esas obligaciones.
8. Partes interesadas
ISO 42001 necesita conocer las expectativas y necesidades de las partes interesadas en un Sistema de Gestión de Inteligencia Artificial y tenerlas en cuenta para la redacción de políticas, las evaluaciones de riesgos, definición del alcance e implementación de indicadores de rendimiento.
Qué anexos de ISO 42001 forman parte del Sistema de Gestión de Inteligencia Artificial
Al igual que ISO 27001, y por la misma razón (el carácter técnico del estándar), ISO 42001 incorpora cuatro anexos, distinguidos con las letras A, B, C y D.
De estos anexos, el más relevante es el Anexo A, que incluye controles en diferentes áreas:
- Políticas para el uso de Inteligencia Artificial.
- Estructura de gobernanza interna.
- Recursos para los Sistemas de IA y para el Sistema de Gestión.
- Análisis de impacto.
- Ciclo de vida de los sistemas y productos de IA.
- Gestión de datos.
- Partes interesadas.
- Relaciones e interacciones con terceros.
Por su parte, el Anexo B entrega directrices y orientaciones para implementar los controles del Anexo A. El Anexo C habla de objetivos y riesgos y el D se centra en el uso de IA en diferentes entornos, dominios o sectores.
ISO 42001 presenta interesantes similitudes con ISO 27001. Es natural, considerando los objetivos de cada uno de estos estándares y los puntos de conjunción que tienen. Al igual que el estándar de seguridad de la información, la norma sobre Inteligencia Artificial también manifiesta una gran dependencia de la tecnología para alcanzar objetivos.
Tomado de: https://www.isotools.us/