¿Estás alineado con la norma ISO/IEC 42001?

Estamos en los inicios de la regulación para el uso responsable de la inteligencia artificial (IA). El contexto histórico-normativo en el que vivimos sigue "indecisa" en las cuestiones relacionadas con el uso y el desarrollo de la IA porque el progreso tecnológico es demasiado rápido en comparación con el regulatorio, que lucha por mantenerse al día. 

El Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST por sus siglas en inglés, National Institute of Standards and Technology) publicó el “Marco de gestión de riesgos de IA” en marzo de 2023. El presidente de este país, Joe Biden, emitió el 30 de octubre la Orden ejecutiva sobre inteligencia artificial segura y confiable. Mientras tanto, el Consejo de la Unión Europea y el Parlamento Europeo han llegado a un acuerdo sobre la Regulación de la Inteligencia Artificial (AI Act). 

Por estas razones, ISO y IEC han desarrollado la norma ISO/IEC 42001 standard como respuesta al auge de la IA y sus desafíos. 

El estándar define requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de IA. El propósito de la norma es garantizar que los sistemas se desarrollen y utilicen de manera responsable: 

• Promover el desarrollo y uso de sistemas de IA que sean confiables, transparentes y responsables;  

• Destacar los principios y valores éticos en el uso de sistemas de IA, como la equidad, la no discriminación y el respeto a la privacidad;  

• Ayudar a las organizaciones a identificar y mitigar los riesgos relacionados con la implementación de la IA garantizando que se tomen las medidas de mitigación adecuadas; 

• Alentar a las organizaciones a priorizar el bienestar humano, la seguridad y la experiencia del usuario en el diseño e implementación de la IA; 

• Ayudar a las organizaciones a cumplir con las leyes y regulaciones de protección de datos u obligaciones con las partes interesadas. 

Compatibilidad con otros estándares de sistemas de gestión 

Esta norma ha sido redactada de tal manera que facilite la integración con otras normas de sistemas de gestión ya ampliamente establecidos, como ISO/IEC 27001:2022, ISO/IEC 27701:2019, ISO 9001:2015, ISO 13485:2016, etc., sin exigir como requisito previo su implementación. Este aspecto sugiere que los modelos organizativos adoptan un enfoque holístico, donde cada sistema persigue un objetivo particular. 

Además de ISO/IEC 27001:2022 y otras normas de la familia ISO/IEC 2001, también estructura los requerimientos, el análisis de riesgos y los controles. 

Requerimiento clave de la norma 

Los tres primeros puntos de la norma, que siguen la estructura de las normas ISO, se refieren respectivamente al "Propósito, Referencias normativas, Términos y Definiciones". A partir del cuarto punto de la norma encontramos: 

• Contexto de la Organización: comprensión de los factores internos y externos, comprensión de las necesidades y expectativas de las partes interesadas, determinación de los objetivos relacionados con la IA y, por lo tanto, el propósito del sistema de gestión de la IA dentro de la organización; 

• Liderazgo: compromiso, responsabilidad y promoción de una cultura estructurada de IA; 

• Planificación: identificación de las oportunidades y riesgos de la IA, definición de objetivos y planificación de acciones para la mitigación y respuesta a los riesgos relacionados con la IA; 

• Soporte: proporcionar los recursos, habilidades, concienciación y comunicación necesarios para una gestión responsable de la IA; 

• Operativa: implementación de sistemas de IA, gestión de datos, seguimiento del desempeño y gestión de riesgos; 

• Evaluación del desempeño: seguimiento y medición del desempeño de la IA, evaluación frente a objetivos y realización de revisiones de gestión; 

• Mejora: emprender acciones continuas para mejorar los sistemas de IA y el propio Sistema de Gestión de IA, basándose en la evaluación y retroalimentación, valorando cualquier incumplimiento y definiendo acciones preventivas y correctivas. 

¿Qué pasa con los anexos? 

La norma está formada por cuatro anexos, y a continuación se muestra una breve explicación de cada anexo. 

El Anexo A de la norma describe 39 controles (estructurados como controles y objetivos de control) que ayudan a las organizaciones a lograr sus objetivos relacionados con el uso de la IA y abordar las amenazas identificadas en el proceso de evaluación de riesgos de la IA durante el diseño, desarrollo y operación del sistema de IA.  

De manera similar a la norma ISO/IEC 27001, no existe la obligación de utilizar los controles enumerados en este anexo.  

Su objetivo es servir como referencia y cada organización es libre de diseñar e implementar su propio conjunto de controles según su contexto. 

El Anexo B, en cambio, proporciona directrices para la implementación de los controles enumerados en el Anexo A, incluidos los procesos de gestión de datos. 

El Anexo C trata de los objetivos y fuentes de riesgo que las organizaciones deben considerar. La responsabilidad de determinar los objetivos relevantes y las fuentes de riesgo recae en cada organización. 

Finalmente, el Anexo D explora el uso de un sistema de gestión de IA en varios dominios o sectores (por ejemplo, salud, defensa, finanzas) y aborda la integración de este sistema con otros. 

Alcanzar el éxito en el cumplimiento de ISO/IEC 42001 

El cumplimiento de ISO/IEC 42001:2023 es un paso estratégico para las organizaciones que buscan garantizar que sus sistemas de IA se gestionen de forma ética, segura y transparente. 

Los siguientes son los pasos necesarios que una organización debe realizar para obtener el cumplimiento: 

1. Realizar un análisis de "Gaps” (Gap Analisys) en la documentación de su sistema de gestión: en esta fase, es importante identificar las prácticas actuales frente a los requerimientos de ISO 42001 para comprender dónde se necesitan cambios;
2. Desarrollar un sistema de gestión de IA, lo que significa integrar un sistema de gestión de IA con los procesos organizativos existentes;
3. Realizar evaluaciones de riesgos e impactos en el sistema de IA con regularidad para identificar riesgos potenciales e impactos relativos;
4. Implementar políticas de AI y/o procedimientos para cubrir los siguientes aspectos de AUI; éticos, protección de datos y privacidad;
5. Documentar todos los procesos; 
6. Prepararse para la auditoría externa para la obtención de la certificación

PQE Group puede ayudar a tu organización con todas las fases anteriores para obtener la certificación ISO 42001 realizando una evaluación de Gaps (Gap assessment) en la documentación, proporcionando políticas o procedimientos, o ayudando a la organización a implementar un sólido proceso de gestión de riesgos de IA. 

Por supuesto, después de obtener la certificación será importante mantener el cumplimiento de la norma. Para hacer esto, la organización deberá realizar un seguimiento de las leyes y regulaciones cambiantes y garantizar que las políticas y procedimientos se mantengan actualizados. Además, de asegurarse de programar auditorías internas periódicas y de que los empleados estén capacitados en este campo. 

Conclusión

En conclusión, el desarrollo de la norma ISO/IEC 42001 marca un momento crucial en la regulación de la IA. A medida que las organizaciones navegan por el complejo panorama de la implementación de la IA, este estándar proporciona un marco integral para garantizar un uso responsable y ético. Al priorizar la transparencia, la responsabilidad y el bienestar humano, ISO/IEC 42001 establece un nuevo estándar para los sistemas de gestión de IA en todo el mundo. Con el apoyo de organizaciones como PQE Group, lograr el cumplimiento de ISO/IEC 42001 no es solo un requerimiento regulatorio sino un imperativo estratégico para las organizaciones comprometidas con prácticas éticas de IA.