800 277 6242   Lun - Vie: 8:00 - 17:30   info@globalstd.com
English | Entrar a COS
800 277 6242   Lun - Vie: 8:00 - 17:30   English
logo global standards
blog global std
  15 febrero, 2024   |   Seguridad de la información  |  
ISO/IEC 42001:2023 Sistema de Gestión de Inteligencia Artificial

 Autor: Ing. Santiago González Esparza

 

Con el crecimiento exponencial de las tecnologías de la información en los últimos años, han surgido distintas herramientas que modifican la forma en que trabajamos; minimizando el tiempo que tomaba ejecutar alguna acción y abriendo panoramas nuevos respecto a cómo resolver algún problema particular. Dentro de todas estas herramientas, hay una en específico que ha tenido un auge increíble en los últimos tiempos y que sigue creciendo: La Inteligencia Artificial.

 

La inteligencia artificial (IA) se refiere a la capacidad de las máquinas o sistemas informáticos para realizar tareas que normalmente requieren inteligencia humana. Esto incluye la capacidad de aprender de la experiencia “aprendizaje automático”, razonar, entender el lenguaje natural, reconocer patrones y adaptarse a nuevas situaciones. El desconocimiento y desconfianza hacía las aplicaciones y capacidades de estas mismas ha generado la necesidad de administrar los riesgos sobre las IA y sus aplicaciones.

 

Es por ello que la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC). han publicado la norma ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management system. Siendo esta la primera norma internacional para el desarrollo e implantación de sistemas de gestión fiables de IA, equilibrando la innovación con la gobernanza.

 

Previamente ISO contaba con estándares como lo es ISO/IEC 22989 donde se establece la terminología de IA y el campo de esta, la ISO/IEC 23053 que establece un marco de IA y aprendizaje automático ML (Machine Learning), así como la ISO/IEC 23894 que orienta sobre la gestión de riesgos relacionados con la IA para organizaciones.

 

Implementar este estándar significa poner en marcha políticas y procedimientos para la buena gobernanza de una organización en relación con la IA, utilizando la metodología PHVA, en lugar de observar los detalles de aplicaciones específicas de IA, proporciona una forma práctica de gestionar los riesgos y oportunidades relacionados con la IA en toda una organización.

 

Los objetivos de la norma ISO/IEC 42001:2023 son los siguientes:

 

  • Ahorro de costos y aumento de la eficiencia.
  • Promover el desarrollo y el uso de sistemas de inteligencia artificial fiables, transparentes y responsables.
  • Uso de análisis de datos, conocimientos y aprendizaje automático.
  • Marco para la gestión de riesgos y oportunidades.
  • Fomentar confianza en la gestión de la inteligencia artificial al alentar a las organizaciones a dar prioridad al bienestar humano, la seguridad y la experiencia del usuario durante el proceso de diseño e implementación de la IA.

 

Y los beneficios de la implementación de la norma ISO/IEC 42001:2023 son los siguientes:

 

  • IA responsable: garantiza el uso ético y responsable de la inteligencia artificial.
  • Gestión de la reputación: mejora la confianza en las aplicaciones de IA.
  • Gobernanza de la IA: respalda el cumplimiento de los estándares legales y regulatorios.
  • Orientación práctica: gestiona eficazmente los riesgos específicos de la IA.
  • Identificar oportunidades: Fomenta la innovación dentro de un marco estructurado.

 

 

Por su parte la norma ISO/IEC 42001:2023 específica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Inteligencia Artificial (AIMS) dentro de las organizaciones.

 

Al igual que otros estándares ISO, la norma puede ser implementada en empresas y organizaciones de cualquier tipo, sin importar su tamaño, giro, sector, etc. El sistema de gestión de IA proporciona requisitos específicos para gestionar los problemas y riesgos derivados del uso de IA en una organización. Este enfoque común facilita la implementación y la consistencia con otras normas de sistemas de gestión, por ejemplo, relacionadas con la Calidad (ISO 9001:2015) y/o Seguridad y Privacidad (ISO 27001:2022).

 

 

La estructura de esta norma es similar a la de otras normas de ISO, consta de 10 capítulos que lo son:

 

1.- Alcance: el objetivo es proporcionar claridad sobre los límites y la aplicación de la norma – (Informativa)

 

2.- Referencias normativas: enumera las normas y documentos de referencia para la aplicación – (Informativa)

 

3.- Términos de referencia: se proporcionan los términos clave utilizados en la norma, junto con sus definiciones – (Informativa)

 

4.- Contexto de la organización: se centra en comprender el contexto en que opera la organización – (Normativa)

 

5.- Liderazgo: establece los requisitos para el liderazgo y el compromiso de la alta dirección con el sistema – (Normativa)

 

6.- Planificación: describe los requisitos para la planificación del sistema de gestión, incluye la identificación de riesgos y oportunidades que puedan afectar a la organización – (Normativa)

 

7.- Apoyo: abordan los requisitos para proporcionar los recursos necesarios para el sistema – (Normativa)

 

8.- Operación: aborda la ejecución de las actividades planificadas para satisfacer los requisitos del cliente y los objetivos de calidad. – (Normativa)

 

9.- Evaluación del desempeño: establece los requisitos para monitorear, mediar, analizar y evaluar el desempeño del sistema – (Normativa)

 

10.- Mejora: aborda el principio fundamental de mejora continua. Establece los requisitos para identificar oportunidades de mejora y tomar medidas para abordarlos – (Normativa)

 

 

 

Como todo estándar de cualquier norma ISO, la ISO/IEC 42001:2023 no es la excepción y cuenta con una estructura de alto nivel, esto quiere decir es un modelo normalizado establecido por parte del Comité ISO, para que todas las nuevas normas de gestión respeten y compartan un objetivo común: la uniformización de las normas de gestión que nos apoya a sincronizar diferentes normas, adoptar un lenguaje común para facilitar que las organizaciones integren diferentes Sistemas de Gestión y puedan disfrutar de algunas ventajas añadidas, como puede ser, la eliminación de la duplicidad documental.

 

Cómo se mencionó previamente, se cuenta con un modelo establecido, aunque dependiendo del esquema que se presente, es el enfoque que se le dará para dicha estructura. En esta norma los cambios que se presentan a comparación del esquema ISO 9001, se encuentran en el capítulo 8 de esta norma, este capítulo solo cuenta con 4 subtemas que son:

 

  • 1 Planificación y control operativo: nos habla de cómo la organización está obligada a planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos.

 

  • 2 Evaluación de riesgos de IA: deberá realizar evaluaciones de riesgos de IA y conservar información documentada de los resultados de todas las evaluaciones de riesgos de IA.

 

  • 3 Tratamiento de riesgos de IA: implementar el plan de tratamiento de riesgos de IA según lo establecido.

 

  • 4 Evaluación del impacto del sistema de IA: se deberá realizar evaluaciones del impacto del sistema de IA según lo establecido, en intervalos planificados o cuando se propongan cambios significativos que vayan a ocurrir.

 

 

Esta norma a su vez cuenta con cuatro anexos, de los que se dividen en dos Normativos y dos Informativos:

 

Normativos (Anexo A y B)

 

  • Anexo A: proporciona una referencia para cumplir con los objetivos organizacionales y abordar los riesgos relacionados con el diseño y la operación de los sistemas de IA, los cuales se encuentran detallados en la Tabla A.1.
  • Anexo B: proporciona orientación para la implementación de los controles mencionados en la Tabla A.1.

 

Informativos (Anexo C y D)

 

  • Anexo C: describe los posibles objetivos organizacionales, fuentes de riesgo y descripciones que se pueden considerar para gestionar riesgos, este anexo no pretende ser exhaustivo ni aplicable para todas las organizaciones.
  • Anexo D: menciona que el sistema de gestión es aplicable a cualquier organización que desarrolle, proporcione o utilice productos o servicios que utilicen un sistema de IA.

 

 

En conclusión, podemos declarar que estamos en hombros de gigantes, estos avances son prometedores en todos los ámbitos, pero como cualquier otra herramienta esta debe ser utilizada de manera correcta y asi poder aprovecharla en su máxima expresión para todas aquellas organizaciones que quieran adentrarse a la implementación de este innovador Sistema de Gestión.

 

 

 

 

Publicaciones relacionadas

Anexo A - ISO/IEC 27001
ISO/IEC 27001:2022 – Cambios en el Anexo A
Seguridad de la información
Seguridad de la información y ciberseguridad
ISO 20000 – Calidad en los servicios de TI
Buscar publicación


Categorías
• Agro
• Ambiental
• Antisoborno
• Automotriz
• Calidad
• Guía Técnica
• Inocuidad
• Noticias
• Responsabilidad Ética
• Responsabilidad Social
• Salud
• Seguridad de la información
• Seguridad ocupacional
• Sin categorizar