| 25 años generando CONFIANZA
El 18 de diciembre de 2023 se publicó el primer estándar de sistemas de gestión de IA, la norma ISO 42001. Es el resultado del esfuerzo de la Organización Internacional de Estandarización y la Comisión Electrotécnica Internacional para ofrecer una herramienta que ayude a resolver las preocupaciones sociales, éticas, de seguridad y de privacidad que acompañan el vertiginoso avance de la nueva tecnología.
Las preocupaciones son reales y responden a eventos ciertos. Esto no significa que haya que prescindir del mayor desarrollo tecnológico de todos los tiempos, pero sí obliga a gestionar de forma eficaz los riesgos. Es el objetivo que persigue el estándar de sistemas de gestión de IA.
Estructura del primer estándar de sistemas de gestión de IA
Al igual que las publicaciones ISO de la última década, ISO 42001 adopta la estructura de alto nivel. Esta estructura utiliza 10 capítulos. Los tres primeros ofrecen puntos de referencia, glosario, términos y definiciones generales sobre la norma y su alcance. En los capítulos 4 a 10 aparecen los requisitos de la norma ISO 45001, que se basan en el ciclo PDCA:
- Planificar: capítulos 4 a 6.
- Hacer: capítulos 7 y 8.
- Verificar: capítulo 9.
- Actuar: capítulo 10.
Hasta aquí, la estructura del estándar de sistemas de gestión de IA no presenta mayores diferencias con la de otras normas de amplio conocimiento como ISO 9001 o ISO 45001. La diferencia la marcan los cuatro anexos de la norma ISO 42001:
- Anexo A: incorpora los controles que entrega la norma para prevenir riesgos.
- Anexo B: contiene directrices y orientaciones para la implementación de los controles incorporados en el Anexo A.
- Anexo C: objetivos del estándar e inventario de fuentes de riesgos asociados con el uso o desarrollo de Inteligencia Artificial.
- Anexo D: normas específicas de acuerdo con el dominio y la industria.
Puntos clave en el primer estándar de sistemas de gestión de IA
ISO 42001 aborda temas y preocupaciones que cubren el ciclo de vida completo de los sistemas de IA, desde el diseño y planificación hasta el uso que hace el consumidor, pasando por las etapas de desarrollo e implementación del sistema de gestión de Inteligencia Artificial.
El primer estándar de sistemas de gestión de IA se ha planificado para garantizar el desarrollo y uso responsable, ético y legal de los productos de Inteligencia Artificial. Un uso, además, respetuoso de los derechos de las personas y de las comunidades.
Para ello, la norma aborda seis puntos clave, que corresponden a la estructura de alto nivel adoptada por ISO 42001:
- Liderazgo: es una responsabilidad asignada a la Alta Dirección. Incluye redactar y publicar políticas, establecer objetivos, suministrar recursos y revisar el estado de la gestión.
- Planificación: gestión de riesgos y planificación para tratarlos.
- Apoyo: recursos necesarios para el logro de objetivos financieros, humanos, tecnológicos, de capacitación, etc.
- Operación: diseño e implementación de los procesos, procedimientos y actividades que permiten al sistema operar.
- Evaluación de desempeño: herramientas, metodologías, indicadores y métricas que se utilizarán para comprobar la eficacia del sistema, identificar fallos y no conformidades y verificar la mejora continua en la gestión de la IA.
- Mejora continua: acciones correctivas que garantizan que el sistema mejora de forma continua.
¿ISO 42001 es un estándar obligatorio?
En términos legales y regulatorios, el estándar de sistemas de gestión de IA es una norma de adopción voluntaria. No es obligatoria, pero sí conveniente e indispensable para organizaciones que desarrollan, comercializan o utilizan productos de Inteligencia Artificial.
Lo que es indiscutible es que la norma es un punto de referencia claro y que pronto será obligatorio gestionar los riesgos de IA. En ese sentido, las organizaciones deben anticipar los cambios normativos y regulatorios, considerando la implementación y certificación de ISO 42001.
Cuáles son los roles clave en ISO 42001
La implementación del estándar de sistemas de gestión de IA requiere asignar responsabilidades y roles clave en áreas clave como gestión de riesgos, auditoría y ejecución de procesos. El proyecto tendrá un director y, dependiendo del tamaño y la complejidad de la organización, un equipo administrativo que puede ser dedicado o no, dependiendo de la misma condición. Sin embargo, para la norma ISO 42001 existen tres roles clave:
1. Proveedor de IA
Organizaciones o personas que entregan productos o servicios basados, desarrollados o consistentes en sistemas de IA. Estos productos pueden ser plataformas, asistentes de voz o chats, entre otros, sin que sea el fabricante o diseñador de ellos.
2. Productor de IA
Organización o persona que diseña, desarrolla, prueba e implementa productos de Inteligencia Artificial, en cualquiera de las etapas de la generación. El productor de IA puede ser interno o externo.
3. Cliente de IA
Usuario de cualquier producto desarrollado o basado en Inteligencia Artificial. El cliente es el usuario directo o el que utiliza IA como suscriptor de otro usuario del sistema.
Beneficios del estándar de sistemas de gestión de IA
La implementación del estándar de sistemas de gestión de IA aporta beneficios atractivos para la organización. Beneficios que redundan en áreas como cumplimiento, si se avanza en el objetivo de obtener la certificación ISO 42001:
- Mayor capacidad para gestionar los riesgos y aprovechar las oportunidades que ofrece la IA, debido al enfoque sistemático y coherente que requiere ISO 42001.
- Obtener ventaja competitiva, al exhibir la certificación como demostración de liderazgo, innovación, compromiso y transparencia. Esto genera confianza en las partes interesadas, empezando por los consumidores, de modo que se vuelve una estrategia comercial efectiva.
- Disminución de costes y mejora de la productividad como resultado de la incorporación de las mejores prácticas solicitadas por ISO 42001. Las organizaciones, además de ajustar sus procesos, eliminan problemas, identifican brechas de cumplimiento y reducen así el riesgo de incurrir en sanciones o costes financieros asociados al uso de IA.
Qué deben hacer las organizaciones para implementar el primer estándar de sistemas de gestión de IA
Implementar un sistema basado en el estándar de sistemas de gestión de IA posicionará a las organizaciones que utilizan o desarrollan productos de IA como líderes en el campo. El motivo es que aumentará la confianza entre sus clientes, consumidores, organismos reguladores, empleados y su comunidad.
El proceso de implementación no difiere mucho del que se realiza para implementar otros estándares ISO. La organización necesita reunir un equipo de trabajo que debe seguir toda una serie de pasos:
1. Conocer la norma
La mejor forma para hacerlo es obtener una copia completa del estándar, entender los requisitos, familiarizarse con los anexos, conocer los controles, comprender cómo se implementarán y establecer la relación de la norma con otros estándares como ISO 22989 (terminología de IA), ISO 23894 (gestión de riesgos específicos) o ISO 27001 (gestión de seguridad de la información).
2. Entender el proceso de implementación y certificación
Es importante que el equipo, que ya estará conformado, cree un programa de implementación que considere la planificación, las primeras auditorías, las acciones correctivas y el proceso de certificación. Esto permite dimensionar el trabajo que requerirá el proyecto y obtener un presupuesto de recursos que tendrá que asignar la Alta Dirección.
3. Iniciar el trabajo con una reunión
Reunión que integrará al equipo de trabajo con la Alta Dirección y con los representantes de áreas clave como Recursos Humanos, Finanzas, Cumplimiento o Seguridad de la Información.
4. Implementar los recursos tecnológicos adecuados
Los sistemas ISO digitalizados y automatizados, desde la etapa de implementación, logran construir una base sólida que asegura su efectividad y su permanencia en el tiempo. ISO 42001 es una norma con una elevada dependencia de la tecnología. Por eso es tan importante dotar el sistema, desde su origen, con el soporte tecnológico adecuado.
Software ISO 42001
El Software ISO 42001 es una plataforma diseñada para facilitar a las organizaciones la implementación, mantenimiento y mejora continua del estándar de sistemas de gestión de IA. La plataforma ofrece soluciones y herramientas que garantizan una gobernanza efectiva, apoyando la generación de objetivos inteligentes y políticas claras.
Con el software, las organizaciones adquieren capacidad para enfrentarse con garantías a auditorías, garantizar el cumplimiento y la transparencia y certificar su sistema, entre otras ventajas. Si necesitas mayor información, solo tienes que contactar con nuestros consultores.
- Día Internacional de la Energía Limpia 2025: El papel de la norma ISO 50001
- ISO 53001: Sistemas de gestión de los objetivos de desarrollo sostenible de las Naciones Unidas
- Como actualizar ISO 27001: Guía de transición a la nueva norma
- ¿Quiénes deben cumplir con la normativa DORA?
- Normas ISO para implementar IA a considerar en el desarrollo de sistemas de inteligencia artificial
¿Desea saber más?
Entradas relacionadas
El Día Internacional de la Energía Limpia es una oportunidad global para reflexionar sobre la importancia de las fuentes de energía...
La ISO 27001, estándar internacional para la gestión de la seguridad de la información, ha evolucionado para mantenerse alineada...
La normativa DORA, el Reglamento de Resiliencia Operativa Digital, es una regulación que se ha redactado pensando en…