Documentación ISO 42001 esencial para el cumplimiento y la certificación del estándar de IA

La documentación ISO 42001 es uno de los aspectos más importantes en la implementación de un sistema de gestión de IA. Alcanzar el cumplimiento con todos los requisitos de la norma implica generar todos los documentos solicitados por esta, verificando la acertada comunicación con las partes interesadas, la accesibilidad a las personas indicadas, la trazabilidad en las actualizaciones y la garantía de confidencialidad e integridad de la información.

La documentación ISO 42001 obligatoria se agrupa en once categorías. En algunas se habla de un solo documento, mientras que en otras se hace referencia a un grupo de documentos o a todos los que se produzcan con el mismo propósito. La política, por ejemplo, es solo una. Los acuerdos con terceros, en cambio, serán tantos como los suscriba la organización.

Documentación ISO 42001 obligatoria

1. Política de gestión de sistemas de IA y de seguridad de la información

Pueden ser dos documentos o uno solo que reúna el compromiso de la Alta Dirección con el desarrollo o uso responsable de sistemas de IA y, a la vez, con la privacidad de los datos y la seguridad de la información. Las organizaciones que han implementado ISO 27001 no necesitarán producir políticas de seguridad de la información.

El documento también fija los objetivos generales y expresa la decisión de asignar y entregar los recursos necesarios. Este es el documento que le imprime el tono superior al proyecto, necesario en todas las instancias de implementación, certificación y mantenimiento.

2. Evaluaciones de riesgos

Es un ejemplo de documentación ISO 42001 que se produce con la operación rutinaria del sistema de gestión de riesgos de la IA. Todas las evaluaciones de riesgos se documentan y en ellas se detallan los riesgos identificados y las acciones de gestión propuestas, así como las metodologías que se utilizaron.

3. Evaluaciones de impacto sobre la protección de datos

Las evaluaciones de impacto sobre protección de datos son obligatorias para las empresas que tratan con grandes volúmenes de información confidencial. La recomendación es que todas las organizaciones, sin importar su tamaño, documenten y almacenen todas las evaluaciones de este tipo. Deberían hacerlo porque, aunque sean pequeñas, pueden expandirse y necesitarán experiencia en la producción de este grupo de documentos.

La documentación ISO 42001 sobre evaluaciones de impacto sobre la protección de datos describe con detalle las actividades y procedimientos que se ejecutan para tratar los datos, procesarlos, evaluarlos y almacenarlos o desecharlos, así como la identificación de los riesgos que puede tener la gestión de datos para sus propietarios. Por supuesto, se espera que se incluyan estrategias para prevenir o eliminar los riesgos.

4. Documentación sobre gestión de la seguridad de la información

ISO 27001 e ISO 42001 son estándares que tienen un importante punto de coyuntura. Por eso, toda la documentación de ISO 27001 forma parte de la documentación ISO 42001. Es evidente que, si de todos modos es preciso producir la documentación sobre seguridad de la información, lo mejor es implementar el sistema de gestión de forma paralela, si es que no se ha hecho con anticipación.

5. Plan de respuesta a incidentes

Dentro de los requisitos de documentación ISO 42001 obligatoria está el plan de respuesta a incidentes. En este documento se describen con detalle los procedimientos creados para identificar, reportar y responder ante un incidente de seguridad. En el documento es preciso incluir los roles y las personas a las que se les asignan tareas, las formas de comunicar la información y una guía sobre como proceder de acuerdo con la gravedad del incidente.

6. Políticas de control de acceso

El objetivo de este documento es plasmar en él los procedimientos y protocolos diseñados para evitar que las personas tengan acceso a información o datos que no les competen o no están a su alcance debido a su perfil de privilegios. El documento describe los protocolos, pero también el registro de quienes acceden a la información, a qué información llegan y por qué razones lo hacen.

7. Programas de formación, capacitación y sensibilización

ISO 42001 solicita a la organización identificar las necesidades de formación y crear un plan de formación y capacitación, anual, semestral o trimestral. Las actividades que se llevan a cabo para identificar las brechas de formación para elegir los programas o temas adecuados, el registro de asistencia de los empleados, los resultados de la capacitación conforman el contenido mínimo de este documento.

8. Acuerdos con terceros

Los acuerdos, contratos, convenios, pactos o alianzas que la organización haga con terceros, en los que de alguna forma se estipule compartir información, datos o el uso de sistemas de IA, deben ser documentados, especificando en cada uno de ellos que el tercero se obliga a respetar los requisitos de seguridad de ISO 42001 e ISO 27001.

9. Informes de auditoría

La auditoría interna es una de las actividades más relevantes en el sistema de gestión de inteligencia artificial. Por eso, los informes de auditoría forman parte de la documentación ISO 42001. Además del informe del auditor, es preciso incluir los registros sobre la implementación de acciones correctivas y las actividades de monitoreo y seguimiento para comprobar su eficacia.

10. Registros de certificación

La certificación del sistema requiere recopilar información, elegir el organismo certificador, solicitar la auditoría de terceros, etc. Todos estos eventos se documentan, y a ellos se suma el informe de la auditoría de terceros y la revisión de la efectividad de las acciones correctivas, si es que se produce, y el informe final que asigna la acreditación ISO.

11. Proceso de control de documentación ISO 42001

La gestión de documentación ISO 42001 necesita un proceso que garantice la integridad e inalterabilidad del documento, la accesibilidad solo para las personas autorizadas, una ubicación central, un protocolo establecido para realizar cambios o hacer actualizaciones y un mecanismo que permita establecer siempre la trazabilidad de los cambios.

Las organizaciones que automatizan sus sistemas de gestión de inteligencia artificial cuentan con las herramientas tecnológicas apropiadas para garantizar procesos de control de documentos eficaces, seguros y transparentes.

Software ISO 42001

El Software ISO 42001 es un desarrollo resultado del uso responsable de la IA. Su diseño responde a la necesidad de las organizaciones de contar con un aliado tecnológico para implementar un sistema de gestión de inteligencia artificial de acuerdo con los requisitos que establece el estándar.

Esta avanzada solución, que opera sobre el ciclo PDCA de mejora continua, es de uso sencillo e intuitivo. Además, es flexible, para poder adaptarse a las necesidades de organizaciones de todo tipo. Si te interesa automatizar tu sistema de gestión para ganar en eficiencia, contacta con nuestros asesores.