Carlos B Fernández. El pasado mes de diciembre la Organización Internacional de Normalización (ISO, por su abreviatura en inglés), aprobó su norma ISO/IEC 42001:2023, sobre gestión de los sistemas de Inteligencia Artificial (IA)
Su finalidad es que cualquier organización, independientemente de su tamaño, tipo y naturaleza, que proporcione o utilice productos o servicios que utilicen sistemas de IA y que cumpla con los requisitos establecidos en la misma, pueda acreditar el cumplimiento de sus obligaciones de responsabilidad proactiva (accountability) en el uso de los sistemas de IA que utilice.
En particular, el objetivo de este documento es ayudar a esas organizaciones a desarrollar, proporcionar o utilizar sistemas de IA de manera responsable para lograr sus objetivos y cumplir con los requisitos aplicables a los mismos, las obligaciones relacionadas con las partes interesadas y las expectativas de las mismas.
Para ello, especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar de forma continuada un sistema de gestión de IA dentro del contexto de una organización.
Una tecnología cada vez más utilizada
Esta nueva norma ISO parte de la constatación de que la IA se está aplicando cada vez más en todos los sectores que utilizan las tecnologías de la información, por lo que se espera que sea uno de los principales motores económicos de los próximos años.
Sin embargo, una consecuencia de esta tendencia es que determinadas aplicaciones de IA pueden plantear desafíos sociales en los próximos años.
Entre ellos, cabe destacar algunas preocupaciones específicas en relación con:
• Su uso para la toma automática de decisiones, a veces de forma no transparente y no explicable, que puede requerir una gestión específica más allá de la gestión de los sistemas informáticos clásicos.
• Su uso para el análisis de datos, la adquisición de conocimiento y el aprendizaje automático, en lugar de lógica codificada por humanos para diseñar sistemas, que cambia la forma en que dichos sistemas se desarrollan, justifican y despliegan.
• El hecho de que los sistemas de IA que apliquen sistemas de aprendizaje continuo pueden cambiar su comportamiento durante su uso, lo que plantea la necesidad de garantizar que su uso siga siendo responsable tras ese cambio de comportamiento.
Además, ciertas características de la IA, como la capacidad de aprender y mejorar continuamente o la falta de transparencia o explicabilidad, pueden justificar salvaguardias diferentes si plantean preocupaciones adicionales en comparación con cómo se realizaría tradicionalmente la tarea.
Gestión de la IA
La adopción de un sistema de gestión de IA para ampliar las estructuras de gestión existentes es una decisión estratégica para una organización.
Las necesidades y objetivos, los procesos, el tamaño y la estructura de la organización, así como las expectativas de las diversas partes interesadas, influyen en el establecimiento y la implementación del sistema de gestión de IA.
Otro conjunto de factores que influyen en el establecimiento y la implementación del sistema de gestión de la IA son los numerosos casos de uso de la IA y la necesidad de lograr el equilibrio adecuado entre los mecanismos de gobernanza y la innovación. Las organizaciones pueden optar por aplicar estos requisitos utilizando un enfoque basado en riesgos para garantizar que se aplique el nivel adecuado de control para los casos de uso, servicios o productos de IA particulares dentro del alcance de la organización. Se espera que todos estos factores influyentes cambien y sean revisados de vez en cuando.
Por todo ello, el sistema de gestión de IA debe integrarse con los procesos de la organización que la utilice y es su estructura de gestión general.
A estos efectos se deben considerar cuestiones específicas relacionadas con la IA en el diseño de procesos, de los sistemas de información y de sus controles. Ejemplos cruciales de tales procesos de gestión son:
• La determinación de los objetivos organizacionales, participación de las partes interesadas y política organizacional;
• La gestión de riesgos y oportunidades;
• Los procesos para la gestión de cuestiones relacionadas con la fiabilidad de los sistemas de IA, como la seguridad, la protección, la equidad, la transparencia, la calidad de los datos y la calidad de los sistemas de IA a lo largo de su ciclo de vida;
• Los procesos para la gestión de proveedores, socios y terceros que proporcionan o desarrollan sistemas de IA para la organización.
A estos efectos, este documento proporciona pautas para la implementación de controles aplicables para respaldar dichos procesos.
Sin embargo, la nueva ISO evita proponer orientaciones específicas sobre los procesos de gestión. Por ello, cada organización puede combinar marcos generalmente aceptados, otras normas internacionales y su propia experiencia para implementar procesos cruciales como la gestión de riesgos, la gestión del ciclo de vida y la gestión de la calidad de los datos que sean apropiados para los casos de uso, productos o servicios de IA específicos dentro del alcance.
El orden en que se presentan los requisitos en este documento no refleja su importancia ni implica el orden en que se implementan. Los elementos de la lista se enumeran únicamente con fines de referencia.
Compatibilidad con otros estándares de sistemas de gestión
Este documento aplica la estructura armonizada (números de cláusulas idénticos, títulos de cláusulas, texto y términos comunes y definiciones principales) desarrollada para mejorar la alineación entre los estándares de sistemas de gestión (MSS). El sistema de gestión de IA proporciona requisitos específicos para gestionar los problemas y riesgos que surgen del uso de IA en una organización. Este enfoque común facilita la implementación y la coherencia con otros estándares de sistemas de gestión, por ejemplo, relacionados con la calidad, la seguridad y la privacidad.
Estructura de la ISO
Siguiendo el habitual esquema del Ciclo Deming o PDCA que suele aplicar esta organización, basado en los pasos de Planificar (Planning)-Hacer (Do)-Revisar (Review)-Mejorar (Act), la ISO 42001 se estructura de la siguiente manera:
Introducción
1. Ámbito de aplicación
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operativa
9. Evaluación de la prestación
10. Mejora
Anexos: A. Control de objetivos; B. Guía para la implementación de los sistemas de control; C. Fuentes potenciales de riesgos D. Uso del sistema de gestión de IA
Otras normas ISO relacionadas con la IA:
ISO/IEC TS 4213, Information technology — Artificial intelligence — Assessment of machine learning classification performance
ISO/IEC 5259 (all parts), Data quality for analytics and machine learning (ML)
ISO/IEC 5338, Information technology — Artificial intelligence — AI system life cycle process
ISO/IEC 22989, Information technology — Artificial intelligence — AI concepts and terminology
ISO/IEC 23053, Framework for Artificial Intelligence (AI) Systems Using Machine Learning (ML)
ISO/IEC 23894, Information technology — Artificial intelligence — Guidance on risk management
ISO/IEC TR 24027, Information technology — Artificial intelligence (AI) — Bias in AI systems and AI aided decision making
ISO/IEC TR 24029-1, Artificial Intelligence (AI) — Assessment of the robustness of neural networks — Part 1: Overview
ISO/IEC TR 24368, Information technology — Artificial intelligence — Overview of ethical and societal concerns
ISO/IEC 25059, Software engineering — Systems and software Quality Requirements and Evaluation (SQuaRE) — Quality model for AI systems
Otras ISO relacionadas:
ISO/IEC 27701, Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines
ISO/IEC 27001, Information security, cybersecurity and privacy protection — Information security management systems — Requirements
ISO/IEC 29100, Information technology — Security techniques — Privacy framework
ISO 31000:2018, Risk management — Guidelines
ISO 31022, Guidelines for the management of the legal risk
ISO 37002, Whistleblowing management systems — Guidelines
ISO/IEC 38500:2015, Information technology — Governance of IT for the organization
ISO/IEC 38507, Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations