Ia Iso Iec 42001 2023

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 3

Publicada la ISO/IEC 42001 sobre gestión de los sistemas de Inteligencia Artificial

9-1-2024 | LA LEY

Su finalidad es que una organización que cumpla con los requisitos establecidos en la misma pueda acreditar su responsabilidad proactiva
(accountability) en su uso de los sistemas de IA que utilice.

Carlos B Fernández. El pasado mes de diciembre la Organización


Internacional de Normalización (ISO, por su abreviatura en inglés), aprobó
su norma ISO/IEC 42001:2023, sobre gestión de los sistemas de
Inteligencia Artificial (IA)

Su finalidad es que cualquier organización, independientemente de su


tamaño, tipo y naturaleza, que proporcione o utilice productos o servicios
que utilicen sistemas de IA y que cumpla con los requisitos establecidos
en la misma, pueda acreditar el cumplimiento de sus obligaciones de
responsabilidad proactiva (accountability) en el uso de los sistemas de IA
que utilice.

En particular, el objetivo de este documento es ayudar a esas organizaciones a desarrollar, proporcionar o utilizar
sistemas de IA de manera responsable para lograr sus objetivos y cumplir con los requisitos aplicables a los mismos,
las obligaciones relacionadas con las partes interesadas y las expectativas de las mismas.

Para ello, especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar de
forma continuada un sistema de gestión de IA dentro del contexto de una organización.

Una tecnología cada vez más utilizada

Esta nueva norma ISO parte de la constatación de que la IA se está aplicando cada vez más en todos los sectores
que utilizan las tecnologías de la información, por lo que se espera que sea uno de los principales motores
económicos de los próximos años.

Sin embargo, una consecuencia de esta tendencia es que determinadas aplicaciones de IA pueden plantear desafíos
sociales en los próximos años.

Entre ellos, cabe destacar algunas preocupaciones específicas en relación con:

• Su uso para la toma automática de decisiones, a veces de forma no transparente y no explicable, que puede
requerir una gestión específica más allá de la gestión de los sistemas informáticos clásicos.

• Su uso para el análisis de datos, la adquisición de conocimiento y el aprendizaje automático, en lugar de lógica
codificada por humanos para diseñar sistemas, que cambia la forma en que dichos sistemas se desarrollan, justifican
y despliegan.

• El hecho de que los sistemas de IA que apliquen sistemas de aprendizaje continuo pueden cambiar su
comportamiento durante su uso, lo que plantea la necesidad de garantizar que su uso siga siendo responsable tras
ese cambio de comportamiento.

Además, ciertas características de la IA, como la capacidad de aprender y mejorar continuamente o la falta de
transparencia o explicabilidad, pueden justificar salvaguardias diferentes si plantean preocupaciones adicionales en
comparación con cómo se realizaría tradicionalmente la tarea.

Gestión de la IA

La adopción de un sistema de gestión de IA para ampliar las estructuras de gestión existentes es una decisión
estratégica para una organización.

1/3
Las necesidades y objetivos, los procesos, el tamaño y la estructura de la organización, así como las expectativas de
las diversas partes interesadas, influyen en el establecimiento y la implementación del sistema de gestión de IA.

Otro conjunto de factores que influyen en el establecimiento y la implementación del sistema de gestión de la IA son
los numerosos casos de uso de la IA y la necesidad de lograr el equilibrio adecuado entre los mecanismos de
gobernanza y la innovación. Las organizaciones pueden optar por aplicar estos requisitos utilizando un enfoque
basado en riesgos para garantizar que se aplique el nivel adecuado de control para los casos de uso, servicios o
productos de IA particulares dentro del alcance de la organización. Se espera que todos estos factores influyentes
cambien y sean revisados de vez en cuando.

Por todo ello, el sistema de gestión de IA debe integrarse con los procesos de la organización que la utilice y es su
estructura de gestión general.

A estos efectos se deben considerar cuestiones específicas relacionadas con la IA en el diseño de procesos, de los
sistemas de información y de sus controles. Ejemplos cruciales de tales procesos de gestión son:

• La determinación de los objetivos organizacionales, participación de las partes interesadas y política


organizacional;

• La gestión de riesgos y oportunidades;

• Los procesos para la gestión de cuestiones relacionadas con la fiabilidad de los sistemas de IA, como la seguridad,
la protección, la equidad, la transparencia, la calidad de los datos y la calidad de los sistemas de IA a lo largo de su
ciclo de vida;

• Los procesos para la gestión de proveedores, socios y terceros que proporcionan o desarrollan sistemas de IA para
la organización.

A estos efectos, este documento proporciona pautas para la implementación de controles aplicables para respaldar
dichos procesos.

Sin embargo, la nueva ISO evita proponer orientaciones específicas sobre los procesos de gestión. Por ello, cada
organización puede combinar marcos generalmente aceptados, otras normas internacionales y su propia experiencia
para implementar procesos cruciales como la gestión de riesgos, la gestión del ciclo de vida y la gestión de la calidad
de los datos que sean apropiados para los casos de uso, productos o servicios de IA específicos dentro del alcance.

El orden en que se presentan los requisitos en este documento no refleja su importancia ni implica el orden en que
se implementan. Los elementos de la lista se enumeran únicamente con fines de referencia.

Compatibilidad con otros estándares de sistemas de gestión

Este documento aplica la estructura armonizada (números de cláusulas idénticos, títulos de cláusulas, texto y
términos comunes y definiciones principales) desarrollada para mejorar la alineación entre los estándares de
sistemas de gestión (MSS). El sistema de gestión de IA proporciona requisitos específicos para gestionar los
problemas y riesgos que surgen del uso de IA en una organización. Este enfoque común facilita la implementación y
la coherencia con otros estándares de sistemas de gestión, por ejemplo, relacionados con la calidad, la seguridad y
la privacidad.

Estructura de la ISO

Siguiendo el habitual esquema del Ciclo Deming o PDCA que suele aplicar esta organización, basado en los pasos de
Planificar (Planning)-Hacer (Do)-Revisar (Review)-Mejorar (Act), la ISO 42001 se estructura de la siguiente manera:

Introducción

1. Ámbito de aplicación

2. Referencias normativas

3. Términos y definiciones

4. Contexto de la organización

5. Liderazgo

6. Planificación

2/3
7. Soporte

8. Operativa

9. Evaluación de la prestación

10. Mejora

Anexos: A. Control de objetivos; B. Guía para la implementación de los sistemas de control; C. Fuentes potenciales
de riesgos D. Uso del sistema de gestión de IA

Otras normas ISO relacionadas con la IA:

ISO/IEC TS 4213, Information technology — Artificial intelligence — Assessment of machine learning classification
performance

ISO/IEC 5259 (all parts), Data quality for analytics and machine learning (ML)

ISO/IEC 5338, Information technology — Artificial intelligence — AI system life cycle process

ISO/IEC 22989, Information technology — Artificial intelligence — AI concepts and terminology

ISO/IEC 23053, Framework for Artificial Intelligence (AI) Systems Using Machine Learning (ML)

ISO/IEC 23894, Information technology — Artificial intelligence — Guidance on risk management

ISO/IEC TR 24027, Information technology — Artificial intelligence (AI) — Bias in AI systems and AI aided decision
making

ISO/IEC TR 24029-1, Artificial Intelligence (AI) — Assessment of the robustness of neural networks — Part 1:
Overview

ISO/IEC TR 24368, Information technology — Artificial intelligence — Overview of ethical and societal concerns

ISO/IEC 25059, Software engineering — Systems and software Quality Requirements and Evaluation (SQuaRE) —
Quality model for AI systems

Otras ISO relacionadas:

ISO/IEC 27701, Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information
management — Requirements and guidelines

ISO/IEC 27001, Information security, cybersecurity and privacy protection — Information security management
systems — Requirements

ISO/IEC 29100, Information technology — Security techniques — Privacy framework

ISO 31000:2018, Risk management — Guidelines

ISO 31022, Guidelines for the management of the legal risk

ISO 37002, Whistleblowing management systems — Guidelines

ISO/IEC 38500:2015, Information technology — Governance of IT for the organization

ISO/IEC 38507, Information technology — Governance of IT — Governance implications of the use of artificial
intelligence by organizations

3/3

También podría gustarte