Normas ISO/IEC para la gestión de seguridad y riesgos de la IA
La implementación de Inteligencia Artificial (IA) plantea desafíos en términos de seguridad, privacidad, fiabilidad, ética y cumplimiento, entre otros factores. Varios subcomités del Comité Técnico Conjunto JTC 1 de ISO/IEC – Tecnología de la información han desarrollado normas enfocadas en la gobernanza, gestión de riesgos y evaluación ética de la IA. El equipo de expertos en seguridad e innovación de myCloudDoor analiza las principales normas ISO/IEC que proporcionan directrices para asegurar que ésta sea utilizada de manera segura, confiable y ética en diversos sectores. El presente artículo presenta una selección de dichas normas y destaca algunos de sus aspectos más relevantes para la gestión de la seguridad y riesgos de la IA, entre otros.
El Subcomité SC 27 – Tecnología de la Información, Ciberseguridad y Protección de la Privacidad, del ISO/IEC JTC 1 y emisor de las normas de seguridad certificables ISO/IEC 27001 e ISO/IEC 27701, ha elaborado el informe técnico ISO/IEC TR 27563:2023 – Seguridad y privacidad en casos de uso de Inteligencia Artificial – Mejores prácticas. Proporciona directrices para evaluar inquietudes, riesgos, controles, aseguramiento y planes sobre la seguridad y privacidad en casos de uso de inteligencia artificial (incluidos los escenarios descritos en el ISO/IEC TR 24030 que se menciona más adelante). Incluye mejores prácticas cuya adopción permiten proteger los sistemas de IA contra posibles fallos de seguridad y gestionar riesgos ante amenazas.
Por su parte, el Subcomité SC 42 – Inteligencia Artificial, del ISO/IEC JTC 1, desarrolla estándares para promover la gobernanza, seguridad, ética y confiabilidad en inteligencia artificial, de los cuales cabe destacar:
·ISO/IEC 22989:2022 – Conceptos y terminología de la IA. El documento ofrece conceptos y términos estandarizados de la IA para facilitar la comprensión y su uso en las normas publicadas, tanto por personal experto como por aquel no involucrado en la disciplina.
·ISO/IEC TR 24027:2021 – Sesgos en los sistemas de IA y en la toma de decisiones asistida por IA. Está enfocado en proporcionar una metodología para identificar y mitigar sesgos en modelos de IA, con el consiguiente beneficio de garantizar que los sistemas de IA sean más justos e imparciales, reduciendo posibles impactos negativos en usuarios finales y proveedores de servicios, lo cual tiene implicaciones en términos de seguridad ética y de confianza en los sistemas de IA.
·ISO/IEC 24028:2020 – Visión general de la fiabilidad en Inteligencia Artificial. Esta norma analiza factores que afectan la fiabilidad de sistemas de IA, propone estrategias para mitigar vulnerabilidades relacionadas y aborda métodos para mejorar su fiabilidad en diferentes contextos. Aborda la confianza en los sistemas de IA, puesto que está ligada a su seguridad, integridad y fiabilidad. Asimismo, la falta de transparencia genera riesgos éticos, mientras que en aplicaciones críticas compromete la seguridad operativa y decisiones humanas.
·ISO/IEC TR 24030:2024 – Casos de uso de Inteligencia Artificial. Ofrece ejemplos prácticos de casos de uso de IA, destacando metodologías, desafíos y beneficios, procurando su implementación ética, confiable y efectiva en diversos sectores. Ilustra cómo se puede aplicar la IA para resolver problemas específicos, mejorar procesos y generar valor en contextos reales.
·ISO/IEC 23894:2023 – Orientación sobre la gestión del riesgo en IA. Esta norma parte de ISO 31000:2018 como referencia y la extiende con conceptos relacionados con la IA. Ofrece directrices para gestionar riesgos específicos de IA como identifica y evalúa riesgos clave de IA, como fallos, seguridad y sesgos, en organizaciones que desarrollan, producen o usan productos y servicios relacionados, integrando la gestión de riesgos en sus actividades y funciones de IA.
·ISO/IEC 42001:2023 – Sistema de Gestión de Inteligencia Artificial (SGIA). Basado en el ciclo PDCA, permite a las organizaciones implementar un enfoque estructurado y adaptable para gestionar la gobernanza de la IA, asegurando la mejora continua en términos de seguridad, ética y efectividad.
·ISO/IEC FDIS 42005 – Evaluación del impacto de los sistemas de IA. En fase de borrador a fecha de este artículo, el estándar orienta a las organizaciones en la evaluación de impacto de sistemas de IA, considerando su aplicación y efectos en individuos y sociedades. Incluye pautas sobre cuándo, cómo y en qué etapas del ciclo de vida realizar la evaluación, integrándola con la gestión de riesgos y sistemas de IA.
Ver resumen de estándares del Subcomité SC 42, Inteligencia Artificial, del ISO/IEC JTC
De manera conjunta, los subcomités del ISO/IEC JTC 1 SC 40 – Gestión de servicios de TI y Gobernanza de TI, y el SC 42 antes mencionado, han desarrollado el estándar ISO/IEC 38507:2022 – Implicaciones para la gobernanza del uso de la Inteligencia Artificial por las organizaciones, que proporciona directrices para la gestión y gobernanza de la inteligencia artificial, destacando la responsabilidad y la transparencia en su implementación. Su impacto en la seguridad operativa radica en garantizar que los sistemas sean fiables y resilientes, mientras que en la seguridad ética, asegura que la IA funcione de forma justa, ética y conforme a las normativas legales.
En un contexto mundial dinámico y de rápida evolución tecnológica y regulatoria, la avidez mostrada por el entorno empresarial para la adopción de la IA plantea numerosos desafíos. Las organizaciones pueden mitigar riesgos y garantizar un uso ético y seguro de la IA mediante la implementación de los estándares y marcos proporcionados por la ISO/IEC, promoviendo así prácticas confiables y transparentes. En este contexto, empresas especializadas en seguridad y transformación digital, como myCloudDoor, desempeñan un papel clave al ayudar a implementar estos estándares y marcos, asegurando un enfoque ético y seguro en el uso de la IA.
