Por qué el camino hacia la IA necesita una gobernanza estructurada

Para casi todas las empresas, la inteligencia artificial (IA) es, sin duda, el tema candente del momento, y la mayoría está ansiosa por explorar los beneficios prometidos. Sin embargo, existen posibles desafíos y riesgos relacionados con la IA que deben ser gestionados para un desarrollo, aplicación y uso seguros, responsables, fiables y éticos. Aquí es donde entra en juego la norma del sistema de gestión de inteligencia artificial ISO/IEC 42001, que actúa como un pilar reconocido para guiar el desarrollo y proporcionar soluciones de IA fiables.

A pesar de que la IA hace tiempo que existe, no ha sido realmente acogida con entusiasmo hasta hace poco. Una reciente encuesta ViewPoint de DNV encontró que una parte significativa de las empresas (58%) aún no ha implementado tecnologías de IA, y en total, más del 70% se encuentra en lo que podría considerarse el comienzo del camino hacia la IA. Las cifras resaltan que la Inteligencia Artificial aún no es una prioridad estratégica para la mayoría de las organizaciones. 

Muchas empresas que respondieron a la encuesta pueden estar iniciándose en lo que respecta a la IA, pero no son nuevas en el sentido estricto del término ni ajenas a la necesidad o los beneficios de la gobernanza. Ya han implementado un sistema de gestión conforme a, al menos, una norma ISO, como la ISO 9001 (calidad), ISO 14001 (medioambiente) o ISO/IEC 27001 (seguridad de la información). Sin embargo, especialmente aquellas en las primeras etapas, aún no ven la necesidad de aplicar el mismo enfoque a su camino hacia la IA. 

La creciente necesidad de gobernanza o gestión

Las empresas que están "iniciándose" se centran principalmente en usar la IA para mejorar la eficiencia y optimizar procesos internamente. Este es un primer paso común debido a la naturaleza relativamente simple de las soluciones, como Copilot y ChatGPT, y su implementación. Sin embargo, a medida que las empresas maduran, tienden a cambiar hacia iniciativas de IA externas más complejas orientadas a generar ingresos y explorar nuevas oportunidades de negocio. Con el progreso, surge una mayor necesidad de gobernanza estructurada para controlar mejor los riesgos y garantizar que los sistemas de IA se desarrollen y utilicen de manera ética y fiable. 

La normativa sobre IA es cada vez más estricta y las empresas tendrán que demostrar que la cumplen. Además, el escepticismo entre los usuarios crea una brecha de confianza que hay que superar. Para confiar en una tecnología y aprovecharla, debemos entender cómo funciona y ser capaces de evaluar su seguridad, fiabilidad y transparencia.  Esta cuestión se destaca en un informe de marzo de 2024 del AI Assurance Club titulado AI Governance and Assurance Global Trends 2023-24. El informe detalla las tendencias globales y el desarrollo legislativo en todo el mundo. Sobre el tema de la confianza, el informe afirma: «En el centro del rompecabezas de la gobernanza de la IA está la cuestión de la confianza. A medida que los sistemas de IA se integran más en nuestras vidas -en infraestructuras, procesos empresariales, servicios públicos o bienes de consumo-, los usuarios necesitan confiar en que los sistemas funcionarán sistemáticamente según lo previsto, sin causar daños".

Reducir la brecha

La brecha de confianza se refiere a la posible falta de confianza y transparencia en torno a los productos o servicios de una organización que utilizan IA. Por ejemplo, si un hospital utiliza diagnósticos basados en IA, ¿puedo yo, como paciente, confiar en que son tan buenos o incluso mejores que la evaluación realizada únicamente por el médico?  Superar la brecha de confianza antes de que los sistemas de IA se vuelvan demasiado complejos y autónomos requiere una gestión sólida.

Fomentar la confianza es una característica central de todas las normas ISO sobre sistemas de gestión, por lo que no debería sorprender que el mismo enfoque pueda aplicarse a la IA. La encuesta de ViewPoint reveló que la mayoría de las empresas que lideran el desarrollo y la implantación de la IA ya están considerando la adopción de un sistema de gestión de la IA para garantizar la debida gobernanza y ya conocen la norma ISO/IEC 42001.

Ya existen varios marcos de IA y normas complementarias, como el marco de gestión de riesgos de IA del NIST, la guía de IA ISO/IEC 23894 sobre gestión de riesgos, el proceso del ciclo de vida del sistema de IA ISO/IEC 5338 y la norma ISO/IEC TS 25058. En diciembre de 2023, ISO lanzó la norma ISO/IEC 42001 sobre sistemas de gestión de la IA (AIMS). Se trata de la primera norma AIMS certificable que proporciona un enfoque sólido para gestionar las numerosas oportunidades y riesgos de la IA en toda una organización. Por lo tanto, esta norma ayuda a las empresas a dar un paso más en la reducción de la brecha de confianza, ya que el cumplimiento se traduce en un certificado emitido por un organismo de certificación independiente como DNV. Además, como se basa en la Estructura de Alto Nivel (HLS) de ISO, puede integrarse fácilmente con otros sistemas de gestión.

ISO/IEC 42001 se basa en las mismas estructuras de alto nivel que otras normas de gestión ISO y, por lo tanto, resultará familiar a las empresas que ya dispongan de otro sistema de gestión ISO. Siguiendo la metodología «Planificar-Hacer-Verificar-Actuar», la norma ISO/IEC 42001 especifica los requisitos y se centra en establecer, implantar, mantener y mejorar continuamente un sistema de gestión de la IA.  Sabiendo que todos los encuestados en el estudio de ViewPoint señalaron la ciberseguridad como principal amenaza para su implantación de la IA, puede ser enormemente beneficioso integrarla con un sistema de gestión de la seguridad de la información que cumpla la norma ISO/IEC 27001.

Generar confianza

La norma ISO/IEC 42001 sin duda adquirirá una mayor importancia a medida que más países promulguen regulaciones sobre IA. Ya existen regulaciones y políticas en los Estados Unidos y China. En Europa, la primera ley integral sobre IA en el mundo, el Acta de IA de la UE, ha entrado en vigor recientemente. Este Acta busca promover y garantizar el desarrollo seguro, fiable, ético y responsable de los sistemas de IA, y el establecimiento de una gobernanza corporativa de IA se destaca como un aspecto clave para asegurar el cumplimiento normativo y generar confianza. 

Crear una función centralizada que reconozca y comprenda las tecnologías de IA, sus casos de uso y proveedores es fundamental para garantizar la gobernanza de la IA. Además, debido al campo en constante evolución de esta tecnología y su entorno normativo en cambio constante, será necesario que un comité de gobernanza y los grupos de interés revisen y actualicen el programa de gobernanza de IA de manera regular. Aquí radica otro beneficio de implementar un sistema de gestión conforme a la norma ISO/IEC 42001 y obtener su certificación. 

Adoptar un enfoque estructurado para la gobernanza y el uso responsable de la IA puede, en última instancia, convertirse en una ventaja competitiva, y ayudará a cualquier empresa a demostrar ante los grupos de interés internos y externos que la empresa cuenta con un enfoque sólido para proteger a los usuarios y mejorar continuamente. Un sistema de gestión certificado demuestra el compromiso de una empresa y las acciones que se toman todos los días para garantizar el desarrollo, implementación y uso seguro, fiable y ético de la IA en sus procesos y en la oferta de productos y servicios.