Servicios Profesionales y Empresariales

Aquí tienes el artículo de: Noviembre, 2025

ISO/IEC 23894:2023: guía para la gestión de riesgos de IA
Por David Mondragón Tapia

La mayoría de los sistemas de inteligencia artificial integran un grado de interacción con los seres humanos, con el fin de realizar alguna función específica como puede ser: el análisis de imágenes (computer vision), la búsqueda de información (ej. Copilot o Siri), el procesamiento y entendimiento de lenguaje (NLP/NLU), la generación de lenguaje (chatbots), entre otras. Lo anterior implica que los sistemas de inteligencia artificial pueden procesar información, emitir juicios y decidir las mejores acciones para el logro de su función, a partir de simples reglas o modelos basados en relaciones estadísticas y matemáticas (modelos heurísticos y regresión lineal), o bien aprendiendo del análisis de sus acciones previas y ajustando continuamente su comportamiento (reinforcement/continuous learning).

La Inteligencia Artificial (IA) en nuestros días

La inteligencia artificial está cambiando la forma en que hacíamos las cosas, situación que algunos llaman como un salto del “enfoque tradicional”, hacia una nueva realidad o enfoque basado en la nueva relación “hombre-máquina” o tal vez sea más correcto decir “humano-tecnología”.

Las voces que manifiestan su creciente preocupación por la incorporación y uso de la inteligencia artificial en la vida cotidiana y laboral, se incrementan con el paso de los días, argumentando principalmente la falta de robustez tecnológica contra el nivel de madurez tecnológico exhibido por el ser humano, así como los usos o aplicaciones que se le vienen dando en los diferentes contextos y sectores de la vida, mostrando una vulnerabilidad crítica por la posibilidad de comprometer los derechos y principios fundamentales del ser humano (ej. manipulación o calificación de las personas, IA encubierta, sistemas de armas autónomas, entre otras). Es claro que un sesgo en el uso o aplicación de la inteligencia artificial, se puede concretar al inclinar las acciones decididas por el agente de inteligencia artificial, respecto a un tema o asunto en particular.  Lo anterior a su vez podría ser causado por sesgos en el método de recolección, tipo y/o cantidad de datos utilizados (ej. de internet o medios sociales), sesgos en el diseño y desarrollo de los modelos y algoritmos, sesgos en el proceso de entrenamiento, pruebas y validaciones, sesgos por las limitaciones propias del entorno en que se desenvuelve la tecnología, sesgos en el proceso de interacción con el usuario, entre otras posibilidades.  Cualquiera que sea la razón para un sesgo, lo importante es recalcar que aunque este pudiera ser bueno o malo, al final este podría resultar en un acto de injusticia, discriminación o daño a la persona, grupos de personas o la sociedad en su conjunto.

Para prevenir este tipo de situaciones (sesgos) en el uso o aplicación de la inteligencia artificial, se recomienda seguir algún modelo de gobierno y cumplimiento tecnológico (ej. OWASP), algún estándar internacional especializado en la materia (ej. ISO 42001) o alguna guía ética que ayude a operar sistemas de inteligencia artificial confiables (ej. OCDE).

Sistemas de Gestión de Inteligencia Artificial (IA)

La norma internacional ISO 42001, establece los requisitos que se deben cumplir para certificar un Sistema de Gestión de Inteligencia Artificial (SGIA), el cual basa su implementación y operación en dos pilares fundamentales para el sistema de gestión, que son:

  1. La gestión de riesgos de IA (controles de IA; ISO 23894).
  2. La valoración del impacto del sistema de IA (personas, grupos y sociedades; ISO 42005).

Para el desarrollo de una práctica de gestión de riesgos especializada en IA, la norma ISO 42001 recomienda utilizar la norma ISO/IEC 23894:2023, la cual, si estudiamos su estructura, es un reflejo de otra norma ISO clave para el desarrollo de una práctica de gestión de riesgos general, como lo es la ISO 31000. Lo anterior, no es algo nuevo, salvo la orientación que ahora se le debe dar hacia la inteligencia artificial o IA, ya que al menos se tiene otro caso similar y documentado para los Sistemas de Gestión de Seguridad de la Información con base en la norma ISO 27001, la cual basa también su implementación y operación exitosa, en el desarrollo de una gestión de riesgos pero orientada a la seguridad de la información. En este último caso, hablamos de la norma ISO 27005, la cual también es un reflejo de la ISO 31000, que como ya se señaló anteriormente, sirve para el desarrollo de una práctica de gestión de riesgos general.

Así pues, para hacer un uso responsable de la inteligencia artificial o IA en las organizaciones, se recomienda adoptar los requisitos establecidos por la norma ISO 42001 e integrar en el desarrollo de la capacidad organizacional para gestionar los riesgos de IA, la norma ISO 23894 o en su defecto, la ISO 31000 y posteriormente orientarla hacia el tema de la inteligencia artificial con la ayuda de la ISO 22989.

Norma ISO/IEC 23894:2023

La norma internacional ISO 23894 es un documento que proporciona orientación sobre cómo las organizaciones que desarrollan, producen, implementan o utilizan productos, servicios y/o sistemas que utilizan inteligencia artificial (IA), pueden gestionar los riesgos relacionados con el uso o aplicación de la tecnología. Además, la norma también busca apoyar a las organizaciones en la tarea de desarrollar e integrar la gestión de riesgos de IA, en sus actividades y funciones relacionadas con la gestión o manejo de dicha tecnología. Para lo anterior, la norma presenta y describe las actividades claves para la implementación e integración exitosa de la gestión de riesgos de IA. Es importante mencionar también, que la aplicación de esta norma puede adaptarse a cualquier organización y contexto, situación similar a la que se presenta con los requisitos de la norma ISO 42001.

Recordemos que aunque la norma ISO 23894 fue diseñada para el desarrollo de una práctica específica de gestión de riesgos de IA, se sugiere extender su uso o aplicación en conjunto con la norma ISO 31000, ya que aunque la ISO 23894 amplía la orientación específica sobre inteligencia artificial de acuerdo con el marco establecido por la 31000, se vuelve necesario complementar la información referente al marco para la gestión de riesgos, con los lineamientos detallados en la ISO 31000. La norma ISO 23894 como espejo de la 31000, se ha dividido en tres partes o secciones principales que son:

  • Sección 4. Principios de la gestión de riesgos de IA: en esta parte del documento se describen los principios de la gestión de riesgos, con algunas consideraciones específicas respecto a algunos de estos principios y la inteligencia artificial (sección 4 de la ISO 31000).
  • Sección 5. Marco de referencia: en esta parte del documento se establece el marco de gestión de riesgos para que la organización pueda integrarla en sus actividades y funciones significativas (sección 5 de la ISO 31000).
  • Sección 6. Proceso de gestión de riesgos de IA: en esta parte del documento se establecen las actividades para la gestión de riesgos, como son: establecimiento del contexto, valoración, tratamiento, registro y notificación de riesgos, comunicación y consulta, seguimiento y revisión (sección 6 de la ISO 31000).

Adicionales de la ISO 23894

Como ya se mencionó anteriormente, la norma ISO 23894 toma como base los lineamientos de la norma ISO 31000, destacando una estructura común en cuanto a principios, marco de referencia y proceso de gestión de riesgos, manteniendo hasta la misma numeración en las secciones o apartados que hay entre una y otra norma. Sin embargo y además de esta situación, la norma 23894 también incorpora en su estructura documental una serie de tres anexos, conteniendo la información siguiente:

  • Anexo A. Objetivos: en esta parte del documento se consideran diversos objetivos relacionados con la inteligencia artificial, según la naturaleza del sistema de IA y su contexto de aplicación, con el fin de identificar los riesgos de estos últimos. Entre los objetivos relacionados con la tecnología se encuentran los siguientes: responsabilidad, experiencia en IA, mantenibilidad, privacidad, seguridad, entre otros.
  • Anexo B. Fuentes de riesgos: en esta parte del documento se consideran diversas fuentes de riesgo, según la naturaleza del sistema de IA y su contexto de aplicación, con el fin de identificar los riesgos de estos últimos. Entre las fuentes de riesgo a considerar se encuentran los siguientes: complejidad del entorno, falta de transparencia y explicabilidad, nivel de automatización, preparación tecnológica, entre otras.
  • Anexo C. Gestión de riesgos y ciclo de vida del sistema de IA: en esta parte del documento se hace un mapeo entre las actividades del proceso de gestión de riesgos de IA (ej. establecimiento del contexto, valoración, tratamiento, etc.) y el ciclo de vida de un sistema de IA (ej. inicio, diseño, desarrollo, validación, despliegue, etc.).

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte con la implementación y certificación de tu SGIA con base en la norma ISO 42001, ¡escríbenos, será un gusto platicar contigo!

Referencias consultadas

1. International Standard ISO/IEC 23894:2023. Information Technology - Artificial Intelligence – Guidance on risk management. First Edition, Feb-2023.

2. International Standard ISO/IEC 42001:2023. Information Technology - Artificial Intelligence - Management System. First Edition, Dic-2023.

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.