Aquí tienes el artículo de: Julio, 2025
AI Management System: ISO/IEC 42001
(Por David Mondragón Tapia)
Sistemas de IA (AIMS)
Nos encontramos a la mitad de la tercera década del siglo XXI, una época en donde los sistemas de inteligencia artificial (IA), ya se encuentran estrechamente ligados a nuestra actividad cotidiana, en ocasiones, sin notarlo. La mayoría de los llamados sistemas de IA han sido diseñados para interactuar con nosotros, realizando alguna función en particular como puede ser el procesamiento de lenguaje, la realización de búsquedas de información o el análisis de imágenes. Cabe destacar que de manera general, los sistemas de IA deben ser diseñados considerando los siguientes aspectos:
- Una meta a lograr.
- Un entorno dentro del cual se interactúa.
- Capacidades para percibir el entorno y sus cambios.
- Recopilación e interpretación de grandes cantidades de datos estructurados y no estructurados.
- Capacidad para procesar la información y emitir juicios a partir del conocimiento.
- Capacidad para decidir las mejores acciones para lograr la meta establecida.
Así de acuerdo con los aspectos anteriores, los sistemas de IA pueden procesar información, emitir juicios y decidir las mejores acciones para el logro de su meta, pudiendo utilizar reglas o modelos basados en relaciones estadísticas y matemáticas, así como aprender del análisis de sus acciones previas, ajustando continuamente su comportamiento.
La inteligencia artificial sigue siendo una tecnología disruptiva y transformativa en nuestros días, ya que además de venir a cambiar la forma en que hacíamos las cosas (tradicional), también viene a cambiar la forma en que las organizaciones y las sociedades se comportan. Así los sistemas de IA y en particular la IA, constituye una disciplina científica que considera una diversidad de conocimientos, enfoques y técnicas para su funcionamiento, entre los que destacan:
- Machine learning (ej. supervisado, por refuerzo, por redes neuronales o aprendizaje profundo).
- Machine reasoning (ej. en la planeación, programación, representación del conocimiento, búsqueda u optimización).
- Robotics (ej. para el control y percepción (sensores – actuadores) o en la integración con sistemas ciber-físicos).
Desarrollo y utilización de sistemas de IA confiables
Con el desarrollo y uso acelerado de la IA, así como de acuerdo con el pronóstico de su potencial aún por venir, se han levantado múltiples voces tanto en el sector público o gobierno como en el sector privado, manifestando su preocupación tanto por la falta de robustez tecnológica, como por el uso o aplicación que se le pudiera dar en los diferentes contextos y sectores de la vida, llegando a comprometer los derechos y principios fundamentales del ser humano. Ejemplos de esto, los podemos encontrar en las iniciativas siguientes:
- Identificación y manipulación de las personas sin su consentimiento.
- Calificación ciudadana normativa y masiva.
- Sistemas con IA encubierta.
- Sistemas de Armas Autónomas Letales (o LAWS).
Una desviación o sesgo en el uso o aplicación de los sistemas de IA, se puede concretar al inclinar las acciones decididas por el agente de IA (equivalente al cerebro humano) hacia una persona o grupo de personas, un objeto u objetos, o una posición o posiciones respecto a un tema o asunto particular. Lo anterior, podría ser causado a su vez por desviaciones o sesgos en el método de recolección, tipo y/o cantidad de datos utilizados (ej. de internet), en el diseño y desarrollo de los modelos y algoritmos, durante el proceso de entrenamiento, pruebas y validaciones para la implementación del sistema de IA, durante los pilotos realizados para el uso del sistema de IA, por las limitaciones impuestas por su entorno y su uso exclusivo, y finalmente durante el proceso de interacción con el usuario para incrementar su aprendizaje y lograr una adaptación continua. Cualquiera que sea la razón para una desviación o sesgo, lo importante es recalcar que aunque este pudiera ser bueno o malo, intencional o no intencional, al final este podría resultar en un acto de discriminación, injusticia o daño a las personas, grupos de personas o sociedades.
Con el fin de evitar este tipo de desviaciones o sesgos en el uso o aplicación de los sistemas de IA, la adopción de un modelo de gobierno y cumplimiento se hace mandatorio, ya sea con base en los marcos tecnológicos actuales pero adaptados para incluir el uso de la IA (ej. ITIL), ya sea incorporando estándares internacionales especializados en la materia (ej. ISO 42001) o ya sea adoptando guías y lineamientos éticos que ayuden a contar con sistemas de IA confiables (ej. Unión Europea u OCDE).
Sistemas de IA vs ISO 42001
La IA se aplica cada vez más en todos los sectores que utilizan tecnologías de la información, previéndose que sea uno de los principales impulsores económicos de estos últimos. Como resultado de esta tendencia, ciertos usos o aplicaciones podrían presentar serios desafíos sociales en el futuro próximo (2030). La norma ISO 42001 se creó con el objetivo de ayudar a las organizaciones, a desempeñar de manera responsable su función en el desarrollo, uso, supervisión y suministro de productos y/o servicios que utilizan sistemas de IA, ya que la adopción de IA podría plantear preocupaciones como:
- La toma de decisiones automática, a veces de forma poco transparente e inexplicable.
- El uso del análisis de datos, la comprensión y el aprendizaje automático, en lugar de la lógica humana para diseñar sistemas, cambiando la forma en que estos se desarrollan, justifican e implementan.
- Los sistemas de IA que realizan aprendizaje continuo cambian su comportamiento durante su uso, requiriendo garantizar su uso responsable con el cambio de comportamiento.
La norma ISO/IEC 42001:2023 contiene los requisitos necesarios para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de IA (SGIA), de acuerdo con el contexto de una organización, centrando la aplicación de los requisitos en las características exclusivas de la IA. Ciertas características de la IA como son la capacidad de aprendizaje y mejora continua o la falta de transparencia, pueden justificar la adopción de medidas de seguridad diferentes, si es que estas plantean inquietudes adicionales respecto a cómo se realizaría la tarea de forma tradicional.
Los objetivos y necesidades de la organización, sus procesos o actividad, tamaño y estructura organizacional, así como las expectativas de las distintas partes interesadas o stakeholders, influyen en la definición y operación de un SGIA, por lo que se espera que todos estos factores de influencia cambien y por ende, se revisen periódicamente.
La norma ISO 42001 para un SGIA
La norma ISO 42001 es una estándar internacional que busca facilitar a las organizaciones, la adopción de un Sistema de Gestión de IA, integrando los procesos y la estructura de gestión general necesaria para tal fin. Cualquier cuestión específica relacionada con la IA, debe considerarse en el diseño de los procesos, los sistemas de información y los controles seleccionados como necesarios; algunos ejemplos de estos procesos de gestión son:
- Para la determinación de los objetivos organizacionales, la participación de las partes interesadas y/o la política de IA.
- La gestión de riesgos y oportunidades.
- Los procesos para la gestión de las preocupaciones relacionadas con la confiabilidad de los sistemas de IA, como: seguridad, protección, equidad, transparencia, etc.
- Los procesos para la gestión de proveedores, socios y terceros que proporcionen o desarrollen sistemas de IA para la organización.
Así pues, la ISO 42001 proporciona los lineamientos necesarios para la implementación de los controles aplicables, que respalden dichos procesos. La norma NO ofrece orientación específica sobre los procesos de gestión, por lo que es posible utilizar y/o combinar otros marcos y normas generalmente aceptadas, así como su propia experiencia para implementar dichos procesos (ej. gestión de riesgos, gestión del ciclo de vida, gestión de la calidad de los datos, pruebas y validaciones, entre otros), siempre que sean adecuados para los casos de uso, productos y/o servicios específicos de la IA, dentro del alcance del SGIA.
Reflexión final: importancia de la ISO 42001 en la IA
Con la IA escalando posiciones de manera estrepitosa en la vida y actividad del ser humano, la norma ISO/IEC 42001:2023 viene a sumarse en el esfuerzo por guiar a las organizaciones que desarrollan, usan, supervisan y suministran productos y/o servicios con IA, proponiendo para esto un conjunto de requisitos para los Sistemas de Gestión de Inteligencia Artificial (SGIA).
Si su organización proporciona o utiliza productos y/o servicios que utilizan sistemas de IA, esta norma es de su interés, ya que le apoyará en la tarea de ser responsable en su aplicación, a la vez de alcanzar sus objetivos organizacionales, cumplir con los requisitos aplicables y las obligaciones relacionadas con las partes interesadas, así como cubrir las expectativas que se les impongan.
La norma es aplicable a cualquier tipo de organización, independientemente de su tamaño y naturaleza, siempre y cuando proporcione o utilice productos y/o servicios que utilicen sistemas de IA. Además, se recomienda complementar su aplicación con la norma ISO/IEC 22989:2022, en donde se establecen conceptos y definiciones aplicables a la inteligencia artificial.
Referencias consultadas
1. International Standard ISO/IEC 42001:2023. Information Technology - Artificial Intelligence - Management System. First Edition, Dic-2023.
2. The BCS AI Foundation Delegate Manual. Purple Griffon, Ltd. United Kingdom, 2019.