El papel de la estandarización en la gestión de riesgos de la IA
A medida que la IA transforma Singapur y el resto del mundo, las organizaciones deben abordar los diversos desafíos de gestión de riesgos que trae esta tecnología transformadora. No solo las empresas y organizaciones se centran en esto, sino que también los reguladores y gobiernos están elaborando marcos de gobernanza de IA para abordar riesgos o preocupaciones específicas que enfrentan dentro de su jurisdicción o sector.
Por ejemplo, el Observatorio de Políticas de IA de la OCDE rastrea más de 1,000 iniciativas de políticas de IA en 69 países, territorios y la UE. También hemos visto enfoques diferentes sobre el alcance regulatorio en la gobernanza de los riesgos potenciales de la IA.
Independientemente de las medidas regulatorias, los riesgos de la IA son inevitables. Como resultado, un enfoque estandarizado que incorpore un consenso global es útil para proporcionar orientación a las organizaciones que buscan equilibrar la innovación y la agilidad con una buena gestión de riesgos.
La matriz de riesgos de la IA: por qué no todo es nuevo
La IA y el software tradicional comparten muchas prácticas de gestión de riesgos, como los ciclos de desarrollo y el hosting de la tecnología. Sin embargo, la imprevisibilidad de la IA y su dependencia de los datos introducen riesgos únicos, además de la gestión de los riesgos tecnológicos existentes.
Primero, con el auge de la IA generativa, muchas más personas están adoptando y utilizando la tecnología, lo que aumenta la superficie de ataque y la exposición a riesgos. Segundo, a medida que los modelos de IA generativa incorporan más datos empresariales, los riesgos de divulgación accidental de información están aumentando, particularmente donde los controles de acceso no se han implementado correctamente. Tercero, la IA conlleva riesgos en áreas como la privacidad, la equidad, la explicabilidad y la transparencia.
Encontrando el equilibrio en un tiempo de cambio constante
Cuando se trata de desafíos, quizás el mayor sea el hecho de que la IA está evolucionando tan rápido que la gestión de riesgos debe verse como un objetivo en movimiento. Esto coloca a las organizaciones en un dilema: si no adoptan la IA lo suficientemente rápido, se quedarán atrás de sus competidores; si avanzan demasiado rápido, podrían encontrar puntos críticos éticos, legales y operativos.
El equilibrio a alcanzar, entonces, es complicado — y esto se aplica no solo a las grandes empresas, sino a firmas grandes y pequeñas en todas las industrias, donde implementar la IA en las operaciones comerciales centrales se está convirtiendo en algo rutinario. Entonces, ¿cómo pueden las organizaciones gestionar mejor los riesgos sin frenar la innovación o ser demasiado prescriptivas?
Aquí es donde los esfuerzos de estandarización como la ISO/IEC 42001:2023 proporcionan orientación a las organizaciones para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Inteligencia Artificial (AIMS). Desarrollada por el subcomité de estándares de IA ISO/IEC JTC 1/SC 42, que cuenta con 45 naciones miembro participantes, representa un consenso global y proporciona a las organizaciones un enfoque estructurado para gestionar los riesgos asociados con el despliegue de la IA.
En lugar de estar estrechamente vinculada a una implementación tecnológica específica, tal orientación enfatiza establecer un fuerte “tono desde la cima” e implementar un proceso continuo de evaluación y mejora de riesgos — alineándose con el modelo Plan-Do-Check-Act para fomentar la gestión de riesgos iterativa y a largo plazo en lugar de un cumplimiento único. Proporciona el marco para que las organizaciones construyan los componentes necesarios de gestión de riesgos que consideran la escala y complejidad de sus implementaciones.
Siendo un estándar certificable, la ISO/IEC 42001:2023 también es verificable. Las organizaciones pueden obtener una certificación formal o simplemente adherirse a ella como una mejor práctica. De cualquier manera, la certificación o alineación ayuda a las organizaciones a demostrar a las partes interesadas sus esfuerzos continuos para gestionar los riesgos asociados con la adopción o desarrollo de soluciones de IA.
Estandarización: la panacea para el dolor de la IA
Seguir un estándar como la ISO 42001 es útil de otras maneras. Su enfoque ayuda a abordar la fragmentación de la adopción de IA dentro de las empresas, donde anteriormente había estado siloada dentro de equipos de ciencia de datos. La amplia adopción de soluciones de IA generativa ha dado lugar a una expansión de implementaciones que ejerce presión sobre las empresas para gestionar sus riesgos de IA a una escala mucho mayor.
Con esto vienen tres puntos de dolor significativos: una falta de responsabilidad clara por la dependencia de decisiones de IA; la necesidad de equilibrar velocidad y cautela; y, para las empresas con operaciones transjurisdiccionales, los desafíos de navegar la orientación fragmentada de diferentes reguladores.
De nuevo, adoptar un enfoque estandarizado funciona mejor. El marco unificado y reconocido internacionalmente de la ISO 42001 para la gobernanza de IA, por ejemplo, aborda estos problemas. Establece estructuras de responsabilidad clara y, en lugar de dictar el uso de tecnologías específicas o pasos de cumplimiento, ofrece principios orientadores que las organizaciones pueden seguir al establecer un programa de gestión de riesgos de IA. Este enfoque basado en principios también evita dos preocupaciones clave sobre la gestión de riesgos de IA: que ahogará la innovación y que los estándares excesivamente prescriptivos pronto se volverán irrelevantes.
En un mundo donde la IA se está integrando cada vez más en el tejido de los negocios, las organizaciones deben asegurarse de estar preparadas para sus riesgos. Estandarizar su enfoque garantiza que puedan posicionarse para navegar más fácilmente por las futuras regulaciones de IA, mitigar riesgos de cumplimiento e innovar de manera responsable. De estas maneras, la IA puede seguir siendo una fuerza para el bien — para las organizaciones mismas y para la sociedad en general.
