¿Porqué gestionar la IA con ISO/IEC 42001 en nuestra organización?

Byuser

En los últimos meses me has estado consultando sobre la nueva norma ISO/IEC 42001 publicada en el 2023, donde las interrogantes son variadas y considero importante clarificar un poco las cosas para quienes estén interesados en incorporar Inteligencia Artificial (IA) de alguna manera en su negocio.

La necesidad

Como primer punto debemos considerar que la IA en las diversas formas en que las conozcamos (IA generativa, machine learning, GPT, etc) esta convirtiéndose en una herramienta con el potencial de ayudar a cualquier empresa de cualquier tamaño o sector transformando parte de su modelo y ahorrando recursos, principalmente tiempos y costos.

Es en este contexto donde para incrementar la confiabilidad entre empresas (en particular de países diferentes con idiomas diferentes) para hacer negocios, se necesita algún tipo de garantía o mecanismo que proporciones un conocimiento base de que la aplicación de IA en cualquiera de las empresas a entrar en negocios, no afectará de forma negativa a las demás. Esto es lo que aporta un modelo de gestión estándar como el que proporciona ISO en sus normas de requisitos para sistemas de gestión (Por ejemplo ISO 9001, ISO/IEC 27001, ISO 22301, entre otros) avalado por una auditoria imparcial y acreditada para fortalecer esta confiabilidad.

Finalmente, en un mundo donde la IA esta entrando muy fuerte en diversos aspectos de la sociedad, los negocios internacionales necesitan estándares para fortalecer la confianza.

El tópico a estandarizar

En otro artículo hablare sobre sistemas de gestión ISO (en general), hoy solo necesitamos saber que cada estándar de requisitos de sistema de gestión aborda un tópico especifico sobre el cual establecer requisitos, así tenemos por citar solo 4 :

  • ISO 9001 -> Calidad
  • ISO/IEC 27001 -> Seguridad de la información
  • ISO 22301 -> Continuidad del negocio
  • ISO/IEC 20000-1 -> Servicios

En el caso de la norma que nos ocupa, ISO/IEC 42001 es la Inteligencia Artificial.

Esta norma internacional no es un estándar para hacer IA, por lo que si están esperando que esta norma les diga como hacer su propio ChatGPT o como utilizar voces o imagen de famosos para sus propios videos, lamento decirles que esta norma no hace nada de eso.

Lo que si hace esta norma es proporcionar un conjunto de requisitos auditables para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de inteligencia artificial.

Sistema de gestión

Para entender que es un sistema de gestión tomaremos el texto de la misma web de ISO :

«Un sistema de gestión es la forma en que una organización gestiona las partes interrelacionadas de su negocio para lograr sus objetivos. Estos objetivos pueden relacionarse con varios temas diferentes, incluida la calidad del producto o servicio, la eficiencia operativa, el desempeño ambiental, la salud y seguridad en el lugar de trabajo y muchos más.»

Fuente : https://www.iso.org/es/home/standards/popular-standards/management-system-standards.html

Un sistema de gestión esta soportado por un conjunto de documentos (Políticas, procedimientos, registros, etc) y procesos (formas de como hacemos las cosas) para alcanzar objetivos de la organización, y esto en función del tópico que aborda.

En palabras simples, es la parte administrativa que necesita una organización para que todos sus iniciativas en IA mantengan un alineamiento con los objetivos de la empresa y las expectativas de las partes interesadas, este último punto tiene particular relevancia en IA por la tendencia en regular la IA y los desafíos éticos y sociales que estén relacionados.

Un modelo basado en riesgos

Para abordar adecuadamente los múltiples aspectos involucrados en el desarrollo o uso de sistemas IA en la organización, la norma ISO/IEC 42001 gestiona riesgos y oportunidades al sistema de gestión, los riesgos de IA y un análisis de impacto de IA, desplegando 38 controles de referencia (una organización puede necesitar controles adicionales o utilizar controles desarrollados específicamente para esa organización) dentro de un conjunto de 10 objetivos de control y 9 para mantener todo en el nivel de riesgo adecuado y cada cosa en su lugar.

Esto marca una similitud con otras normas como ISO/IEC 27001, ISO/IEC 27701 o ISO 22301.

Conclusión

Enfocar el desarrollo o uso de la IA solo en la parte tecnológica puede ocasionar a las organizaciones problemas de diverso índole, como legal (por incumplir alguna ley o regulación), financiero (por sanciones económicas) o incluso la pérdida de vidas humanas (por algún error en un sistema de soporte vital o por ejemplo de conducción en vehículos autónomos), por ello, el aporte al mercado global de un estándar como ISO/IEC 42001 que establece un modelo de gestión probado de forma amplia y que refleje el consenso internacional de expertos en la mas relevante organización de estandarización existente en la actualidad como es ISO.

Quieres conocer la norma?

Para los interesados en conocer e implementar esta norma, les informo que desde GTDI – Consultoría tenemos disponible un programa de formación sobre esta nueva norma, puede solicitar información en info@gtdi.pe o en el siguiente formulario : https://forms.gle/8Y1nv6AwHeZxZx428

Puedes ver este post en linkedin en : https://www.linkedin.com/pulse/porqu%C3%A9-gestionar-la-ia-con-isoiec-42001-en-nuestra-horna-vallejos-mqvhf

Similar Posts

¿Qué es la explicabilidad («explainability») en Inteligencia Artificial?
| |

¿Qué es la explicabilidad («explainability») en Inteligencia Artificial?

A medida que los sistemas de inteligencia artificial (IA) se integran en nuestras vidas ( desde recomendar películas hasta aprobar préstamos o detectar fraudes ) es cada vez más importante que entendamos cómo y por qué tomaron estas decisiones. En este punto entra el concepto de «explainability» o explicabilidad, del cual considero interesante abordar algunos…

Inicia la consulta del FDIS de la nueva ISO/IEC 27701:2025, pero que significa esto para las organizaciones?
| |

Inicia la consulta del FDIS de la nueva ISO/IEC 27701:2025, pero que significa esto para las organizaciones?

Hoy 08 de mayo del 2025 inicia el periodo de consulta del FDIS de la nueva ISO/IEC 27701:2025 por lo que considero oportuno explicar algunos puntos (desde la perspectiva de las organizaciones que implementan o necesitan implementar esta norma ) sobre esta nueva edición. ¿Qué aporta al negocio esta nueva edición? La ISO/IEC 27701 era…

El ciclo PDCA y las etapas de un sistema de gestión: Una distinción que marca la diferencia

El ciclo PDCA y las etapas de un sistema de gestión: Una distinción que marca la diferencia

En el ámbito de los sistemas de gestión basados en normas ISO, el ciclo PDCA (Plan – Do – Check – Act) es uno de los conceptos más conocidos, pero también uno de los más malinterpretados. A menudo se presenta el ciclo PDCA como si los requisitos de una norma pudieran encasillarse permanentemente en una…

Seguridad de la información para PyMEs en Latinoamérica, una oportunidad para fortalecer tu negocio
| |

Seguridad de la información para PyMEs en Latinoamérica, una oportunidad para fortalecer tu negocio

En América Latina, muchas pequeñas y medianas empresas (PyMEs) enfrentan desafíos significativos en cuanto a la seguridad de la información, la percepción común es que implementar un Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO/IEC 27001:2022 es costoso, complejo y poco adecuado para empresas con recursos limitados. Sin embargo, la evidencia…

Gestión de servicios TI confiable, resiliente y alineada al negocio (una ventaja estratégica con ISO/IEC 20000)
| |

Gestión de servicios TI confiable, resiliente y alineada al negocio (una ventaja estratégica con ISO/IEC 20000)

En un entorno cada vez más digital, interconectado y regulado, las organizaciones enfrentan el desafío de mantener la eficiencia operativa mientras adoptan tecnologías emergentes como inteligencia artificial, IoT, cloud computing y plataformas distribuidas. Además, deben gestionar riesgos asociados a la protección de datos personales, responder a clientes más exigentes y asegurar la resiliencia de cadenas…

¿Está el equipo realmente preparado para proteger la información crítica de tu organización?
| |

¿Está el equipo realmente preparado para proteger la información crítica de tu organización?

En el entorno empresarial actual, la seguridad de la información ya no es solo una función operativa. Es una responsabilidad estratégica que impacta la reputación, continuidad del negocio y cumplimiento normativo. Sin embargo, muchas organizaciones aún subestiman el impacto de no contar con profesionales que cuenten con las competencias necesarias en la gestión de su…