Aparecen nuevos estándares constantemente. Surgen cada año a puñados sobre infinidad de materias que conviene definir y acotar. En el catálogo de la Organización Internacional de Normalización (ISO por sus siglas en inglés) existen más de 25.000 estándares internacionales publicados. Y era de esperar que pronto llegara uno relacionado con la inteligencia artificial, tras la explosión de popularidad y adopción que tuvo la tecnología en 2023.
Precisamente durante ese año surgió el estándar que se refiere específicamente a la gestión de sistemas de inteligencia artificial. Se trata del ISO/IEC 42001:2023, elaborado con el fin de afrontar el reto de la IA en los próximos años. Es una forma de limitar lo riesgos y asegurar que los actores que despliegan este tipo de servicios lo hagan con garantías.
El objetivo de esta certificación es servir de referencia a las compañías que desarrollan o despliegan sistemas de IA para que lo hagan adecuadamente. A continuación, vamos a repasar qué es la norma ISO/IEC 42001:2023 y para qué sirve.
¿Por qué es importante la ISO/IEC 42001:2023?
Antes de entrar en materia, lo primero es conocer qué sentido tiene esta norma. El investigador principal del National Physical Laboratory, de Reino Unido, Mark Leven alude a las dudas que genera la IA para explicar la importancia del estándar.
A día de hoy, el machine learning y el deep learning, las dos ramas más avanzadas de la IA, tienen lagunas de transparencia y de explicabilidad. Especialmente el deep learning o aprendizaje profundo —debido a la complejidad de la tecnología de redes neuronales que lo conforman— opera con un modelo de caja negra. Se conocen los datos de entrada y los de salida, pero no los mecanismos que han generado los segundos.
En esto se diferencian de la programación tradicional, que tiene un carácter predecible. Un sistema de IA puede cambiar su comportamiento durante la ejecución de su tarea y producir resultados distintos a los esperados. Si a esto sumamos que ciertos sistemas basados en inteligencia artificial tendrán un alto grado de autonomía —por ejemplo, un coche autónomo— se necesitan garantías de buen funcionamiento.
¿Qué es la ISO/IEC 42001:2023?
La certificación pretende asegurar que todo sistema de IA —certificado— que se introduzca en el mercado funcione adecuadamente. Esto se hace al elaborar un marco con múltiples aristas: ética, de seguridad, de transparencia, diseño, desarrollo e implementación de la tecnología. A las empresas se les exige una serie de requisitos en estas áreas y, al mismo tiempo, la norma les sirve para orientar sus procesos.
La ISO/IEC 42001:2023 también sirve para la incorporación con garantías de los sistemas de IA a los procesos de entidades empresariales, con el fin de asegurar el cumplimiento de la normativa, así como de ciertos criterios éticos.
Para estar certificada, cualquier entidad debe desarrollar, implementar, mantener y garantizar una mejora continua de sus sistemas de IA. Serán los cuerpos de certificación acreditados, previamente autorizados por las entidades competentes en cada país, quienes hagan la auditoría correspondiente y emitan el certificado.
¿A qué obliga la certificación?
Los requerimientos de la ISO/IEC 42001:2023 constan de varias fases: planificación, ejecución, verificación y optimización. Previamente, las entidades certificadas deben definir el alcance de su sistema de IA, en qué espacio se aplicará y hasta dónde llegará. En este punto, se necesita una declaración de aplicación que deberá incluir las fórmulas de control necesarias.
Según apuntan desde la consultora KPMG, en la fase de ejecución se requiere que la entidad certificada desarrolle su sistema de IA manteniendo estándares altos de ética, transparencia o seguridad. También necesitará monitorizar el rendimiento del sistema y optimizarlo. Algo que enlaza con una tercera etapa: aplicar mejoras y medidas correctivas en base a las observaciones realizadas.
Siete elementos esenciales de la ISO/IEC 42001:2023
El estándar es extenso y trata de cubrir en detalle todos los aspectos necesarios para obtener garantías del buen funcionamiento de un sistema de IA. Pero podemos resumir lo esencial en 7 puntos:
-Gestión del riesgo: las empresas o entidades deben implementar procesos para identificar, analizar, evaluar y monitorizar los riesgos durante todo el ciclo de vida del sistema de IA.
-Evaluación del impacto de la IA: otro de los aspectos principales a tener en cuenta es definir un proceso para evaluar consecuencias potenciales para los usuarios del sistema de IA. Hay muchas formas en que una tecnología de este tipo puede tener un impacto, pero las entidades deberán fijarse, entre otros factores, en cómo puede afectar dentro del contexto social en que se despliega.
-Gobernanza de la información: se necesitan políticas claras para gestionar la información con que se nutre el sistema de IA. Los textos deben ir en línea con los objetivos estratégicos de las compañías y comunicarse de forma efectiva. Además, las empresas tienen que definir una estructura de gobernanza que marque roles y responsabilidades.
-Protección de datos y seguridad: el respeto a las normas de privacidad es imprescindible a la hora de tratar datos. Pero las empresas también deben mantener sus sistemas libres de amenazas potenciales.
-Gestión del ciclo de vida: las entidades o empresas tienen que controlar todo el recorrido del sistema de IA, desde la planificación hasta las pruebas y las posibles mejoras.
-Optimización del rendimiento: este requisito enlaza con el anterior, pero lo dejamos aparte por su importancia. Las entidades tendrán que mejorar continuamente la efectividad de su sistema de IA. Es un trabajo constante y sin final.
-La gestión de los proveedores: la norma requiere incluso que las entidades miren más allá de sus propios procesos internos. Deberán extender sus medidas de control a los proveedores implicados en el desarrollo de su sistema de IA.