Ir al contenido principal

Metodología de Gestión de Riesgos de IA

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • ISO/IEC 42001:2023: 6.1.1, 6.1.2, 6.1.3, 8.1

Y el siguiente control:

  • ISO/IEC 42001:2023: A.5.2

¿Para qué me sirve esta actividad? 📚

Esta actividad te sirve para establecer el proceso de gestión de riesgos que llevará tu Sistema de Gestión de IA.

Recordemos que la gestión de riesgos es el ejercicio proactivo de anticipar los problemas antes de que ocurran. En lugar de reaccionar a los incidentes, esta metodología te permite identificar, analizar y tratar sistemáticamente las amenazas, riesgos e impactos que tus sistemas de IA.

Esta metodología te permitirá:

  • Tomar decisiones informadas con una base objetiva para decidir dónde invertir tus recursos de seguridad, ética y cumplimiento.

  • Proteger las operaciones del negocio, minimizando la probabilidad y el impacto de eventos adversos, desde fallos técnicos hasta crisis reputacionales por sesgos, entre muchos otros.

  • Cumplir con la norma. La gestión de riesgos es un requisito no negociable de ISO 42001. Un auditor querrá ver que tienes un proceso de riesgos formal, repetible, documentado, y con todas las evidencias pertinentes de su implementación.

  • Generar confianza a clientes y socios, porque podrás demostrar que gestionas tu tecnología de IA de manera responsable, considerando no solo los riesgos técnicos sino también los impactos éticos y sociales.

¿Qué tengo que hacer? 🚀

Para realizar esta actividad te recomendamos leer el template que te proporcionamos en su totalidad y seguir el flujo de proceso que se detalla en él, ya que te guiará a través de las cinco etapas clave del ciclo de vida de la gestión de riesgos.

💡Nuestro template te proporciona una metodología ya estructurada y alineada con el uso de la plataforma Hackmetrix y el cumplimiento normativo, por lo que es muy importante comprenderlo y de ser necesario, ajustar pequeñas cosas al contexto y necesidades reales de la organización.


A continuación, te explicamos el propósito de las etapas que encontrarás en el template:

  • Identificar y valorar tus activos. El primer paso es saber qué es lo que tienes que proteger. Esta sección te guía para crear un inventario de los activos involucrados en tu sistema de IA (datos, modelos, software, hardware, etcétera) y determinar cuáles son los más críticos para tu negocio.

    • Recuerda que este inventario lo puedes realizar directamente en nuestro módulo de Activos.

  • Identificar los riesgos y su impacto. Una vez que conoces tus activos críticos, el siguiente paso es pensar en todo lo que podría salir mal con ellos, por lo que es aquí donde se deben identificar y describir los riesgos, y analizar el impacto y la probabilidad que tienen.

    • Recuerda que una parte clave en la gestión de riesgos de IA es que no solo se consideran los riesgos técnicos (como un ciberataque), sino también los impactos éticos y sociales (como un sesgo discriminatorio). Esto se deberá detallar en el Informe del Impacto Ético y Social.

  • Evaluar y priorizar los riesgos. No todos los riesgos son iguales. Esta etapa consiste en "ponerle un número" a cada riesgo para saber cuáles son los más peligrosos. En la metodología que proponemos se deben asignar valores a la probabilidad de ocurrencia y al impacto del riesgo en cuestión, usando una escala de valores previamente establecidos (del 1 al 5). La asignación de estos valores te permitirá, por medio de una multiplicación, definir el nivel del riesgo (muy alto, alto, medio, bajo o muy bajo).

    • Dentro del template de Metodología de Gestión de Riesgos de IA que te proporcionamos, encontrarás en sus anexos más información de cómo implementar este sistema y descripciones detalladas de los valores de probabilidad, impacto y el riesgo resultante.

  • Decidir el tratamiento del riesgo. Una vez teniendo identificados los riesgos más críticos para tus operaciones, hay que decidir qué hacer con ellos. Nuestro template describe las cuatro opciones estratégicas más comunes de cualquier metodología:

    • Mitigar, que consistirá en implementar controles para reducir el riesgo.

    • Aceptar, que consistirá en asumir el riesgo de forma consciente y bajo ciertos criterios previamente establecidos (generalmente cuando el costo de mitigarlo es demasiado alto).

    • Eliminar, que consistirá en eliminar el riesgo de raíz, quizá cambiando completamente un proceso, un sistema, o eliminando directamente el activo que lo origina.

    • Transferir, que consistirá en compartir el riesgo con un tercero, como una póliza de seguros o un proveedor de servicios.

  • Seguimiento y comunicación. La gestión de riesgos no es un proyecto de una sola vez, es un ciclo continuo. En esta última sección deberás establecer cómo cumplirás con la obligación de revisar los riesgos periódicamente (anualmente o ante cambios importantes) y de comunicar los resultados y los planes de tratamiento a la alta dirección y al Comité de IA.

    • Aquí puedes agregar cualquier otra tarea de seguimiento y comunicación, si lo consideras pertinente y/o que ya realices dentro de la empresa en relación a la gestión de riesgos.

💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Para identificar y evaluar los riesgos correctamente, necesitas diferentes puntos de vista. Involucra a personas de otras áreas en tus sesiones de análisis de riesgos o en la creación misma de la matriz de riesgos.

  • En tu primera evaluación de riesgos puede que no logres identificar todos los riesgos que pueden afectar a tus activos y a tu empresa en general, pero lo más importante es implementar todo lo establecido en esta metodología y documentar todos los resultados y evidencias que se deriven de ella. Con el tiempo, seguramente mejorarás y refinarás el análisis en cada ciclo anual.

  • No te olvides del riesgo residual. Después de darle tratamiento a un riesgo, siempre debes volver a evaluarlo para asegurar que su nivel de impacto o de probabilidad efectivamente disminuyó. Además, en tu próxima evaluación, este será el valor principal a tomar en cuenta.

  • Integra el impacto ético. Asegúrate de que los impactos negativos identificados en tu Informe del Impacto Ético y Social se traduzcan en riesgos concretos para que puedan ser gestionados formalmente a través de la implementación de esta metodología.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
11. Metodología de Gestión de Riesgos
53. Metodología de Gestión de Riesgos
Matriz de Riesgos de IA
Informe del Análisis de Riesgos de IA
Metodología de Gestión de Riesgos
¿Ha quedado contestada tu pregunta?