Ir al contenido principal

Inventario de Activos de IA

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • ISO/IEC 42001:2023: 8.2

Y los siguientes controles:

  • ISO/IEC 42001:2023: A.3.2, A.4.2, A.4.3, A.4.4, A.4.5, A.4.6

¿Para qué me sirve esta actividad? 📚

Esta actividad te sirve para crear la base sobre la cual se construye todo tu Sistema de Gestión de IA: el inventario de activos y recursos. Este es el proceso de identificar y documentar todo aquello que tiene valor para tus sistemas de IA y que, por lo tanto, necesita ser protegido.

Para la norma ISO 42001, este concepto va más allá del hardware y software tradicional. Un "recurso" de IA incluye los datos, los modelos, las herramientas e incluso las personas con conocimientos especializados.

💡 Un inventario completo y bien valorizado es el punto de partida indispensable para una gestión de riesgos adecuada. No puedes proteger lo que no sabes que tienes. La información de este inventario se relaciona directamente con lo establecido en tu Metodología de Gestión de Riesgos de IA y será la primera entrada para generar tu Matriz de Riesgos de IA.

¿Qué tengo que hacer? 🚀

Para construir tu inventario, es fundamental entender que un "recurso de IA" es cualquier componente involucrado en el ciclo de vida de un sistema de IA. Y el proceso para completar un inventario consiste en identificar estos recursos, valorarlos y asignarles un responsable.

Ahora bien, teniendo claro qué es un activo / recurso de IA, te sugerimos realizar los siguientes pasos para que tu inventario tenga todo lo necesario:

1. Identifica todos los recursos de IA que tiene tu empresa hasta ahora, esto puede involucrar hardware, software, personal, servicios de proveedores, etcétera.

  • Si estás implementando un SGIA, debes considerar por lo menos, todos los activos que se encuentren dentro de tu alcance definido.

  • Si estás implementando controles de seguridad de IA por requisito de algún cliente o proveedor, te sugerimos identificar todos los activos con los que trabajen dichos clientes y proveedores, y que por ende, tienen interés en proteger.

2. Clasifica tus recursos de IA por categoría. Clasificar tus activos y recursos de IA que son alcanzados por tu sistema de gestión te permitirá tomar acciones más enfocadas sobre ellos. Algunas de las categorías que recomendamos considerar y que están basadas en las propuestas por la normativa, son las siguientes:

  • Recursos de datos (A.4.3): Conjuntos de datos (datasets) utilizados en cualquier etapa del ciclo de vida de la IA (entrenamiento, validación, prueba, producción).

  • Recursos de herramientas (A.4.4): Algoritmos, modelos de aprendizaje automático, herramientas de preparación de datos y cualquier otro software o framework específico utilizado para diseñar y desarrollar tus sistemas de IA.

  • Sistemas y recursos informáticos (A.4.5): Este es el inventario más tradicional. Incluye el hardware (servidores, GPUs), la infraestructura (on-premise, nube), los recursos de procesamiento y almacenamiento, etcétera.

  • Recursos humanos (A.4.6): Personas y roles con competencias y responsabilidades críticas en el ciclo de vida de la IA (científicos de datos, ingenieros de IA, expertos en ética, responsables de la supervisión humana, etcétera).

2. Valoriza cada recurso. Una vez identificados todos los recursos alcanzados por tu SGIA, debes analizar cada uno de ellos para determinar su valor y su criticidad para la empresa y/o para las operaciones. Esto implica:

  • Indicar su clasificación de la información, es decir si el recurso contiene o procesa información confidencial, sensible, interna o pública, de acuerdo a los niveles que hayas establecido en tu Política del SGIA.

  • Establecer la criticidad del activo utilizando una escala (por ejemplo: muy alta, alta, media, baja). Para esto, pregúntate: ¿qué impacto tendría en el negocio si este recurso no estuviera disponible, si su integridad se viera comprometida o si su confidencialidad se perdiera?

3. Asigna un dueño o propietario al recurso. Para lograr un cumplimiento normativo de la ISO 42001, cada recurso en tu inventario debe tener un dueño asignado. Esta persona es la responsable final de la protección de dicho recurso. No siempre corresponde a quien lo usa o quién lo compró, sino quien tiene la autoridad para tomar decisiones sobre él (por ejemplo el CTO para la infraestructura en la nube, el Jefe de Datos para un dataset crítico, etcétera).

  • ¡Utiliza nuestro módulo de Personal para que sea mucho más fácil la asignación de los dueños de tus activos!

Puedes implementar todos estos pasos desde nuestro módulo de Activos de una forma muy sencilla, o incluso importar tu inventario directamente a nuestra plataforma para que puedas aprovechar al máximo las automatizaciones que tenemos para ti 😎.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Utiliza nuestro módulo de Activos 🚀.

  • Presta especial atención a la identificación de los recursos de datos y recursos humanos. Son fundamentales para la ISO 42001 y a menudo se pasan por alto en los inventarios tradicionales.

  • Sé objetivo durante la valorización. Probablemente no todo en tu empresa tiene una criticidad "muy alta". Una valorización objetiva te ayudará a enfocar tus esfuerzos de gestión de riesgos en lo que realmente importa.

  • Asegúrate de tener un proceso para revisar y actualizar tu inventario de recursos periódicamente, o cada vez que se introduzca un nuevo sistema o dataset en la organización.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti!

Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
12. Inventario de Activos
Revisión de contratos (para SGIA)
Política de Seguridad para Sistemas de IA
Informe del Análisis de Riesgos de IA
Declaración de Aplicabilidad (SoA para SGIA)
¿Ha quedado contestada tu pregunta?