👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
ISO/IEC 42001:2023: 6.1.2, 6.1.3, 8.1, 8.2, 8.3 y 9.3.2
Y los siguientes controles:
ISO/IEC 42001:2023: A.3.2, A.5.4 y A.5.5
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a analizar y evaluar los riesgos asociados a tu Sistema de Gestión de IA (SGIA).
El objetivo principal es obtener una comprensión profunda de las amenazas y riesgos a las que se enfrenta tu organización al usar y/o desarrollar sistemas de IA, no solo desde una perspectiva de seguridad técnica, sino también considerando los riesgos éticos, de sesgo, de equidad y los posibles impactos en las personas y la sociedad.
💡El análisis, evaluación y tratamiento de riesgos es un ejercicio que debe realizarse periódicamente (al menos una vez al año) y cuando ocurran cambios significativos en la organización. Es la base para tomar decisiones informadas y proteger a tu empresa de forma integral.
¿Qué tengo que hacer? 🚀
Para realizar esta actividad, es fundamental que ya cuentes con una Metodología de Gestión de Riesgos de IA establecida y documentada.
Si utilizas la metodología propuesta en nuestro template, recuerda que debes leerla y comprenderla muy bien para que puedas realizar esta actividad fácil y rápidamente 🌟. Recomendamos seguir los pasos que explicamos a continuación:
1. ¡Comienza pensando en tus activos y recursos de IA! El punto de partida es tu Inventario de Activos de IA,ya que al conocer tus recursos críticos (datasets, modelos, infraestructura, personal clave), podrás identificar más fácilmente los riesgos a los que están expuestos.
2. Luego, describe uno a uno los riesgos. Dentro del contexto de tu organización, identifica y describe los riesgos. ¡Utiliza nuestro listado de riesgos! Puedes tomar ejemplos directamente de ahí, o usarlos como orientación. Para la IA, es crucial pensar en dos tipos de riesgos:
Riesgos técnicos/de seguridad: Similares a la seguridad tradicional. Por ejemplo: "Acceso no autorizado a los modelos de IA", "Robo del dataset de entrenamiento".
Riesgos específicos de IA: Estos son los que distinguen a la norma. Por ejemplo: "Sesgo algorítmico en el modelo de contratación que discrimina a un grupo demográfico", "Falta de explicabilidad en las decisiones del sistema de IA que afectan a los clientes", "Impacto social negativo por la automatización de un servicio".
3. Asigna a un dueño responsable del riesgo. Cada riesgo debe tener un "dueño" asignado que pueda darle seguimiento a su evaluación, tratamiento y monitoreo.
Esta persona debe estar enterada de su responsabilidad como dueño del riesgo, y tener las capacidades y conocimientos necesarios para cubrirla.
Recuerda que puedes cargar a tus colaboradores en nuestro módulo de Personal para facilitar esta asignación.
4. Posteriormente, debes evaluar el riesgo. Esto consiste en indicar un nivel de impacto y uno de probabilidad para cada riesgo, antes de aplicar cualquier control.
Recuerda que todo este proceso se detalla en la Metodología de Gestión de Riesgos de IA.
La metodología que proponemos y que se aplica dentro de nuestro módulo de Riesgos, el nivel de riesgo se calcula por medio de una multiplicación del valor asignado al impacto, por el valor asignado a la probabilidad (impacto x probabilidad). Para ello, consideramos lo siguiente:
IMPACTO 🔥 |
Descripción | Nivel | Valor |
Las consecuencias de la ocurrencia del riesgo son insignificantes. | Muy bajo | 1 |
Las consecuencias de la ocurrencia del riesgo son mínimas. | Bajo | 2 |
Las consecuencias de la ocurrencia del riesgo son tolerables. | Medio | 3 |
Las consecuencias de la ocurrencia del riesgo son graves. | Alto | 4 |
Las consecuencias de la ocurrencia del riesgo son desastrosas. | Muy alto | 5 |
PROBABILIDAD 📈 |
Descripción | Nivel | Valor |
Es casi imposible que el riesgo ocurra (menos de una vez cada 5 años). | Muy bajo | 1 |
Es poco posible que el riesgo ocurra (una vez cada 2-5 años). | Bajo | 2 |
Es probable que el riesgo ocurra (una vez al año) | Medio | 3 |
Es muy posible que el riesgo ocurra (varias veces al año). | Alto | 4 |
Es casi seguro que el riesgo ocurra (de forma mensual o más frecuente). | Muy alto | 5 |
5. Una vez que el riesgo esté evaluado, debes definir el tratamiento que le darás.
Las decisiones de tratamiento que puedes elegir para disminuir el impacto y/o probabilidad del riesgo son las siguientes:
Decisión | Descripción |
Mitigar | Corresponde a la implementación de controles y medidas que te permitirán reforzar la seguridad, y disminuir la probabilidad y/o el impacto de ese riesgo. |
Aceptar | Corresponde a no realizar ninguna acción sobre el riesgo. Esta decisión debe tomarse posterior a un análisis de costo - beneficio donde se confirme que es más caro / difícil implementar medidas de seguridad, que asumir el costo de que el riesgo ocurra. |
Eliminar | Suprimir la causa raíz del riesgo, como descontinuar un sistema de IA o un proceso que lo origina. |
Transferir (Compartir) | Corresponde a transferir el riesgo a un tercero, como por ejemplo al proveedor, compartiendo así la responsabilidad de su mitigación y monitoreo. |
💡Para los riesgos que deseas mitigar, será muy importante identificar los controles normativos de ISO 42001 que te permitirán llevar a cabo dicha mitigación, ya que conocer esta información durante una auditoría (ya sea externa o interna) es de suma importancia para tu cumplimiento.
6. Después de haber haber implementado todos los controles y tareas definidos para tus planes de tratamiento, debes evaluar el riesgo residual. Este es el nivel de riesgo que queda después de haber implementado dichos controles y planes de tratamiento.
Recuerda que a menos que decidas eliminar el riesgo, éste nunca desaparece por completo y debe ser monitoreado periódicamente.
Puedes implementar todos estos pasos desde nuestro módulo de Riesgos de una forma muy sencilla, para que puedas aprovechar al máximo las automatizaciones que tenemos para ti. Además, recuerda que todos estos puntos deben estar alineados a tu Metodología de Gestión de Riesgos de IA, y si usas nuestro template, esta ya se encuentra alineada al uso de nuestra plataforma 😎.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Utiliza nuestro módulo de Riesgos 🚀. Pero te sugerimos comenzar a usarlo una vez que ya cuentes con la Metodología de Gestión de Riesgos de IA documentada, y con tu Inventario de Activos de IA terminado.
Aquí puedes poner en práctica todos los conocimientos obtenidos durante el Taller de Gestión de Riesgos de IA impartido por Hackmetrix.
Asigna a dueños de riesgos capacitados, que entiendan sus responsabilidades, que puedan llevarlas a cabo de manera eficiente, y que tengan toda la formación necesaria para tomar decisiones fundamentadas.
Sé objetivo durante la evaluación. No todo debe ser crítico para tu empresa, pero tampoco restes importancia a los riesgos que sí deben ser analizados y protegidos correctamente.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti!
Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.