ISO/IEC 4.2001:2023: A.6.1.3, A.6.2.5, A.6.2.6

Minimizar el riesgo de interrupciones, ayudando a evitar que cambios mal planificados o defectuosos causen caídas del servicio o comportamientos inesperados en tus sistemas de IA.

Garantizar la estabilidad y la calidad del sistema, haciendo que cada cambio pase por un riguroso proceso de pruebas y validación antes de llegar a los usuarios.

Evaluar el impacto de los cambios analizando no solo el impacto técnico, sino también el impacto de negocio, de seguridad y, muy importante, el impacto ético y social de cada modificación, lo cual es muy importante para la implementación de un SGIA.

Crear un rastro de auditoría completo ya que se incluye la necesidad de generar un registro detallado de cada cambio realizado, quién lo solicitó, quién lo aprobó y cuándo se implementó, lo cual es fundamental para la auditoría y la resolución de problemas.

Solicitud y evaluación del cambio (pasos 1 y 2): Este es el punto de partida formal, o lo que gatilla el inicio del procedimiento. Cualquier persona que necesite un cambio debe documentarlo a través de un formulario / solicitud. Posteriormente, un responsable debe evaluar dicha solicitud analizando por lo menos los siguientes aspectos:

Ejecución y pruebas en un entorno seguro (pasos 3 y 4): Una vez que un cambio es viable, se procede a su desarrollo. El procedimiento establece una regla de oro: todo el trabajo se realiza en un ambiente de pruebas, separado del entorno de producción para no afectar a los usuarios. En esta fase, el equipo de calidad (QA) somete el cambio a un riguroso proceso de pruebas para verificar que funciona como se esperaba, y que no introduce nuevos errores.

Evaluación del impacto de IA (paso 5): Este es un paso distintivo y crucial para la gestión de IA. Antes de aprobar el cambio, el procedimiento te obliga a hacer una pausa y reevaluar si esta modificación podría tener un impacto en individuos, grupos de individuos y/o en la sociedad (por ejemplo, si podría introducir un nuevo sesgo).

Autorización y despliegue controlado (pasos 6 y 7): Esta fase es la "aduana" final antes de que el cambio salga al mundo. Un responsable con la autoridad suficiente (como el Gerente de Tecnología o CTO) debe dar su autorización formal para el despliegue, basándose en los resultados exitosos de las pruebas. El despliegue en producción se planifica y ejecuta de manera controlada, y es fundamental tener siempre un plan de "rollback" para poder revertir el cambio rápidamente si algo sale mal.

Comunicación y registro (paso 8): El ciclo se cierra informando a todas las partes interesadas que el cambio ha sido implementado con éxito. Además, se debe crear un registro permanente de todo el proceso en un repositorio o herramienta centralizada, asegurando la trazabilidad completa de la modificación.

Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

Posteriormente, debes subir la evidencia de su aprobación.

Y por último, debes subir la evidencia de su comunicación.

Considera definir diferentes "tipos de cambio" si lo ves conveniente, para esos cambios o mejoras que puede que requieran un nivel menor de pruebas o aprobación, o viceversa, es decir cambios que requieran un mayor nivel de supervisión y pruebas más exhaustivas.

No consideres el plan de "rollback" como opcional ya que puede ser tu mejor seguro contra imprevistos durante el despliegue. Así como también la mejor estrategia para prevenir interrupciones o fallos importantes de cara a tus clientes o usuarios finales.

La comunicación es clave para el éxito. Un cambio técnicamente perfecto puede fracasar si los usuarios no están preparados o no entienden cómo les afecta. Asegúrate de que tu plan de comunicación sea claro y oportuno.

Para cambios mayores que puedan tener un alto impacto en el negocio o en los riesgos éticos, es altamente recomendable que el Comité de Inteligencia Artificial forme parte del proceso de evaluación y autorización.