Nota del editor: Este artículo, cuyo autor es Alastair Parr, Vicepresidente Senior de Productos y Servicios Globales de Prevalent, se publicó originalmente en www.corporatecomplianceinsights.com.
-
Aunque actualmente se está prestando mucha atención al cumplimiento interno de las nuevas normativas sobre IA, Alastair Parr, de Prevalent, sostiene que las empresas no deberían pasar por alto una importante consideración externa: los terceros.
La inteligencia artificial (IA) está transformando rápidamente el mundo moderno, y los gobiernos se apresuran a establecer salvaguardias para garantizar su despliegue responsable. El rápido crecimiento de la tecnología también ha llevado a las empresas de casi todos los sectores verticales a adoptar la IA, ya que ofrece mejoras de productividad y eficiencia, con el objetivo último de mejorar su cuenta de resultados.
Sin embargo, estas oportunidades van acompañadas de importantes responsabilidades para que las empresas desplieguen la IA de forma ética y dentro de los límites de la ley. Esta responsabilidad debe extenderse no solo a sus propias prácticas, sino también a las de todos los terceros con los que se relacionan, incluidos vendedores y proveedores de servicios.
Navegar por las numerosas partes móviles que conlleva el despliegue seguro y responsable de la IA será especialmente difícil para las empresas con sede en regiones a la vanguardia de la regulación de la IA, como Estados Unidos, Canadá, la UE y el Reino Unido.
Estas regiones están desarrollando marcos únicos para regular esta tecnología en rápida evolución. Entender y cumplir estas normativas será fundamental para que las empresas que operan en estas regiones eviten repercusiones legales y mantengan la confianza de las partes interesadas.
El camino por recorrer
Los organismos reguladores de todo el mundo están decidiendo cómo regular la inteligencia artificial, y las empresas deben prestar mucha atención a medida que las propuestas se convierten en leyes vinculantes. Y aunque habrá variaciones de un país a otro, la mayoría de las normas propuestas se centran en cuestiones de privacidad, seguridad y ESG en relación con cómo las empresas pueden utilizar ética y legalmente la IA.
Por ejemplo, en Estados Unidos, el marco de gestión de riesgos de IA del NIST se introdujo en enero de 2023 para "ofrecer un recurso a las organizaciones que diseñan, desarrollan, despliegan o utilizan sistemas de IA para ayudar a gestionar los numerosos riesgos de la IA y promover un desarrollo y un uso fiables y responsables de los sistemas de IA." Este marco voluntario ofrece orientación exhaustiva sobre el desarrollo de una estrategia de gobernanza de la IA para las organizaciones.
Las organizaciones deben aplicar principios de gestión de riesgos para mitigar las posibles repercusiones negativas de los sistemas de IA, como:
- Vulnerabilidades de seguridad y aplicaciones de IA: Sin la gobernanza y las salvaguardas adecuadas, su organización podría estar expuesta a violaciones del sistema o de los datos.
- Falta de transparencia en las metodologías o mediciones del riesgo de IA: Las prácticas inadecuadas de medición e información pueden dar lugar a una subestimación del impacto de los riesgos potenciales de la IA.
- Políticas de seguridad de la IA incoherentes: Cuando las políticas de seguridad de IA no se alinean con los procedimientos de gestión de riesgos existentes, puede dar lugar a auditorías complicadas y urgentes, lo que puede conducir a resultados legales o de cumplimiento negativos.
Todo lo anterior se refiere no solo a las empresas, sino también a los socios, proveedores y otros terceros con los que hacen negocios. Cada vez más, las empresas deben esperar ser consideradas responsables de cómo sus vendedores, proveedores y otros socios terceros utilizan la IA, especialmente en términos de cómo gestionan los datos de sus clientes.
Los próximos años aclararán la forma en que las organizaciones de todo el mundo deben adaptar sus estrategias de IA, y es probable que la gestión del riesgo de terceros se convierta en una parte cada vez más importante de la ecuación.
Con la aprobación de nuevas leyes llegarán nuevas realidades para las empresas de todos los sectores. Es hora de empezar a prepararse para estas nuevas realidades, incluido el establecimiento de políticas de uso aceptable de la IA y la comunicación de dichas políticas a terceros.
Mitigar el riesgo de la IA de terceros
Independientemente de la ubicación, un enfoque prudente y un compromiso proactivo con los proveedores son estrategias esenciales para gestionar estos riesgos. Las empresas deben reconocer que la gobernanza responsable de la IA va más allá de sus operaciones internas y abarca las prácticas de todas las partes implicadas en su ecosistema de IA.
Cada empresa tiene objetivos y retos únicos, lo que significa que las relaciones con socios terceros variarán mucho. Pero hay algunos pasos fundamentales que cualquier empresa puede dar para mitigar los riesgos relacionados con la IA asociados a las relaciones con terceros de forma proactiva:
- Identifique qué socios externos utilizan la IA y cómo la utilizan. Lleve a cabo un inventario exhaustivo para identificar cuáles de sus proveedores externos utilizan IA y el alcance de su uso. Este proceso implica formular las preguntas pertinentes para comprender los riesgos inherentes asociados a sus aplicaciones de IA, incluida la privacidad de los datos, la parcialidad y la responsabilidad.
- Desarrolle un sistema para clasificar y puntuar el uso de la IA por parte de terceros. Actualice su sistema de clasificación por niveles para socios terceros en función de su uso de la IA y los riesgos asociados. Tenga en cuenta factores como la sensibilidad de los datos que manejan, el impacto de sus aplicaciones de IA en las partes interesadas y los procesos empresariales y su nivel de transparencia y responsabilidad en los procesos de toma de decisiones de IA.
- Evaluar los riesgos en detalle. Es esencial ir más allá de las evaluaciones superficiales, lo que puede hacerse realizando análisis detallados de las prácticas de IA de terceros. Esto incluye la evaluación de sus estructuras de gobierno, protocolos de seguridad de datos, transparencia en el uso de la IA y el grado de supervisión e intervención humana en la toma de decisiones sobre IA. Utilice los marcos de cumplimiento establecidos y las mejores prácticas del sector, como el marco del NIST, como guía durante el proceso de diligencia debida.
- Siempre que sea posible, recomiende estrategias de mitigación. Basándose en lo que descubra a partir de las evaluaciones de riesgos y la puntuación por niveles, recomiende medidas correctoras específicas a los socios terceros. Estas medidas pueden incluir la mejora de los protocolos de seguridad de datos, la aplicación de estrategias de detección y mitigación de sesgos, la garantía de transparencia en la toma de decisiones de IA y el establecimiento de cláusulas contractuales para hacer cumplir las prácticas éticas de IA.
- Implemente una supervisión continua. Reconozca que mitigar los riesgos de terceros es un proceso continuo que requiere supervisión y evaluación continuas. Por este motivo, desarrolle mecanismos para la supervisión continua de las prácticas de IA de terceros, incluidas auditorías periódicas, revisiones de cambios de políticas y controles y mantenerse informado sobre los problemas emergentes relacionados con la IA que puedan afectar a su negocio.
A medida que los gobiernos introducen nuevos marcos normativos y jurídicos en torno a la IA, las empresas deben considerar cada vez más a sus proveedores y socios terceros como otra fuente de riesgo que debe mitigarse y gestionarse. Tomar estas importantes medidas requiere experiencia en la gobernanza de la IA, que actualmente está muy demandada. Las empresas que carecen de equipos dedicados a la gestión de riesgos de IA pueden encontrar ayuda externa de organizaciones especializadas en navegar eficazmente por este complejo panorama.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
