Nota del editor: Este artículo, escrito por Alastair Parr, vicepresidente sénior de Productos y Servicios Globales de Prevalent, se publicó originalmente en www.corporatecomplianceinsights.com.
—
Aunque actualmente se está prestando mucha atención al cumplimiento interno de las nuevas normativas sobre IA, Alastair Parr, de Prevalent, sostiene que las empresas no deben pasar por alto una consideración externa importante: los terceros.
La inteligencia artificial (IA) está transformando rápidamente el mundo moderno, y los gobiernos se apresuran a crear medidas de protección para garantizar que se utilice de forma responsable. El rápido crecimiento de la tecnología también ha llevado a empresas de casi todos los sectores verticales a adoptar la IA, ya que ofrece ganancias en productividad y eficiencia, con el objetivo final de mejorar sus resultados financieros.
Sin embargo, junto con estas oportunidades, las empresas tienen la importante responsabilidad de implementar la IA de forma ética y dentro de los límites de la ley. Esta responsabilidad debe extenderse no solo a sus propias prácticas, sino también a las de todos los terceros con los que colaboran, incluidos los proveedores y los prestadores de servicios.
Navegar por los numerosos aspectos que conlleva una implementación segura y responsable de la IA será especialmente difícil para las empresas con sede en regiones a la vanguardia de la regulación de la IA, como Estados Unidos, Canadá, la Unión Europea y el Reino Unido.
Estas regiones están desarrollando marcos únicos para regular esta tecnología en rápida evolución. Comprender y cumplir estas regulaciones será fundamental para que las empresas que operan en estas regiones eviten repercusiones legales y mantengan la confianza de las partes interesadas.
El camino por delante
Los organismos reguladores de todo el mundo están decidiendo cómo regular la inteligencia artificial, y las empresas deben prestar mucha atención a medida que las propuestas se convierten en leyes vinculantes. Y aunque habrá variaciones de un país a otro, la mayoría de las normas propuestas se centran en cuestiones de privacidad, seguridad y ESG relacionadas con el uso ético y legal de la IA por parte de las empresas.
Por ejemplo, en Estados Unidos, el marco de gestión de riesgos de IA del NIST se introdujo en enero de 2023 con el fin de «ofrecer un recurso a las organizaciones que diseñan, desarrollan, implementan o utilizan sistemas de IA para ayudarles a gestionar los numerosos riesgos de la IA y promover el desarrollo y el uso fiable y responsable de los sistemas de IA». Este marco voluntario ofrece una guía completa sobre el desarrollo de una estrategia de gobernanza de la IA para las organizaciones.
Las organizaciones deben aplicar principios de gestión de riesgos para mitigar los posibles impactos negativos de los sistemas de IA, tales como:
- Vulnerabilidades de seguridad y aplicaciones de IA: sin una gobernanza y unas medidas de protección adecuadas, su organización podría verse expuesta a violaciones del sistema o de los datos.
- Falta de transparencia en las metodologías o mediciones de riesgos de la IA: unas prácticas inadecuadas de medición y notificación pueden dar lugar a una subestimación del impacto de los posibles riesgos de la IA.
- Políticas de seguridad de IA incoherentes: cuando las políticas de seguridad de IA no se ajustan a los procedimientos de gestión de riesgos existentes, pueden dar lugar a auditorías complicadas y urgentes, lo que podría acarrear consecuencias negativas en materia legal o de cumplimiento normativo.
Todo lo anterior se refiere no solo a las empresas, sino también a los socios, proveedores y otros terceros con los que hacen negocios. Cada vez más, las empresas deben esperar que se les considere responsables del uso que sus proveedores, distribuidores y otros socios externos hagan de la IA, especialmente en lo que respecta a la gestión de los datos de sus clientes.
Los próximos años aclararán cómo las organizaciones de todo el mundo deben adaptar sus estrategias de IA, y es probable que la gestión del riesgo de terceros se convierta en una parte cada vez más importante de la ecuación.
Con la aprobación de nuevas leyes, surgirán nuevas realidades para las empresas de todos los sectores. Es hora de empezar a prepararse para estas nuevas realidades, lo que incluye establecer políticas de uso aceptable de la IA y comunicar dichas políticas a terceros.
Mitigar el riesgo de la IA de terceros
Independientemente de la ubicación, un enfoque cauteloso y una colaboración proactiva con los proveedores son estrategias esenciales para gestionar estos riesgos. Las empresas deben reconocer que la gobernanza responsable de la IA va más allá de sus operaciones internas y abarca las prácticas de todas las partes implicadas en su ecosistema de IA.
Cada empresa tiene objetivos y retos únicos, lo que significa que las relaciones con terceros variarán considerablemente. Sin embargo, hay algunas medidas fundamentales que cualquier empresa puede tomar para mitigar de forma proactiva los riesgos relacionados con la IA asociados a las relaciones con terceros:
- Identifique qué socios externos utilizan la IA y cómo la utilizan. Realice un inventario exhaustivo para identificar cuáles de sus proveedores externos utilizan la IA y en qué medida la utilizan. Este proceso implica formular preguntas pertinentes para comprender los riesgos inherentes asociados a sus aplicaciones de IA, incluyendo la privacidad de los datos, los sesgos y la responsabilidad.
- Desarrolle un sistema para clasificar y puntuar el uso de la IA por parte de terceros. Actualice su sistema de clasificación de socios externos en función de su uso de la IA y los riesgos asociados. Tenga en cuenta factores como la sensibilidad de los datos que manejan, el impacto de sus aplicaciones de IA en las partes interesadas y los procesos empresariales, y su nivel de transparencia y responsabilidad en los procesos de toma de decisiones basados en la IA.
- Evalúe los riesgos en detalle. Es esencial ir más allá de las evaluaciones superficiales, lo que puede hacerse mediante análisis detallados de las prácticas de IA de terceros. Esto incluye evaluar sus estructuras de gobernanza, protocolos de seguridad de datos, transparencia en el uso de la IA y el alcance de la supervisión y la intervención humanas en la toma de decisiones de la IA. Utilice marcos de cumplimiento establecidos y las mejores prácticas del sector, como el marco del NIST, como guía durante el proceso de diligencia debida.
- Siempre que sea posible, recomiende estrategias de mitigación. Basándose en lo que descubra a partir de las evaluaciones de riesgos y la puntuación por niveles, recomiende medidas correctivas específicas a los socios externos. Estas medidas pueden incluir la mejora de los protocolos de seguridad de los datos, la implementación de estrategias de detección y mitigación de sesgos, la garantía de la transparencia en la toma de decisiones de la IA y el establecimiento de cláusulas contractuales para hacer cumplir las prácticas éticas de la IA.
- Implementar un seguimiento continuo. Reconozca que mitigar los riesgos de terceros es un proceso continuo que requiere un seguimiento y una evaluación constantes. Por este motivo, desarrolle mecanismos para el seguimiento continuo de las prácticas de IA de terceros, incluyendo auditorías periódicas, revisiones de cambios en las políticas y controles, y manténgase informado sobre las cuestiones emergentes relacionadas con la IA que puedan afectar a su negocio.
A medida que los gobiernos introducen nuevos marcos normativos y legales en torno a la IA, las empresas deben considerar cada vez más a sus proveedores y socios externos como otra fuente de riesgo que debe mitigarse y gestionarse. Para dar estos importantes pasos se requiere experiencia en gobernanza de la IA, que actualmente tiene una gran demanda. Las empresas que carecen de equipos dedicados a la gestión de riesgos de la IA pueden buscar ayuda externa en organizaciones especializadas en navegar eficazmente por este complejo panorama.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
