ISO 42001: La clave para una IA transparente y responsable

La norma ISO 42001 es el nuevo estándar internacional diseñado para guiar a las organizaciones en la implementación de un Sistema de Gestión de la Inteligencia Artificial (SGIA). Este marco establece controles clave para garantizar un uso ético, seguro y responsable de la IA, ayudando a mitigar riesgos, cumplir con regulaciones vigentes y fortalecer la confianza en las soluciones de inteligencia artificial. Adoptar ISO 42001 permite a las empresas gestionar de manera efectiva el desarrollo y la operación de sistemas de IA, alineándolos con principios de transparencia, seguridad y gobernanza.

En el webinar ISO 42001: La clave para una IA transparente y responsable, Claudia Rodríguez, especialista en gestión de riegos y sistemas integrados ISO, explica de manera amplia esta nueva norma, abordando el contexto de la inteligencia artificial y la necesidad de estándares, los principios clave del estatuto, y cómo implementarlo en una organización.

Te compartimos la grabación completa de la sesión.

Revive el webinar “ISO 42001: La clave para una IA transparente y responsable”

Si no puedes visualizar el webinar da clic aquí

Consulta las respuestas de Claudia Rodríguez a las preguntas realizadas por la audiencia:

Armando Avellaneda

Yo soy auditor en la ISO 9001, pero no conozco nada de algoritmos, ¿necesito alguna formación en TI básica para ser auditor en ISO 42001?

R: ¡Buena pregunta, Armando! No necesitas ser un experto en algoritmos ni en desarrollo, pero sí es recomendable que tengas conocimientos sobre inteligencia artificial, sus riesgos y su impacto en los sistemas de gestión. Para ello, existen diferentes cursos según tu nivel de experiencia y los que podrías tomar progresivamente:

Curso de Fundamentos: Ideal si quieres empezar desde cero y conocer los principios básicos de la norma y la gestión de IA.

Curso de Implementador Líder: Te prepara para diseñar e implementar un sistema de gestión de IA basado en la ISO/IEC 42001.

Curso de Auditor Líder: Enfocado en evaluar el cumplimiento de la norma en una organización, alineado con buenas prácticas de auditoría.

Si ya eres auditor en ISO 9001, el curso de Auditor Líder en ISO/IEC 42001 sería una excelente opción para especializarte en la evaluación de estos sistemas sin necesidad de conocimientos profundos en TI.

Arturo Castañeda

Mencionaste aplicaciones en los sectores de la industria (salud, manufactura, legal, entre otros) hablando del sector de auditoría, consultoría ¿cuáles son las aplicaciones y cómo podría entrar en una firma de auditoría?

R: ¡Gracias por la pregunta Arturo! En el sector de auditoría y consultoría, la ISO/IEC 42001 abre nuevas oportunidades, ya que cada vez más organizaciones buscan garantizar el cumplimiento y la gobernanza de sus sistemas de inteligencia artificial.

Algunas aplicaciones clave en este sector incluyen:

Auditoría de cumplimiento: Evaluación de si una organización cumple con la ISO/IEC 42001, regulaciones de IA y principios éticos.

Consultoría en implementación: Apoyar a las empresas a diseñar y aplicar un sistema de gestión de IA alineado con la norma.

Evaluación de riesgos de IA: Identificación de riesgos como sesgos, falta de transparencia o problemas de seguridad en los modelos de IA.

Gobernanza y ética de IA: Desarrollo de políticas y estructuras de control para el uso responsable de la IA dentro de una organización.

Para ingresar en una firma de auditoría especializada en IA, te recomendaría especializarte en ISO/IEC 42001 con certificaciones como Implementador Líder y Auditor Líder.

Si ya tienes experiencia en auditoría de sistemas de gestión, este puede ser un excelente paso para especializarte en un campo con mucho futuro.

Adriana Cortinas

Respecto a los cursos, ¿se puede tomar el de auditor o el de implementador sin tomar los anteriores?

R: ¡Por supuesto, Adriana! No necesitas tomar cursos previos, puedes ir directo al de Auditor Líder o Implementador Líder y certificarte en un área con alta demanda.

Si ya tienes experiencia en sistemas de gestión como ISO 9001 o ISO 27001, ¡este es tu siguiente gran paso! Pero si quieres una base sólida antes, el curso de Fundamentos te dará el conocimiento clave.

Lo importante es que te prepares ahora, porque la implementación y auditoría de IA es una de las especializaciones más solicitadas. ¡No te quedes fuera de esta oportunidad!

Marcos Di Domenico

Buenas tardes desde Chile. ¿Puedo utilizar un único documento SOA que contenga ISO 27001 + ISO 42001? Gracias.

R: ¡Buena idea, Marcos! Sí, puedes tener un único documento de Declaración de Aplicabilidad (SOA) combinando ambos estándares, siempre que refleje los controles de seguridad de la ISO 27001 y los de gestión de IA de la ISO 42001. Solo asegúrate de documentar claramente cuáles son aplicables a cada norma.

¿Qué opina de utilizar una matriz de riesgos única para ISO 27001 + ISO 42001? Gracias.

R: Es una excelente práctica. Ambas normas tienen enfoques de gestión de riesgos alineados, por lo que puedes construir una matriz integrada. Sin embargo, la ISO 42001 tiene riesgos específicos de IA, como sesgos algorítmicos y opacidad del modelo, que deben tratarse de forma diferenciada.

Lizbeth Gutiérrez                       

¿Podrías repetir la última ISO? Dijiste que es 22989, 38507 ¿y…?

R: ¡Claro, Lizbeth! Además de la ISO/IEC 22989 (Conceptos y taxonomía de la IA) y la ISO/IEC 38507 (Gobernanza de la IA), otra norma clave es la ISO/IEC 23894, que trata la gestión de riesgos en IA.

Me gustaría agregar que nuestro curso oficial incluye copias de la norma 42001 y la 22989. Adicional, más adelante, tendremos un curso de Gestión de Riesgos con IA que incluirá copia de la norma 23894, por si estás interesada.

Arsenio Hidalgo

¿Qué herramientas de inteligencia artificial, recomiendan?

R: ¡Buena pregunta, Arsenio! Para la implementación y auditoría de un Sistema de Gestión de IA (SGIA) basado en la ISO/IEC 42001, no es necesario ser experto en herramientas técnicas, pero sí conocer algunas que apoyan la gobernanza, el cumplimiento y la evaluación de riesgos en IA.

Aquí algunas herramientas útiles:

Microsoft AI y Google AI – Ofrecen servicios de IA con controles de seguridad y cumplimiento.
NIST AI Risk Management Framework – Un marco de referencia para gestionar riesgos en IA.

Sin embargo, lo más importante en ISO/IEC 42001 no es manejar herramientas técnicas, sino garantizar que cualquier IA utilizada cumpla con principios de transparencia, seguridad, equidad y responsabilidad. ¡Lo clave es saber cómo se gestiona la IA, no desarrollarla!

Alexander Rodríguez

¿La ISO 42001 es certificable para empresas y personas (tipo auditores internos/líderes/implementadores)?

R: Sí, Alexander. Las organizaciones pueden certificarse en ISO/IEC 42001 a través de organismos acreditados. Para individuos, existen certificaciones de implementador y auditor líder de organismos como PECB, que acreditan tu competencia en la norma.

Diego Ramírez

¿Cómo iniciar en la evaluación de las herramientas de IA para la operación en mi organización?

R: Diego, el primer paso es definir qué quieres evaluar: ¿riesgos, rendimiento, transparencia? Luego, usa frameworks como el de NIST para evaluar fiabilidad y herramientas como IBM AI Fairness 360 para sesgos.

¿Qué es lo que debo de buscar en la comparativa entre las herramientas al hacer el benchmarking?

R: Factores clave: precisión del modelo, interpretabilidad, robustez ante ataques adversariales, cumplimiento de regulaciones y facilidad de integración con sistemas existentes.

Ignacio del Ángel

¿Para la legislación y cumplimiento de las reformas de transparencia y protección de datos con el uso de IA, dónde se puede consultar información?

R: Ignacio, puedes revisar las normativas de IA de la UE, la ISO/IEC 42001, y las guías del NIST y OCDE. Además, en cada país existen regulaciones específicas, como la Ley de Protección de Datos o GDPR en Europa.

Nadia Contreras

Cuando hablamos de las normas, ¿su alcance incluye a personas y quién la utiliza y quién la desarrolla?, ¿cómo se limita esta parte?

R: ¡Buena pregunta, Nadia! La ISO 42001 está enfocada en organizaciones, no en individuos. Su alcance aplica a empresas, gobiernos e instituciones que desarrollan, implementan o usan inteligencia artificial (IA).

¿A quién aplica?
– Quienes desarrollan IA (empresas tecnológicas, startups).
– Quienes usan IA (bancos, hospitales, industrias).
– Quienes regulan o supervisan IA (gobiernos, auditores).

¿Quién la desarrolla?
La norma fue creada por ISO e IEC, con expertos de distintos países, asegurando buenas prácticas globales.

¿Cómo se limita?
La ISO/IEC 42001 no regula el uso personal de IA (como usar ChatGPT o Copilot), sino su gestión dentro de una organización para garantizar seguridad, transparencia y ética en su implementación.

En resumen, la norma es para organizaciones que trabajan con IA, asegurando su uso responsable.

Alejandro Rodríguez

Actualmente, ¿cuántas organizaciones están ya susceptibles de revisión en la regulación, esto es por iniciativa de la organización o se trata de una revisión obligatoria?

R: Alejandro, actualmente, la cantidad de organizaciones susceptibles de revisión en la regulación de IA varía según el país y la región. En muchos casos, la regulación de IA es aún un proceso en desarrollo, pero algunas áreas ya están siendo fuertemente reguladas.

En la UE, las revisiones serán obligatorias para organizaciones que operan en sectores de alto riesgo, mientras que en EE.UU. y otros países, la adopción de regulaciones es voluntaria en la mayoría de los casos, aunque las organizaciones están adoptando marcos por iniciativa propia para alinearse con las mejores prácticas globales.

Las organizaciones que ya están implementando IA de forma significativa en sectores regulados deben comenzar a prepararse para cumplir con estas normativas, ya sea de forma obligatoria o por su propia iniciativa.

Lucia Sánchez

Cuando uno se quiere certificar ¿Quién es el organismo certificador que avala la certificación?, ¿De cuánto es la duración de la certificación? y ¿Qué requisitos se deben cumplir para mantener la certificación?

R: Existen varios organismos certificadores, en nuestro caso, en CYNTHUS colaboramos con PECB como partner acreditado para impartir las formaciones profesionales de nivel Fundamentos, Implementador Líder y Auditor Líder de la ISO/IEC 42001.

¿Quién certifica? Precisamente, la certificación profesional oficial es emitida directamente por PECB, un organismo global reconocido por su experiencia en la formación y certificación de profesionales en estándares ISO.

La certificación es válida por tres años.

Para mantener la certificación, se deben cumplir los siguientes requisitos:

• Desarrollo Profesional Continuo (CPD): Los profesionales certificados deben acumular un número mínimo de horas de CPD durante el período de validez de la certificación.
• Pago de Cuotas Anuales de Mantenimiento (AMFs): Es necesario abonar las cuotas correspondientes para la renovación de la certificación.

Al cumplir con estos requisitos, la certificación se renovará al final del período de tres años.

Si estás interesada en certificarte, con gusto podemos asesorarte.

Conoce a la ponente de este webinar