El uso en las organizaciones de la Inteligencia Artificial sin control y dirección es innegable y es parte de lo que conocemos como “Shadow IT”. Es necesario establecer un modelo de Gestión y Gobierno de la Inteligencia Artificial en la organización, delegando las responsabilidades y rendición de cuentas en todos los niveles. Lo anterior nos permitirá lograr responder a los riesgos de cumplimiento, operativos, seguridad, entre otros.
Los modelos de Gobierno Corporativo de TI deben de extenderse a las tendencias tecnológicas como la Inteligencia artificial. Aplicando los principios de generar valor a todos los interesados y el enfoque holístico que considera los 7 componentes esenciales de un buen sistema de Gobierno de TI personalizado y utilizando el marco de referencia de COBIT.
Los 7 componentes de un Sistema de Gobierno de la Inteligencia Artificial (IA)
A continuación, se presenta un diseño general de los 7 componentes de un Sistema de Gobierno de la Inteligencia Artificial:
1. Principios, políticas y marcos de referencia
- Definir un conjunto de principios que expresen los valores fundamentales para guiar a las decisiones sobre el uso y adopción de la Inteligencia Artificial.
- Establecer y comunicar una política directriz sobre el uso y adopción de la Inteligencia Artificial como parte integral del modelo operativo y ventaja competitiva.
- Seleccionar los marcos de referencia que servirán de guía en la implementación del modelo de gobierno y gestión de la IA como son la ISO 42001, NIST AI RMF, EU IA Act, etc.
2. Procesos de innovación y adopción
- Diseñar e implementar un proceso de innovación para la adopción de las tendencias tecnológicas como la IA y que permita crear un entorno favorable a la innovación, de exploración de las tendencias tecnológicas de IA basadas en casos de uso, evaluación del potencial real de la IA que permita tener un caso de negocio que justifique las inversiones y finalmente la implementación exitosa de servicios y tecnologías incorporados en los procesos de negocio.
3. Estructuras organizacionales
- Definir los comités, roles y puestos que rendirán cuentas y serán responsables de la decisiones y usos de las implementaciones de IA en toda la organización. Incluyendo áreas de negocio y de TI. Por ejemplo, un comité de supervisión de la IA o un centro de competencia dedicado al uso y adopción de la IA en la organización.
4. Cultura ética y comportamiento
- Definir los comportamientos deseables sobre el uso y gobierno de la inteligencia artificial que darán forma a la cultura organizacional que permita explorar y explotar los beneficios de acuerdo con los criterios establecidos por los códigos de ética y conducta de la organización.
- Incluir en el código de ética de la organización criterios para el uso y adopción ética de la IA cumplimiento con los requisitos contractuales y regulatorios.
5. Información
Debemos contar con ciertos documentos e información, como son:
- Estrategia de IA expresando las metas y objetivos de las iniciativas y proyectos alineados con la estrategia del negocio.
- Catálogo de aplicaciones, servicios e infraestructura de IA actualmente en uso y en evaluación.
- Matrices de riesgos que incluya los riesgos internos y de terceros sobre la IA.
6. Servicio, aplicaciones e infraestructura
- Herramientas tecnológicas y sistemas de información para facilitar el seguimiento del propio sistema de gestión y gobierno de la inteligencia artificial con un enfoque de Gobierno, Riesgo y Cumplimiento (GRC).
7. Personas, habilidades y competencias
- Definición de competencias sobre el uso de IA para todo el personal y grupos especializados como: atención a clientes, tecnología o sistemas, etc.
- Definición de los conocimientos básicos sobre la IA y sobre todo sobre los riesgos en el uso y adopción de la IA. Lo cual debe ser reforzado con campañas de concientización, comunicación y un plan de capacitación especializado.
Consideraciones Estratégicas para la Implementación del Sistema de Gestión de la IA
El sistema de Gobierno de TI y de la Inteligencia Artificial debe considerar a los cuerpos de gobierno, por ejemplo, al consejo de administración de la empresa. Y es necesario identificar las brechas de conocimiento a nivel estratégico sobre el impacto de la IA en los modelos de negocio y operativos y los riesgos en su adopción y uso, así como para el cumplimiento regulatorio y contractual. Para ello podemos establecer un sistema de gestión de la IA que permita cumplir con los principios y objetivos del Gobierno Corporativo, de Tecnologías de la Información y la Inteligencia Artificial.
De acuerdo con el principio de COBIT de distinguir el gobierno de la gestión es recomendable diferencia y relacionar al Gobierno de la Gestión, en este caso de la Inteligencia Artificial, para ello podemos utilizar el estándar ISO/IEC 42001:2023 tomando en cuenta lo siguiente:
- Considerar el contexto de la organización incluyendo a los diversos interesados tanto internos como externos, requerimientos legales y regulatorios.
- Entender las necesidades y expectativas de las partes interesadas relevantes al sistema de gestión de la inteligencia artificial.
- Determinar el alcance del sistema de gestión de la IA en cuanto a los asuntos externos e internos.
- Liderazgo y compromiso a través de la política de IA, los objetivos alineados con la estrategia del negocio, los recursos necesarios, promover la mejora continua, entre otros aspectos importantes.
- Considerar dentro de la planeación la gestión de riesgos y oportunidades.
- El apoyo incluye los recursos necesarios y competentes para establecer, implementar, mantener y la mejora continua del sistema de gestión de la IA. Implementando programas de concientización y comunicación que permitan a las personas entender las oportunidades y riesgos en el uso y adopción de la IA.
- Dentro de la operación consideramos la implementación de los procesos requeridos para cumplir con los objetivos y requerimientos de control necesarios para lograr los resultados esperados en la parte de planeación y siempre buscando la alineación con los objetivos de la organización.
- Mantener la evaluación del desempeño a través de monitorear, medir, analizar y evaluar las iniciativas y programas relacionados con el sistema de gestión de la IA.
- Realizar auditorías internas a intervalos planeados para asegurar la conformidad del sistema de gestión de la IA a los requerimientos y regulaciones aplicables.
- Finalmente debemos considerar la mejora continua para garantizar la sostenibilidad, suficiencia y efectividad del sistema de gestión de la IA. En caso de encontrar no conformidades se deberán establecer acciones correctivas para eliminar las causas origen.
Conclusión
Para concluir podemos establecer la importancia y alcance de un sistema de gestión y gobierno de la IA que permita a la organización dirigir y controlar los esfuerzos en el uso y adopción de la Inteligencia Artificial dentro de nuestras organizaciones sin poner en riesgo la operación, reputación y el cumplimiento.
Referencias: COBIT 2019 e ISO/IEC 42001:2023
Conoce al autor de este artículo:
JEAN FRÍAS
Especialista de TI en planeación estratégica, arquitectura empresarial, gobierno de TI y seguridad de la información.
» COBIT 2019 Fundamentos, Diseño e Implementación
» CGEIT (Certified in the Governance of Enterprise IT)
» CISSP (Certified Information Systems Security Professional)
» CISA (Certified Information Systems Auditor)
» PMP (Project Management Professional)
» ITIL 4 Managing Professional y Strategic Leader
» TOGAF 9 Certified (The Open Group Architecture Framework)
