Gobernanza de la IA: lo último en humanos dentro del bucle

Ken Mendelson AIGP, CISSP, CIPP, CISA 25 de junio de 2024

"La IA, que va a ser la tecnología más poderosa y el arma más potente de nuestro tiempo, debe construirse teniendo en cuenta la seguridad y la protección". 

Jen Easterly, Directora CISA.

A medida que el mundo se enfrenta al rápido avance de las tecnologías de inteligencia artificial (IA), es comprensible que la preocupación por los riesgos potenciales y las consecuencias imprevistas ocupe un lugar central. Mientras que algunos abogan por prohibiciones absolutas o regulaciones estrictas sobre el desarrollo de la IA, tales enfoques corren el riesgo de sofocar la innovación y obstaculizar el progreso en un campo que es inmensamente prometedor para la humanidad. Lo cierto es que no podemos regular eficazmente la propia tecnología. A diferencia de las tecnologías militares sensibles que tienen un uso civil limitado y pueden controlarse, millones de personas ya utilizan libremente productos de IA generativa: la proverbial pasta de dientes ya está fuera del tubo. En su lugar, la estrategia más eficaz consiste en centrarse en la gobernanza de la IA, que coloca la responsabilidad directamente sobre los hombros de los seres humanos que desarrollan y despliegan estas potentes herramientas.

Marco de Ciberseguridad 2.0 del NIST: La gobernanza ocupa un lugar central

Reconociendo la importancia crítica de la gobernanza en la gestión de las tecnologías emergentes, el Instituto Nacional de Normas y Tecnología (NIST) ha añadido la gobernanza como control en su recientemente actualizado Marco de Ciberseguridad 2.0.[1] Esta medida subraya la necesidad reconocida de que las organizaciones establezcan estructuras y procesos de gobernanza sólidos para garantizar el funcionamiento responsable y seguro de sus entornos de tecnología de la información (TI). Dado que las TI están en el corazón de todos los sistemas de IA, parece lógico extender este paradigma a la IA.

Un enfoque basado en el riesgo: El marco de gestión de riesgos de la IA del NIST

Las empresas que producen o despliegan sistemas de IA pueden utilizar voluntariamente un marco aceptable, como el NIST AI Risk Management Framework (AI RMF)[2]. De hecho, hacerlo se considera actualmente una "mejor práctica".   

El AI RMF proporciona un enfoque estructurado para identificar, evaluar y mitigar los riesgos asociados a los sistemas de IA a lo largo de su ciclo de vida. El enfoque "gobernar, mapear, medir, gestionar" del AI RMF ofrece una hoja de ruta completa que las empresas pueden seguir:

  1. Gobernar: Establecer políticas organizativas, procesos y estructuras de gobernanza para garantizar que los sistemas de IA se desarrollan y despliegan de forma responsable.
  2. Mapa: Identificar y documentar los componentes del sistema de IA, las fuentes de datos y las posibles repercusiones.
  3. Medir: Evaluar los riesgos asociados al sistema de IA, teniendo en cuenta factores como la parcialidad, la seguridad y la privacidad.
  4. Gestionar: Aplicar estrategias de gestión de riesgos, incluidas la supervisión, las pruebas y la mejora continua.

Al adherirse a este marco, las empresas pueden demostrar más fácilmente una diligencia razonable para garantizar que sus herramientas de IA se desarrollan e implantan de forma segura. Pero se trata de un panorama en rápida evolución. Con el tiempo, las empresas también pueden optar por aplicar las orientaciones resultantes del trabajo del Consorcio del Instituto de Seguridad de la IA, creado a raíz de la Orden Ejecutiva sobre IA del Presidente Biden, como medio de demostrar su compromiso con las mejores prácticas. Pero, ¿será suficiente la adopción voluntaria de las mejores prácticas? 

Rendición de cuentas: Lo último en el bucle humano

Prácticamente todas las mejores prácticas emergentes relacionadas con el desarrollo y el despliegue de la IA fomentan la idea de garantizar que siempre haya un "humano en el bucle". Es decir, mantener la supervisión humana en los procesos de toma de decisiones de la IA[3]. Este concepto, destinado a garantizar que los humanos -y no las máquinas- mantengan el control a medida que desplegamos la IA en casos de uso cada vez más arriesgados, es realmente el núcleo de cómo la sociedad puede, y debe, trabajar para evitar que la IA se convierta en la pesadilla catastrófica que muchos creen que puede ser.

En última instancia, la clave para evitar resultados desastrosos reside en responsabilizar a los seres humanos de sus acciones. Aunque los sistemas de IA pueden mostrar un comportamiento autónomo, siguen siendo el producto de decisiones humanas de diseño, desarrollo e implantación. Mediante la aplicación de sólidos marcos de gobernanza de la IA, las empresas pueden establecer líneas claras de responsabilidad y rendición de cuentas. Este enfoque garantiza que los seres humanos implicados en el ciclo de vida de la IA -desde los desarrolladores hasta los responsables de la toma de decisiones- sean responsables del despliegue ético, seguro y protegido de estas tecnologías.

Un enfoque flexible y preparado para el futuro

Un porcentaje significativo de estadounidenses rechaza la idea de imponer nuevas normativas a las empresas. Sin embargo, incluso los más reacios a la regulación se dan cuenta de que hay mucho en juego en relación con la IA y están de acuerdo en que deben establecerse algunas barreras razonables para evitar cataclismos. 

¿Deberían hacerse obligatorios los actuales regímenes voluntarios? ¿Existe otro enfoque, quizá menos intrusivo, que permita a los humanos seguir siendo responsables de las acciones de una máquina? Se trata de una cuestión global, y los debates deben producirse no sólo en Estados Unidos, sino en todo el mundo. Muchos estarán de acuerdo en que no es una hipérbole decir que está en juego el futuro de nuestra especie. Si es así, ¿no merece la pena debatirlo?

La adopción de un requisito de gobernanza basado en el riesgo para los sistemas de IA ofrece una forma de lograr un enfoque razonable, flexible y preparado para el futuro, y puede haber otros. A medida que las tecnologías de IA siguen evolucionando rápidamente, vale la pena considerar que un marco de gobernanza basado en principios puede adaptarse y seguir siendo relevante, garantizando que las empresas permanezcan vigilantes y responsables en sus esfuerzos de IA. Al adoptar la gobernanza de la IA como el último ser humano en el bucle, podemos aprovechar el potencial transformador de la IA y, al mismo tiempo, mitigar sus riesgos y mantener los más altos estándares de desarrollo y despliegue éticos y responsables.

[1] https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

[2] https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf

[3] https://www.sogolytics.com/blog/human-in-the-loop-ai/

Ken Mendelson con traje y corbata sonriendo para una fotografía profesional

Ken Mendelson AIGP, CISSP, CIPP, CISA

Director General

Ken Mendelson ha pasado más de 30 años en la intersección del derecho, la tecnología de la información y las políticas públicas. Como miembro de la Práctica de Seguridad Nacional, Ken gestiona proyectos e investigaciones de gobernanza, riesgo y cumplimiento, y lleva a cabo monitoreos y auditorías de terceros en relación con los acuerdos de mitigación aplicados por el Comité de Inversión Extranjera en los Estados Unidos (CFIUS). Además, ayuda a las empresas establecidas y emergentes a implementar y mantener programas de ciberseguridad y privacidad mediante el desarrollo de políticas, procedimientos y directrices de ciberseguridad, y la realización de evaluaciones de ciberseguridad basadas en el riesgo.

InvestigaciónLíneas directas