Se insta a las empresas a seguir las regulaciones sobre IA de 'rápida evolución'

Name: ISMS.online
Address: Nile House, Nile Street, Brighton, East Sussex, BN1 1HW, United Kingdom
Price range: ££

Se insta a las empresas a seguir las regulaciones de IA de "rápida evolución"

Por John Leyden • 22 de septiembre de 2024

La Inteligencia Artificial (IA) está transformando el sector de las tecnologías de la información a un ritmo vertiginoso. La IA ha transformado las aplicaciones, incluido el análisis de datos, el servicio al cliente e incluso el desarrollo de software. Las empresas que tardan en adoptar la IA corren el riesgo de sufrir enormes desventajas competitivas. Pero los despliegues de tecnología de IA no están exentos de riesgos.

Por ejemplo, fallas en un sistema de IA diseñado para abordar el fraude en las prestaciones de cuidado infantil sumió a las familias de los Países Bajos en dificultades financieras. Amazon tuvo que eliminar una herramienta de reclutamiento de inteligencia artificial que mostraba prejuicios contra las candidatas.

El uso de la IA para la recopilación y el análisis de datos también plantea problemas de privacidad y la posibilidad de violaciones de datos, particularmente en sectores sensibles de la economía. Por ejemplo, Muchos bancos han prohibido al personal utilizar herramientas como ChatGPT y otros asistentes virtuales de IA. debido a la preocupación de que la naturaleza de las consultas pueda filtrar información sobre secretos comerciales, como adquisiciones o fusiones planificadas.

Un informe reciente de la El Centro para la Resiliencia a Largo Plazo (CLTR) pidió al Reino Unido que establezca un sistema para registrar el uso indebido o el mal funcionamiento de la IA incidentes. El grupo de expertos sostiene que los problemas con la tecnología de inteligencia artificial deben tratarse de la misma manera que la División de Investigación de Accidentes Aéreos investiga los accidentes aéreos.

Un sistema de notificación de incidentes para problemas de IA ofrece la oportunidad de desarrollar mejores prácticas en áreas como la gestión de riesgos, aprender lecciones y dar forma a las regulaciones, según CLTR.

Progreso regulatorio

Si bien la regulación aún se está poniendo al día con el uso de la IA en las empresas, un enfoque de esperar y ver el cumplimiento está lejos de ser prudente.

David Corlette, vicepresidente de gestión de productos de VIPRE Security Group, dijo a ISMS.online que la regulación de la IA está evolucionando (casi) al mismo tiempo que la tecnología misma.

"Aunque todavía no hemos visto un marco integral para la IA, se están logrando avances notables", según Corlette. “Existe el Marco de Gestión de Riesgos de IA del NIST (AI RMF) y, por supuesto, la ISO 42001, que ofrece un enfoque prometedor para la gobernanza de la IA. La ISO 42001 aportará un nivel de coherencia y fiabilidad a través de fronteras”.

Sentar una base

Marcos como ISO 42001, puede ayudar a establecer bases sólidas y aligerar la carga de lograr el cumplimiento a medida que se introducen nuevas regulaciones.

ISO 42001 describe cómo las empresas pueden establecer un marco para establecer y mantener un sistema de gestión de inteligencia artificial dentro de su organización. La gestión de riesgos es uno de los componentes centrales del marco.

Según Glenn Chisholm, cofundador y director ejecutivo de Obsidian Security, “la norma ISO 42001 enfatiza la gestión de riesgos y puede aplicarse para incluir los riesgos asociados con la IA, incluidas consideraciones éticas, evaluaciones de riesgos e impactos, privacidad de datos, sesgos y mejora continua. .”

Chisholm añadió: "Si bien no garantiza automáticamente el cumplimiento de otros estándares, ISO 42001 comparte muchos atributos con estándares como la Ley de IA de la UE, NIST AI RMF y otros".

Peter Wood, director técnico de Spectrum Search, añadió: “Al adoptar la norma ISO 42001, las organizaciones pueden simplificar el cumplimiento de las próximas regulaciones mediante un enfoque proactivo en lugar de reactivo. Esto permite a las organizaciones adaptarse sin esfuerzo a los cambiantes panoramas regulatorios, minimizando el riesgo y las posibles sanciones por incumplimiento”.

Iniciativas mundiales

Los estándares internacionales están evolucionando rápidamente y varios países, como Estados Unidos, China, India y Australia, están en el proceso de establecer sus regulaciones.

Según Chisholm, “muchos de estos estándares probablemente se tomarán prestados unos de otros, por lo que la ventaja de alinearse con uno probablemente se trasladará al otro”.

Los expertos legales y de cumplimiento dicen que la adhesión a la Ley de IA de la UE recientemente introducida debería ser una prioridad para las empresas del Reino Unido, dado que a menudo harán negocios con la UE.

“Muchas empresas del Reino Unido operan en la UE o con ella; por lo tanto, la alineación con la Ley de IA de la UE garantiza el acceso continuo a este importante mercado”, dijo a ISMS.online Becky White, abogada senior de protección de datos y privacidad de Harper James. "El incumplimiento podría generar barreras de entrada o sanciones, lo que afectaría las operaciones comerciales y la competitividad".

El elemento Ley de IA de la UE se centra en aplicaciones y conjuntos de datos de alto riesgo. Sus principios básicos enfatizan la transparencia y la rendición de cuentas.

"La Ley de IA de la UE es un buen punto de partida, ya que sus principios básicos de transparencia, seguridad y gobernanza de datos probablemente serán fundamentales para cualquier regulación de la IA en cualquier región", según Corlette de VIPRE. "Esta legislación es la primera de su tipo y prácticamente está estableciendo el marco para una industria emergente que no tiene estándares exigibles previos".

Corlette concluyó: “La historia sugeriría que las regulaciones desarrolladas en otras regiones también se parecerían mucho a esta incipiente legislación de la UE. Un ejemplo es el RGPD de la UE”.

Si bien la alineación con la Ley de IA de la UE garantiza operaciones comerciales fluidas a través de las fronteras y puede evitar posibles conflictos regulatorios, las empresas del Reino Unido deben vigilar de cerca los desarrollos regulatorios más cercanos a casa.

Wood, de Spectrum Search, recomendó "cubrir las apuestas observando de cerca las regulaciones específicas del Reino Unido y manteniendo la flexibilidad para adaptarse a los requisitos tanto del Reino Unido como de la UE".

Los expertos aconsejaron que las organizaciones del Reino Unido deberían posicionarse para adaptarse rápidamente cuando surjan diferencias entre los regímenes regulatorios en diferentes regiones.

Harper James' White comentó: “El pleno cumplimiento de múltiples regímenes regulatorios al mismo tiempo puede requerir muchos recursos; por lo tanto, este tipo de estrategia de 'cobertura' permite a las empresas asignar recursos de manera efectiva, equilibrando el cumplimiento con la innovación y la eficiencia operativa y, al mantener cierta flexibilidad, las empresas pueden girar y adaptarse a los cambios en los entornos regulatorios del Reino Unido y la UE cuando sea necesario".

Privacidad y gobernanza

Las preocupaciones sobre gobernanza y privacidad que surgen del uso empresarial de la IA van más allá de las cuestiones regulatorias y de cumplimiento.

"La capacitación de modelos y bases de datos de Gen AI a menudo implicará el procesamiento de vastos conjuntos de datos que contienen cantidades significativas de datos personales, lo que puede generar importantes riesgos de privacidad y gobernanza para las empresas del Reino Unido", explicó Harper James' White. “Esta información a veces puede incluir datos sensibles o de categorías especiales sobre individuos, cuyo procesamiento puede perpetuar o incluso exacerbar sesgos sin darse cuenta, lo que lleva a resultados injustos o discriminatorios. El mal uso del contenido generado podría violar los derechos de privacidad”.

El sesgo algorítmico, en el que los sistemas de IA pueden reflejar involuntariamente los sesgos existentes presentes en los datos de entrenamiento, puede mitigarse mediante auditorías reguladas y conjuntos de datos diversos.

Según White, las empresas pueden ayudar a mitigar estos riesgos implementando prácticas sólidas de gobierno de datos y centrándose en cómo sus empleados utilizan la IA.

"Esto incluye emplear técnicas de anonimización, establecer controles de acceso estrictos, realizar un seguimiento regular de los sesgos y garantizar que los datos utilizados para entrenar los modelos de IA sean precisos, completos y representativos", aconsejó White.

Juan Leyden

John Leyden ha escrito sobre redes informáticas y ciberseguridad durante más de 20 años. Antes de la llegada de Internet, trabajó como reportero de crímenes en un periódico local en Manchester. John tiene una licenciatura en ingeniería electrónica de la Universidad de la City de Londres.

Lea más de John Leyden

La seguridad cibernética 20 de junio de 2024

Por qué los proveedores pueden tener dificultades para mantener el cartel de impulso "seguro por diseño"

Por qué los proveedores pueden tener dificultades para mantener el impulso de la “seguridad por diseño”

Numerosos proveedores de tecnología se han adherido al compromiso de Seguridad por Diseño, respaldado por el gobierno estadounidense. Pero, ¿marcará este compromiso una ruptura con el pasado?

Juan Leyden

La seguridad cibernética 28 May 2024

decodificando la nueva guía del ncsc para el banner scada alojado en la nube

Decodificando la nueva guía del NCSC para SCADA alojado en la nube

Los sistemas de tecnología operativa (OT) monitorean y controlan automáticamente los procesos y equipos que operan desde plantas de energía hasta hospitales inteligentes...

Juan Leyden

La seguridad cibernética 9 de abril de 2024

Cómo cumplir con las regulaciones de datos biométricos

La tecnología de reconocimiento facial impulsada por IA es una herramienta cada vez más popular para las organizaciones que buscan optimizar los controles de acceso y mejorar la seguridad...

Juan Leyden