Como tecnología clave, la Inteligencia Artificial (IA), especialmente en forma de redes neuronales profundas, así como las revolucionarias IA generativas (GPT, Midjourney, o DallE) ahora omnipresentes en muchas aplicaciones de digitalización, incluidas las aplicaciones relevantes para la seguridad en ámbitos como las redes sociales, la banca, el mundo del aseguramiento, o las aplicaciones de biometría de reconocimiento facial y de identificación. A pesar de sus indiscutibles beneficios, el uso de la IA también conlleva nuevos riesgos y vulnerabilidades cualitativas y cuantitativas que deben ser objeto de evaluación. Su creciente difusión como parte de procesos de toma de decisiones que afectan a los ciudadanos ha hecho que tanto el Reglamento Europeo de Protección de Datos Personales (RGPD)
Auditorías algorítmicas
como el Reglamento europeo «Artificial Inteligence Act» exijan auditorías que permitan explicar la lógica de la toma de decisiones y dar garantías sobre la fiabilidad del sistema. La auditoría de los sistemas de IA es una tarea compleja al tenerse que tomar en consideración múltiples aspectos a lo largo del ciclo de vida de la IA que requieren enfoques multidisciplinares.
Los métodos y herramientas de auditoría de la IA se encuentran en periodo de transición a la nueva estandarización europea. Por eso, para permitir un inventario exhaustivo de la auditabilidad de los sistemas de IA en diferentes casos de uso y permitir el seguimiento de su progreso a lo largo del tiempo, CerteIDAS emplea en sus auditorías una matriz de dos dimensiones CRM o “Certification Readiness Matrix”. La primera dimensión de la matriz cubre el ciclo de vida de la IA y su integración en los procesos de las organizaciones en el contexto de su caso de uso. La segunda dimension detalla aspectos técnicos objetivos susceptibles de evaluación relativos a la seguridad IT, como por ejemplo:
- Seguridad de la información, en el que se tiene en cuenta, por ejemplo, la robustez del sistema de IA frente a ataques, especialmente los referidos a la misma (por ejemplo, adversarial, poisoning y privacy attacks).
- Seguridad física, en la que se considera la protección de los usuarios, la organización y los activos de la misma frente a los daños físicos.
- Rendimiento del sistema de la IA con respecto a las métricas fijadas.
- Robustez, tanto activa como pasiva, con la variación natural de los inputs (situations) incluidos los no cubiertos durante el entrenamiento.
- Interpretabilidad y explicabilidad: Capacidad de los humanos para entender el proceso de decisión del sistema de IA, ya sea a través de modelos intrínsecamente interpretables o de la interpretación post-hoc.
- Trazabilidad: Trazabilidad del sistema de IA a lo largo del ciclo de vida, por ejemplo, de las decisiones de diseño, las condiciones de contorno, los datos, los modelos, los algoritmos y procesos de formación, la evaluación y el funcionamiento utilizando, por ejemplo, documentación técnica y registros.
- Gestión de riesgos: Identificación, análisis y priorización de los riesgos y aplicación coordinada de los recursos para minimizar la probabilidad y/o el impacto del riesgo.
- Además, nos mantenemos constantemente actualizados en cuanto a la estandarización europea de desarrollo de la AI Act, a través del grupo de trabajo SAI de ETSI, una de las entidades llamadas a su desarrollo por estandarización; y a nivel internacional, mediante el seguimiento del trabajo del Subcomité (SC 42) de ISO/IEC JTC1 sobre auditabilidad y seguridad de las IAs.
Auditorías algorítmicas
Como tecnología clave, la Inteligencia Artificial (IA), especialmente en forma de redes neuronales profundas, así como las revolucionarias IA generativas (GPT, Midjourney, o DallE) ahora omnipresentes en muchas aplicaciones de digitalización, incluidas las aplicaciones relevantes para la seguridad en ámbitos como las redes sociales, la banca, el mundo del aseguramiento, o las aplicaciones de biometría de reconocimiento facial y de identificación. A pesar de sus indiscutibles beneficios, el uso de la IA también conlleva nuevos riesgos y vulnerabilidades cualitativas y cuantitativas que deben ser objeto de evaluación. Su creciente difusión como parte de procesos de toma de decisiones que afectan a los ciudadanos ha hecho que tanto el Reglamento Europeo de Protección de Datos Personales (RGPD) como el Reglamento europeo «Artificial Inteligence Act» exijan auditorías que permitan explicar la lógica de la toma de decisiones y dar garantías sobre la fiabilidad del sistema. La auditoría de los sistemas de IA es una tarea compleja al tenerse que tomar en consideración múltiples aspectos a lo largo del ciclo de vida de la IA que requieren enfoques multidisciplinares.
Los métodos y herramientas de auditoría de la IA se encuentran en periodo de transición a la nueva estandarización europea. Por eso, para permitir un inventario exhaustivo de la auditabilidad de los sistemas de IA en diferentes casos de uso y permitir el seguimiento de su progreso a lo largo del tiempo, CerteIDAS emplea en sus auditorías una matriz de dos dimensiones CRM o “Certification Readiness Matrix”. La primera dimensión de la matriz cubre el ciclo de vida de la IA y su integración en los procesos de las organizaciones en el contexto de su caso de uso. La segunda dimension detalla aspectos técnicos objetivos susceptibles de evaluación relativos a la seguridad IT, como por ejemplo:
- Seguridad de la información, en el que se tiene en cuenta, por ejemplo, la robustez del sistema de IA frente a ataques, especialmente los referidos a la misma (por ejemplo, adversarial, poisoning y privacy attacks).
- Seguridad física, en la que se considera la protección de los usuarios, la organización y los activos de la misma frente a los daños físicos.
- Rendimiento del sistema de la IA con respecto a las métricas fijadas.
- Robustez, tanto activa como pasiva, con la variación natural de los inputs (situations) incluidos los no cubiertos durante el entrenamiento.
- Interpretabilidad y explicabilidad: Capacidad de los humanos para entender el proceso de decisión del sistema de IA, ya sea a través de modelos intrínsecamente interpretables o de la interpretación post-hoc.
- Trazabilidad: Trazabilidad del sistema de IA a lo largo del ciclo de vida, por ejemplo, de las decisiones de diseño, las condiciones de contorno, los datos, los modelos, los algoritmos y procesos de formación, la evaluación y el funcionamiento utilizando, por ejemplo, documentación técnica y registros.
- Gestión de riesgos: Identificación, análisis y priorización de los riesgos y aplicación coordinada de los recursos para minimizar la probabilidad y/o el impacto del riesgo.
- Además, nos mantenemos constantemente actualizados en cuanto a la estandarización europea de desarrollo de la AI Act, a través del grupo de trabajo SAI de ETSI, una de las entidades llamadas a su desarrollo por estandarización; y a nivel internacional, mediante el seguimiento del trabajo del Subcomité (SC 42) de ISO/IEC JTC1 sobre auditabilidad y seguridad de las IAs.
Certificaciones relacionadas
