Número 5

Inteligencia Artificial: Regulación vs Estandarización

Introducción

Toda nueva tecnología disruptiva trae consigo retos y preocupaciones para la sociedad. Si bien es cierto que la inteligencia artificial (IA) y el aprendizaje automatizado llevan con nosotros muchos años, la irrupción y gran acogida de la denominada “IA generativa” y los modelos de lenguaje de gran tamaño (LLM, de sus siglas en inglés) han acelerado el desarrollo de políticas, buenas prácticas y leyes a nivel mundial para promover y regular el uso ético, confiable y sin riesgos de la inteligencia artificial.

Para aquellos que aún se preguntan el porqué de tanta preocupación, encontrarán en este artículo una referencia introductoria. No desgranaremos en este artículo, por tanto, el concepto de inteligencia y sus diferentes sabores. Tampoco profundizaremos en la disciplina de la inteligencia artificial dentro del ámbito de las ciencias de la computación. Ahora bien, si pondremos el foco en el origen y causa de las principales inquietudes que ha generado la inteligencia artificial: el dato. 

Regulación vs Estandarización

Sin duda alguna, los principales desafíos que trae consigo la inteligencia artificial tienen que ver con la privacidad, la propiedad intelectual, la seguridad e integridad de la información y, en definitiva y en consecuencia, la de las personas.

Así pues, en los últimos dos años se han desarrollado multitud de iniciativas promovidas por diferentes actores a nivel global: asociaciones de profesionales de diversos sectores, gobiernos nacionales, organismos internacionales como la OCDE, Unión Europea, etc. Las diferentes acciones emprendidas contemplan, entre otras, las siguientes intenciones:

• Implantar buenas prácticas de ciberseguridad en la IA.

• Definir amenazas y riesgos específicos de la IA.

• Guiar en la evaluación de estos riesgos e impactos derivados de la IA.

• Describir casos de uso éticos de la IA.

• Asesorar sobre el uso de datos personales en los sistemas de IA.

• Promover marcos de gobernanza para la IA, también la generativa.

• Identificar oportunidades y riesgos en los modelos de IA generativa.

• Informar de las repercusiones sobre el empleo y en el mundo laboral de la IA.

• Ayudar a las escuelas a examinar las herramientas de IA generativa para proteger la privacidad de los estudiantes.

• Etc.

Ante esta situación, cobra especial relevancia la promulgación de leyes que regulen la inteligencia artificial. En este sentido, y por su aplicación en el Estado Español, debemos destacar la reciente aprobación (que aún no publicación en el DOUE) del Reglamento Europeo de Inteligencia Artificial que tuvo lugar el pasado 21 de mayo.

Este Reglamento persigue armonizar las normas sobre inteligencia artificial en la Unión, regulando los usos de esta para limitar los riesgos que conlleva, a la vez que pone especial foco de atención en las personas. Son muchos los contenidos disponibles en la red de redes que desgranan los artículos del citado Reglamento, pero indicaremos, como grandes rasgos a tener en cuenta de este documento, que:

• Aplica principalmente a proveedores de sistemas de IA y usuarios de los mismos.

• Establece una jerarquía de riesgos en función del uso de la IA.

• Sobre las diferentes categorías de sistemas de IA, establece una serie de obligaciones.

• Define varias entidades de gobernanza y supervisión.

• Fija importantes sanciones por incumplimiento.

• Su aplicación será progresiva en el tiempo.
  
  

Ahora bien, sin dejar de lado la relevancia de cumplir con los mínimos que la legislación vigente dicte, el enfoque de la estandarización aporta una visión ampliada: buenas prácticas, excelencia en el desempeño, mejora continua, o más llanamente, hacer las cosas bien.

En este sentido, y centrándonos en el ámbito de la seguridad de la información, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) publicaba en marzo de 2023 una relación de iniciativas de estandarización en el ámbito de la IA, al objeto de proporcionar una visión general de los estándares (existentes, en redacción, en consideración y planificados) relacionados con la ciberseguridad de la inteligencia artificial, evaluar su cobertura e identificar brechas en la estandarización. Teniendo en cuenta esta relación y los trabajos en la actualidad de los diversos comités implicados, podemos considerar, como de especial interés, las siguientes normas:

ISO/IEC TR 5469:2024. Inteligencia artificial — Seguridad funcional y sistemas de IA.

ISO/IEC 23894:2023. Tecnología de la información — Inteligencia artificial — Guía en la gestión de riesgos.

ISO/IEC TR 24030:2024. Casos de uso en inteligencia artificial. 

ISO/IEC 38507:2022. Tecnología de la información — Gobernanza de IT — Implicaciones de la Gobernanza en el uso de la inteligencia artificial por las organizaciones.

ISO/IEC 42001:2023. Tecnología de la información — Inteligencia artificial — Sistema de gestión.

ISO/IEC DIS 42005 (en desarrollo).  Tecnología de la información — Inteligencia artificial — Evaluación de impacto en sistemas de IA.

No quiero dejar pasar la ocasión de mencionar las publicaciones en gestión de riesgos que el NIST (por sus siglas en inglés, National Institute of Standards and Technology) está promulgando en base a acciones regulatorias promovidas por el Gobierno de los Estados Unidos. En concreto:

NIST AI 100-1. Marco de gestión de riesgos de la inteligencia artificial (NIST AI RMF).

NIST AI 600-1. Perfil para el NIST AI RMF en relación con la IA generativa.

Conclusión

En vista del largo viaje y recorrido que tenemos por delante en cuanto a normativa, regulación, buenas prácticas, desarrollo de sistemas de inteligencia artificial, posicionamiento de actores clave en esta industria, etc., podemos afirmar que la IA seguirá aprendiendo de nosotros y nosotros de la IA. Sin embargo, como todo gran poder conlleva una gran responsabilidad, la regulación y estandarización de la inteligencia artificial son gratamente esperadas y bienvenidas.

Autor: Luis Quian

AI Act, European Union’s landmark risk-based regulation for applications of Artificial Intelligence

La Unión Europea ha sido un actor importante en el panorama tecnológico mundial, configurando el futuro del mundo digital a través de la normativa y la legislación. En los últimos años, la UE se ha centrado en diversos asuntos políticos, como el Reglamento General de Protección de Datos (GDPR), la Ley de Servicios Digitales (DSA) y la Ley de Mercados Digitales (DMA). La última incorporación a este marco legislativo es la Ley de Inteligencia Artificial (IA) de la Unión Europea.

El texto completo y definitivo de la Ley de Inteligencia Artificial de la UE, el reglamento de referencia de la Unión Europea basado en el riesgo para las aplicaciones de la inteligencia artificial, se ha publicado este mes de julio en la web oficial Official Journal. 

El 1 de agosto entrará en vigor la nueva ley, y dentro de 24 meses, es decir, a mediados de 2026, sus disposiciones serán plenamente aplicables a los desarrolladores de IA. Sin embargo, la ley adopta un enfoque gradual para la aplicación de la normativa de la UE sobre IA, lo que significa que hay varios plazos importantes de aquí a entonces -y algunos incluso más tarde-, ya que empezarán a aplicarse diferentes disposiciones legales.

La Ley de Inteligencia Artificial de la UE

La Ley de Inteligencia Artificial de la UE es un amplio marco jurídico concebido para regular el desarrollo y el uso de los sistemas de IA en la Unión Europea. Su objetivo es garantizar que la IA se utilice de forma ética y responsable, al mismo tiempo que se fomenta la innovación y la competitividad en el mercado europeo de la IA. La ley clasifica los sistemas de IA en tres categorías de riesgo: mínimo, limitado y alto. Los sistemas de mayor riesgo están sujetos a una normativa más estricta, que incluye transparencia, responsabilidad y supervisión humana.

Componentes clave de la Ley

Los principales componentes de la Ley son los siguientes:

Una definición de IA: la Ley ofrece una definición jurídica de los sistemas de IA, que abarca una amplia gama de tecnologías, desde los algoritmos de aprendizaje automático hasta los sistemas basados en reglas.

Enfoque basado en el riesgo: la Ley clasifica los sistemas de IA en función de su nivel de riesgo y somete los sistemas de mayor riesgo a la regulación más estricta.

European Artificial Intelligence Board (EAIB): la Ley crea el EAIB, un organismo independiente que supervisa la aplicación y el cumplimiento de la Ley.

Procedimientos de evaluación de la conformidad: la Ley exige que los sistemas de IA de alto riesgo se sometan a una evaluación de la conformidad para garantizar el cumplimiento de la normativa.

Transparencia y explicabilidad: los sistemas de IA deben ser transparentes y ofrecer una explicación de sus procesos de toma de decisiones.

Supervisión humana: los sistemas de IA de alto riesgo deben contar con supervisión humana para garantizar que las decisiones basadas en IA puedan ser revisadas y, potencialmente, anuladas.

Privacidad y protección de datos

Implicaciones y retos para la industria tecnológica.

La Ley de IA europea tiene varias implicaciones para la industria tecnológica, en particular para las empresas que operan en la UE o se dirigen al mercado europeo. Algunas de las principales repercusiones y retos son:

Mayores requisitos de cumplimiento.

Las empresas que desplieguen sistemas de IA tendrán que adherirse al marco normativo establecido por la Ley de IA. Esto puede suponer costes y esfuerzos adicionales, en particular para los sistemas de IA de alto riesgo. Las empresas tendrán que invertir en gestión del cumplimiento, auditorías internas e informes para garantizar que cumplen los requisitos de la ley.

Transparencia y explicabilidad

La Ley exige que los sistemas de IA sean transparentes y ofrezcan una explicación de sus procesos de toma de decisiones. Esto puede suponer un reto para los desarrolladores a la hora de crear sistemas que sean a la vez eficaces y fácilmente interpretables. La necesidad de transparencia y explicabilidad podría llevar a centrarse más en el desarrollo de modelos de aprendizaje automático interpretables, que puedan lograr un equilibrio entre rendimiento y comprensibilidad humana.

Supervisión humana.

Los sistemas de IA de alto riesgo deben contar con supervisión humana para garantizar que las decisiones impulsadas por la IA puedan revisarse y anularse, si es necesario. Esto añade un nivel adicional de complejidad al despliegue de los sistemas de IA. Las empresas tendrán que considerar cuidadosamente cómo implementar mecanismos de supervisión humana, tales como el establecimiento de paneles de revisión, la participación de expertos en la materia y el diseño de interfaces de usuario que faciliten la intervención humana.

Privacidad y protección de datos

La ley hace hincapié en la necesidad de aplicar medidas sólidas de protección de datos que cumplan con el marco general del GDPR. Las empresas tendrán que garantizar que sus sistemas de IA respeten la privacidad de los datos y apliquen prácticas sólidas de gobernanza de datos.

Responsabilidad

La Ley de IA introduce un nuevo régimen de responsabilidad, dejando claro que las empresas serán responsables de cualquier daño causado por sus sistemas de IA. Esto aumenta los riesgos para las empresas y requiere un enfoque integral de la gestión de riesgos. Las empresas tendrán que identificar los riesgos potenciales, aplicar medidas de mitigación y establecer procesos para gestionar los incidentes relacionados con sus sistemas de IA.

Oportunidades para las empresas

A pesar de la mayor regulación, la Ley de Inteligencia Artificial de la UE ofrece en mi opinión varias oportunidades a las empresas del sector:

Igualdad de condiciones.

Al establecer reglas y normas claras, la ley puede nivelar el terreno de juego para todas las empresas que operan en la UE, garantizando una competencia leal y fomentando la innovación. Las empresas que puedan demostrar que cumplen la Ley de Inteligencia Artificial tendrán una ventaja competitiva, ya que serán consideradas agentes responsables y dignos de confianza en el mercado.

Confianza y aceptación de los usuarios

El cumplimiento de la Ley de IA puede ayudar a las empresas a generar confianza entre sus usuarios y clientes, ya que demuestra su compromiso con las prácticas éticas y responsables de la IA. Esto puede dar lugar a un aumento de la adopción por parte de los usuarios y de la lealtad de los clientes, lo que en última instancia conduce a una mayor cuota de mercado y rentabilidad.

Acceso al mercado

Al adherirse a los requisitos de la Ley de IA, las empresas pueden acceder al gran mercado europeo, que se está convirtiendo cada vez más en un líder mundial en la economía digital. El énfasis de la Ley en las prácticas éticas y responsables de la IA también puede actuar como catalizador para que las empresas se expandan a otros mercados con entornos normativos similares.

Incentivos a la innovación

La Ley fomenta la innovación en el desarrollo de sistemas de IA más transparentes, responsables y alineados con los valores sociales. Las empresas que puedan desarrollar soluciones innovadoras para abordar los retos que plantea la Ley de IA tendrán una ventaja competitiva significativa y estarán mejor posicionadas para aprovechar las oportunidades.

Mis conclusiones

La Ley de Inteligencia Artificial de la UE es un hito legislativo que marcará el desarrollo y la implantación de las tecnologías de IA en los próximos años. Aunque supone algunos retos para la industria tecnológica, también ofrece importantes oportunidades para las empresas que sepan adaptarse, innovar y colaborar. Comprendiendo las implicaciones de la ley y aprovechando las oportunidades que presenta, la industria tecnológica europea puede seguir prosperando en el panorama mundial de la IA.

Autor: Alejandro Cadarso

The reality we face

Breakthrough technologies like big data, machine learning, AI are forcing companies to need more and more computational power. The need for those same companies to maintain competitivity makes the migration to the cloud the most cost-effective option to tackle such endeavour. Although previous times of change (like Covid) force companies to adopt hybrid technological postures, today not migrating to the cloud represent the lost of competitive advantage. So now, cloud, more cloud than ever.

Moving to the cloud may pose the next challenges:

1. Diluted corporate network edge: How far could we go with our security controls?

2. Lack of consistency in security controls: Given the proliferation of different SaaS and PaaS, security baselines are not born the same.

3. A password away from the disaster: Whatever you put in the cloud, since it is out of the corporate network, the requirement of being on such network many times is not possible.

4. Enhanced risk of outsiders: Outsiders are now able to reach your systems out from out of your system.

Introducing IAM

An Identity Management System (IAM) is a collection of processes and technologies to manage and secure identities and resources within a given organization. The system allows to execute next tasks:

1. User Provisioning: Creating, modifying, and deactivating corporate identities.

2. Authentication: IAM systems provide one or more authentication methods for the subject to prove identity.

3. Role-Based Access Control (RBAC): Bundles of privileges are known as roles. Those roles are assigned to groups. To those groups, users are assigned.

4. Accountability: Activity is tracked, and a log registry is generated.

5. Auditing: An entity matches identity behaviour with current corporate policies. Many times those activities are carried out automatically by the same applications that run accountability efforts.

IAM vs CASB

Conceptually both solutions are not substitutive, but instead, complementary. The CASB would be the system through which every thing passes. While the IAM gives content to the inbound and outbound connections, managing the traffic. Right now, many modern IAM solutions are commercialised in SaaS model, eliminating the need to put your own CASB (with the risk of it becoming a single point of failure).

Basic technological features of an IAM:

• Delivered as SaaS: There is no need for a local appliance to locate the information to manage. Usually the system is charged by the number of managed identities, giving the chance to SME's for first time of accessing a complex system like this.

• Authentication technologies: SSO (Commonly used protocols include Security Assertion Markup Language (SAML) and OpenID Connect (OIDC)), MFA (including FIDO).

• Role-Based Access Control (RBAC): RBAC assigns permissions based on user roles, ensuring that individuals have appropriate access rights.

• Privileged Access Management (PAM): PAM restricts privileged accounts (admin, superuser) and monitors their activities to prevent misuse.

• All those systems have a backlog system where records are stored and can be consulted when needed.

Good news is that since IAM is also offered in a SaaS, it is agile to implement. References in this field are:

• Okta

• Microsoft Azure Active Directory (Azure AD)

• OneLogin

• Ping Identity

If because of security policy or requirement, Identity must be processed internally, you may consider installing a solution based on an on-premises identity solution in combination to CASB, to reach cloud. In this regard, some of your options are:

• Netspoke

• Palo Alto Networks

• Zscaler

• Forcepoint

What to look for?

When considering the provision of one of those solutions, remember to consider effectiveness and efficiency:

• Effectiveness: If there is a product to which you can't integrate, stop exploring such. Seek for an alternative.

• Efficiency: Look for the TCO (Total Cost of Ownership) considering cost to implement, cost to substitute, cost to operate and risk in the whole operation. In general terms, if the company is an SME, SaaS options are more suitable, whereas for big corporate, it could depend on a plethora of factors.

Autor: Juan José Santos Prieto