Gobernaria
Marco técnico

ISO/IEC 23894:2023 Gestión de Riesgos de Inteligencia Artificial

Análisis técnico de la norma ISO/IEC 23894:2023. Comprenda cómo integrar esta guía de gestión de riesgos en su sistema de gobernanza de IA y su relación con ISO 42001.

Equipo Gobernaria6 de marzo de 2026Actualizado: 7 de marzo de 202625 min de lectura

Puntos clave

  • 1La norma ISO/IEC 23894:2023 actúa como el marco metodológico para ejecutar la evaluación de riesgos requerida por sistemas de gestión como ISO/IEC 42001.
  • 2El estándar extiende los principios de la ISO 31000, adaptándolos a las particularidades técnicas y sociotécnicas de los sistemas de inteligencia artificial.
  • 3La gestión de riesgos bajo este estándar exige considerar factores como la deriva de datos, la explicabilidad y los sesgos algorítmicos como riesgos operativos críticos.
  • 4ISO 23894 no es certificable por sí misma, ya que constituye una guía de directrices, a diferencia de los requisitos normativos de ISO 42001.
  • 5La integración de este marco permite una alineación técnica con otros modelos internacionales como el NIST AI RMF.

Introducción: La gestión de riesgos en el ciclo de vida de la IA

La integración de la inteligencia artificial (IA) en los procesos organizativos ha generado la necesidad de adaptar los marcos de gestión de riesgos tradicionales a las particularidades de los sistemas algorítmicos. La norma ISO/IEC 23894:2023 proporciona directrices específicas para la gestión de riesgos asociados al desarrollo, despliegue y uso de sistemas de IA (ISO, 2023).

A diferencia de los sistemas de software convencionales, los modelos de IA presentan comportamientos estocásticos, opacidad algorítmica y una dependencia crítica de la calidad y procedencia de los datos. Estos factores introducen incertidumbres que requieren un enfoque de gobernanza diferenciado. Este estándar se fundamenta en la estructura de la norma ISO 31000, permitiendo que las organizaciones integren la gestión de riesgos de IA dentro de sus marcos de gobernanza corporativa existentes, asegurando que la innovación tecnológica no comprometa la seguridad, la ética ni el cumplimiento normativo (International Organization for Standardization, 2023).

Relación entre ISO 23894 e ISO 42001

Es fundamental distinguir entre la naturaleza de la ISO 23894 y la ISO 42001. Mientras que la ISO 42001 establece los requisitos para un Sistema de Gestión de Inteligencia Artificial (AIMS) y es susceptible de certificación, la ISO 23894 funciona como una guía técnica que detalla cómo realizar la evaluación y el tratamiento de riesgos dentro de dicho sistema (International Organization for Standardization, 2023).

En la práctica, una organización que busque implementar un AIMS conforme a la norma ISO 42001 utilizará la ISO 23894 para cumplir con las cláusulas relativas a la identificación y evaluación de riesgos. Esta sinergia permite que el sistema de gestión no solo sea un ejercicio de cumplimiento documental, sino un proceso operativo robusto capaz de identificar vulnerabilidades técnicas y éticas. Mientras que la ISO 42001 define el "qué" (los requisitos del sistema), la ISO 23894 proporciona el "cómo" (la metodología de gestión de riesgos), creando un ecosistema donde la mejora continua es el eje central .

Estructura y metodología de la norma

La norma ISO 23894 sigue el ciclo de gestión de riesgos estándar, adaptando cada fase a las necesidades de la IA:

1. Establecimiento del contexto

El primer paso consiste en definir el alcance del sistema de IA y los objetivos organizativos. Esto incluye la identificación de las partes interesadas (desarrolladores, usuarios, reguladores, sociedad) y la determinación del apetito de riesgo. En el contexto de la IA, esto implica evaluar no solo los riesgos técnicos, sino también los impactos en los derechos fundamentales, la equidad social y la responsabilidad legal. Es vital definir qué constituye un "resultado aceptable" del sistema de IA antes de proceder con el despliegue (International Organization for Standardization, 2023).

2. Identificación de riesgos

La identificación debe ser exhaustiva y considerar múltiples dimensiones:

  • Riesgos de datos: Calidad, representatividad y sesgos en los conjuntos de entrenamiento. La falta de diversidad en los datos puede llevar a resultados discriminatorios.
  • Riesgos de rendimiento: Deriva de concepto (concept drift) y degradación del modelo en entornos de producción. Un modelo que funciona hoy puede volverse obsoleto o peligroso mañana si el entorno cambia.
  • Riesgos de seguridad: Vulnerabilidades ante ataques adversariales, un área donde marcos como MITRE ATLAS ofrecen una taxonomía complementaria de amenazas, incluyendo la manipulación de entradas para engañar al modelo (The MITRE Corporation, 2025).
  • Riesgos de aplicación: Problemas específicos en modelos de lenguaje (LLM), tales como las alucinaciones, la fuga de datos sensibles o la inyección de prompts, documentados por organizaciones como OWASP (OWASP Foundation, 2025).

3. Análisis y evaluación

El análisis de riesgos en IA requiere cuantificar la probabilidad y el impacto de eventos que, a menudo, no son deterministas. La norma sugiere el uso de métodos cualitativos y cuantitativos para priorizar los riesgos, asegurando que los recursos de mitigación se asignen a las áreas de mayor criticidad para la organización y los usuarios finales. Se debe considerar la "incertidumbre epistémica" (lo que no sabemos sobre cómo el modelo llega a sus conclusiones) como un factor de riesgo en sí mismo (International Organization for Standardization, 2023).

Comparativa con otros marcos de referencia

La gobernanza de la IA es un campo en rápida evolución. La ISO 23894 se posiciona como un estándar internacional que puede coexistir con otros marcos:

  • NIST AI RMF: El NIST AI RMF ofrece un enfoque basado en funciones (Gobernar, Mapear, Medir, Gestionar) que es altamente compatible con la estructura de la ISO 23894. Mientras que el NIST proporciona una guía más orientada a la cultura organizacional y la gestión de riesgos sociotécnicos, la ISO 23894 se integra mejor en entornos que ya operan bajo estándares ISO, facilitando la auditoría y la certificación (National Institute of Standards and Technology, 2023).
  • Enfoques éticos: Otros marcos, como el Blueprint for an AI Bill of Rights o el Model AI Governance Framework de Singapur, proporcionan principios éticos que pueden ser incorporados como criterios de evaluación dentro del proceso de gestión de riesgos de la ISO 23894. Estos marcos ayudan a traducir conceptos abstractos como "justicia" o "transparencia" en métricas de riesgo evaluables .

Implicaciones prácticas y responsabilidades

La implementación de la ISO 23894 no es una tarea exclusiva del departamento de TI; requiere una colaboración interdisciplinar. Los equipos de ciencia de datos, legal, cumplimiento y gestión de riesgos deben trabajar de manera coordinada para:

  1. Documentación: Mantener registros detallados de las decisiones de diseño, los datos utilizados para el entrenamiento y los resultados de las evaluaciones de riesgo. Esta trazabilidad es esencial para la rendición de cuentas.
  2. Monitoreo continuo: La gestión de riesgos de IA no es un evento único. La norma enfatiza la necesidad de un monitoreo constante del rendimiento del sistema y de los cambios en el entorno operativo. Se deben establecer "umbrales de alerta" que disparen revisiones de riesgo cuando el rendimiento del modelo caiga por debajo de ciertos niveles.
  3. Transparencia: La capacidad de explicar las decisiones del sistema es un componente crítico del tratamiento de riesgos. La explicabilidad reduce la incertidumbre y aumenta la confianza de los usuarios, permitiendo una supervisión humana efectiva (International Organization for Standardization, 2023).

Responsabilidades clave

  • Alta Dirección: Debe definir la política de riesgos de IA y asegurar la disponibilidad de recursos.
  • Dueños del Sistema de IA: Responsables de la ejecución de las evaluaciones de riesgo y de la implementación de controles técnicos.
  • Comité de Ética/Gobernanza: Encargado de validar que los riesgos identificados se alinean con los valores éticos y legales de la organización.

Riesgos emergentes y controles operativos

La gestión de riesgos bajo ISO 23894 debe ser dinámica. Algunos riesgos emergentes requieren controles específicos:

  • Sesgo Algorítmico: Control mediante auditorías de equidad (fairness audits) y pruebas de estrés con conjuntos de datos diversos.
  • Ataques Adversariales: Implementación de técnicas de robustez, como el entrenamiento adversarial, y monitoreo de anomalías en las entradas del sistema.
  • Privacidad de Datos: Aplicación de técnicas de preservación de la privacidad, como la privacidad diferencial o el aprendizaje federado, para mitigar el riesgo de fuga de información sensible durante el entrenamiento.
  • Dependencia de Terceros: Evaluación de riesgos de la cadena de suministro de IA (modelos pre-entrenados, APIs de terceros), asegurando que los proveedores cumplan con estándares equivalentes.

Cierre operativo: Hacia una cultura de IA responsable

La adopción de la ISO 23894 no debe verse como una carga burocrática, sino como una ventaja competitiva. Las organizaciones que gestionan proactivamente sus riesgos de IA están mejor posicionadas para innovar de manera segura, evitar sanciones regulatorias y construir una reputación de confianza con sus clientes.

El éxito operativo depende de la integración de estos procesos en el ciclo de vida de desarrollo de software (SDLC). Al convertir la gestión de riesgos en una actividad continua —desde la concepción del modelo hasta su desmantelamiento—, las empresas pueden navegar la complejidad de la IA con mayor claridad. La norma ISO 23894 proporciona el lenguaje común y la estructura necesaria para que los equipos técnicos y de negocio hablen el mismo idioma, transformando la incertidumbre en una gestión controlada y estratégica.

Preguntas frecuentes (FAQ)

¿Es obligatorio implementar ISO 23894 para cumplir con el Reglamento de IA de la UE?

Aunque el Reglamento de IA de la UE (AI Act) exige un sistema de gestión de riesgos para sistemas de IA de alto riesgo, no obliga explícitamente al uso de una norma específica. Sin embargo, utilizar la ISO 23894 es una forma reconocida de demostrar la diligencia debida y el cumplimiento de los requisitos técnicos exigidos por la normativa europea, facilitando enormemente el proceso de conformidad.

¿Cómo se diferencia la gestión de riesgos de IA de la ciberseguridad tradicional?

La ciberseguridad tradicional se centra en proteger la confidencialidad, integridad y disponibilidad de los activos (CIA). La gestión de riesgos de IA, según la ISO 23894, amplía este alcance para incluir la fiabilidad del modelo, la equidad, la explicabilidad y la seguridad frente a manipulaciones que aprovechan la lógica del propio algoritmo, no solo las vulnerabilidades del software. Es un enfoque que abarca tanto la seguridad del sistema como la seguridad del resultado.

¿Qué ocurre si mi organización ya utiliza ISO 31000?

La transición es natural. La ISO 23894 está diseñada para ser una extensión de la ISO 31000. La organización simplemente debe aplicar los principios de la 31000 al contexto específico de la IA, utilizando la 23894 como guía para identificar las amenazas y controles particulares de esta tecnología. No es necesario descartar los procesos existentes, sino enriquecerlos con las dimensiones específicas de la IA.

¿Con qué frecuencia debo revisar mis evaluaciones de riesgo de IA?

La norma sugiere que las evaluaciones de riesgo deben ser revisadas periódicamente y, de manera obligatoria, ante cambios significativos en el sistema, en los datos de entrenamiento o en el entorno de despliegue. En entornos de IA de alta velocidad, se recomienda una revisión continua integrada en el pipeline de CI/CD.

Recursos relacionados

Referencias

  1. International Organization for Standardization. (2023). ISO/IEC 23894:2023 Guidance on risk management for artificial intelligence. ISO. https://www.iso.org/standard/77304.htmlVer fuente
  2. International Organization for Standardization. (2023). ISO/IEC 42001:2023 Artificial intelligence management system. ISO. https://www.iso.org/standard/81230.htmlVer fuente
  3. ISO. (2023). ISO/IEC 23894:2023 - Information technology — Artificial intelligence — Guidance on risk management. ISO. https://www.iso.org/standard/77304.htmlVer fuente
  4. National Institute of Standards and Technology. (2023). AI Risk Management Framework (AI RMF 1.0). NIST. https://www.nist.gov/itl/ai-risk-management-frameworkVer fuente
  5. OWASP Foundation. (2025). OWASP Top 10 for LLM Applications. OWASP. https://owasp.org/www-project-top-10-for-large-language-model-applications/Ver fuente
  6. Personal Data Protection Commission Singapore. (2020). Model AI Governance Framework. PDPC Singapore. https://www.pdpc.gov.sg/Help-and-Resources/2020/01/Model-AI-Governance-FrameworkVer fuente
  7. The MITRE Corporation. (2025). MITRE ATLAS. MITRE. https://atlas.mitre.org/Ver fuente
  8. White House Office of Science and Technology Policy. (2022). Blueprint for an AI Bill of Rights. The White House. https://www.whitehouse.gov/ostp/ai-bill-of-rights/Ver fuente