Riesgo en la cadena de suministro (IA) — Gobernanza de IA de terceros y riesgo de proveedores

Definición

El riesgo en la cadena de suministro de IA se refiere a los riesgos de gobernanza y seguridad que surgen de la dependencia de una organizacion respecto a partes externas —proveedores de modelos de IA, suministradores de datos de entrenamiento, proveedores de infraestructura en la nube, servicios de IA de terceros y componentes de codigo abierto— en sus sistemas de IA. A medida que los sistemas de IA dependen cada vez mas de modelos fundacionales, APIs de terceros, conjuntos de datos externos e infraestructuras compartidas, el perfil de riesgo de un despliegue de IA ya no lo determinan unicamente las practicas de la organizacion que despliega, sino la postura de gobernanza, seguridad y cumplimiento de toda su cadena de suministro de IA.

Por qué importa operativamente

El riesgo en la cadena de suministro de IA importa porque invierte una suposicion comun en la gobernanza de IA: que el riesgo de IA de una organizacion se determina principalmente por sus propias decisiones. En la practica, el perfil de riesgo de IA de una organizacion se hereda en parte de los modelos que utiliza, los datos con los que se entrenaron esos modelos, la infraestructura en la que se ejecutan y las APIs de terceros de las que dependen. Estas dependencias externas crean riesgos que los marcos de gobernanza disenados para sistemas internos no abordan adecuadamente.

Marco regulatorio

Cómo lo evalúa Zertia

Zertia evalua el riesgo en la cadena de suministro de IA como parte de la certificacion ISO/IEC 42001 —especificamente los controles de gestion de proveedores del Anexo A—. La auditoria de certificacion evalua si la organizacion ha documentado su cadena de suministro de IA, ha realizado due diligence sobre los proveedores criticos de IA, ha establecido requisitos contractuales de gobernanza para los proveedores de IA y dispone de un proceso para monitorizar cambios en la postura de cumplimiento del proveedor. Para sistemas de IA especificos, la Auditoria de Modelo de IA evalua riesgos de componentes de terceros, incluidas las dependencias de modelos fundacionales.

Definiciones que se sostienen ante un auditor.

¿Este término aplica a tu proyecto de certificación? Hablemos 30 min sin compromiso.