Riesgo en la cadena de suministro (IA) — Gobernanza de IA de terceros y riesgo de proveedores
Definición
El riesgo en la cadena de suministro de IA se refiere a los riesgos de gobernanza y seguridad que surgen de la dependencia de una organizacion respecto a partes externas —proveedores de modelos de IA, suministradores de datos de entrenamiento, proveedores de infraestructura en la nube, servicios de IA de terceros y componentes de codigo abierto— en sus sistemas de IA. A medida que los sistemas de IA dependen cada vez mas de modelos fundacionales, APIs de terceros, conjuntos de datos externos e infraestructuras compartidas, el perfil de riesgo de un despliegue de IA ya no lo determinan unicamente las practicas de la organizacion que despliega, sino la postura de gobernanza, seguridad y cumplimiento de toda su cadena de suministro de IA.
Por qué importa operativamente
El riesgo en la cadena de suministro de IA importa porque invierte una suposicion comun en la gobernanza de IA: que el riesgo de IA de una organizacion se determina principalmente por sus propias decisiones. En la practica, el perfil de riesgo de IA de una organizacion se hereda en parte de los modelos que utiliza, los datos con los que se entrenaron esos modelos, la infraestructura en la que se ejecutan y las APIs de terceros de las que dependen. Estas dependencias externas crean riesgos que los marcos de gobernanza disenados para sistemas internos no abordan adecuadamente.
Marco regulatorio
Cómo lo evalúa Zertia
Zertia evalua el riesgo en la cadena de suministro de IA como parte de la certificacion ISO/IEC 42001 —especificamente los controles de gestion de proveedores del Anexo A—. La auditoria de certificacion evalua si la organizacion ha documentado su cadena de suministro de IA, ha realizado due diligence sobre los proveedores criticos de IA, ha establecido requisitos contractuales de gobernanza para los proveedores de IA y dispone de un proceso para monitorizar cambios en la postura de cumplimiento del proveedor. Para sistemas de IA especificos, la Auditoria de Modelo de IA evalua riesgos de componentes de terceros, incluidas las dependencias de modelos fundacionales.
Definiciones que se sostienen ante un auditor.
¿Este término aplica a tu proyecto de certificación? Hablemos 30 min sin compromiso.
To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Functional
Siempre activo
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.