La IA en el sector público: oportunidades y obligaciones
Los organismos públicos de todos los niveles están explorando e implementando la IA para mejorar la prestación de servicios, reforzar la toma de decisiones y aumentar la eficiencia operativa. Desde la estrategia federal de IA hasta las iniciativas de transformación digital de los estados y las administraciones locales, el sector público está adoptando la IA en una amplia gama de aplicaciones.
Los casos de uso habituales de la IA en la administración incluyen la automatización de los servicios al ciudadano mediante chatbots y asistentes virtuales, la detección de fraude en los programas de prestaciones, el procesamiento y la clasificación de documentos para las solicitudes FOIA, el análisis predictivo para la asignación de recursos, la detección de amenazas de ciberseguridad, el análisis de inteligencia y las aplicaciones de seguridad nacional, y la supervisión del cumplimiento normativo.
Sin embargo, la implementación de la IA en la administración conlleva obligaciones únicas. Los organismos públicos deben mantener la transparencia y la rendición de cuentas ante los ciudadanos, proteger la información clasificada y la información no clasificada controlada (CUI), cumplir las regulaciones de adquisición y contratación, garantizar una prestación de servicios equitativa para toda la población y preservar las libertades civiles y los derechos constitucionales. La Orden Ejecutiva sobre una IA segura, protegida y fiable (EO 14110) estableció nuevos requisitos para los organismos federales, incluidos la gestión del riesgo de la IA, los requisitos de pruebas y las normas de transparencia.
Clasificación de seguridad e IA
Los organismos públicos deben gestionar cuidadosamente la intersección entre las herramientas de IA y los niveles de clasificación de la información.
Información clasificada e IA: las herramientas de IA nunca deben utilizarse con información clasificada, salvo que operen dentro de entornos clasificados debidamente acreditados. Esto implica ningún servicio de IA comercial para el procesamiento de datos clasificados, entornos de IA aislados (air-gapped) para las cargas de trabajo clasificadas, requisitos de personal habilitado para las operaciones de IA clasificadas, y SCIF e instalaciones habilitadas para los debates de IA clasificados.
Información no clasificada controlada (CUI): la CUI representa un reto importante para la adopción de la IA en la administración. Muchos organismos desean utilizar la IA para procesar CUI, datos de contratación, información de identificación personal, datos sensibles de las fuerzas del orden, pero deben asegurarse de que las herramientas de IA cumplan los requisitos de protección de la CUI conforme a NIST SP 800-171.
Requisitos de FedRAMP: los servicios de IA basados en la nube utilizados por los organismos federales deben obtener la autorización FedRAMP. Esto requiere una rigurosa evaluación de seguridad que incluye más de 300 controles de seguridad en el nivel de referencia moderado, una supervisión continua y una reevaluación periódica, capacidades de respuesta a incidentes y una gestión del riesgo de la cadena de suministro.
Consideraciones sobre el nivel de impacto: los servicios de IA deben autorizarse en el nivel de impacto adecuado. IL2 para datos públicos y no CUI, IL4 para CUI, IL5 para CUI en entornos del DoD e IL6 para información clasificada hasta Secret. La mayoría de los servicios de IA comerciales se limitan actualmente a IL2 o IL4, lo que restringe su aplicabilidad para las cargas de trabajo gubernamentales sensibles.
NIST AI Risk Management Framework
El NIST AI Risk Management Framework (AI RMF) proporciona un marco voluntario para gestionar los riesgos de la IA que se está convirtiendo en el estándar de facto para la gobernanza de la IA en la administración.
Funciones principales: el AI RMF organiza la gestión del riesgo de la IA en cuatro funciones principales. Govern (gobernar) establece y mantiene las estructuras organizativas, las políticas y los procesos para la gestión del riesgo de la IA. Map (mapear) identifica y cataloga los sistemas de IA, sus contextos y sus posibles impactos. Measure (medir) evalúa y supervisa los riesgos de la IA mediante métodos cuantitativos y cualitativos. Manage (gestionar) implementa estrategias de tratamiento de riesgos y medidas de respuesta.
Implementar el AI RMF en la administración: los organismos públicos deben hacer corresponder las funciones del AI RMF con los procesos de gestión de riesgos existentes. Integre la gestión del riesgo de la IA con la gestión del riesgo empresarial (ERM) del organismo, alinee los controles de la IA con el NIST Cybersecurity Framework y SP 800-53, aproveche los procesos de autorización existentes (ATO) para la evaluación de los sistemas de IA e incorpore el riesgo de la IA a los informes FISMA del organismo.
Características de una IA fiable: el AI RMF identifica siete características de una IA fiable que los organismos públicos deben evaluar. Estas son la validez y la fiabilidad, la seguridad, la protección y la resiliencia, la rendición de cuentas y la transparencia, la explicabilidad y la interpretabilidad, la mejora de la privacidad, y la equidad con una gestión del sesgo perjudicial.
Gobernanza de la IA para los organismos federales
Los organismos federales están sujetos a requisitos de gobernanza específicos para la implementación de la IA.
Requisitos del Chief AI Officer: la EO 14110 exige que los organismos federales designen Chief AI Officers responsables de coordinar el uso de la IA en el organismo, gestionar los riesgos de la IA, promover la innovación en IA, garantizar el cumplimiento de las políticas de IA e informar sobre el uso y la gobernanza de la IA.
Inventario de casos de uso de la IA: los organismos federales deben mantener y publicar inventarios de sus casos de uso de la IA. Este inventario debe incluir el propósito y la función del sistema de IA, las entradas y salidas de datos, los resultados de las evaluaciones de impacto, las medidas de mitigación de riesgos y los mecanismos de supervisión humana.
IA que afecta a los derechos: los sistemas de IA que afectan a los derechos individuales, como las determinaciones de elegibilidad para las prestaciones, las decisiones de las fuerzas del orden o el procesamiento de la inmigración, requieren un escrutinio reforzado que incluya evaluaciones de impacto que valoren los efectos sobre las libertades civiles, la notificación a las personas afectadas de que se está utilizando IA, mecanismos de apelación para las decisiones asistidas por IA, una auditoría periódica del sesgo y la exactitud, y una revisión humana de las decisiones de gran trascendencia.
Contratación y adquisición: la contratación de IA por parte de la administración debe cumplir el FAR y las regulaciones de adquisición propias de cada organismo. Incluya requisitos específicos de la IA en los contratos relativos a la propiedad y el tratamiento de los datos, la transparencia y explicabilidad de los modelos, la supervisión y la elaboración de informes sobre el rendimiento, los requisitos de pruebas de sesgo y equidad, y los controles de seguridad y privacidad.
Proteger la IA en las operaciones gubernamentales
Medidas de seguridad prácticas para la implementación de la IA en la administración a través de los casos de uso habituales.
Servicios de IA orientados al ciudadano: los chatbots gubernamentales y los asistentes virtuales que interactúan con el público deben identificarse claramente como sistemas de IA (sin diseño engañoso), cumplir los requisitos de accesibilidad de la Section 508, proteger la información de identificación personal (PII), proporcionar información exacta basada en fuentes autorizadas, ofrecer vías de asistencia humana y mantener registros a efectos de rendición de cuentas y cumplimiento de la FOIA.
Herramientas de IA internas: al personal de los organismos que utiliza la IA para la redacción de documentos, el análisis o la investigación se le deben proporcionar herramientas de IA aprobadas que cumplan los requisitos de seguridad, directrices claras sobre qué datos pueden utilizarse con la IA, formación sobre las limitaciones de la IA y los requisitos de verificación, y mecanismos de notificación de errores o preocupaciones relacionados con la IA.
IA en las fuerzas del orden y la seguridad nacional: la IA utilizada en los contextos de las fuerzas del orden y la seguridad nacional conlleva un riesgo excepcional y exige el máximo nivel de gobernanza. El reconocimiento facial y la IA biométrica deben cumplir las políticas de privacidad del organismo, las herramientas de actuación policial predictiva deben evaluarse en cuanto a sesgo e impacto sobre las libertades civiles, la IA de análisis de inteligencia debe proteger las fuentes y los métodos, y toda IA de las fuerzas del orden debe incluir la autoridad de decisión humana.
IA para la ciberseguridad: los organismos públicos utilizan cada vez más la IA para la ciberdefensa. Estas herramientas deben integrarse con las operaciones de seguridad existentes, validarse frente a los modelos de amenazas del organismo, supervisarse frente a la manipulación adversaria y cumplir los requisitos del programa CDM (Continuous Diagnostics and Mitigation).
Consideraciones para las administraciones estatales y locales
Las administraciones estatales y locales se enfrentan a desafíos de seguridad de la IA únicos, diferentes de los de los organismos federales.
Limitaciones de recursos: muchos organismos estatales y locales carecen de experiencia y presupuesto específicos en seguridad de la IA. Comience con pasos fundamentales: adopte marcos existentes (NIST AI RMF, directrices del MS-ISAC), aproveche los servicios compartidos y los acuerdos de cooperación a nivel estatal, participe en el intercambio de información a través del MS-ISAC y los CISO estatales, y priorice los casos de uso de IA de alto riesgo para la atención de la gobernanza.
Legislación estatal sobre IA: un número creciente de estados está promulgando legislación específica sobre IA. Colorado, California, Illinois y otros han aprobado o propuesto leyes que afectan al uso de la IA por parte de la administración. Haga un seguimiento de la legislación estatal pertinente, evalúe los requisitos de cumplimiento, actualice las políticas a medida que entren en vigor nuevas leyes y coordínese con los fiscales generales de los estados sobre el cumplimiento de la IA.
Intercambio de datos intergubernamental: los organismos estatales y locales a menudo comparten datos entre jurisdicciones. Las herramientas de IA que procesan datos compartidos deben cumplir los acuerdos de uso de datos de todas las partes, mantener los requisitos de soberanía de los datos, implementar controles de acceso que reflejen el acceso multijurisdiccional y documentar el procesamiento por IA en los acuerdos de intercambio de datos.
Transparencia pública: las administraciones estatales y locales suelen estar sujetas a mayores requisitos de transparencia pública. Publique las políticas e inventarios de uso de la IA, proporcione un aviso público sobre el uso de la IA en los servicios gubernamentales, cree mecanismos para la participación del público en las decisiones de implementación de la IA e informe sobre el rendimiento y los resultados de los sistemas de IA.
Generar confianza pública en la IA gubernamental
La gobernanza de la IA gubernamental sirve, en última instancia, al objetivo de mantener la confianza pública.
Medidas de transparencia: publique políticas claras sobre cómo y dónde utiliza la IA el organismo, proporcione explicaciones en lenguaje sencillo de los sistemas de IA que afectan al público, ponga a disposición las evaluaciones de impacto de la IA para su revisión, informe sobre las métricas de rendimiento y las tasas de error de los sistemas de IA, y colabore con las organizaciones de la sociedad civil en la gobernanza de la IA.
Mecanismos de rendición de cuentas: establezca líneas claras de responsabilidad para las decisiones de la IA, implemente procesos de apelación para las determinaciones asistidas por IA, realice auditorías periódicas de los sistemas de IA en cuanto a sesgo y exactitud, mantenga registros detallados a efectos de supervisión e investigación, y proporcione al inspector general acceso a los sistemas y datos de IA.
Equidad e imparcialidad: la administración tiene la obligación especial de garantizar una prestación de servicios equitativa. Pruebe los sistemas de IA en busca de impactos dispares entre grupos demográficos, supervise los resultados en busca de sesgos de forma continua, ofrezca canales de servicio alternativos no basados en IA a los ciudadanos, garantice la accesibilidad de la IA para las personas con discapacidad, e implique a las comunidades desatendidas en las decisiones de implementación de la IA.
Los organismos públicos que priorizan una gobernanza de la IA transparente, responsable y equitativa generarán la confianza pública necesaria para hacer realidad el potencial de la IA en favor de unos mejores servicios públicos.
