Marco de Gestión de Riesgos de IA del NIST

Definición

El Marco de Gestión de Riesgos de IA del NIST es un marco voluntario que ayuda a las organizaciones a gobernar, mapear, medir y gestionar los riesgos de los sistemas de IA mientras persiguen las características de la IA confiable.

Alcance

Cualquier organización que diseñe, desarrolle, despliegue o use IA, en cualquier sector. Es voluntario y orientado a resultados, pensado para adaptarse al contexto y usarse junto a normas y regulación.

Requisitos clave

• Cuatro funciones centrales: Gobernar (cultura y rendición de cuentas), Mapear (contexto y riesgos), Medir (evaluar y seguir), Gestionar (priorizar y responder).
• Gobernar es transversal: sustenta a las otras tres.
• Define características de IA confiable a perseguir, no solo riesgos a evitar.
• Un Perfil de IA Generativa (NIST AI 600-1) aborda los riesgos específicos de la GenAI.
• Voluntario y flexible: pensado para adaptarse, no para certificarse.
• Encaja bien con ISO/IEC 42001 (sistema de gestión) y el EU AI Act (ley).

Controles

Gobernar

Establece las políticas, la rendición de cuentas, la cultura y los roles que hacen real la gestión de riesgos: la base sobre la que se apoyan las demás funciones.

Mapear

Establece el contexto: uso previsto, partes interesadas, y los riesgos e impactos del sistema de IA antes de construir.

Medir

Usa métodos cuantitativos y cualitativos para evaluar, comparar y monitorizar el riesgo y la confiabilidad: no puedes gestionar lo que no mides.

Gestionar

Prioriza, responde y haz seguimiento de los riesgos en el tiempo, incluyendo respuesta a incidentes y retirada.

Características de confiabilidad

Dirige hacia resultados válidos, seguros, responsables, explicables, con privacidad reforzada y justos como objetivos de diseño explícitos.

Lista de verificación

• 01Pon en marcha la función Gobernar: política, rendición de cuentas y roles.
• 02Mapea el contexto, el uso previsto, las partes interesadas y los riesgos de cada sistema.
• 03Define métricas y Mide validez, seguridad, sesgo y robustez.
• 04Gestiona: prioriza riesgos, planifica respuestas y haz seguimiento en el tiempo.
• 05Aplica el Perfil de IA Generativa para los sistemas de GenAI.
• 06Establece respuesta a incidentes y monitorización para los sistemas desplegados.
• 07Mapea el marco a tus obligaciones bajo ISO 42001 y el EU AI Act.

Errores comunes

• Hacer Mapear y Medir pero descuidar Gobernar, de modo que nada es responsable.
• Medir lo fácil en vez de lo que importa para la confiabilidad.
• Tratarlo como una lista de verificación en vez de una práctica continua de riesgo.
• Ignorar el Perfil de IA Generativa para sistemas LLM y agénticos.

Ejemplos

• Un equipo que usa Mapear para documentar el uso previsto y las partes interesadas de un agente antes de construir.
• Un paso de Medir que compara un modelo en sesgo y robustez frente a un conjunto de evaluación.
• Un proceso de Gestionar con respuesta a incidentes para un asistente de GenAI desplegado.

FAQs

¿El NIST AI RMF es obligatorio?

No. Es un marco voluntario. Pero está ampliamente adoptado como lenguaje común y columna vertebral para la gestión operativa del riesgo de IA, y se referencia a menudo en políticas y compras.

¿Cuáles son las cuatro funciones?

Gobernar, Mapear, Medir y Gestionar. Gobernar es transversal y sustenta a las otras tres, que recorren el ciclo de vida de la IA.

¿Cómo aborda la IA generativa?

Mediante el Perfil de IA Generativa complementario (NIST AI 600-1), que identifica riesgos específicos de la GenAI y acciones sugeridas mapeadas a las cuatro funciones.

Referencias

• NIST — AI Risk Management Framework (AI RMF 1.0)
• NIST AI 600-1 — Generative AI Profile

Gobernanza relacionada