Skip to content

¿Qué es el NIST AI Risk Management Framework y cómo estructura la gobernanza de la IA?

Respuesta breve

El NIST AI Risk Management Framework (AI RMF 1.0) es un marco voluntario y basado en el riesgo para gobernar una IA confiable a lo largo de su ciclo de vida. Su núcleo son cuatro funciones: Govern (cultura, política, rendición de cuentas, y atraviesa las demás), Map (contexto e identificación de riesgos), Measure (evaluar y seguir riesgos) y Manage (priorizar y responder). También define características de confiabilidad: válida y fiable, segura, segura y resiliente, responsable y transparente, explicable, con privacidad mejorada y justa. Complementa listas técnicas como el OWASP LLM Top 10 a nivel de programa.

El NIST AI Risk Management Framework (AI RMF 1.0) es el marco de gobernanza de IA más referenciado. Es voluntario y basado en el riesgo, diseñado para ayudar a las organizaciones a construir y desplegar una IA confiable a la vez que gestionan el riesgo a lo largo de todo el ciclo de vida: diseño, desarrollo, despliegue y monitorización.

Las cuatro funciones centrales

  • Govern. El cimiento: cultura, políticas, roles, rendición de cuentas y tolerancia al riesgo. A diferencia de las demás, Govern es transversal: atraviesa Map, Measure y Manage en lugar de ser un paso puntual.
  • Map. Establecer el contexto e identificar riesgos: uso previsto, partes interesadas, el entorno de despliegue y qué podría salir mal.
  • Measure. Analizar, evaluar y seguir los riesgos identificados con métodos cuantitativos y cualitativos, incluyendo pruebas y evaluación.
  • Manage. Priorizar y actuar sobre los riesgos: asignar recursos, responder, recuperarse y comunicar.

Características de confiabilidad

El RMF enmarca la «IA confiable» en torno a características como: válida y fiable, segura, segura y resiliente, responsable y transparente, explicable e interpretable, con privacidad mejorada, y justa con los sesgos dañinos gestionados. Estas dan dimensiones concretas a las conversaciones sobre riesgo.

Dónde encaja

El AI RMF es gobernanza a nivel de programa, no una checklist técnica. Combina bien con recursos prácticos: usa el OWASP LLM Top 10 y el modelado de amenazas para los controles de ingeniería, y el AI RMF (junto al Generative AI Profile) para fijar la política, la rendición de cuentas y la gestión del riesgo del ciclo de vida a su alrededor.

Qué buscan los entrevistadores

Saber que es voluntario y orientado al ciclo de vida, poder nombrar las cuatro funciones y que Govern es transversal, recordar algunas características de confiabilidad, y posicionarlo como gobernanza que complementa los controles técnicos en lugar de reemplazarlos.

Posibles preguntas de seguimiento

  • ¿Cómo se relaciona la función Govern con las otras tres?
  • ¿Cuáles son algunas de las características de confiabilidad que define el RMF?
  • ¿Cómo usarías el AI RMF junto con el OWASP LLM Top 10?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.