¿Qué es el NIST AI Risk Management Framework y cómo estructura la gobernanza de la IA?
Respuesta breve
El NIST AI Risk Management Framework (AI RMF 1.0) es un marco voluntario y basado en el riesgo para gobernar una IA confiable a lo largo de su ciclo de vida. Su núcleo son cuatro funciones: Govern (cultura, política, rendición de cuentas, y atraviesa las demás), Map (contexto e identificación de riesgos), Measure (evaluar y seguir riesgos) y Manage (priorizar y responder). También define características de confiabilidad: válida y fiable, segura, segura y resiliente, responsable y transparente, explicable, con privacidad mejorada y justa. Complementa listas técnicas como el OWASP LLM Top 10 a nivel de programa.
El NIST AI Risk Management Framework (AI RMF 1.0) es el marco de gobernanza de IA más referenciado. Es voluntario y basado en el riesgo, diseñado para ayudar a las organizaciones a construir y desplegar una IA confiable a la vez que gestionan el riesgo a lo largo de todo el ciclo de vida: diseño, desarrollo, despliegue y monitorización.
Las cuatro funciones centrales
- Govern. El cimiento: cultura, políticas, roles, rendición de cuentas y tolerancia al riesgo. A diferencia de las demás, Govern es transversal: atraviesa Map, Measure y Manage en lugar de ser un paso puntual.
- Map. Establecer el contexto e identificar riesgos: uso previsto, partes interesadas, el entorno de despliegue y qué podría salir mal.
- Measure. Analizar, evaluar y seguir los riesgos identificados con métodos cuantitativos y cualitativos, incluyendo pruebas y evaluación.
- Manage. Priorizar y actuar sobre los riesgos: asignar recursos, responder, recuperarse y comunicar.
Características de confiabilidad
El RMF enmarca la «IA confiable» en torno a características como: válida y fiable, segura, segura y resiliente, responsable y transparente, explicable e interpretable, con privacidad mejorada, y justa con los sesgos dañinos gestionados. Estas dan dimensiones concretas a las conversaciones sobre riesgo.
Dónde encaja
El AI RMF es gobernanza a nivel de programa, no una checklist técnica. Combina bien con recursos prácticos: usa el OWASP LLM Top 10 y el modelado de amenazas para los controles de ingeniería, y el AI RMF (junto al Generative AI Profile) para fijar la política, la rendición de cuentas y la gestión del riesgo del ciclo de vida a su alrededor.
Qué buscan los entrevistadores
Saber que es voluntario y orientado al ciclo de vida, poder nombrar las cuatro funciones y que Govern es transversal, recordar algunas características de confiabilidad, y posicionarlo como gobernanza que complementa los controles técnicos en lugar de reemplazarlos.
Posibles preguntas de seguimiento
- ¿Cómo se relaciona la función Govern con las otras tres?
- ¿Cuáles son algunas de las características de confiabilidad que define el RMF?
- ¿Cómo usarías el AI RMF junto con el OWASP LLM Top 10?