NIST AI RMF & AI Compliance

Overview

El Marco de Gestión de Riesgos de IA de NIST (AI RMF 1.0), publicado por el Instituto Nacional de Estándares y Tecnología en enero de 2023, es un marco voluntario diseñado para ayudar a las organizaciones a gestionar los riesgos asociados con los sistemas de IA a lo largo de su ciclo de vida. A diferencia de las regulaciones vinculantes, el AI RMF proporciona un enfoque flexible y estructurado que las organizaciones pueden adaptar a su contexto, capacidades y tolerancia al riesgo específicos. Se ha convertido rápidamente en el marco de referencia líder para la gobernanza de IA en los Estados Unidos y es cada vez más reconocido internacionalmente.

El marco está organizado en dos secciones principales: la información fundamental que enmarca los riesgos de IA y las funciones del Núcleo que proporcionan orientación accionable. El Núcleo consta de cuatro funciones — Gobernar, Mapear, Medir y Gestionar — cada una conteniendo categorías y subcategorías que describen resultados y actividades específicos. Esta estructura está intencionalmente alineada con el enfoque familiar de organización por funciones del Marco de Ciberseguridad de NIST, haciéndolo accesible para organizaciones que ya tienen experiencia con los estándares de NIST.

Para los equipos de desarrollo de IA, el AI RMF proporciona un lenguaje común y una metodología sistemática para identificar, evaluar y mitigar los riesgos de IA. Aborda riesgos relacionados con sesgo y equidad, transparencia y explicabilidad, privacidad, seguridad, protección y rendición de cuentas. El marco enfatiza que la gestión de riesgos de IA debe integrarse en las prácticas más amplias de gestión de riesgos organizacionales en lugar de tratarse como una actividad separada y aislada. Este enfoque holístico asegura que los riesgos específicos de IA se consideren junto con los riesgos operativos, financieros y reputacionales.

AI-Specific Requirements

La función Gobernar establece las estructuras organizacionales, políticas y procesos para la gestión de riesgos de IA. Requiere cultivar una cultura consciente del riesgo, definir roles y responsabilidades para la gobernanza de IA, implementar políticas y procedimientos para el desarrollo y despliegue de IA, y establecer mecanismos para el monitoreo y revisión continuos. Las organizaciones deben documentar su tolerancia al riesgo de IA, definir procedimientos de escalamiento para riesgos identificados y asegurar que la gobernanza de IA cuente con recursos adecuados y compromiso ejecutivo.

La función Mapear se enfoca en comprender el contexto en el que operan los sistemas de IA. Esto incluye identificar y categorizar los sistemas de IA, evaluar los impactos potenciales de las fallas o mal uso de los sistemas de IA, comprender las características de los datos utilizados para el entrenamiento y la operación, y evaluar el entorno operativo y las expectativas de las partes interesadas. Para los datos de entrenamiento específicamente, la función Mapear requiere comprender la procedencia de los datos, evaluar la calidad y representatividad de los datos, identificar posibles sesgos y documentar las metodologías de recopilación y procesamiento de datos.

La función Medir aborda la evaluación y análisis de los riesgos de IA a través de métodos cuantitativos y cualitativos. Las organizaciones deben implementar procedimientos de prueba y evaluación, medir el rendimiento del sistema de IA contra métricas definidas, evaluar el sesgo y la equidad en los grupos demográficos relevantes, evaluar los riesgos de seguridad y privacidad, y realizar reevaluaciones periódicas a medida que los sistemas y contextos evolucionan. La función Gestionar entonces toma los resultados del mapeo y la medición para priorizar y tratar los riesgos identificados, implementar controles, comunicar información de riesgos a las partes interesadas y monitorear continuamente la efectividad de los tratamientos de riesgos.

How Ertas Helps

Ertas respalda la función Mapear del NIST AI RMF proporcionando seguimiento integral de linaje y procedencia de datos. Comprender de dónde provienen tus datos de entrenamiento, cómo se procesaron y qué transformaciones se aplicaron es fundamental para mapear los riesgos de IA. Ertas Data Suite registra el ciclo de vida completo de cada dataset, desde la ingestión inicial hasta la limpieza, transformación, aumentación y preparación final para el entrenamiento. Esta información de procedencia respalda directamente los requisitos de la función Mapear para comprender las características, calidad y posibles sesgos de los datos.

Para la función Medir, Ertas proporciona la infraestructura de auditoría necesaria para rastrear y evaluar el comportamiento del sistema de IA a lo largo del tiempo. Los registros de auditoría integrales capturan todas las interacciones con datos y modelos, permitiendo a las organizaciones medir la integridad del procesamiento, rastrear patrones de acceso e identificar anomalías que podrían indicar riesgos emergentes. El flujo de trabajo estructurado en Ertas Studio captura configuraciones de entrenamiento, métricas de evaluación y benchmarks de rendimiento, proporcionando la base de evidencia cuantitativa que la función Medir requiere para la evaluación continua de riesgos.

La función Gestionar se beneficia de los controles técnicos de Ertas que mitigan directamente los riesgos identificados. La arquitectura on-prem gestiona los riesgos de seguridad y privacidad de datos al eliminar la transmisión de datos externa. La redacción de PII gestiona los riesgos de privacidad en los datos de entrenamiento. El cifrado y los controles de acceso de Vault gestionan los riesgos de confidencialidad y acceso no autorizado. El despliegue air-gapped gestiona los riesgos de exfiltración de datos. Estos controles técnicos sirven como tratamientos de riesgo concretos que las organizaciones pueden documentar en sus planes de gestión de riesgos de IA, demostrando la implementación sistemática de los resultados de la función Gestionar del marco.

Compliance Checklist