Marco de gestión de riesgos de IA del NIST

Alinee los principios de gobernanza de IA del NIST con su programa TPRM

El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. presentó elMarco de Gestión de Riesgos de la IA (AI RMF)en enero de 2023. Según el NIST, el objetivo del AI RMF es «ofrecer un recurso a las organizaciones que diseñan, desarrollan, implementan o utilizan sistemas de IA para ayudar a gestionar los numerosos riesgos de la IA y promover el desarrollo y el uso fiable y responsable de los sistemas de IA».

El RMF describe cuatro funciones para ayudar a las organizaciones a abordar los riesgos de los sistemas de IA: gobernar, mapear, medir y gestionar.

Prevalent puede ayudar a su organización a alinear su programa de TPRM con el Marco de Gestión de Riesgos de IA del NIST para establecer un mejor control y responsabilidad sobre el uso de IA por parte de terceros.

Requisitos pertinentes

Establezca políticas, normas y procesos de gestión para proteger los datos y los sistemas frente a los riesgos de la IA como parte de su programa general de TPRM.
Perfil y nivel de terceros, cuantificando los riesgos inherentes asociados al uso de IA por parte de terceros para garantizar que se identifiquen todos los riesgos.
Realizar evaluaciones exhaustivas de riesgos de terceros y supervisar y medir continuamente los riesgos específicos de la IA en el contexto de la gestión de riesgos de terceros (TPRM).
Garantizar una respuesta integral ante incidentes relacionados con riesgos específicos de la IA por parte de entidades externas.

Consideraciones sobre TPRM en el RMF de IA del NIST

La tabla siguiente repasa las cuatro funciones y categorías seleccionadas del marco de IA del NIST y sugiere consideraciones para abordar los posibles riesgos de la IA de terceros.

NOTA: Esta es una tabla resumen. Para un examen completo del Marco de gestión de riesgos de IA del NIST, descargue laversión completay consulte con los equipos de auditoría interna, jurídico, TI, seguridad y gestión de proveedores de su organización.

Categoría RMF de IA del NIST	Cómo ayudamos
Gobernares la función fundamental del RMF que establece una cultura de gestión de riesgos, define los procesos y proporciona estructura al programa.
GOVERN 1:Las políticas, los procesos, los procedimientos y las prácticas de toda la organización relacionados con la identificación, la medición y la gestión de los riesgos de la IA están establecidos, son transparentes y se aplican de manera eficaz. GOVERN 2:Se han establecido estructuras de rendición de cuentas para que los equipos y las personas adecuados estén capacitados, sean responsables y estén formados para identificar, medir y gestionar los riesgos de la IA. GOVERN 3:Los procesos de diversidad, equidad, inclusión y accesibilidad de la fuerza laboral se priorizan en la identificación, medición y gestión de los riesgos de la IA a lo largo de todo el ciclo de vida. GOVERN 4:Los equipos organizativos están comprometidos con una cultura que tiene en cuenta y comunica los riesgos de la IA. GOVERN 5:Existen procesos para una colaboración sólida con los actores relevantes en el ámbito de la IA. GOVERN 6:Existen políticas y procedimientos para abordar los riesgos y beneficios de la IA derivados del software y los datos de terceros y otras cuestiones relacionadas con la cadena de suministro.	Prevalent colabora con usted para crear políticas y procedimientos de IA como parte de su programa integral de gestión de riesgos de terceros (TPRM), en consonancia con sus marcos generales de seguridad de la información y gobernanza, riesgo y cumplimiento. Nuestrosexpertoscolaboran con su equipo en la definición e implementación de procesos y soluciones de IA y TPRM; en la selección de cuestionarios y marcos de evaluación de riesgos; y en la optimización de su programa para abordar los riesgos de IA a lo largo de todo el ciclo de vida de los terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, de acuerdo con la propensión al riesgo de su organización. Como parte de este proceso, definimos: Políticas, normas, sistemas y procesos de gobierno para proteger los datos frente a los riesgos de la IA. Requisitos legales y reglamentarios, garantizando que los terceros sean evaluados adecuadamente. Funciones y responsabilidades claras (por ejemplo, RACI) para la rendición de cuentas del equipo. Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización Metodologías de evaluación y supervisión basadas en la criticidad de terceros y revisadas continuamente. Inventarios de IA de terceros Mapeo de cuartos para comprender la exposición a los riesgos basados en el uso de la IA en su ecosistema ampliado. Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI) para las partes interesadas internas. Requisitos contractuales y derecho a auditoría Requisitos de respuesta a incidentes Información sobre riesgos y partes interesadas internas Estrategias de mitigación y corrección de riesgos
El mapaes la función que establece el contexto para enmarcar los riesgos relacionados con un sistema de IA.
MAPA 1:Se establece y se comprende el contexto. MAPA 2:Se realiza la categorización del sistema de IA. MAPA 3:Se comprenden las capacidades de la IA, su uso específico, los objetivos y los beneficios y costes previstos en comparación con los puntos de referencia adecuados. MAPA 4:Se mapean los riesgos y beneficios de todos los componentes del sistema de IA, incluidos el software y los datos de terceros. MAPA 5:Se caracterizan los impactos en las personas, los grupos, las comunidades, las organizaciones y la sociedad.	Prevalent puede ayudar a su organización a desarrollar un proceso sólido de gestión de riesgos y a comprender el contexto del uso de la IA mediante la elaboración de perfiles y la clasificación de terceros, así como la cuantificaciónde los riesgos inherentesa todos los terceros, en este caso los riesgos inherentes a la IA. Los criterios utilizados para calcular el riesgo inherente para la clasificación y categorización de terceros incluyen: Tipo de contenido necesario para validar los controles Importancia crítica para el rendimiento y las operaciones de la empresa Ubicación(es) y consideraciones legales o reglamentarias relacionadas Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración) Experiencia en procesos operativos o de cara al cliente Interacción con datos protegidos A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores según su exposición al riesgo de IA, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas. La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones normativas y de interacción de datos.
La mediciónes la función que analiza, evalúa, compara y supervisa el riesgo de la IA y sus repercusiones.
MEDIDA 1:Se identifican y aplican métodos y métricas adecuados. MEDIDA 2:Se evalúan las características de fiabilidad de los sistemas de IA. MEDIDA 3:Se han establecido mecanismos para realizar un seguimiento de los riesgos identificados relacionados con la IA a lo largo del tiempo. MEDIDA 4:Se recopila y evalúa la información sobre la eficacia de la medición.	La plataforma Prevalent TPRM cuenta con una amplia biblioteca de plantillas prediseñadas para la evaluación de riesgos de terceros. Se debe evaluar las prácticas de IA de los proveedores externos en el momento de su incorporación, renovación del contrato o con la frecuencia necesaria (por ejemplo, trimestral o anualmente), dependiendo de los cambios sustanciales. Las evaluaciones se gestionan de forma centralizada y están respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación. Es importante destacar que Prevalent incluye recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que los terceros aborden los riesgos de manera oportuna y satisfactoria, al tiempo que proporcionan las pruebas adecuadas a los auditores. Para complementar las evaluaciones de IA de los proveedores, Prevalent realiza un seguimiento y análisis continuosde las amenazas externas a terceros. La plataforma Prevalent supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades. Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión de riesgos, presentación de informes, corrección y respuesta. Las fuentes de seguimiento incluyen: Más de 1.500 foros de delincuentes; miles de páginas cebolla; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550.000 empresas. Bases de datos que contienen más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo. Por último, Prevalent mide continuamentelos KPI y KRI de tercerosen función de sus requisitos para ayudar a su equipo a descubrir tendencias de riesgo, determinar el estado de riesgo de terceros e identificar excepciones al comportamiento habitual que podrían justificar una investigación más profunda.
La función«Gestionar»implica asignar recursos de riesgo a los riesgos mapeados y medidos de forma regular y según lo definido por la función «GOBERNAR». Esto incluye planes para responder, recuperarse y comunicar incidentes o eventos.
GESTIONAR 1:Se priorizan, se responde y se gestionan los riesgos de IA basados en evaluaciones y otros resultados analíticos de las funciones MAP y MEASURE. GESTIONAR 2:Se planifican, preparan, implementan, documentan y comunican estrategias para maximizar los beneficios de la IA y minimizar los impactos negativos, basándose en las aportaciones de los actores relevantes en el ámbito de la IA. GESTIONAR 3:Se gestionan los riesgos y beneficios de la IA procedentes de entidades terceras. GESTIONAR 4:Se documentan y supervisan periódicamente los tratamientos de riesgos, incluidas las respuestas y la recuperación, así como los planes de comunicación para los riesgos de IA identificados y medidos.	Como parte de suestrategiageneralde gestión de incidentes, Prevalent le ayuda a garantizar que su programa de respuesta a incidentes de terceros pueda identificar, responder, informar y mitigar rápidamente el impacto delos incidentes de seguridad relacionados con la IA de proveedores externos. Entre sus principales funciones figuran: Evaluaciones de gestión de eventos e incidentes continuamente actualizadas y personalizables. Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario Definición de los propietarios de los riesgos con recordatorios de persecución automatizados para mantener las encuestas dentro de los plazos previstos. Informes proactivos sobre proveedores Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor. Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial en la empresa. Plantillas de informes integradas para partes interesadas internas y externas Orientación de las recomendaciones de corrección incorporadas para reducir el riesgo Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros, cuartos y enésimos para visualizar las rutas de información y revelar los datos en riesgo. Con esta información, su equipo podrá gestionar y clasificar mejor a las entidades externas; comprender el alcance y el impacto del incidente; qué datos se vieron afectados; si las operaciones de la entidad externa se vieron afectadas; y cuándo se completarán las medidas correctivas.

Categoría RMF de IA del NIST

Cómo ayudamos

Gobernares la función fundamental del RMF que establece una cultura de gestión de riesgos, define los procesos y proporciona estructura al programa.

GOVERN 1:Las políticas, los procesos, los procedimientos y las prácticas de toda la organización relacionados con la identificación, la medición y la gestión de los riesgos de la IA están establecidos, son transparentes y se aplican de manera eficaz.

GOVERN 2:Se han establecido estructuras de rendición de cuentas para que los equipos y las personas adecuados estén capacitados, sean responsables y estén formados para identificar, medir y gestionar los riesgos de la IA.

GOVERN 3:Los procesos de diversidad, equidad, inclusión y accesibilidad de la fuerza laboral se priorizan en la identificación, medición y gestión de los riesgos de la IA a lo largo de todo el ciclo de vida.

GOVERN 4:Los equipos organizativos están comprometidos con una cultura que tiene en cuenta y comunica los riesgos de la IA.

GOVERN 5:Existen procesos para una colaboración sólida con los actores relevantes en el ámbito de la IA.

GOVERN 6:Existen políticas y procedimientos para abordar los riesgos y beneficios de la IA derivados del software y los datos de terceros y otras cuestiones relacionadas con la cadena de suministro.

Prevalent colabora con usted para crear políticas y procedimientos de IA como parte de su programa integral de gestión de riesgos de terceros (TPRM), en consonancia con sus marcos generales de seguridad de la información y gobernanza, riesgo y cumplimiento.

Nuestrosexpertoscolaboran con su equipo en la definición e implementación de procesos y soluciones de IA y TPRM; en la selección de cuestionarios y marcos de evaluación de riesgos; y en la optimización de su programa para abordar los riesgos de IA a lo largo de todo el ciclo de vida de los terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, de acuerdo con la propensión al riesgo de su organización.

Como parte de este proceso, definimos:

Políticas, normas, sistemas y procesos de gobierno para proteger los datos frente a los riesgos de la IA.
Requisitos legales y reglamentarios, garantizando que los terceros sean evaluados adecuadamente.
Funciones y responsabilidades claras (por ejemplo, RACI) para la rendición de cuentas del equipo.
Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización
Metodologías de evaluación y supervisión basadas en la criticidad de terceros y revisadas continuamente.
Inventarios de IA de terceros
Mapeo de cuartos para comprender la exposición a los riesgos basados en el uso de la IA en su ecosistema ampliado.
Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI) para las partes interesadas internas.
Requisitos contractuales y derecho a auditoría
Requisitos de respuesta a incidentes
Información sobre riesgos y partes interesadas internas
Estrategias de mitigación y corrección de riesgos

El mapaes la función que establece el contexto para enmarcar los riesgos relacionados con un sistema de IA.

MAPA 1:Se establece y se comprende el contexto.

MAPA 2:Se realiza la categorización del sistema de IA.

MAPA 3:Se comprenden las capacidades de la IA, su uso específico, los objetivos y los beneficios y costes previstos en comparación con los puntos de referencia adecuados.

MAPA 4:Se mapean los riesgos y beneficios de todos los componentes del sistema de IA, incluidos el software y los datos de terceros.

MAPA 5:Se caracterizan los impactos en las personas, los grupos, las comunidades, las organizaciones y la sociedad.

Prevalent puede ayudar a su organización a desarrollar un proceso sólido de gestión de riesgos y a comprender el contexto del uso de la IA mediante la elaboración de perfiles y la clasificación de terceros, así como la cuantificaciónde los riesgos inherentesa todos los terceros, en este caso los riesgos inherentes a la IA. Los criterios utilizados para calcular el riesgo inherente para la clasificación y categorización de terceros incluyen:

Tipo de contenido necesario para validar los controles
Importancia crítica para el rendimiento y las operaciones de la empresa
Ubicación(es) y consideraciones legales o reglamentarias relacionadas
Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración)
Experiencia en procesos operativos o de cara al cliente
Interacción con datos protegidos

A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores según su exposición al riesgo de IA, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.

La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones normativas y de interacción de datos.

La mediciónes la función que analiza, evalúa, compara y supervisa el riesgo de la IA y sus repercusiones.

MEDIDA 1:Se identifican y aplican métodos y métricas adecuados.

MEDIDA 2:Se evalúan las características de fiabilidad de los sistemas de IA.

MEDIDA 3:Se han establecido mecanismos para realizar un seguimiento de los riesgos identificados relacionados con la IA a lo largo del tiempo.

MEDIDA 4:Se recopila y evalúa la información sobre la eficacia de la medición.

La plataforma Prevalent TPRM cuenta con una amplia biblioteca de plantillas prediseñadas para la evaluación de riesgos de terceros. Se debe evaluar las prácticas de IA de los proveedores externos en el momento de su incorporación, renovación del contrato o con la frecuencia necesaria (por ejemplo, trimestral o anualmente), dependiendo de los cambios sustanciales.

Las evaluaciones se gestionan de forma centralizada y están respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación.

Es importante destacar que Prevalent incluye recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que los terceros aborden los riesgos de manera oportuna y satisfactoria, al tiempo que proporcionan las pruebas adecuadas a los auditores.

Para complementar las evaluaciones de IA de los proveedores, Prevalent realiza un seguimiento y análisis continuosde las amenazas externas a terceros. La plataforma Prevalent supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades. Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión de riesgos, presentación de informes, corrección y respuesta.

Las fuentes de seguimiento incluyen:

Más de 1.500 foros de delincuentes; miles de páginas cebolla; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550.000 empresas.
Bases de datos que contienen más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.

Por último, Prevalent mide continuamentelos KPI y KRI de tercerosen función de sus requisitos para ayudar a su equipo a descubrir tendencias de riesgo, determinar el estado de riesgo de terceros e identificar excepciones al comportamiento habitual que podrían justificar una investigación más profunda.

La función«Gestionar»implica asignar recursos de riesgo a los riesgos mapeados y medidos de forma regular y según lo definido por la función «GOBERNAR». Esto incluye planes para responder, recuperarse y comunicar incidentes o eventos.

GESTIONAR 1:Se priorizan, se responde y se gestionan los riesgos de IA basados en evaluaciones y otros resultados analíticos de las funciones MAP y MEASURE.

GESTIONAR 2:Se planifican, preparan, implementan, documentan y comunican estrategias para maximizar los beneficios de la IA y minimizar los impactos negativos, basándose en las aportaciones de los actores relevantes en el ámbito de la IA.

GESTIONAR 3:Se gestionan los riesgos y beneficios de la IA procedentes de entidades terceras.

GESTIONAR 4:Se documentan y supervisan periódicamente los tratamientos de riesgos, incluidas las respuestas y la recuperación, así como los planes de comunicación para los riesgos de IA identificados y medidos.

Como parte de suestrategiageneralde gestión de incidentes, Prevalent le ayuda a garantizar que su programa de respuesta a incidentes de terceros pueda identificar, responder, informar y mitigar rápidamente el impacto delos incidentes de seguridad relacionados con la IA de proveedores externos.

Entre sus principales funciones figuran:

Evaluaciones de gestión de eventos e incidentes continuamente actualizadas y personalizables.
Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
Definición de los propietarios de los riesgos con recordatorios de persecución automatizados para mantener las encuestas dentro de los plazos previstos.
Informes proactivos sobre proveedores
Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial en la empresa.
Plantillas de informes integradas para partes interesadas internas y externas
Orientación de las recomendaciones de corrección incorporadas para reducir el riesgo
Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros, cuartos y enésimos para visualizar las rutas de información y revelar los datos en riesgo.

Con esta información, su equipo podrá gestionar y clasificar mejor a las entidades externas; comprender el alcance y el impacto del incidente; qué datos se vieron afectados; si las operaciones de la entidad externa se vieron afectadas; y cuándo se completarán las medidas correctivas.

Soluciones sectoriales

Alinee los principios de gobernanza de IA del NIST con su programa TPRM

Requisitos pertinentes

Consideraciones sobre TPRM en el RMF de IA del NIST