El Marco de Gestión de Riesgos de IA del NIST y la Gestión de Riesgos de Terceros

Aproveche esta guía para alinear su programa de TPRM con el NIST AI RMF y gestionar mejor los riesgos de IA de terceros en su organización.

Sarah Hemmersbach
Sarah Hemmersbach 1 de abril de 2025 9 minutos de lectura
Imagen del banner del blog RMF de IA del NIST

¿Qué es el Marco de Gestión de Riesgos de IA del NIST?

En respuesta al creciente uso empresarial de los sistemas de inteligencia artificial (IA) —y a la correspondiente falta de orientación sobre cómo gestionar sus riesgos—, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. introdujo el Marco de Gestión de Riesgos de IA (AI RMF) en enero de 2023. Según el NIST, el objetivo del AI RMF es «ofrecer un recurso a las organizaciones que diseñan, desarrollan, implementan o utilizan sistemas de IA para ayudar a gestionar los numerosos riesgos de la IA y promover el desarrollo y el uso fiable y responsable de los sistemas de IA». El AI RMF es un marco voluntario y puede aplicarse en cualquier empresa, sector o zona geográfica.

El RMF se divide en dos partes. La parte 1 incluye una descripción general de los riesgos y las características de lo que el NIST denomina «sistemas de IA fiables». La parte 2 describe cuatro funciones que ayudan a las organizaciones a abordar los riesgos de los sistemas de IA: gobernar, mapear, medir y gestionar. La siguiente ilustración repasa las cuatro funciones.

NIST AI RMF Governance Domains Ilustración en colores de la marca Mitratech
Las funciones del marco de gestión de riesgos de la IA. 

¿Cómo se aplica el Marco de Gestión de Riesgos de IA del NIST a la gestión de riesgos de terceros?

Es importante que las organizaciones tengan en cuenta los principios de gestión de riesgos para minimizar los posibles efectos negativos de los sistemas de IA, como las alucinaciones, la privacidad de los datos y las amenazas a los derechos civiles. Esta consideración también se extiende al uso de sistemas de IA de terceros o al uso de sistemas de IA por parte de terceros. Los posibles riesgos del uso indebido de la IA por parte de terceros incluyen:

  • Vulnerabilidades de seguridad en la propia aplicación de IA. Sin la gobernanza y las salvaguardas adecuadas, su organización podría verse expuesta a un compromiso del sistema o de los datos.
  • Falta de transparencia en las metodologías o mediciones del riesgo de IA. Las deficiencias en la medición y presentación de informes podrían dar lugar a una subestimación del impacto de los posibles riesgos de IA.
  • Las políticas de seguridad de la IA son incompatibles con otros procedimientos de gestión de riesgos existentes. Esta incompatibilidad da lugar a auditorías complicadas y que requieren mucho tiempo, lo que podría acarrear posibles consecuencias negativas en materia legal o de cumplimiento normativo.

Según el NIST, el RMF ayudará a las organizaciones a superar estos riesgos potenciales.

Consideraciones clave sobre la gestión de riesgos de terceros en el Marco de gestión de riesgos de IA del NIST

El NIST AI RMF desglosa sus cuatro funciones principales en 19 categorías y 72 subcategorías que definen acciones y resultados específicos. El NIST ofrece un práctico manual que explica con más detalle las acciones.

La tabla siguiente repasa las cuatro funciones y categorías seleccionadas del marco y sugiere consideraciones para abordar los posibles riesgos de la IA de terceros.

NOTA: Esta es una tabla resumen. Para un análisis completo del Marco de Gestión de Riesgos de IA del NIST, descargue la versión completa e involucre a los equipos de auditoría interna, legal, TI, seguridad y gestión de proveedores de su organización.

Categoría RMF de IA del NIST Consideraciones sobre el TPRM
GOVERN es la función fundamental del RMF, que establece una cultura de gestión de riesgos, define los procesos y proporciona estructura al programa.
GOVERN 1: Las políticas, los procesos, los procedimientos y las prácticas de toda la organización relacionados con la identificación, la medición y la gestión de los riesgos de la IA están establecidos, son transparentes y se aplican de manera eficaz.

GOVERN 2: Se han establecido estructuras de rendición de cuentas para que los equipos y las personas adecuados estén capacitados, sean responsables y estén formados para identificar, medir y gestionar los riesgos de la IA.

GOVERN 3: Los procesos de diversidad, equidad, inclusión y accesibilidad de la fuerza laboral se priorizan en la identificación, medición y gestión de los riesgos de la IA a lo largo de todo el ciclo de vida.

GOVERN 4: Los equipos organizativos están comprometidos con una cultura que tiene en cuenta y comunica los riesgos de la IA.

GOVERN 5: Existen procesos para una colaboración sólida con los actores relevantes en el ámbito de la IA.

GOVERN 6: Existen políticas y procedimientos para abordar los riesgos y beneficios de la IA derivados del software y los datos de terceros y otras cuestiones relacionadas con la cadena de suministro.

 Desarrolle políticas y procedimientos de IA como parte de su programa integral de gestión de riesgos de terceros (TPRM), en consonancia con sus marcos generales de seguridad de la información y gobernanza, riesgo y cumplimiento.

Busque expertos que colaboren con su equipo en la definición e implementación de procesos y soluciones de IA y TPRM; en la selección de cuestionarios y marcos de evaluación de riesgos; y en la optimización de su programa para abordar los riesgos de IA a lo largo de todo el ciclo de vida de los terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, de acuerdo con la propensión al riesgo de su organización.

Como parte de este proceso, debe definir:

  • Políticas, normas, sistemas y procesos de gobierno para proteger los datos frente a los riesgos de la IA.
  • Requisitos legales y normativos, garantizando que los terceros sean evaluados adecuadamente.
  • Funciones y responsabilidades claras (por ejemplo, RACI) para la rendición de cuentas del equipo.
  • Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.
  • Metodologías de evaluación y supervisión basadas en la criticidad de terceros y revisadas continuamente.
  • Inventarios de IA de terceros
  • Mapeo de cuartos para comprender la exposición a los riesgos basados en el uso de la IA en su ecosistema ampliado.
  • Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI) para las partes interesadas internas.
  • Requisitos contractuales y derecho a auditoría
  • Requisitos de respuesta ante incidentes
  • Informes sobre riesgos y partes interesadas internas
  • Estrategias de mitigación y remediación de riesgos
MAP es la función que establece el contexto para enmarcar los riesgos relacionados con un sistema de IA.
MAPA 1: Se establece y se comprende el contexto.

MAPA 2: Se realiza la categorización del sistema de IA.

MAPA 3: Se comprenden las capacidades de la IA, su uso específico, los objetivos y los beneficios y costes previstos en comparación con los puntos de referencia adecuados.

MAPA 4: Se mapean los riesgos y beneficios de todos los componentes del sistema de IA, incluidos el software y los datos de terceros.

MAPA 5: Se caracterizan los impactos en las personas, los grupos, las comunidades, las organizaciones y la sociedad.

 El desarrollo de un proceso sólido de gestión de riesgos y la comprensión del contexto del uso de la IA comienzan con la elaboración de perfiles y la clasificación de terceros, lo que implica cuantificar los riesgos inherentes a todos los terceros, en este caso, los riesgos inherentes a la IA. Los criterios utilizados para calcular el riesgo inherente para la clasificación y categorización de terceros incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones empresariales
  • Ubicación(es) y consideraciones legales o normativas relacionadas
  • Nivel de dependencia de terceros (para evitar el riesgo de concentración)
  • Exposición a procesos operativos o de atención al cliente
  • Interacción con datos protegidos

A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores según su exposición al riesgo de IA, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.

La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de interacciones de datos y consideraciones normativas.
MEASURE es la función que analiza, evalúa, compara y supervisa los riesgos de la IA y sus repercusiones.
MEDIDA 1: Se identifican y aplican métodos y métricas adecuados.

MEDIDA 2: Se evalúan las características de fiabilidad de los sistemas de IA.

MEDIDA 3: Se han establecido mecanismos para realizar un seguimiento de los riesgos identificados relacionados con la IA a lo largo del tiempo.

MEDIDA 4: Se recopila y evalúa la información sobre la eficacia de la medición.

 Busque soluciones con una amplia biblioteca de plantillas prediseñadas para evaluaciones de riesgos de terceros. Se debe evaluar a los proveedores externos en cuanto a sus prácticas de IA durante la incorporación, la renovación del contrato o con la frecuencia necesaria (por ejemplo, trimestral o anualmente), dependiendo de los cambios sustanciales.

Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas, a fin de garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación.

En particular, una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que los terceros aborden los riesgos de manera rápida y satisfactoria, al tiempo que proporcionan las pruebas adecuadas a los auditores.

Para complementar las evaluaciones de IA de los proveedores, realice un seguimiento y análisis continuos de las amenazas externas a terceros. Como parte de ello, supervise Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades. Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, la corrección y las iniciativas de respuesta.

Las fuentes de supervisión suelen incluir:

  • Más de 1500 foros criminales; miles de páginas onion; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550 000 empresas.
  • Bases de datos que contienen más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.

Por último, mida continuamente los KPI y KRI de terceros en función de sus requisitos para ayudar a su equipo a descubrir tendencias de riesgo, determinar el estado de riesgo de terceros e identificar excepciones al comportamiento habitual que podrían justificar una investigación más profunda.
La función GESTIONAR implica asignar recursos de riesgo a los riesgos mapeados y medidos de forma regular y según lo definido por la función GOBERNAR. Esto incluye planes para responder, recuperarse y comunicar incidentes o eventos.
GESTIONAR 1: Se priorizan, se responde y se gestionan los riesgos de IA basados en evaluaciones y otros resultados analíticos de las funciones MAP y MEASURE.

GESTIONAR 2: Se planifican, preparan, implementan, documentan y comunican estrategias para maximizar los beneficios de la IA y minimizar los impactos negativos, basándose en las aportaciones de los actores relevantes en el ámbito de la IA.

GESTIONAR 3: Se gestionan los riesgos y beneficios de la IA procedentes de entidades terceras.

GESTIONAR 4: Se documentan y supervisan periódicamente los tratamientos de riesgos, incluidas las respuestas y la recuperación, así como los planes de comunicación para los riesgos de IA identificados y medidos.

 Como parte de su estrategia general de gestión de incidentes, asegúrese de que su programa de respuesta a incidentes de terceros permita a su equipo identificar rápidamente, responder, informar y mitigar el impacto de los incidentes de seguridad relacionados con la IA de proveedores externos.

Las capacidades clave de un servicio de respuesta a incidentes de terceros incluyen:

  • Evaluaciones de gestión de eventos e incidentes continuamente actualizadas y personalizables.
  • Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
  • Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del calendario previsto.
  • Informes proactivos de proveedores
  • Vistas consolidadas de calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
  • Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio.
  • Plantillas de informes integradas para partes interesadas internas y externas.
  • Orientación a partir de recomendaciones de remediación integradas para reducir el riesgo.
  • Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros, cuartos y enésimos para visualizar las rutas de información y revelar los datos en riesgo.

Con esta información, su equipo podrá gestionar y clasificar mejor a las entidades externas, comprender el alcance y el impacto del incidente, qué datos se vieron afectados, si las operaciones de la entidad externa se vieron afectadas y cuándo se completarán las medidas correctivas.

 

Próximos pasos: alinear los controles de IA de terceros con su programa TPRM

Mitratech puede ayudar a su organización a mejorar no solo su propia gobernanza de la IA, sino también la forma en que gestiona los riesgos de la IA de terceros. En concreto, podemos ayudarle a:

  • Establezca políticas, normas, sistemas y procesos de gobernanza para proteger los datos y los sistemas frente a los riesgos de la IA como parte de su programa general de TPRM. (Se ajusta a la categoría GOVERN 6).
  • Perfil y nivel de terceros, cuantificando los riesgos inherentes asociados al uso de IA por parte de terceros para garantizar que se identifiquen todos los riesgos. (En consonancia con la categoría MAP 4).
  • Realice evaluaciones exhaustivas de riesgos de terceros y supervise y mida continuamente los riesgos específicos de la IA en el contexto de su programa TPRM. (Se ajusta a la categoría MEDIR).
  • Garantizar una respuesta integral ante incidentes relacionados con riesgos específicos de la IA procedentes de entidades externas. (En consonancia con MANAGE 3.)

Aprovechar el Marco de gestión de riesgos de IA del NIST en su programa TPRM ayudará a su organización a establecer controles y responsabilidades sobre el uso de IA por parte de terceros. Para obtener más información sobre cómo Mitratech puede ayudarle a simplificar este proceso, solicite una demostración hoy mismo.

 

Nota del editor: esta publicación se publicó originalmente en Prevalent.net en 2023 y se actualizó en abril de 2025. En octubre de 2024, Mitratech adquirió Prevalent, una empresa de gestión de riesgos de terceros basada en inteligencia artificial. Desde entonces, el contenido se ha actualizado para incluir información alineada con nuestra oferta de productos, los cambios normativos y el cumplimiento normativo.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.