Marco de gestión de riesgos de la IA del NIST

¿Qué es el marco de gestión de riesgos de la IA del NIST?

El Marco de Gestión de Riesgos de la IA (AI RMF) es un conjunto de recomendaciones y directrices desarrolladas por el Instituto Nacional de Normas y Tecnología de EE.UU. (NIST) que las empresas y los desarrolladores pueden utilizar para evaluar y gestionar el riesgo que presentan las soluciones de la Inteligencia Artificial.

A un alto nivel, el marco voluntario del NIST define el riesgo como sistemas de IA que tienen el potencial de amenazar las libertades y los derechos civiles. Los riesgos pueden desglosarse en largo y corto plazo, así como en alto y bajo impacto, baja probabilidad, sistémicos y localizados.

El marco señala que los riesgos relacionados con la IA pueden surgir debido a la naturaleza del propio sistema de IA o a la forma en que los usuarios interactúan con él, por lo que las organizaciones deben ser capaces de contextualizar los riesgos para mitigar los daños potenciales.

El NIST publicó por primera vez la versión 1.0 del AI RMF el 26 de enero de 2023. Posteriormente, el 30 de marzo de 2023, el NIST puso en marcha el Centro de Recursos de Inteligencia Artificial Confiable y Responsable, que asumirá la responsabilidad de aplicar el marco en el futuro.

¿Por qué necesitamos el Marco de Gestión de Riesgos de la IA?

El desarrollo del AI RMF comenzó después de que la Ley de Iniciativa Nacional de Inteligencia Artificial de 2020 pidiera al NIST que desarrollara un conjunto de normas voluntarias para los sistemas de IA.

El NIST también desarrolló el marco como un intento de ayudar a las organizaciones a responder al rápido desarrollo de los sistemas de IA que tienen el potencial de alterar la sociedad y la economía.

La organización pretende utilizar el AI RMF para reducir la probabilidad de que el desarrollo de la IA tenga repercusiones negativas. Para ello, ofrece a organizaciones y reguladores directrices sobre cómo evaluar y gestionar los riesgos que presentan los sistemas de IA.

Merece la pena señalar que el enfoque del NIST trata de apoyar la innovación de la IA al tiempo que desarrolla controles para garantizar que no haya riesgos para la sociedad y las libertades civiles/seguridad de los ciudadanos ordinarios.

4 Funciones básicas del Marco de Gestión de Riesgos de la IA

El Marco de Gestión de Riesgos de la IA presenta a las organizaciones cuatro funciones básicas que pueden utilizar para mitigar los riesgos de la IA. Éstas son:

  • Gobernanza: Garantizar que se cultiva y está presente una cultura organizativa de gestión de riesgos para ayudar a gestionar los riesgos éticos, legales y sociales relacionados con la IA.
  • Cartografía: Categorizar los sistemas de IA y asignar los riesgos del entorno a factores contextuales para comprender mejor el impacto potencial sobre otras organizaciones, las personas y la sociedad en general.
  • Medición: Utilizar una combinación de técnicas de evaluación de riesgos cuantitativas, cualitativas e híbridas para identificar, evaluar y hacer un seguimiento de los riesgos relacionados en los distintos ámbitos de Internet, por ejemplo.
  • Gestión: Identificar de forma proactiva los riesgos relacionados con la IA para gestionar y priorizar la remediación de los riesgos que tengan el impacto potencial más significativo.

¿Qué es la IA fiable?

El Marco de Gestión de Riesgos de la IA del NIST sostiene que la IA fiable “es válida y fiable, segura, justa, y se gestiona el sesgo, segura y resistente, responsable y transparente, explicable e interpretable, y mejora la privacidad”.

Aunque esta definición de IA fiable es en gran medida subjetiva, es probable que los parámetros exactos se definan con mayor precisión en futuras iteraciones del marco.

Por ahora, según el AI RMF, se puede considerar que una IA fiable es cualquier sistema construido teniendo en cuenta la imparcialidad y la explicabilidad, que salvaguarda la privacidad del usuario, genera ideas e información precisas, es controlado para evitar sesgos e información errónea, y no presenta riesgos significativos para los usuarios o la sociedad en general.

¿Qué es la tolerancia al riesgo?

Dentro del Marco de Gestión de Riesgos de la IA del NIST, la tolerancia al riesgo es el nivel de riesgo que una organización está dispuesta a aceptar al implementar un sistema de IA. Normalmente se define por el nivel de riesgo financiero y legal al que una organización puede aceptar exponerse mientras trabaja para lograr un objetivo interno.

Aunque el AI RMF no prescribe la tolerancia al riesgo de las organizaciones, puede proporcionarles algunas orientaciones básicas para empezar a definir su propio nivel de riesgo aceptable y desarrollar procesos para gestionar los riesgos potenciales.

Críticas al AI RMF

Una de las principales críticas al AI RMF del NIST es que las directrices emitidas son de un nivel demasiado alto. Lo que constituye un riesgo es en gran medida subjetivo, y la orientación práctica que se ofrece sobre cómo las organizaciones pueden mitigar estas amenazas es limitada.

Esto se debe, en parte, a que la IA es una tecnología emergente, y existe tal diversidad de variables en la forma en que se despliega la tecnología y los casos de uso para los que está diseñada que no hay una forma única de mitigar los riesgos que presenta.

Otra crítica clave es que el AI RMF destaca el mapeo y la medición como áreas importantes en las que deben centrarse las organizaciones, a pesar de que la medición de la IA Blackbox no es posible en muchos casos.

Asimismo, el hecho de que el marco sea voluntario significa que las organizaciones no están obligadas a desarrollar e implantar la IA de forma responsable. Es probable que esto continúe hasta que haya una mayor regulación en torno al uso de la IA o una declaración de derechos de la IA.

Riesgo y recompensa

Aunque el AI RMF no sustituye a las auditorías periódicas ni a las evaluaciones de riesgos externas, proporciona los elementos básicos para las organizaciones que quieren empezar a gestionar los riesgos de la IA internamente, de modo que puedan aprovechar los beneficios de la adopción tecnológica sin exponerse a consecuencias éticas o legales.

Con la orientación que proporciona el marco, las organizaciones pueden empezar a desarrollar su capacidad para medir el riesgo de la IA y tomar una decisión informada sobre lo que constituye un riesgo aceptable.

Temas relacionados

Tim Keary

Desde enero de 2017, Tim Keary ha sido un escritor y reportero de tecnología independiente que cubre tecnología empresarial y ciberseguridad.