El National Institute of Standards and Technology (en adelante, “NIST”), ha publicado el «Cybersecurity Framework Profile for Artificial Intelligence (Cyber AI Profile)», un borrador preliminar de una metodología estructurada para gestionar los riesgos de ciberseguridad específicos de los sistemas de Inteligencia Artificial (en adelante, “IA”).
Asimismo, el estándar publicado por el NIST pretende identificar oportunidades para utilizar la IA en la mejora de las capacidades de ciberseguridad de las organizaciones. El documento busca alinear la gestión de la IA con el marco de referencia NIST Cybersecurity Framework (CSF) 2.0, facilitando un lenguaje común para que las entidades evalúen su postura actual y definan su situación en materia de seguridad en el ámbito de la IA.
Desde una perspectiva técnica, destacan las siguientes ideas:
- Integración con el CSF 2.0: El perfil de cumplimiento del NIST desglosa los resultados esperados de ciberseguridad en las funciones principales establecidas por el CSF, un documento de ciberseguridad más amplio del propio NIST: Govern (Gobernar), Identify (Identificar), Protect (Proteger), Detect (Detectar), Respond (Responder) y Recover (Recuperar). El documento adapta cada subcategoría a las particularidades de los sistemas de IA.
- Enfoque en el ciclo de vida del sistema de IA: el perfil de cumplimiento subraya la idea de que la seguridad no es un evento estático, sino que debe cubrir todo el ciclo de vida del sistema (dynamism), desde la adquisición y el entrenamiento de datos hasta el despliegue y la retirada, asegurando que los controles de seguridad evolucionen con el propio sistema.
- Gobernanza y gestión de riesgos de ciberseguridad: el NIST da especial importancia a la función de «gobernar» (govern), estableciendo roles, responsabilidades y requisitos para la transparencia de los proveedores, la rendición de cuentas en la cadena de suministro y la alineación de la ciberseguridad con las políticas de ética y privacidad de la organización.
