Gobernanza de IA con NIST AI RMF y Google SAIF
Más allá de los controles técnicos, gobernar la IA requiere un marco. Comparamos el NIST AI Risk Management Framework y el Secure AI Framework (SAIF) de Google y cómo combinarlos.
En resumen
Gobernar la IA no es solo añadir controles técnicos: es gestionar el riesgo de forma sistemática y a lo largo de todo el ciclo de vida. Dos marcos complementarios ayudan: el NIST AI RMF (gestión de riesgo, voluntario y agnóstico) y el SAIF de Google (seguridad práctica de sistemas de IA). El primero da el «qué» y el «por qué»; el segundo, mucho del «cómo» técnico.
¿Qué es el NIST AI Risk Management Framework?
El NIST AI RMF es un marco voluntario publicado por el Instituto Nacional de Estándares y Tecnología de EE. UU. para gestionar los riesgos de la IA. Es agnóstico de tecnología y se organiza en cuatro funciones que se retroalimentan:
- Govern (Gobernar): cultura, políticas, roles y responsabilidades sobre el riesgo de IA. Es transversal a las demás.
- Map (Mapear): entender el contexto y identificar los riesgos del sistema concreto.
- Measure (Medir): analizar y evaluar esos riesgos con métodos y métricas.
- Manage (Gestionar): priorizar y actuar sobre los riesgos, asignando recursos.
NIST publicó además un perfil específico para IA generativa que adapta el marco a riesgos propios de los modelos generativos, útil como guía concreta.
¿Qué es el SAIF de Google?
El Secure AI Framework (SAIF) es un marco conceptual de Google centrado en la seguridad de los sistemas de IA. Aporta principios y prácticas para proteger datos, modelos e infraestructura, extender las protecciones de seguridad existentes al dominio de la IA y aplicar defensa en profundidad teniendo en cuenta amenazas específicas como el envenenamiento de datos o la extracción de modelos.
¿Cómo se combinan en la práctica?
| Aspecto | NIST AI RMF | Google SAIF |
|---|---|---|
| Enfoque | Gestión de riesgo | Seguridad técnica |
| Naturaleza | Marco voluntario, agnóstico | Marco de principios y prácticas |
| Aporta | El qué y el porqué (gobierno) | Mucho del cómo técnico |
| Mejor uso | Estructura de gobierno global | Controles de seguridad concretos |
Una organización madura usa el NIST AI RMF para estructurar su gobierno y gestión de riesgo, SAIF para guiar los controles de seguridad técnica, y el OWASP LLM Top 10 como checklist de riesgos concretos en aplicaciones con LLM. No compiten: operan en capas distintas.
Puntos clave
- NIST AI RMF: cuatro funciones (Govern, Map, Measure, Manage) para gestionar el riesgo de IA.
- SAIF: principios y prácticas para la seguridad técnica de sistemas de IA.
- Son complementarios: gobierno + seguridad + checklist de riesgos (OWASP).
- La gobernanza es continua y transversal, no un documento que se archiva.
¿Son obligatorios estos marcos?
El NIST AI RMF y SAIF son voluntarios, pero adoptarlos facilita el cumplimiento de regulaciones emergentes y demuestra diligencia. En LatAm y la UE conviene alinearlos además con la normativa local de protección de datos.
¿Por dónde empezar si es una pyme?
Empieza por la función Govern del NIST (roles y políticas básicas) y por los controles de mayor riesgo del OWASP LLM Top 10. La gobernanza puede ser ligera al principio y madurar con el uso.
Fuentes y lecturas recomendadas
¿Quieres aplicar esto en tu organización? Conoce nuestro servicio de Gobierno, Seguridad & Cumplimiento.
HablemosArtículos relacionados
OWASP Top 10 para aplicaciones LLM: los riesgos de seguridad de la IA
La lista OWASP Top 10 para LLM (edición 2025) recoge los principales riesgos de seguridad de las aplicaciones con modelos de lenguaje. Repasamos cada uno y cómo mitigarlo.
Leer artículo
Cómo diseñar agentes de IA empresariales con control y trazabilidad
Un agente útil en la empresa no es el más autónomo, sino el más gobernable. Principios de diseño para agentes con permisos acotados, contexto cuidado y auditoría completa.
Leer artículo¿Tienes un reto de datos o IA?
Conversemos sobre cómo llevar estas ideas a producción con gobierno, seguridad y operación.
Agendar diagnóstico