Nuevo documento conceptual del NIST describe un marco de ciberseguridad específico para la IA

El NIST ha publicado un documento conceptual sobre nuevas superposiciones de control para proteger los sistemas de IA, basado en el marco SP 800-53. Descubra qué abarca el nuevo marco y por qué los expertos solicitan descripciones más detalladas.

En un paso significativo hacia la gestión de los riesgos de seguridad de la inteligencia artificial ( IA ), el Instituto Nacional de Estándares y Tecnología ( NIST ) ha publicado un nuevo documento conceptual que propone un marco de superposiciones de control para proteger los sistemas de IA.

Este marco se basa en la conocida Publicación Especial (SP) 800-53 del NIST, con la que muchas organizaciones ya están familiarizadas para gestionar los riesgos de ciberseguridad, mientras que estas superposiciones son esencialmente un conjunto de pautas de ciberseguridad para ayudar a las organizaciones.

El documento conceptual ( PDF ) describe varios escenarios sobre cómo estas directrices podrían utilizarse para proteger diferentes tipos de IA. El documento define una superposición de controles como una forma de personalizar los controles de seguridad para una tecnología específica, lo que flexibiliza las directrices para diferentes aplicaciones de IA. También incluye controles de seguridad específicos para desarrolladores de IA , basados en estándares existentes como NIST 800-53.

En esta imagen, NIST ha identificado casos de uso para organizaciones que utilizan IA, como por ejemplo con sistemas de IA generativa, IA predictiva e IA agentica .

Si bien la medida se considera un buen comienzo, no está exenta de críticas. Melissa Ruzzi , directora de IA en AppOmni, compartió su opinión sobre el artículo con Hackread.com, sugiriendo que las directrices deben ser más específicas para ser realmente útiles. Ruzzi cree que los casos de uso son un buen punto de partida, pero carecen de descripciones detalladas.

“Los casos de uso parecen capturar las implementaciones de IA más populares”, dijo, “pero necesitan ser descritos y definidos de manera más explícita…” Señala que los diferentes tipos de IA, como los que son “supervisados” versus los “no supervisados”, tienen diferentes necesidades.

También enfatiza la importancia de la confidencialidad de los datos. Según Ruzzi, las directrices deberían incluir controles y monitoreo más específicos según el tipo de datos utilizados, como información personal o médica. Esto es crucial, ya que el objetivo del documento es proteger la confidencialidad, integridad y disponibilidad de la información para cada caso de uso.

Los comentarios de Ruzzi destacan un desafío clave en la creación de un marco de seguridad universal para una tecnología que evoluciona tan rápidamente. El documento del NIST es un primer paso, y la organización solicita la opinión del público para ayudar a dar forma a su versión final.

Incluso ha lanzado un canal de Slack donde expertos y miembros de la comunidad pueden unirse a la conversación y contribuir al desarrollo de estas nuevas directrices de seguridad. Este enfoque colaborativo demuestra que el NIST se toma en serio la creación de un marco integral y práctico para el mundo real.