CUMPLIMIENTO · NIST AI RMF · 1.0

Formación federal de gestión de riesgos de IA para
NIST AI RMF 1.0.

GOVERN / MAP / MEASURE / MANAGE no aceptan "hemos leído el framework". Esperan competencia demostrable en seguridad, resiliencia, medición de sesgo, tratamiento de riesgo y mejora continua — por cada desarrollador que entregue funciones de IA.

Ver la formación Hablar con ventas
GovernMap · Measure · Manage
MEASURE-2.7Seguridad IA
85+Temas de IA cubiertos
QUÉ ES

NIST AI RMF es la base federal estadounidense de riesgo de IA.

El NIST AI Risk Management Framework 1.0 (enero de 2023) proporciona orientación voluntaria y alineada federalmente para la gestión de riesgos de IA. Aunque voluntaria, es la base de facto para los programas federales de IA de EE.UU., contratación próxima a FedRAMP y la mayoría de los despliegues de IA del DoD.

AI RMF organiza el riesgo en torno a cuatro funciones — GOVERN, MAP, MEASURE, MANAGE — con subcategorías detalladas. Los controles orientados al desarrollador residen principalmente en MEASURE-2.7 (seguridad y resiliencia) y MEASURE-2.8 (sesgo, equidad y drift), con tratamiento capturado bajo MANAGE-2.4 y MANAGE-4.1.

MAPEO DE CONTROLES

Funciones del AI RMF — y cómo la formación cubre cada una.

Cada subcategoría del AI RMF está mapeada a ejercicios aplicados y escenarios guiados extraídos de los tracks OWASP LLM Top 10, OWASP Agentic AI Top 10 y Desarrollo Seguro Asistido por IA.

Subcategoría
Resultado
Cobertura de formación
GOVERN-1.1
Políticas y Roles para Riesgo de IA
Políticas, procesos y roles para la gestión de riesgos de IA alineados con los principios organizacionales (GOVERN-1.1).
Brechas de evidencia de cumplimiento en AI Dev Tools; formación de acceso basada en roles para uso de herramientas de IA.
MAP-1.1
Contexto y Objetivos del Sistema de IA
Documentar el contexto del sistema de IA, los usos previstos, los usos indebidos previsibles y las partes interesadas (MAP-1.1).
Formación Agentic AI en intent breaking + specification gaming; plantillas de modelado de amenazas.
MEASURE-2.7
Seguridad y Resiliencia de IA
Evaluar la seguridad y resiliencia del sistema de IA contra entradas adversariales, envenenamiento, evasión y abuso (MEASURE-2.7).
Stack completo OWASP LLM Top 10; suplantación de identidad Agentic AI; vulnerabilidades de manejo de salida LLM.
MEASURE-2.8
Sesgo, Equidad y Drift en IA
Rastrear y medir el sesgo, equidad y drift conductual del sistema de IA a lo largo del ciclo de vida del despliegue (MEASURE-2.8).
Envenenamiento de datos y modelos LLM; formación en manipulación RLHF; contexto de medición de sesgo para desarrolladores.
MANAGE-2.4
Tratamiento y Mitigación de Riesgos
Aplicar, documentar y actualizar acciones de tratamiento y mitigación de riesgos para sistemas de IA (MANAGE-2.4).
Formación Agentic AI en manipulación HitL de aceptación por defecto; diseño de patrones de aprobación segura.
MANAGE-4.1
Mejora Continua
Capturar, aprender y actuar sobre incidentes de IA, cuasi-accidentes y retroalimentación post-despliegue (MANAGE-4.1).
Agentic AI falta de rastro de auditoría + pérdida de atribución de acciones; patrones seguros de logging + telemetría.
EVIDENCIA

Evidencia por desarrollador para auditorías de programas federales de IA.

Cada ejercicio y escenario completado se registra por desarrollador, etiquetado con la subcategoría del AI RMF y el CWE subyacente. Exportable como PDF o JSON legible por máquina para el reporte de programas federales de IA.

  • Log de finalización por desarrollador etiquetado a subcategorías GOVERN / MAP / MEASURE / MANAGE.
  • CWE subyacente por tema — apoya el reporte de ciberseguridad MEASURE-2.7.
  • Exportación PDF con marca de tiempo y firma — encaja en la documentación de programas federales de IA.
  • Panel de cobertura agregado a las cuatro funciones del AI RMF.
FAQ

Preguntas comunes de equipos federales de programas de IA de EE.UU.

¿Es obligatorio NIST AI RMF para contratistas federales?

AI RMF 1.0 es voluntario a nivel federal, pero está referenciado o requerido en OMB M-24-10, la Estrategia de IA Responsable del DoD y la mayoría del lenguaje de contratación federal de IA desde 2024. Muchos programas adyacentes a lo federal (FedRAMP, clientes GovCloud, contratistas DIB) ahora esperan la alineación con AI RMF como condición mínima.

¿AI RMF requiere específicamente formación de desarrolladores?

Sí. GOVERN-1.1 requiere roles definidos y competencia para la gestión de riesgos de IA. MEASURE-2.7 requiere seguridad y resiliencia medidas — ambas son difíciles de evidenciar sin formación práctica de desarrolladores y registros individuales.

¿Cómo se relaciona AI RMF con NIST 800-53 y FedRAMP?

AI RMF es la capa específica de IA. Los controles NIST 800-53 (familias AC, AU, SC, SI) siguen aplicándose a sistemas de IA; AI RMF añade las dimensiones de riesgo específicas de IA como robustez adversarial, sesgo y drift. La evidencia de SecureCodingHub apoya ambas superficies.

¿Qué hay de NIST AI 600-1 (Perfil GenAI)?

NIST AI 600-1 es el Perfil de IA Generativa de AI RMF, publicado en julio de 2024. Refina MEASURE y MANAGE específicamente para GenAI — prompt injection, integridad de datos de entrenamiento, alucinación, integridad de salida. Nuestro track OWASP LLM Top 10 mapea directamente.

¿Podemos usar esto para despliegues de IA del DoD o de la IC?

Sí. La Estrategia de IA Responsable del DoD y el Marco de Ética de IA de la IC ambos referencian AI RMF como la base técnica. La evidencia por desarrollador con roll-up mapeado por framework es exactamente el tipo de documentación que esos programas esperan.

¿Podemos ejecutar esto junto con nuestros programas EU AI Act e ISO 42001?

Sí — el mismo catálogo de formación satisface AI RMF, los Artículos 9-15 del EU AI Act y el Anexo A de ISO 42001. Una formación, tres frameworks cubiertos.

La contratación federal de IA está preguntando ahora por la alineación con AI RMF.

30 minutos con nuestro equipo. Recorreremos el mapeo del AI RMF, le mostraremos la exportación de evidencia por desarrollador y cómo SSO y SCIM se activan para su IdP.

Ver la demoHablar con ventas