La gestión de riesgos de la IA es la práctica de identificar y abordar de manera sistemática los riesgos que los sistemas de inteligencia artificial introducen en una organización. Abarca riesgos técnicos (vulnerabilidades de seguridad, fallos de los modelos), riesgos operativos (Shadow AI, uso no autorizado), riesgos de cumplimiento (infracciones normativas, protección de datos) y riesgos estratégicos (dependencia de un proveedor, daño a la reputación).
El marco de gestión de riesgos de la IA del NIST (NIST AI RMF) ofrece una estructura ampliamente adoptada, organizada en torno a cuatro funciones: Gobernar (establecer políticas y procesos de gestión de riesgos de la IA), Mapear (identificar y categorizar los riesgos de la IA), Medir (analizar y evaluar los riesgos identificados) y Gestionar (implementar controles y supervisar su eficacia).
Las principales categorías de riesgos de la IA incluyen: riesgos de privacidad y protección de datos, preocupaciones sobre sesgos y equidad, vulnerabilidades de seguridad incluidos los ataques adversarios, riesgos de propiedad intelectual, riesgos de cumplimiento normativo, fiabilidad operativa, riesgos de la cadena de suministro derivados de los proveedores de IA y consideraciones éticas.
Una gestión eficaz de los riesgos de la IA requiere una colaboración interfuncional entre los equipos de seguridad, jurídicos, de cumplimiento, de TI y de negocio, respaldada tanto por controles técnicos (supervisión, DLP, gestión de accesos) como por controles organizativos (políticas, formación, comités de gobernanza).