OASF no OASF un documento marco más. Se trata de una arquitectura de gobernanza estructurada y basada en dominios que define los límites de control que necesita tu organización y que determina lo que Aegis en tiempo de ejecución. Está directamente alineado con AI de la UE yRMFAI RMF NIST .
Cada ámbito aborda una dimensión concreta de la gobernanza: desde cómo se clasifican y gestionan AI , hasta cómo se aprueban y supervisan los modelos, pasando por cómo se detectan los incidentes y cómo se responde a ellos. Haz clic en cualquier ámbito para explorar sus controles.
Define cómo se clasifican, gestionan, protegen y controlan los datos a lo largo de las interacciones con la IA. Establece las normas de minimización de datos, limitación de la finalidad y protección que Aegis Guard en tiempo de ejecución, garantizando que los datos sensibles nunca lleguen a modelos de IA no autorizados.
Aegis
Los controles OASF determinan las reglasGuard Aegis Guard , definiendo qué clasificaciones de datos activan la censura, el bloqueo o routing prioritario routing tiempo de ejecución.
Define los niveles de confidencialidad de los datos para AI , desde «público» hasta «restringido». Especifica qué categorías de datos pueden ser procesadas por cada tipo AI .
Normas que regulan el uso de datos personales en AI , el entrenamiento y los resultados AI . Garantiza el cumplimiento de los principios de minimización de datos y limitación de la finalidad del RGPD en el momento de AI .
Prohíbe el tratamiento de datos de categorías especiales contempladas en el artículo 9 del RGPD (salud, datos biométricos, origen étnico) mediante AI no autorizados. Define las excepciones autorizadas y los controles aplicables.
Normas que regulan la transferencia de datos a proveedores de inteligencia artificial fuera de la UE/EEE. Define los mecanismos de transferencia autorizados y routing para las clasificaciones de datos sensibles.
Define cómo se evalúan, aprueban, catalogan, supervisan y retiran los modelos de IA. Establece el registro de modelos aprobados queRouting Aegis Routing para seleccionar y controlar el acceso a los modelos, garantizando así que los empleados solo interactúen con modelos de IA verificados y aprobados.
Aegis
Los controles OASF alimentan elRouting Aegis , definiendo qué modelos están aprobados para cada clasificación de datos y cada contexto empresarial.
Define el proceso de evaluación y aprobación de AI antes de su implantación en la empresa. Incluye una revisión de seguridad, una evaluación de sesgos, una evaluación de la explicabilidad y una comprobación del cumplimiento normativo.
Mantiene el registro oficial de AI aprobados, proveedores y casos de uso permitidos. Define las reglas de correspondencia entre modelos y clasificación de datos, así como los límites de acceso.
Supervisión continua de AI implementados para detectar desviaciones, sesgos, deterioro del rendimiento y manipulación adversaria. Define los umbrales de escalación y los procedimientos de respuesta.
Medidas para identificar y gestionar el uso no autorizado de herramientas de IA en toda la empresa. Define los métodos de detección, risk y los procedimientos de corrección para la IA en la sombra.
Define cómo se verifica la identidad, se autoriza el acceso y se aplican los roles en las interacciones con la IA. Toda interacción con la IA debe estar vinculada a una identidad, lo que garantiza que el audit pueda reconstruir quién accedió a qué, cuándo y por qué.
Aegis
Los controles OASF gestionan la vinculaciónGateway Aegis Gateway : integración de SSO, aplicación de la autenticación multifactorial (MFA) y acceso basado en roles a modelos de IA aprobados.
Exige que todas AI estén vinculadas a una identidad corporativa verificada. Prohíbe AI desde cuentas anónimas o compartidas. Impone la integración del inicio de sesión único (SSO) con el sistema de gestión de identidades y accesos (IAM) de la empresa.
Define controles de acceso basados en roles para el uso AI . Los roles empresariales determinan a qué modelos, clasificaciones de datos y AI se puede acceder; estos controles se aplican en el nivel de gobernanza.
Controles mejorados para el acceso privilegiado a los sistemas de IA: administradores de modelos, responsables de gobernanza y audit . Define los flujos de trabajo de aprobación y los procedimientos de acceso «justo a tiempo».
Define los controles técnicos de seguridad que protegen a AI frente a ataques adversarios, la manipulación y el uso indebido. Abarca la defensa contra la inyección de prompts, la robustez frente a ataques adversarios y la modelización de amenazas AI: controles de seguridad para los que las herramientas SIEM y los sistemas DLP tradicionales no fueron diseñados.
Aegis
Los controles OASF impulsan la inspecciónGuard Aegis Guard , detectando ataques de inyección, intentos de jailbreak y policy antes de que lleguen al modelo.
Controles para detectar y bloquear ataques de inyección en las indicaciones: intentos de eludir Gobernanza IA mediante instrucciones maliciosas incrustadas en las indicaciones o en los datos de entrada.
Controles de supervisión y detección de entradas adversas diseñadas para manipular los resultados del modelo, extraer datos de entrenamiento o provocar un comportamiento anómalo del modelo en entornos de producción.
Modelización estructurada de amenazas para AI : identificación de superficies de ataque, agentes maliciosos y vectores de ataque específicos de AI en entornos empresariales regulados.
Controles de seguridad para las cadenas de suministro de modelos de IA: verificación de los proveedores de modelos, validación de la integridad de los modelos y gestión risk asociados a los componentes de IA de terceros.
Define los requisitos de registro, elaboración de informes y generación de pruebas que permiten Gobernanza IA ante los organismos reguladores, los consejos de administración y los auditores. Cada interacción de la IA debe poder reconstruirse: quién, qué datos, qué modelo, qué policy y cuál fue el resultado.
Aegis
Los controles OASF definen el esquemaAudit Aegis : cada campo, cada clasificación y cada policy que debe registrarse y conservarse.
Requisitos obligatorios de registro para todas las interacciones con la IA: marca de tiempo, identidad del usuario, clasificaciones de datos detectadas, políticas aplicadas, modelo utilizado y policy . Se exige que la integridad del registro sea a prueba de manipulaciones.
Define la periodicidad de los informes de gobernanza, los formatos de los informes y los indicadores necesarios para la presentación de informes al consejo de administración, a la dirección y a las autoridades reguladoras. Incluye risk de IA, la tasa policy y el resumen de incidentes.
Controles para generar, mantener y elaborar pruebas normativas: registros de tratamiento en el marco del RGPD, documentación de conformidad con la Ley de IA de la UE, pruebas de las medidas NIS2 y exportaciones audit .
Define cómo se detectan, clasifican, contienen, investigan y notifican los incidentes de seguridad AI. Los manuales tradicionales de respuesta a incidentes no se diseñaron para hacer frente AI , la manipulación de modelos o los fallos de gobernanza; este ámbito cubre esa laguna.
Aegis
Los controles OASF definen los umbrales Aegis : es decir, cuándo policy , los patrones anómalos o los incidentes relacionados con las credenciales activan una escalación automática.
Define la taxonomía de incidentes específicos de la IA: fuga de datos, manipulación de modelos, elusión de los mecanismos de gobernanza, compromiso de credenciales, ataques adversarios e incumplimiento normativo. Se ajusta a los requisitos de notificación en un plazo de 72 horas del RGPD y a los NIS2 .
Procedimientos de respuesta estructurados para cada categoría AI : medidas de contención, requisitos de investigación, obligaciones de notificación y vías de escalación en el marco de la gobernanza.
Proceso obligatorio de revisión posterior a Seguridad IA : análisis de las causas fundamentales, identificación de deficiencias en los controles, requisitos de actualización OASF y documentación de notificación a las autoridades reguladoras.
Cada OASF se corresponde con los marcos normativos a los que tu organización ya está sujeta. OASF no OASF un nuevo lenguaje que haya que aprender, sino una aplicación práctica de las normas que ya conoces.
La mayoría de los marcos de gobernanza generan documentos. OASF controles operativos. Cada dominio, cada control y cada policy del marco se convierte en una regla de aplicación en tiempo de ejecución en Aegis lo que hace que la gobernanza sea cuantificable, auditable y demostrable.
Identifica las deficiencias en risk gobernanza, y define los aspectos que OASF abordar
Define la arquitectura de control y se convierte en el policy de Aegis
Aplica OASF en tiempo de ejecución y genera audit que se incorporan al proceso de gobernanza.
OASF la arquitectura de gobernanza que Aegis en tiempo de ejecución; por lo general, esta se establece mediante una OASAT que identifica las deficiencias de gobernanza y los controles que necesita su organización.