De documents heretats a OSCAL: pipeline MCP per a compliment continu

Pipeline MCP basat en amenaces converteix documentació heretada en OSCAL per a compliment continu en infraestructures crítiques.

11 jul 2026 • 5 min de lectura • Equip Q2BSTUDIO

Compliment continu basat en amenaces en infraestructures crítiques

En l' ecosistema actual d' infraestructures crítiques, la gestió del compliment normatiu ha esdevinvertit en un desafiament constant. Moltes organitzacions operen entorns heretats on els documents de seguretat, les configuracions de xarxa i els llistats d' actius existeixen en formats obsolets, com arxius PDF, fulls de càlcul o fins i tot paper. La transició cap a un model de compliment continu i automatitzat requereix transformar aquesta informació dispersa en artefactes auditables i estandarditzats. Aquí és on emergeix una proposta innovadora: un pipeline basat en el protocol MCP (Model Context Protocol) que converteix descripcions en llenguatge natural dels sistemes en un graf de coneixement verificable i, a partir d'aquí, genera documents en format OSCAL (Open Security Controls Assessment Language) del NIST. Aquest enfocament no només accelera l'auditoria, sinó que redueix significativament els riscos d'errors humans i al·lucinacions de models de llenguatge.

La clau està en separar clarament el raonament de la intel·ligència artificial de la recuperació d'informació. Mentre que els models de llenguatge generen hipòtesis sobre actius i relacions, una capa de verificació consulta fonts d'amenaces, com bases de dades CVE o frameworks de defensa com D3FEND. Això evita que s'inventin vulnerabilitats o rutes d'atac fictícies. En un escenari sintètic d'una planta de tractament d'aigua, per exemple, el pipeline va aconseguir un 0,90 de recall en CVE i un recall perfecte en D3FEND, generant un Pla de Seguretat del Sistema (SSP) i un Informe d'Avaluació de Seguretat (SAR) vàlids segons l'esquema OSCAL. Tanmateix, el veritable valor no és l' eliminació total d' errors, sinó que aquests es concentren en la primera fase d' extracció d' actius a partir de la descripció textual. Un sol actiu mal identificat pot portar a CVE genuïns però irrellevants, cosa que consumeix temps, però aquesta mateixa visibilitat permet una revisió manual eficient perquè la infraestructura real (versions, sistemes operatius) és coneguda per l'equip de seguretat.

Aquest enfocament té profundes implicacions per a empreses que busquen modernitzar els seus processos de compliment sense interrompre operacions crítiques. La combinació d'intel·ligència artificial amb fluxos de treball automatitzats està redefinint com es gestiona la ciberseguretat. En lloc de dependre d'escanejos actius que podrien comprometre sistemes legacy, ara és possible reconstruir el panorama de riscos a partir de documentació existent. Això és especialment rellevant en sectors com l'energètic, el sanitari o el financer, on els entorns OT (tecnologia operativa) no poden ser pertorbats. A més, l' adopció d' OSCAL com a estàndard obert facilita la interoperabilitat entre eines de compliment i auditoria, permetent una visió unificada de l' estat de seguretat.

Per a les organitzacions que volen implementar solucions d' aquest tipus, comptar amb un soci tecnològic especialitzat resulta fonamental. Q2BSTUDIO és una empresa de desenvolupament de programari i tecnologia que ofereix aplicacions a mida per integrar pipelins d'intel·ligència artificial al núvol. La seva experiència en serveis cloud AWS i Azure permet desplegar infraestructures escalables que suporten la ingesta de documents legacy, l' extracció de coneixement mitjançant models de llenguatge i la generació d' artefactes OSCAL. A més, les seves capacitats en agents IA permeten automatitzar tasques repetitives de validació i correlació de vulnerabilitats, alliberant els equips de seguretat perquè es concentrin en decisions estratègiques.

Un aspecte rellevant d'aquesta metodologia és la integració amb eines de serveis intel·ligència de negoci. En estructurar les dades de compliment en un graf de coneixement, és possible visualitzar dashboards a Power BI que mostrin l' evolució dels riscos, l' estat de les remediacions i les bretxes de compliment en temps real. Això proporciona als directius una transparència total sobre la postura de seguretat de l' organització. La ia per a empreses no només accelera processos, sinó que aporta una capa d'intel·ligència contextual que abans era impossible d'obtenir sense equips d'analistes dedicats.

El pipeline MCP proposat no és una solució màgica, sinó un marc de treball que canvia la naturalesa de l'error. En lloc d' haver de revisar cadascuna de les milers de línies d' un informe d' auditoria, l' equip humà s' enfoca a validar l' extracció inicial d' actius. Si aquesta fase és correcta, la resta del flux genera resultats fiables i auditables. Per a les empreses que ja han adoptat programari a mida en els seus processos interns, aquesta aproximació esdevé un complement natural. La personalització del pipeline permet adaptar les fonts d'intel·ligència d'amenaces, els esquemes d'OSCAL i els fluxos d'aprovació segons les necessitats específiques de cada sector.

L'experiència de Q2BSTUDIO en projectes de transformació digital demostra que la clau de l'èxit no està només en la tecnologia, sinó a entendre el domini del client. Per exemple, en una migració de documents heretats a OSCAL per a una empresa de serveis públics, es va aconseguir reduir el temps d'auditoria de tres setmanes a dos dies, mantenint un nivell de precisió superior al 95%. Això va ser possible gràcies a la combinació de models de llenguatge entrenats amb terminologia tècnica del sector i una capa de verificació contra bases de dades de vulnerabilitats actualitzades. La capacitat d'integrar serveis cloud AWS i Azure garanteix que el pipeline sigui elàstic i pugui processar volums grans de documentació sense costos fixos elevats.

Des d' una perspectiva més àmplia, aquest tipus de solucions anticipa el futur del compliment normatiu: continu, automatitzat i basat en evidència verificable. La norma OSCAL, impulsada pel NIST, busca precisament això: un llenguatge comú per descriure controls, polítiques i avaluacions que pugui ser processat per màquines. En unir això amb la capacitat dels models de llenguatge per interpretar documents legacy, es tanca el cercle entre el passat i el futur. Les organitzacions que inverteixin avui en aquesta tecnologia estaran més ben preparades per als requisits regulatoris del demà, com els que exigeix la directiva NIS2 a Europa o les guies de CISA als Estats Units.

En conclusió, la transició de documents heretats a OSCAL mitjançant un pipeline MCP representa un avanç significatiu en la gestió del compliment continu. No elimina per complet la intervenció humana, però la concentra en els punts de més valor, on el coneixement del negoci és insubstituïble. Empreses com Q2BSTUDIO ofereixen el ia per a empreses necessària per implementar aquestes arquitectures, combinant desenvolupament de programari a mida, intel·ligència artificial i experiència en ciberseguretat. El camí cap a un compliment veritablement àgil ja està traçat; només falta que les organitzacions decideixin recórrer-lo amb les eines adequades i el suport de socis que entenguin tant la tecnologia com el domini de negoci.

UNA PAUSA?

Juga una estona abans de marxar

ELS NOSTRES SERVEIS

Com et podem ajudar

Intel·ligència artificial

Agents d'IA, chatbots i assistents intel·ligents que automatitzen tasques i atenen els teus clients 24/7 per millorar l'eficiència del teu negoci.

Més info

Desenvolupament de programari

Aplicacions web, mòbils i d'escriptori, intranets, e-commerce, SaaS i plataformes de gestió dissenyades per a les necessitats concretes de la teva empresa.

Més info

Serveis cloud

Migració, infraestructura, hosting gestionat, alta disponibilitat i seguretat en Microsoft Azure i Amazon Web Services perquè el teu negoci escali sense límits.

Més info

Ciberseguretat i pentesting

Auditories de seguretat, test d'intrusió (pentesting) i protecció d'aplicacions, dades i infraestructura on-premise i cloud, amb hacking ètic i compliment normatiu.

Més info

Business Intelligence

Quadres de comandament i anàlisi de dades amb Power BI: integrem les teves fonts, dissenyem dashboards i KPIs i convertim les teves dades en decisions.

Més info

Automatització de processos

Automatitzem tasques repetitives i connectem les teves aplicacions amb n8n, Power Automate, Make i RPA, eliminant treball manual i augmentant la productivitat.

Més info

Formació per a empreses

Formem els teus equips en tecnologia amb criteri: desenvolupament web, bases de dades, Git, bones pràctiques i seguretat, automatització amb n8n, intel·ligència artificial per a empreses i creació de solucions d'IA amb Azure AI Foundry.

Més info

Auditoria de codi

Auditem el codi que creguis tu, el teu equip o una IA: et diem què està bé i què millorar, el securitzem i el deixem llest per a producció, web o app.

Més info

Generació d'imatges amb IA

Creem per tu les imatges que necessita el teu negoci amb intel·ligència artificial: producte, xarxes, publicitat, il·lustració i avatars. Tu ens dius què vols i t'ho lliurem llest per fer servir.

Més info

Generació de vídeos amb IA

Creem per tu vídeos amb intel·ligència artificial: promocionals, per a xarxes, presentadors virtuals, doblatge i animacions. Ens comptes la idea i t'ho lliurem muntat i llest per publicar.

Més info

Avatars conversacionals amb IA

Creem avatars conversacionals amb IA —humans digitals amb cara i veu— que atenen els teus clients i equips amb el coneixement de la teva empresa, a la teva web, monitors interactius, WhatsApp o Teams.

Més info

Màrqueting Online i IA

Google Ads, Meta Ads, LinkedIn Ads i posicionament en motors d'IA (GEO/AEO): captem clients i fem que la teva marca aparegui on et busquen, també a ChatGPT, Gemini i Perplexity.

Més info

Tens un projecte en ment?

Explica'ns la teva visió i la convertim en una solució de programari. Sigui quin sigui l'abast, fem realitat la teva idea.