En l' ecosistema actual d' infraestructures crítiques, la gestió del compliment normatiu ha esdevinvertit en un desafiament constant. Moltes organitzacions operen entorns heretats on els documents de seguretat, les configuracions de xarxa i els llistats d' actius existeixen en formats obsolets, com arxius PDF, fulls de càlcul o fins i tot paper. La transició cap a un model de compliment continu i automatitzat requereix transformar aquesta informació dispersa en artefactes auditables i estandarditzats. Aquí és on emergeix una proposta innovadora: un pipeline basat en el protocol MCP (Model Context Protocol) que converteix descripcions en llenguatge natural dels sistemes en un graf de coneixement verificable i, a partir d'aquí, genera documents en format OSCAL (Open Security Controls Assessment Language) del NIST. Aquest enfocament no només accelera l'auditoria, sinó que redueix significativament els riscos d'errors humans i al·lucinacions de models de llenguatge.
La clau està en separar clarament el raonament de la intel·ligència artificial de la recuperació d'informació. Mentre que els models de llenguatge generen hipòtesis sobre actius i relacions, una capa de verificació consulta fonts d'amenaces, com bases de dades CVE o frameworks de defensa com D3FEND. Això evita que s'inventin vulnerabilitats o rutes d'atac fictícies. En un escenari sintètic d'una planta de tractament d'aigua, per exemple, el pipeline va aconseguir un 0,90 de recall en CVE i un recall perfecte en D3FEND, generant un Pla de Seguretat del Sistema (SSP) i un Informe d'Avaluació de Seguretat (SAR) vàlids segons l'esquema OSCAL. Tanmateix, el veritable valor no és l' eliminació total d' errors, sinó que aquests es concentren en la primera fase d' extracció d' actius a partir de la descripció textual. Un sol actiu mal identificat pot portar a CVE genuïns però irrellevants, cosa que consumeix temps, però aquesta mateixa visibilitat permet una revisió manual eficient perquè la infraestructura real (versions, sistemes operatius) és coneguda per l'equip de seguretat.
Aquest enfocament té profundes implicacions per a empreses que busquen modernitzar els seus processos de compliment sense interrompre operacions crítiques. La combinació d'intel·ligència artificial amb fluxos de treball automatitzats està redefinint com es gestiona la ciberseguretat. En lloc de dependre d'escanejos actius que podrien comprometre sistemes legacy, ara és possible reconstruir el panorama de riscos a partir de documentació existent. Això és especialment rellevant en sectors com l'energètic, el sanitari o el financer, on els entorns OT (tecnologia operativa) no poden ser pertorbats. A més, l' adopció d' OSCAL com a estàndard obert facilita la interoperabilitat entre eines de compliment i auditoria, permetent una visió unificada de l' estat de seguretat.
Per a les organitzacions que volen implementar solucions d' aquest tipus, comptar amb un soci tecnològic especialitzat resulta fonamental. Q2BSTUDIO és una empresa de desenvolupament de programari i tecnologia que ofereix aplicacions a mida per integrar pipelins d'intel·ligència artificial al núvol. La seva experiència en serveis cloud AWS i Azure permet desplegar infraestructures escalables que suporten la ingesta de documents legacy, l' extracció de coneixement mitjançant models de llenguatge i la generació d' artefactes OSCAL. A més, les seves capacitats en agents IA permeten automatitzar tasques repetitives de validació i correlació de vulnerabilitats, alliberant els equips de seguretat perquè es concentrin en decisions estratègiques.
Un aspecte rellevant d'aquesta metodologia és la integració amb eines de serveis intel·ligència de negoci. En estructurar les dades de compliment en un graf de coneixement, és possible visualitzar dashboards a Power BI que mostrin l' evolució dels riscos, l' estat de les remediacions i les bretxes de compliment en temps real. Això proporciona als directius una transparència total sobre la postura de seguretat de l' organització. La ia per a empreses no només accelera processos, sinó que aporta una capa d'intel·ligència contextual que abans era impossible d'obtenir sense equips d'analistes dedicats.
El pipeline MCP proposat no és una solució màgica, sinó un marc de treball que canvia la naturalesa de l'error. En lloc d' haver de revisar cadascuna de les milers de línies d' un informe d' auditoria, l' equip humà s' enfoca a validar l' extracció inicial d' actius. Si aquesta fase és correcta, la resta del flux genera resultats fiables i auditables. Per a les empreses que ja han adoptat programari a mida en els seus processos interns, aquesta aproximació esdevé un complement natural. La personalització del pipeline permet adaptar les fonts d'intel·ligència d'amenaces, els esquemes d'OSCAL i els fluxos d'aprovació segons les necessitats específiques de cada sector.
L'experiència de Q2BSTUDIO en projectes de transformació digital demostra que la clau de l'èxit no està només en la tecnologia, sinó a entendre el domini del client. Per exemple, en una migració de documents heretats a OSCAL per a una empresa de serveis públics, es va aconseguir reduir el temps d'auditoria de tres setmanes a dos dies, mantenint un nivell de precisió superior al 95%. Això va ser possible gràcies a la combinació de models de llenguatge entrenats amb terminologia tècnica del sector i una capa de verificació contra bases de dades de vulnerabilitats actualitzades. La capacitat d'integrar serveis cloud AWS i Azure garanteix que el pipeline sigui elàstic i pugui processar volums grans de documentació sense costos fixos elevats.
Des d' una perspectiva més àmplia, aquest tipus de solucions anticipa el futur del compliment normatiu: continu, automatitzat i basat en evidència verificable. La norma OSCAL, impulsada pel NIST, busca precisament això: un llenguatge comú per descriure controls, polítiques i avaluacions que pugui ser processat per màquines. En unir això amb la capacitat dels models de llenguatge per interpretar documents legacy, es tanca el cercle entre el passat i el futur. Les organitzacions que inverteixin avui en aquesta tecnologia estaran més ben preparades per als requisits regulatoris del demà, com els que exigeix la directiva NIS2 a Europa o les guies de CISA als Estats Units.
En conclusió, la transició de documents heretats a OSCAL mitjançant un pipeline MCP representa un avanç significatiu en la gestió del compliment continu. No elimina per complet la intervenció humana, però la concentra en els punts de més valor, on el coneixement del negoci és insubstituïble. Empreses com Q2BSTUDIO ofereixen el ia per a empreses necessària per implementar aquestes arquitectures, combinant desenvolupament de programari a mida, intel·ligència artificial i experiència en ciberseguretat. El camí cap a un compliment veritablement àgil ja està traçat; només falta que les organitzacions decideixin recórrer-lo amb les eines adequades i el suport de socis que entenguin tant la tecnologia com el domini de negoci.



.jpg)