ISMS Copilot
Ingeniería

Inyección dinámica de conocimiento de marcos normativos

¿Qué es la inyección dinámica de conocimiento de marcos normativos?

La inyección dinámica de conocimiento de marcos normativos es la tecnología central que diferencia a ISMS Copilot de los asistentes de IA de propósito general. Cuando haces una pregunta sobre marcos de cumplimiento, el sistema detecta automáticamente a qué marcos te refieres y enriquece el contexto de la IA con conocimiento oficial, garantizando respuestas precisas y listas para auditoría basadas en los requisitos reales del marco.

Esta función opera automáticamente en cada conversación. No requiere configuración: simplemente menciona un marco como "ISO 27001" o "GDPR" y el sistema se encarga del resto.

Por qué creamos esto

Los modelos generales de IA se entrenan con conocimientos generales de Internet, lo que crea dos problemas para los profesionales del cumplimiento:

  • Riesgo de alucinaciones: La IA podría citar con total seguridad controles o requisitos que no existen

  • Información desactualizada: Es posible que las actualizaciones de los marcos (como ISO 27001:2022) no se reflejen en los datos de entrenamiento

Necesitábamos una forma de fundamentar cada respuesta en conocimientos de marcos verificados y actualizados sin obligar a los usuarios a subir cientos de páginas de documentación de estándares en cada conversación.

Cómo funciona (Nivel general)

El sistema de inyección opera en tres etapas durante cada interacción del chat:

1. Detección Inteligente

El sistema monitoriza tu conversación en busca de menciones a marcos de cumplimiento. Esto funciona tanto para referencias explícitas ("ISO 27001 Anexo A.8.1") como implícitas ("¿cuáles son los requisitos de control de acceso?" en un espacio de trabajo centrado en la seguridad de la información).

2. Recuperación de conocimiento

Cuando se detecta un marco de referencia, el sistema recupera el conocimiento estructurado pertinente (controles, cláusulas, requisitos y mapeos) de nuestra base de conocimientos patentada, creada a partir de proyectos de consultoría reales y documentación oficial de los marcos normativos.

La recuperación es selectiva y eficiente. En lugar de cargar documentos completos, solo se inyectan las partes pertinentes en función del contexto de tu consulta.

3. Enriquecimiento del contexto

Antes de que la IA genere una respuesta, el conocimiento del marco se inyecta en el contexto del prompt. Esto garantiza que la respuesta de la IA se base en los requisitos actuales y precisos del marco de referencia en lugar de en datos de entrenamiento genéricos.

Marcos de referencia compatibles

Actualmente, el sistema admite la inyección automática de conocimientos para catorce marcos de cumplimiento:

  • ISO 27001:2022 – Sistema de Gestión de Seguridad de la Información

  • ISO 42001:2023 – Sistema de Gestión de IA

  • ISO 27701:2019 – Sistema de Gestión de Información de Privacidad

  • SOC 2 – Criterios de Servicios de Confianza

  • HIPAA – Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios

  • GDPR – Reglamento General de Protección de Datos

  • CCPA – Ley de Privacidad del Consumidor de California

  • NIS 2 – Directiva sobre Seguridad de las Redes y de la Información

  • DORA – Ley de Resiliencia Operativa Digital

  • ISO 9001:2015 – Sistema de Gestión de Calidad

  • ISO 22301:2019 – Sistema de Gestión de Continuidad del Negocio

  • HDS v2.0 – Certificación francesa de alojamiento de datos sanitarios

  • TISAX – Intercambio de Evaluación de Seguridad de la Información Confiable

  • Ley de IA de la UE – Normativa sobre Inteligencia Artificial de la Unión Europea

Se añaden marcos adicionales en función de la demanda de los usuarios y de la investigación de nuestro equipo de ingeniería de GRC sobre las normativas emergentes.

La experiencia del usuario

Cuando envíes un mensaje que active la detección del marco, verás indicadores de carga como:

  • "Analizando tu pregunta…"

  • "Consultando conocimiento del marco normativo…"

  • "Preparando respuesta…"

Esto suele tardar entre 5 y 15 segundos. La respuesta que recibas incluirá citas específicas a requisitos, controles o cláusulas del marco, lo cual es prueba de que la inyección de conocimiento ha funcionado.

Soporte multimarco: Si tu pregunta implica varios marcos (por ejemplo, "¿Cómo se mapean los controles de ISO 27001 y SOC 2 para la gestión de accesos?"), el sistema inyecta conocimiento de todos los marcos detectados simultáneamente.

Evolución desde RAG

ISMS Copilot v1.0 utilizaba la Generación Aumentada por Recuperación (RAG), que buscaba fragmentos relevantes en una base de datos vectorial cada vez. Aunque era eficaz, el RAG tenía limitaciones:

  • Calidad de recuperación variable según la redacción de la consulta

  • Mayor latencia por las búsquedas en la base de datos

  • Dificultad para mantener una cobertura integral del marco

En diciembre de 2024, hicimos la transición a la inyección dinámica con conocimientos de marcos estructurados y curados. Este enfoque proporciona:

  • Consistencia: La misma mención al marco siempre recupera el mismo conocimiento oficial

  • Velocidad: Sin latencia de búsqueda vectorial

  • Integridad: Toda la estructura del marco (controles, cláusulas, mapeos) disponible bajo demanda

  • Mantenibilidad: Los ingenieros de GRC pueden actualizar el conocimiento de los marcos de forma centralizada cuando cambian los estándares

Descripción de la arquitectura técnica

Aunque los detalles específicos de la implementación son confidenciales, la arquitectura de alto nivel sigue las mejores prácticas de la industria para sistemas de IA contextuales:

  • Capa de detección: La coincidencia de patrones identifica las referencias a marcos en el historial de la conversación

  • Capa de conocimiento: Tablas estructuradas en markdown almacenan controles, cláusulas y requisitos de cada marco

  • Capa de inyección: El conocimiento seleccionado se añade al prompt del sistema antes de la inferencia de la IA

  • Capa de respuesta: La IA genera respuestas fundamentadas en el conocimiento inyectado del marco

La eficiencia de los tokens es fundamental. Inyectar la documentación completa de un marco (más de 10,000 tokens) superaría los límites de contexto del modelo y ralentizaría las respuestas. El sistema recupera selectivamente solo lo necesario para cada consulta.

Aseguramiento de la calidad

El conocimiento de los marcos normativos se somete a una revisión rigurosa antes de entrar en el sistema:

  • Verificación por ingenieros de GRC: Nuestro equipo de profesionales de cumplimiento valida todo el contenido de los marcos con fuentes oficiales

  • Revisión humana: Cada actualización del conocimiento del marco se revisa manualmente para garantizar su precisión e integridad

  • Seguimiento de versiones: El conocimiento del marco cuenta con versiones (por ejemplo, ISO 27001:2022 frente a 2013) para asegurar que los usuarios obtengan los estándares actuales

Este proceso de revisión dual (validación del ingeniero de GRC más una supervisión humana exhaustiva) garantiza que el conocimiento que recibes cumpla con los estándares de calidad de grado de auditoría.

Qué significa esto para los usuarios

Al usar ISMS Copilot, obtienes:

  • Respuestas precisas: Basadas en requisitos reales del marco normativo, no en contenido alucinado

  • Información actual: La base de conocimientos refleja las últimas versiones y actualizaciones de los marcos

  • Resultados listos para auditoría: Las respuestas incluyen citas específicas de controles/cláusulas que puedes verificar

  • Sin configuración: Sin necesidad de subir documentos de estándares ni configurar ajustes

Para más detalles sobre cómo ISMS Copilot evita las alucinaciones de la IA mediante la fundamentación del conocimiento, consulta Comprender y prevenir las alucinaciones de la IA.

¿Te fue útil?