No puedes mejorar lo que no puedes medir. Por eso JieGou introdujo GovernanceScore — un número único de 0 a 100 que te dice exactamente qué tan madura es tu postura de gobernanza de IA, y precisamente qué hacer para mejorarla.
GovernanceScore no es una métrica de vanidad. Es una evaluación cuantitativa en ocho factores que importan para la seguridad de IA, el cumplimiento y la excelencia operativa. Cada factor contribuye a la puntuación total y puede mejorarse de forma independiente.
Así es como funciona.
Los 8 factores
1. Cobertura RBAC (0–15 puntos)
Mide qué tan exhaustivamente has implementado el control de acceso basado en roles en tu organización. ¿Todos los miembros del equipo tienen roles apropiados asignados? ¿Los permisos están alineados con las funciones laborales reales? ¿Hay cobertura de roles en todos los departamentos que usan JieGou?
Cómo mejorar: Asegúrate de que cada miembro del equipo tenga un rol asignado. Revisa los permisos trimestralmente. Usa el rol de Manager para los jefes de departamento en lugar de dar acceso Admin a todos.
2. Adopción de puertas de aprobación (0–15 puntos)
Las puertas de aprobación evitan que acciones de IA no revisadas lleguen a producción. Este factor mide qué porcentaje de tus flujos de trabajo sensibles incluyen pasos de aprobación, y si los aprobadores están revisando activamente (no solo auto-aprobando).
Cómo mejorar: Identifica flujos de trabajo que tocan sistemas externos, datos financieros o comunicaciones con clientes. Añade pasos de aprobación antes de esas acciones críticas. Apunta a tener puertas de aprobación en al menos el 80 % de los flujos de trabajo clasificados como sensibles.
3. Completitud del registro de auditoría (0–10 puntos)
Tener el registro de auditoría habilitado es la línea base. Este factor evalúa si tus registros son completos — cubriendo todas las acciones, todos los usuarios, todas las ejecuciones de flujos de trabajo — y si se retienen por un período adecuado.
Cómo mejorar: JieGou habilita el registro de auditoría por defecto, así que la mayoría de las organizaciones comienzan con una buena puntuación aquí. Asegúrate de no haber deshabilitado el registro en ningún flujo de trabajo y de que tus configuraciones de retención cumplan con tus requisitos de cumplimiento.
4. Cifrado BYOK (0–15 puntos)
Bring Your Own Key (BYOK) significa que tus claves API de LLM están cifradas con claves que tú controlas, no almacenadas en texto plano o cifradas con claves gestionadas por la plataforma. Este factor mide si estás usando BYOK y si las claves se rotan regularmente.
Cómo mejorar: Habilita BYOK para todos los proveedores de LLM. Establece un calendario de rotación de claves trimestral. Usa claves API separadas para diferentes departamentos si tu organización requiere aislamiento de datos.
5. Certificación MCP (0–10 puntos)
Las integraciones MCP (Model Context Protocol) conectan tus flujos de trabajo de IA con servicios externos. Este factor evalúa si estás usando integraciones certificadas basadas en OAuth versus conexiones no certificadas o manuales.
Cómo mejorar: Prefiere las integraciones OAuth integradas de JieGou sobre las conexiones manuales con clave API. Revisa tu inventario de integraciones y migra cualquier conexión no certificada a alternativas certificadas.
6. Diversidad de modelos (0–10 puntos)
Depender de un solo modelo de IA crea riesgo de concentración. Este factor mide si estás usando modelos de múltiples proveedores (Anthropic, OpenAI, Google) y si tienes configuraciones de respaldo.
Cómo mejorar: Configura al menos dos proveedores de LLM. Establece modelos de respaldo para que los flujos de trabajo continúen si un proveedor experimenta tiempo de inactividad. Usa diferentes modelos para diferentes casos de uso según sus fortalezas.
7. Transparencia de costos (0–10 puntos)
Los costos de IA pueden descontrolarse sin visibilidad. Este factor evalúa si tienes configurado el seguimiento de costos, presupuestos y alertas — y si los miembros del equipo pueden ver el impacto en costos de sus flujos de trabajo.
Cómo mejorar: Habilita el seguimiento de costos por flujo de trabajo. Establece presupuestos por departamento con alertas en los umbrales del 80 % y 100 %. Revisa los informes de costos mensualmente y optimiza los flujos de trabajo costosos.
8. Gobernanza de memoria (0–15 puntos)
La memoria de IA — el contexto y los datos retenidos entre sesiones — también necesita gobernanza. Este factor mide si tienes políticas sobre qué datos se almacenan, por cuánto tiempo se retienen y quién puede acceder al contexto histórico.
Cómo mejorar: Configura políticas de retención de memoria por departamento. Establece TTLs apropiados para diferentes niveles de sensibilidad de datos. Asegúrate de que el manejo de PII siga las políticas de gobernanza de datos de tu organización.
De 40 a 80+: Un camino de mejora práctico
Una organización típica que se registra y comienza a usar JieGou obtiene inmediatamente alrededor de 35–45 puntos. El registro de auditoría está activado por defecto, el RBAC básico está en su lugar desde el flujo de invitación, y algunas integraciones están certificadas. Es un comienzo sólido.
Aquí está el camino más rápido hacia 80+:
Semana 1 (40 → 55): Habilita el cifrado BYOK para tu proveedor principal de LLM. Solo esto añade hasta 15 puntos y toma unos cinco minutos.
Semana 2 (55 → 65): Añade puertas de aprobación a tus 5 flujos de trabajo más sensibles. Revisa tus asignaciones de RBAC y asegúrate de que cada miembro del equipo tenga el rol correcto — no “Admin para todos”.
Semana 3 (65 → 75): Configura un segundo proveedor de LLM como respaldo. Establece seguimiento de costos y presupuestos por departamento. Migra cualquier integración manual a alternativas certificadas con OAuth.
Semana 4 (75 → 80+): Configura políticas de retención de memoria. Revisa las configuraciones de retención del registro de auditoría. Haz una revisión final de RBAC para asegurar que el aislamiento de departamentos esté correctamente configurado.
Por qué importa el GovernanceScore
GovernanceScore te da tres cosas:
Una línea base. Antes de poder mejorar la gobernanza, necesitas saber dónde estás. Un número único facilita la comunicación con la dirección y el seguimiento en el tiempo.
Una hoja de ruta. Cada factor te dice exactamente en qué trabajar a continuación. En lugar de recomendaciones vagas, obtienes mejoras específicas y accionables clasificadas por impacto.
Prueba de progreso. Cuando tu CISO pregunte “¿cómo va nuestra gobernanza de IA?”, puedes responder con un número, una línea de tendencia y un desglose por factor. Esa es una conversación de dos minutos en lugar de dos horas.
La gobernanza de IA no es un destino — es una práctica. GovernanceScore hace que esa práctica sea medible.