El problema de gobernanza MCP
El Model Context Protocol (MCP) resolvió la conectividad. Cualquier agente de IA puede ahora conectarse a cualquier herramienta a través de un protocolo estandarizado. Instale un servidor MCP, configure el endpoint y su agente podrá leer bases de datos, enviar correos electrónicos, crear tickets o consultar API.
Pero la conectividad sin gobernanza es un riesgo.
Cuando las empresas despliegan agentes conectados por MCP en todos sus departamentos, surgen problemas predecibles: ¿Quién autorizó esta conexión de herramienta? ¿A qué datos puede acceder este agente? ¿Podemos auditar lo que hizo el agente? ¿Cómo aplicamos políticas diferentes por departamento? ¿Qué sucede cuando una llamada de herramienta falla a las 2 de la madrugada?
Todas las plataformas conectan. Casi ninguna gobierna.
Cuatro enfoques de gobernanza MCP
Microsoft: enfoque de perímetro de seguridad
Microsoft gobierna MCP a través de su infraestructura existente — Entra ID para identidad, Purview para gobernanza de datos, políticas de inquilino para control de acceso. El marco de gobernanza de Copilot Studio extiende estos controles a los conectores MCP.
Fortaleza: Gobernanza profunda dentro de M365. Las políticas heredan de la configuración existente del inquilino — si ha invertido en seguridad de Microsoft, las conexiones MCP se benefician automáticamente.
Debilidad: Solo gobierna las conexiones MCP de M365. Si sus herramientas MCP se conectan a Slack, HubSpot, Zendesk o API personalizadas — Microsoft no tiene solución de gobernanza. El límite es el ecosistema, no el agente.
OpenAI: conectores controlados por el administrador
OpenAI adopta el enfoque más simple: los conectores están desactivados por defecto en ChatGPT Enterprise. Un administrador debe habilitar explícitamente cada conector. Una vez habilitado, está disponible para todos los usuarios autorizados.
Fortaleza: Control simple de encendido/apagado. Cero ambigüedad sobre lo que está habilitado.
Debilidad: Gobernanza binaria. No puede establecer “permitir lectura de Slack pero bloquear publicaciones en Slack”. No puede limitar conectores por departamento. No puede establecer presupuestos de Token por herramienta. Todo o nada — funciona para equipos pequeños pero falla a escala empresarial.
Zapier: barreras de IA + control de versiones
Zapier ofrece AI Guardrails en lenguaje natural, control de versiones de agentes y un registro de auditoría. Con bundles de herramientas MCP que abarcan más de 8.000 aplicaciones y 40.000 acciones, la amplitud es incomparable.
Fortaleza: El catálogo de integraciones más amplio del mercado. Buen control de versiones con capacidad de rollback.
Debilidad: La gobernanza es por Zap, no transversal a los workflows. No hay una vista de gobernanza a nivel organizacional. No hay evaluación con puntuación. No hay forma de responder “¿qué tan gobernado está nuestro despliegue de IA?” con un número. Cuando tiene 200 Zaps en 5 departamentos, auditarlos individualmente no escala.
JieGou: arquitectura de 10 capas
JieGou proporciona 10 capas de gobernanza dedicadas, cada una puntuada independientemente de 0 a 10, con un GovernanceScore general de A a F.
| # | Capa | Qué gobierna |
|---|---|---|
| 1 | Identidad y acceso | RBAC de 5 roles (Owner → Admin → Líder de departamento → Miembro → Lector), SSO/SAML, identidad de agente |
| 2 | Pista de auditoría | Cada acción registrada con marca de tiempo, exportación de evidencia para auditores, cronología de cumplimiento |
| 3 | Gobernanza de datos | Configuración de residencia de datos, detección de PII, cifrado AES-256-GCM para claves almacenadas |
| 4 | Supervisión humana | Puertas de aprobación en workflows, niveles de autonomía graduales, cadenas de escalamiento con recordatorios |
| 5 | Gobernanza de modelos | Registro de claves BYOK, lista de modelos certificados, AI Bakeoffs para comparación objetiva de modelos |
| 6 | Gobernanza de herramientas | Listas de control de acceso MCP, certificación de herramientas de 3 niveles (Verified → Certified → Enterprise-Ready), puertas de aprobación por herramienta |
| 7 | Cumplimiento | Auditoría SOC 2 Type II en curso, mapeo de 8 artículos del EU AI Act, presets HIPAA/GDPR/SOX/PCI-DSS |
| 8 | Control de costos | Presupuestos de Token por departamento, límites de tasa por usuario, configuración de márgenes, alertas de exceso |
| 9 | Observabilidad | Métricas Prometheus, trazabilidad distribuida OpenTelemetry, analítica de uso por departamento |
| 10 | Respuesta a incidentes | Dead letter queue con reintento automático, seguimiento de incidentes, registro de proveedores, cascada de fallos |
Fortaleza: La única plataforma que puntúa la gobernanza. Transversal a departamentos, transversal a herramientas, evaluada y calificada. Cada capa medible independientemente.
Debilidad: Requiere configuración. A diferencia del enfoque de herencia por inquilino de Microsoft, las capas de gobernanza de JieGou son explícitas — las configura, las ajusta, recibe una puntuación. Para equipos que quieren gobernanza sin configuración, es carga adicional. Para equipos que necesitan profundidad de gobernanza, ese es el punto.
La matriz de comparación
| Dimensión de gobernanza | Microsoft | OpenAI | Zapier | JieGou |
|---|---|---|---|---|
| Identidad y acceso | ✅ Entra ID | ✅ Roles de admin | ⚠️ Roles de equipo | ✅ RBAC 5 roles + SSO |
| Pista de auditoría | ✅ Purview | ⚠️ Solo registros de uso | ✅ Registro de auditoría | ✅ Auditoría completa + exportación de evidencia |
| Gobernanza de datos | ✅ M365 DLP | ⚠️ Limitado | ❌ Ninguna | ✅ Residencia + PII + cifrado |
| Supervisión humana | ⚠️ Revisión manual | ❌ Ninguna | ⚠️ Aprobación manual | ✅ Puertas de aprobación + escalamiento |
| Gobernanza de modelos | ⚠️ Bloqueo de proveedor | ⚠️ Solo GPT | ⚠️ Elección limitada | ✅ BYOK + Bakeoffs |
| Gobernanza de herramientas | ⚠️ Solo ámbito M365 | ⚠️ Binario encendido/apagado | ⚠️ Ámbito por Zap | ✅ MCP ACL + certificación 3 niveles |
| Cumplimiento | ✅ Cumplimiento M365 | ⚠️ SOC 2 | ⚠️ SOC 2 | ✅ SOC 2 + EU AI Act + presets |
| Control de costos | ⚠️ Licencia por puesto | ⚠️ Límites de uso | ⚠️ Límites de tareas | ✅ Presupuestos Token + límites de tasa |
| Observabilidad | ⚠️ Analítica M365 | ⚠️ Panel de uso | ⚠️ Historial de tareas | ✅ Prometheus + trazabilidad OTel |
| Respuesta a incidentes | ⚠️ Alertas M365 | ❌ Ninguna | ❌ Ninguna | ✅ DLQ + reintento automático |
Por qué importa la gobernanza puntuada
El diferenciador crítico no es tener gobernanza — es medirla.
Cuando un auditor pregunta “¿qué tan gobernado está su despliegue de IA?”, la mayoría de las plataformas le obligan a reunir evidencia manualmente. La evaluación de gobernanza de JieGou califica a su organización de A a F en las 10 capas, identifica brechas específicas, recomienda correcciones con niveles de prioridad (crítico, alto, medio, bajo) y proporciona evidencia exportable.
Esto importa por tres razones:
- Las auditorías de cumplimiento se vuelven más rápidas. SOC 2 Type II, HIPAA, GDPR — la evidencia está pre-ensamblada, no dispersa en consolas de administración.
- Los informes al consejo se vuelven cuantitativos. “Nuestra puntuación de gobernanza de IA es 78/100 (B+), subiendo desde 65 el trimestre pasado” es más útil que “creemos que estamos seguros”.
- La identificación de brechas se vuelve sistemática. En lugar de esperar haber cubierto todo, la evaluación le indica exactamente qué capas son débiles y qué corregir primero.
Ninguna otra plataforma MCP responde “¿cuál es nuestro nivel de gobernanza?” con un número.
Primeros pasos
El plan gratuito de JieGou incluye las 10 capas de gobernanza — no se requiere plan empresarial. Comience con una evaluación de gobernanza para ver dónde se encuentra, luego configure las capas más importantes para su industria.
Si está evaluando la gobernanza MCP para su organización, la pregunta no es si la necesita. Es si una capa es suficiente.