Paula Silva Software Global Black Belt
LinkedIn
19 security · Governance

Compliance AuditorAuditor de ComplianceAuditor de Cumplimiento

SOX, ISO, SOC 2 controls.Controles SOX, ISO, SOC 2.Controles SOX, ISO, SOC 2.

2026-04-24 14 sections Download the GitHub Copilot kitBaixar o kit do GitHub CopilotDescargar el kit de GitHub Copilot

The Compliance Auditor is the persona that converts regulation into enforceable controls and verifiable evidence. In an AI-native SDLC, the Compliance Auditor operates an Evidence Curator agent, four slash prompts, and a validated MCP catalog spanning GitHub, Microsoft Purview, and Azure Policy — not a library of static attestation PDFs.

Executive summary

The Compliance Auditor owns SOX, ISO 27001, SOC 2, and sector-specific obligations for delivery. In an AI-native SDLC, the role is operationalized through a single Evidence Curator agent with four slash prompts (/control-check, /audit-pack, /policy-diff, /attestation-draft), scoped instructions for policy and control files, and validated MCPs reaching into GitHub, Microsoft Purview, Azure Policy, and Microsoft Sentinel.

Primary deliverables are continuously checked controls, auditor-ready evidence packs, living policy diffs, and attestation drafts assembled from real pipeline artifacts. The Compliance Auditor replaces the “audit sprint” with a daily, boring, evidence-producing rhythm.

Compliance in an AI-native SDLC is a byproduct of good pipelines, not a separate project. The Compliance Auditor designs the byproduct.

Role and responsibilities

Think of the Compliance Auditor like a building inspector who signs off construction stage by stage instead of just at the end. They read the blueprints, verify every pour, every wire, every fixture — and when the final walkthrough happens, there are no surprises. In an AI-native SDLC, the Compliance Auditor inspects the pipeline at every stage by inspecting its artifacts.

Primary responsibilities:

  • Maintain the control catalog mapping frameworks (SOX, ISO 27001, SOC 2) to pipeline artifacts
  • Run continuous control checks via GitHub Actions, Azure Policy, and Microsoft Purview
  • Assemble auditor-ready evidence packs on demand from real artifacts
  • Track policy changes with diffs approved by named owners
  • Draft attestations and representations from evidence, never from memory
  • Operate the Evidence Curator agent and /control-check, /audit-pack, /policy-diff, /attestation-draft prompts
  • Coordinate with InfoSec Officer on shared controls and with Legal on regulatory interpretation
  • Review access reviews in Microsoft Entra ID quarterly and on role-change events

Jobs to be done

  1. As a Compliance Auditor, I want every control mapped to a live check, so that “compliant” is a continuous state, not a moment.
  2. As a Compliance Auditor, I want evidence packs assembled in minutes, so that external auditors receive what they need same-day.
  3. As a Compliance Auditor, I want policy changes reviewed as PRs, so that the trail of who-approved-what is verifiable.
  4. As a Compliance Auditor, I want attestations drafted from actual pipeline evidence, so that signatures reflect reality.
  5. As a Compliance Auditor, I want exceptions time-boxed and tracked, so that no exception becomes permanent by neglect.
  6. As a Compliance Auditor, I want Microsoft Purview sensitivity labels enforced in code repos, so that data handling obligations are propagated.
  7. As a Compliance Auditor, I want Entra ID access reviews scheduled automatically, so that least-privilege reviews never lapse.
  8. As a Compliance Auditor, I want a single posture dashboard published to Microsoft Teams, so that leadership has a current view without asking.

Pain points before AI-native

  • Audit sprint. Quarter ends with a month of panic assembling artifacts, then calm until the next quarter.
  • Screenshot evidence. Audit packs contain screenshots that cannot be verified after the fact.
  • Shadow policies. Teams maintain private guidelines that diverge from the published policy.
  • Exceptions without expiry. Temporary exceptions from three years ago still active today.
  • Disconnected controls. Controls described in text, not wired to any system that enforces them.
  • Access review theatre. Quarterly access reviews approved in bulk without inspection.
  • Framework drift. Overlapping SOX, ISO, and SOC controls tracked separately; work duplicated, gaps created.

AI-native daily workflow

The Compliance Auditor works from Visual Studio Code with GitHub Copilot and from Microsoft 365 (Teams, Loop, Purview) — invoking the Evidence Curator agent throughout the day.

Morning setup

  1. Open the compliance dashboard in Microsoft Loop; review overnight control-check failures.
  2. Run /control-check --since=yesterday to surface drift across the control catalog.
  3. Review Entra ID access review alerts and pending approvals.
  4. Check Microsoft Purview for new sensitivity-label rollouts or classification changes.
  5. Post the compliance standup to Microsoft Teams with open exceptions and expiring items.

Midday execution

  1. For each policy PR, run /policy-diff to generate the reviewable diff and impact report; route to named owners for approval.
  2. For any auditor request, invoke /audit-pack with the scope; the Evidence Curator assembles artifacts from GitHub, Azure Policy, Defender for Cloud, Sentinel, and Purview.
  3. Draft attestations via /attestation-draft; the Evidence Curator fills in evidence URLs and flags unsupported statements.
  4. Triage failing control checks with the InfoSec Officer when they are shared controls.

Afternoon review

  1. Walk through expiring exceptions; extend, replace with a fix, or close.
  2. Update the control catalog with any new mapping from recent architecture changes.
  3. Publish the daily posture score to Microsoft Loop and pin any red items.

Agent

AgentFilePurpose
evidence-curator.github/agents/evidence-curator.agent.mdRuns control checks, assembles audit packs, diffs policies, drafts attestations

Slash prompts

CommandFilePurpose
/control-check.github/prompts/control-check.prompt.mdRun the continuous control suite and report drift
/audit-pack.github/prompts/audit-pack.prompt.mdAssemble an auditor-ready evidence pack for a scope
/policy-diff.github/prompts/policy-diff.prompt.mdGenerate diff and impact report for a policy change
/attestation-draft.github/prompts/attestation-draft.prompt.mdDraft an attestation or representation from real evidence

Instructions scoped

Scope (applyTo)FilePurpose
docs/policies/**/*.md.github/instructions/policy.instructions.mdPolicy document structure, owner, review cadence
controls/**/*.yaml.github/instructions/controls.instructions.mdControl catalog format mapping frameworks to artifacts
attestations/**/*.md.github/instructions/attestation.instructions.mdAttestation required sections and evidence linking
infra/**/*.bicep.github/instructions/azpolicy.instructions.mdAzure Policy patterns and tag requirements

Hooks

  • pre-commit: policy file metadata check (owner, review date)
  • pre-push: control-check fast subset
  • post-merge: run the full control suite and refresh the posture score
  • nightly: scan for expiring exceptions and open reminders
  • on-access-review: generate Entra ID access review reports for named owners

Validated MCPs

MCPPurposeOwner
GitHub MCP ServerRead PRs, policies, control files, manage issuesGitHub
Azure MCP ServerQuery Azure Policy, Defender for Cloud, Sentinel, Entra IDMicrosoft
Microsoft Learn Docs MCPReference current framework guidance (SOX, ISO, SOC 2)Microsoft
Azure DevOps MCP ServerTrack remediation work items when the team uses Azure DevOpsMicrosoft
Playwright MCPCapture evidence flows for user-facing controlsMicrosoft

Real examples

Example 1: SOC 2 audit in one afternoon

An auditor requests evidence for CC6.1 (logical access) for Q2. The Compliance Auditor runs /audit-pack --control=cc6.1 --period=Q2. The Evidence Curator pulls Entra ID access reviews, Azure Policy assignments, and GitHub branch protections, bundling them with traceable URLs. The pack is delivered within three hours.

Example 2: a policy change reviewed in public

The Legal team proposes a new data-retention clause. The change opens as a PR. /policy-diff highlights affected services and Purview labels. Named owners approve; the merge triggers updated Azure Policy definitions and Purview label rules. A single workflow lands legal, engineering, and enforcement changes.

Example 3: closing a three-year-old exception

Overnight the exception-expiry scan identifies an approval from 2022 still in effect on an Azure subscription. /control-check confirms the underlying risk is now mitigated by a new control. The Evidence Curator opens a PR removing the exception; approvals flow through the standard review; the exception disappears.

Anti-patterns

  • Evidence screenshots. Screenshots age poorly and cannot be verified; link to immutable sources instead.
  • One-framework thinking. Maintain a unified control catalog; map each control to every applicable framework.
  • Silent exceptions. Every exception has an owner, expiry, and compensating control recorded.
  • Copy-paste attestations. Draft from evidence; never recycle last year’s wording.
  • Policy in SharePoint only. Policies live in the repo, under review, with named owners.
  • Access reviews by bulk approval. Require reviewers to open each assignment; the agent flags stale approvals.
  • Controls that cannot fail. A control that always passes is not a control; design for actionable failure modes.

KPIs and impact metrics

MetricBaseline (manual)Target (agentic)Source
Control-check coverage50 percent100 percentControl catalog
Audit pack assembly time2 weeks< 1 day/audit-pack history
Policy changes with diff + owner sign-off60 percent100 percentGitHub PR reviews
Expired exceptions active150Exception registry
Access review completion on time70 percent100 percentEntra ID
Attestation rework after submission25 percent< 5 percentAudit correspondence
Posture score freshnessWeeklyDailyLoop dashboard

Maturity in four levels

  • L1 Manual: Policies as PDFs, controls as spreadsheets, audits as sprints.
  • L2 Assisted: Some controls wired to Defender for Cloud, but evidence still assembled manually at quarter end.
  • L3 Augmented: Evidence Curator agent, four slash prompts, scoped instructions, audit packs in hours.
  • L4 Autonomous: Continuous control checks, daily posture score, expiring exceptions auto-closed, attestations drafted from evidence.

Integration with other personas

  • With InfoSec Officer: shared controls, joint SBOM and threat-model evidence.
  • From Software Architect: architecture ADRs mapped to controls in the catalog.
  • From Developer: PR metadata feeding change-management evidence.
  • From Data Engineer: Microsoft Purview classifications driving data-handling evidence.
  • From SRE: incident timelines and runbooks as operational-resilience evidence.
  • With Legal: regulatory interpretation and policy text changes.
  • To Product Owner: compliance status on features ahead of release.

Glossary

  • Control: a verifiable rule mapping regulation intent to system configuration or process.
  • Evidence pack: a bundle of artifacts assembled to prove a control was operating in a period.
  • Attestation: a signed representation, typically by an officer, that specific controls are in place.
  • Exception: a time-boxed, owner-approved deviation from a control or policy.
  • Posture score: a rolling numeric summary of control health across frameworks.
  • Framework: a regulatory or industry standard such as SOX, ISO 27001, SOC 2.
  • Access review: a periodic check that each identity’s permissions remain justified.

References

O Compliance Auditor é a persona que converte regulação em controles enforçáveis e evidência verificável. Em um SDLC AI-nativo, o Compliance Auditor opera um agente Evidence Curator, quatro slash prompts e um catálogo validado de MCPs abrangendo GitHub, Microsoft Purview e Azure Policy — não uma biblioteca de PDFs de atestação estáticos.

Resumo executivo

O Compliance Auditor é dono das obrigações de SOX, ISO 27001, SOC 2 e regulações setoriais para a entrega. Em um SDLC AI-nativo, o papel é operacionalizado através de um único agente Evidence Curator com quatro slash prompts (/control-check, /audit-pack, /policy-diff, /attestation-draft), instruções com escopo para arquivos de política e controle, e MCPs validados alcançando GitHub, Microsoft Purview, Azure Policy e Microsoft Sentinel.

As entregas primárias são controles verificados continuamente, pacotes de evidência prontos para auditoria, diffs de política vivos e rascunhos de atestação montados a partir de artefatos reais do pipeline. O Compliance Auditor substitui a “sprint de auditoria” por um ritmo diário, chato e produtor de evidências.

Compliance em um SDLC AI-nativo é um subproduto de bons pipelines, não um projeto separado. O Compliance Auditor projeta o subproduto.

Papel e responsabilidades

Pense no Compliance Auditor como um inspetor de obra que assina estágio a estágio em vez de apenas no final. Ele lê as plantas, verifica cada concretagem, cada fiação, cada acabamento — e quando a vistoria final acontece, não há surpresas. Em um SDLC AI-nativo, o Compliance Auditor inspeciona o pipeline em cada estágio inspecionando seus artefatos.

Responsabilidades primárias:

  • Manter o catálogo de controles mapeando frameworks (SOX, ISO 27001, SOC 2) a artefatos do pipeline
  • Rodar verificações contínuas de controle via GitHub Actions, Azure Policy e Microsoft Purview
  • Montar pacotes de evidência prontos para auditoria sob demanda a partir de artefatos reais
  • Rastrear mudanças de política com diffs aprovados por donos nomeados
  • Redigir atestações e representações a partir de evidências, nunca de memória
  • Operar o agente Evidence Curator e os prompts /control-check, /audit-pack, /policy-diff, /attestation-draft
  • Coordenar com o InfoSec Officer em controles compartilhados e com o Jurídico em interpretação regulatória
  • Revisar revisões de acesso no Microsoft Entra ID trimestralmente e em eventos de mudança de papel

Jobs to be done

  1. Como Compliance Auditor, eu quero cada controle mapeado a uma verificação em tempo real, para que “em conformidade” seja um estado contínuo, não um momento.
  2. Como Compliance Auditor, eu quero pacotes de evidência montados em minutos, para que auditores externos recebam o que precisam no mesmo dia.
  3. Como Compliance Auditor, eu quero mudanças de política revisadas como PRs, para que a trilha de quem-aprovou-o-quê seja verificável.
  4. Como Compliance Auditor, eu quero atestações redigidas a partir de evidências reais do pipeline, para que assinaturas reflitam a realidade.
  5. Como Compliance Auditor, eu quero exceções com prazo e rastreadas, para que nenhuma exceção se torne permanente por negligência.
  6. Como Compliance Auditor, eu quero rótulos de sensibilidade do Microsoft Purview enforçados em repositórios de código, para que obrigações de tratamento de dados sejam propagadas.
  7. Como Compliance Auditor, eu quero revisões de acesso do Entra ID agendadas automaticamente, para que revisões de mínimo privilégio nunca expirem.
  8. Como Compliance Auditor, eu quero um dashboard de postura único publicado no Microsoft Teams, para que a liderança tenha uma visão atual sem perguntar.

Dores antes do AI-nativo

  • Sprint de auditoria. O trimestre termina com um mês de pânico montando artefatos, depois calmaria até o próximo trimestre.
  • Evidência em screenshots. Pacotes de auditoria contêm screenshots que não podem ser verificados depois do fato.
  • Políticas sombra. Times mantêm diretrizes privadas que divergem da política publicada.
  • Exceções sem expiração. Exceções temporárias de três anos atrás ainda ativas hoje.
  • Controles desconectados. Controles descritos em texto, não conectados a nenhum sistema que os enforça.
  • Teatro de revisão de acesso. Revisões trimestrais de acesso aprovadas em massa sem inspeção.
  • Drift de framework. Controles sobrepostos de SOX, ISO e SOC rastreados separadamente; trabalho duplicado, lacunas criadas.

Fluxo diário AI-nativo

O Compliance Auditor trabalha a partir do Visual Studio Code com GitHub Copilot e do Microsoft 365 (Teams, Loop, Purview) — invocando o agente Evidence Curator ao longo do dia.

Setup da manhã

  1. Abra o dashboard de compliance no Microsoft Loop; revise falhas de verificação de controle noturnas.
  2. Rode /control-check --since=yesterday para identificar drift no catálogo de controles.
  3. Revise alertas de revisão de acesso do Entra ID e aprovações pendentes.
  4. Verifique o Microsoft Purview para novas implantações de rótulos de sensibilidade ou mudanças de classificação.
  5. Poste o standup de compliance no Microsoft Teams com exceções abertas e itens expirando.

Execução no meio do dia

  1. Para cada PR de política, rode /policy-diff para gerar o diff revisável e relatório de impacto; encaminhe a donos nomeados para aprovação.
  2. Para qualquer solicitação de auditor, invoque /audit-pack com o escopo; o Evidence Curator monta artefatos do GitHub, Azure Policy, Defender for Cloud, Sentinel e Purview.
  3. Redija atestações via /attestation-draft; o Evidence Curator preenche URLs de evidência e sinaliza declarações sem suporte.
  4. Triar verificações de controle falhando com o InfoSec Officer quando forem controles compartilhados.

Revisão no fim da tarde

  1. Percorra exceções expirando; estenda, substitua com uma correção ou feche.
  2. Atualize o catálogo de controles com qualquer novo mapeamento de mudanças recentes de arquitetura.
  3. Publique o score de postura diário no Microsoft Loop e fixe quaisquer itens vermelhos.

Primitivas recomendadas

Agente

AgenteArquivoPropósito
evidence-curator.github/agents/evidence-curator.agent.mdRoda verificações de controle, monta pacotes de auditoria, diffa políticas, redige atestações

Slash prompts

ComandoArquivoPropósito
/control-check.github/prompts/control-check.prompt.mdRodar a suíte contínua de controles e reportar drift
/audit-pack.github/prompts/audit-pack.prompt.mdMontar um pacote de evidência pronto para auditoria para um escopo
/policy-diff.github/prompts/policy-diff.prompt.mdGerar diff e relatório de impacto para uma mudança de política
/attestation-draft.github/prompts/attestation-draft.prompt.mdRedigir uma atestação ou representação a partir de evidências reais

Instruções com escopo

Escopo (applyTo)ArquivoPropósito
docs/policies/**/*.md.github/instructions/policy.instructions.mdEstrutura de documento de política, dono, cadência de revisão
controls/**/*.yaml.github/instructions/controls.instructions.mdFormato do catálogo de controles mapeando frameworks a artefatos
attestations/**/*.md.github/instructions/attestation.instructions.mdSeções obrigatórias de atestação e linkagem de evidência
infra/**/*.bicep.github/instructions/azpolicy.instructions.mdPadrões de Azure Policy e requisitos de tags

Hooks

  • pre-commit: verificação de metadados de arquivo de política (dono, data de revisão)
  • pre-push: subconjunto rápido de control-check
  • post-merge: rodar a suíte completa de controles e atualizar o score de postura
  • nightly: escanear exceções expirando e abrir lembretes
  • on-access-review: gerar relatórios de revisão de acesso do Entra ID para donos nomeados

MCPs validados

MCPPropósitoDono
GitHub MCP ServerLer PRs, políticas, arquivos de controle, gerenciar issuesGitHub
Azure MCP ServerConsultar Azure Policy, Defender for Cloud, Sentinel, Entra IDMicrosoft
Microsoft Learn Docs MCPReferenciar orientação atualizada de frameworks (SOX, ISO, SOC 2)Microsoft
Azure DevOps MCP ServerRastrear work items de remediação quando o time usa Azure DevOpsMicrosoft
Playwright MCPCapturar fluxos de evidência para controles voltados ao usuárioMicrosoft

Exemplos reais

Exemplo 1: auditoria SOC 2 em uma tarde

Um auditor solicita evidência para CC6.1 (acesso lógico) do Q2. O Compliance Auditor roda /audit-pack --control=cc6.1 --period=Q2. O Evidence Curator puxa revisões de acesso do Entra ID, atribuições do Azure Policy e proteções de branch do GitHub, empacotando-os com URLs rastreáveis. O pacote é entregue em três horas.

Exemplo 2: uma mudança de política revisada em público

O time Jurídico propõe uma nova cláusula de retenção de dados. A mudança abre como um PR. /policy-diff destaca serviços e rótulos do Purview afetados. Donos nomeados aprovam; o merge dispara definições atualizadas de Azure Policy e regras de rótulo do Purview. Um único workflow aterrissa mudanças jurídicas, de engenharia e de enforcement.

Exemplo 3: fechando uma exceção de três anos

Durante a noite, o scan de expiração de exceções identifica uma aprovação de 2022 ainda em vigor em uma assinatura Azure. /control-check confirma que o risco subjacente agora é mitigado por um novo controle. O Evidence Curator abre um PR removendo a exceção; aprovações fluem pela revisão padrão; a exceção desaparece.

Anti-padrões

  • Evidência em screenshots. Screenshots envelhecem mal e não podem ser verificados; linke a fontes imutáveis.
  • Pensamento de framework único. Mantenha um catálogo de controles unificado; mapeie cada controle a cada framework aplicável.
  • Exceções silenciosas. Toda exceção tem um dono, expiração e controle compensatório registrados.
  • Atestações por copy-paste. Redija a partir de evidências; nunca recicle o texto do ano passado.
  • Política só no SharePoint. Políticas vivem no repositório, sob revisão, com donos nomeados.
  • Revisões de acesso por aprovação em massa. Exija que revisores abram cada atribuição; o agente sinaliza aprovações obsoletas.
  • Controles que não podem falhar. Um controle que sempre passa não é um controle; projete para modos de falha acionáveis.

KPIs e métricas de impacto

MétricaLinha base (manual)Meta (agêntico)Fonte
Cobertura de control-check50 por cento100 por centoCatálogo de controles
Tempo de montagem de pacote de auditoria2 semanas< 1 diaHistórico de /audit-pack
Mudanças de política com diff + sign-off de dono60 por cento100 por centoRevisões de PR no GitHub
Exceções expiradas ativas150Registro de exceções
Conclusão de revisão de acesso em dia70 por cento100 por centoEntra ID
Retrabalho de atestação após submissão25 por cento< 5 por centoCorrespondência de auditoria
Frescor do score de posturaSemanalDiárioDashboard do Loop

Maturidade em quatro níveis

  • L1 Manual: Políticas como PDFs, controles como planilhas, auditorias como sprints.
  • L2 Assistido: Alguns controles conectados ao Defender for Cloud, mas evidência ainda montada manualmente no fim do trimestre.
  • L3 Aumentado: Agente Evidence Curator, quatro slash prompts, instruções com escopo, pacotes de auditoria em horas.
  • L4 Autônomo: Verificações contínuas de controle, score de postura diário, exceções expirando fechadas automaticamente, atestações redigidas a partir de evidências.

Integração com outras personas

  • Com o InfoSec Officer: controles compartilhados, evidência conjunta de SBOM e modelo de ameaça.
  • Do Software Architect: ADRs de arquitetura mapeados a controles no catálogo.
  • Do Developer: metadados de PR alimentando evidência de gerenciamento de mudanças.
  • Do Data Engineer: classificações do Microsoft Purview direcionando evidência de tratamento de dados.
  • Do SRE: timelines de incidente e runbooks como evidência de resiliência operacional.
  • Com o Jurídico: interpretação regulatória e mudanças de texto de política.
  • Para o Product Owner: status de compliance em features antes do release.

Glossário

  • Controle: uma regra verificável mapeando intenção regulatória a configuração de sistema ou processo.
  • Pacote de evidência: um pacote de artefatos montado para provar que um controle estava operando em um período.
  • Atestação: uma representação assinada, tipicamente por um oficial, de que controles específicos estão em vigor.
  • Exceção: um desvio aprovado, com prazo e dono, de um controle ou política.
  • Score de postura: um resumo numérico contínuo da saúde dos controles entre frameworks.
  • Framework: um padrão regulatório ou da indústria como SOX, ISO 27001, SOC 2.
  • Revisão de acesso: uma verificação periódica de que as permissões de cada identidade permanecem justificadas.

Referências

El Compliance Auditor es la persona que convierte la regulación en controles exigibles y evidencia verificable. En un SDLC AI-nativo, el Compliance Auditor opera un agente Evidence Curator, cuatro slash prompts, y un catálogo de MCPs validados abarcando GitHub, Microsoft Purview, y Azure Policy — no una librería de PDFs de atestación estática.

Resumen ejecutivo

El Compliance Auditor es dueño de las obligaciones SOX, ISO 27001, SOC 2, y específicas del sector para la entrega. En un SDLC AI-nativo, el rol se operacionaliza a través de un único agente Evidence Curator con cuatro slash prompts (/control-check, /audit-pack, /policy-diff, /attestation-draft), instrucciones con alcance para archivos de política y controles, y MCPs validados accediendo a GitHub, Microsoft Purview, Azure Policy, y Microsoft Sentinel.

Los entregables primarios son controles verificados continuamente, paquetes de evidencia listos para auditor, diffs de política vivos, y borradores de atestación ensamblados a partir de artefactos reales del pipeline. El Compliance Auditor reemplaza el “sprint de auditoría” con un ritmo diario, aburrido, que produce evidencia.

La conformidad en un SDLC AI-nativo es un subproducto de buenos pipelines, no un proyecto separado. El Compliance Auditor diseña el subproducto.

Rol y responsabilidades

Piensa en el Compliance Auditor como un inspector de construcción que aprueba etapa por etapa en lugar de solo al final. Lee los planos, verifica cada vertido, cada cable, cada fixture — y cuando llega el recorrido final, no hay sorpresas. En un SDLC AI-nativo, el Compliance Auditor inspecciona el pipeline en cada etapa inspeccionando sus artefactos.

Responsabilidades principales:

  • Mantener el catálogo de controles mapeando frameworks (SOX, ISO 27001, SOC 2) a artefactos del pipeline
  • Ejecutar verificaciones de control continuas vía GitHub Actions, Azure Policy, y Microsoft Purview
  • Ensamblar paquetes de evidencia listos para auditor bajo demanda a partir de artefactos reales
  • Rastrear cambios de política con diffs aprobados por propietarios nombrados
  • Redactar atestaciones y representaciones a partir de evidencia, nunca de memoria
  • Operar el agente Evidence Curator y los prompts /control-check, /audit-pack, /policy-diff, /attestation-draft
  • Coordinar con el InfoSec Officer en controles compartidos y con Legal en interpretación regulatoria
  • Revisar revisiones de acceso en Microsoft Entra ID trimestralmente y en eventos de cambio de rol

Jobs to be done

  1. Como Compliance Auditor, quiero cada control mapeado a una verificación viva, para que el cumplimiento sea un estado continuo, no un momento.
  2. Como Compliance Auditor, quiero paquetes de evidencia ensamblados en minutos, para que los auditores externos reciban lo que necesitan el mismo día.
  3. Como Compliance Auditor, quiero cambios de política revisados como PRs, para que el rastro de quién aprobó qué sea verificable.
  4. Como Compliance Auditor, quiero atestaciones redactadas a partir de evidencia real del pipeline, para que las firmas reflejen la realidad.
  5. Como Compliance Auditor, quiero excepciones con límite de tiempo y rastreadas, para que ninguna excepción se vuelva permanente por negligencia.
  6. Como Compliance Auditor, quiero etiquetas de sensibilidad de Microsoft Purview aplicadas en repos de código, para que las obligaciones de manejo de datos se propaguen.
  7. Como Compliance Auditor, quiero revisiones de acceso de Entra ID programadas automáticamente, para que las revisiones de privilegio mínimo nunca se vuelvan vencidas.
  8. Como Compliance Auditor, quiero un único dashboard de postura publicado en Microsoft Teams, para que el liderazgo tenga una vista actual sin preguntar.

Puntos de dolor antes de AI-nativo

  • Sprint de auditoría. El trimestre termina con un mes de pánico ensamblando artefactos, luego calma hasta el siguiente trimestre.
  • Evidencia por captura de pantalla. Los paquetes de auditoría contienen capturas de pantalla que no pueden ser verificadas después del hecho.
  • Políticas en la sombra. Los equipos mantienen guías privadas que divergen de la política publicada.
  • Excepciones sin expiración. Excepciones temporales de hace tres años aún activas hoy.
  • Controles desconectados. Controles descritos en texto, no cableados a ningún sistema que los aplique.
  • Teatro de revisión de acceso. Las revisiones de acceso trimestrales aprobadas en masa sin inspección.
  • Deriva de framework. Controles superpuestos de SOX, ISO, y SOC rastreados por separado; trabajo duplicado, brechas creadas.

Flujo diario AI-nativo

El Compliance Auditor trabaja desde Visual Studio Code con GitHub Copilot y desde Microsoft 365 (Teams, Loop, Purview) — invocando el agente Evidence Curator a lo largo del día.

Setup de la mañana

  1. Abre el dashboard de conformidad en Microsoft Loop; revisa fallas de control-check nocturnas.
  2. Ejecuta /control-check --since=yesterday para exponer deriva a lo largo del catálogo de controles.
  3. Revisa alertas de revisión de acceso de Entra ID y aprobaciones pendientes.
  4. Verifica Microsoft Purview para nuevos lanzamientos de etiquetas de sensibilidad o cambios de clasificación.
  5. Publica el standup de conformidad a Microsoft Teams con excepciones abiertas e items que expiran.

Ejecución al mediodía

  1. Para cada PR de política, ejecuta /policy-diff para generar el diff revisable e informe de impacto; enruta a propietarios nombrados para aprobación.
  2. Para cualquier solicitud de auditor, invoca /audit-pack con el alcance; el Evidence Curator ensambla artefactos de GitHub, Azure Policy, Defender for Cloud, Sentinel, y Purview.
  3. Redacta atestaciones vía /attestation-draft; el Evidence Curator llena URLs de evidencia y marca declaraciones no soportadas.
  4. Triage de verificaciones de control fallidas con el InfoSec Officer cuando son controles compartidos.

Revisión al final de la tarde

  1. Repasa excepciones que expiran; extiende, reemplaza con una solución, o cierra.
  2. Actualiza el catálogo de controles con cualquier nuevo mapeo de cambios de arquitectura recientes.
  3. Publica la puntuación de postura diaria en Microsoft Loop y fija items en rojo.

Primitivas recomendadas

Agente

AgenteArchivoPropósito
evidence-curator.github/agents/evidence-curator.agent.mdEjecuta verificaciones de control, ensambla paquetes de auditoría, diffs de políticas, redacta atestaciones

Slash prompts

ComandoArchivoPropósito
/control-check.github/prompts/control-check.prompt.mdEjecuta la suite de control continuo e informa deriva
/audit-pack.github/prompts/audit-pack.prompt.mdEnsambla un paquete de evidencia listo para auditor para un alcance
/policy-diff.github/prompts/policy-diff.prompt.mdGenera diff e informe de impacto para un cambio de política
/attestation-draft.github/prompts/attestation-draft.prompt.mdRedacta una atestación o representación a partir de evidencia real

Instrucciones con alcance

Alcance (applyTo)ArchivoPropósito
docs/policies/**/*.md.github/instructions/policy.instructions.mdEstructura de documento de política, propietario, cadencia de revisión
controls/**/*.yaml.github/instructions/controls.instructions.mdFormato de catálogo de control mapeando frameworks a artefactos
attestations/**/*.md.github/instructions/attestation.instructions.mdSecciones requeridas de atestación y vinculación de evidencia
infra/**/*.bicep.github/instructions/azpolicy.instructions.mdPatrones de Azure Policy y requisitos de etiqueta

Hooks

  • pre-commit: verificación de metadatos de archivo de política (propietario, fecha de revisión)
  • pre-push: subconjunto rápido de control-check
  • post-merge: ejecuta la suite de control completa y refresca la puntuación de postura
  • nightly: escanea excepciones que expiran y abre recordatorios
  • on-access-review: genera informes de revisión de acceso de Entra ID para propietarios nombrados

MCPs validados

MCPPropósitoDueño
GitHub MCP ServerLee PRs, políticas, archivos de control, gestiona issuesGitHub
Azure MCP ServerConsulta Azure Policy, Defender for Cloud, Sentinel, Entra IDMicrosoft
Microsoft Learn Docs MCPReferencia guía actual de framework (SOX, ISO, SOC 2)Microsoft
Azure DevOps MCP ServerRastrea items de trabajo de remediación cuando el equipo usa Azure DevOpsMicrosoft
Playwright MCPCaptura flujos de evidencia para controles visibles por usuarioMicrosoft

Ejemplos reales

Ejemplo 1: auditoría SOC 2 en una tarde

Un auditor solicita evidencia para CC6.1 (acceso lógico) para Q2. El Compliance Auditor ejecuta /audit-pack --control=cc6.1 --period=Q2. El Evidence Curator extrae revisiones de acceso de Entra ID, asignaciones de Azure Policy, y protecciones de rama de GitHub, empaquetándolas con URLs trazables. El paquete se entrega en tres horas.

Ejemplo 2: un cambio de política revisado en público

El equipo de Legal propone una nueva cláusula de retención de datos. El cambio se abre como un PR. /policy-diff destaca servicios afectados y etiquetas de Purview. Los propietarios nombrados aprueban; el merge desencadena definiciones de Azure Policy actualizadas y reglas de etiquetas de Purview. Un único workflow aterriza cambios de legal, ingeniería, y aplicación.

Ejemplo 3: cerrando una excepción de tres años

Durante la noche el escaneo de expiración de excepciones identifica una aprobación de 2022 aún en efecto en una suscripción de Azure. /control-check confirma que el riesgo subyacente ahora se mitiga por un nuevo control. El Evidence Curator abre un PR removiendo la excepción; las aprobaciones fluyen a través de la revisión estándar; la excepción desaparece.

Anti-patrones

  • Capturas de pantalla de evidencia. Las capturas de pantalla envejecen mal y no pueden ser verificadas; vincula a fuentes inmutables en lugar.
  • Pensamiento de un único framework. Mantén un catálogo de controles unificado; mapea cada control a cada framework aplicable.
  • Excepciones silenciosas. Cada excepción tiene un propietario, expiración, y control compensador registrado.
  • Atestaciones copiadas y pegadas. Redacta a partir de evidencia; nunca recicles la redacción del año pasado.
  • Política solo en SharePoint. Las políticas viven en el repo, bajo revisión, con propietarios nombrados.
  • Revisiones de acceso por aprobación en masa. Requiere que los revisores abran cada asignación; el agente marca aprobaciones vencidas.
  • Controles que no pueden fallar. Un control que siempre pasa no es un control; diseña para modos de falla accionables.

KPIs y métricas de impacto

MétricaBaseline (manual)Objetivo (agéntico)Fuente
Cobertura de control-check50 por ciento100 por cientoCatálogo de controles
Tiempo de ensamblaje de paquete de auditoría2 semanas< 1 díaHistorial de /audit-pack
Cambios de política con diff + firma de propietario60 por ciento100 por cientoRevisiones de PR en GitHub
Excepciones vencidas activas150Registro de excepciones
Finalización de revisión de acceso a tiempo70 por ciento100 por cientoEntra ID
Retrabajo de atestación después de presentación25 por ciento< 5 por cientoCorrespondencia de auditoría
Actualidad de puntuación de posturaSemanalDiariaDashboard de Loop

Madurez en cuatro niveles

  • L1 Manual: Políticas como PDFs, controles como hojas de cálculo, auditorías como sprints.
  • L2 Asistido: Algunos controles cableados a Defender for Cloud, pero evidencia aún ensamblada manualmente al final del trimestre.
  • L3 Aumentado: Agente Evidence Curator, cuatro slash prompts, instrucciones con alcance, paquetes de auditoría en horas.
  • L4 Autónomo: Verificaciones de control continuas, puntuación de postura diaria, excepciones que expiran auto-cerradas, atestaciones redactadas a partir de evidencia.

Integración con otras personas

  • Con InfoSec Officer: controles compartidos, evidencia conjunta de SBOM y threat-model.
  • Del Software Architect: ADRs de arquitectura mapeados a controles en el catálogo.
  • Del Developer: metadatos de PR alimentando evidencia de gestión de cambios.
  • Del Data Engineer: clasificaciones de Microsoft Purview impulsando evidencia de manejo de datos.
  • Del SRE: cronogramas de incidentes y runbooks como evidencia de resiliencia operacional.
  • Con Legal: interpretación regulatoria y cambios de texto de política.
  • Para el Product Owner: estado de conformidad en features antes del lanzamiento.

Glosario

  • Control: una regla verificable que mapea intención regulatoria a configuración del sistema o proceso.
  • Paquete de evidencia: un conjunto de artefactos ensamblados para probar que un control estaba operando en un período.
  • Atestación: una representación firmada, típicamente por un oficial, que controles específicos están en lugar.
  • Excepción: una desviación aprobada por propietario con límite de tiempo de un control o política.
  • Puntuación de postura: un resumen numérico rodante de salud de control a través de frameworks.
  • Framework: un estándar regulatorio o de industria como SOX, ISO 27001, SOC 2.
  • Revisión de acceso: una verificación periódica de que los permisos de cada identidad permanecen justificados.

Referencias

Paula Silva | Software Global Black Belt

Start with the platform, not the agents. Comece pela plataforma, não pelos agentes. Comience por la plataforma, no por los agentes.

Building the future of software development with AI and Agentic DevOps.

Knowledge Hub · v3.4.0 · 2026-06-17
Back to the hubVoltar ao hubVolver al hubKnowledge HubKnowledge HubKnowledge Hub
ConnectConectarConectarin/paulanunes
paulasilva · 2026-06-17 EN · PT-BR · ES