Auditor de Cumplimiento
Controles SOX, ISO, SOC 2.
El Compliance Auditor es la persona que convierte la regulación en controles exigibles y evidencia verificable. En un SDLC AI-nativo, el Compliance Auditor opera un agente Evidence Curator, cuatro slash prompts, y un catálogo de MCPs validados abarcando GitHub, Microsoft Purview, y Azure Policy — no una librería de PDFs de atestación estática.
Resumen ejecutivo
El Compliance Auditor es dueño de las obligaciones SOX, ISO 27001, SOC 2, y específicas del sector para la entrega. En un SDLC AI-nativo, el rol se operacionaliza a través de un único agente Evidence Curator con cuatro slash prompts (/control-check, /audit-pack, /policy-diff, /attestation-draft), instrucciones con alcance para archivos de política y controles, y MCPs validados accediendo a GitHub, Microsoft Purview, Azure Policy, y Microsoft Sentinel.
Los entregables primarios son controles verificados continuamente, paquetes de evidencia listos para auditor, diffs de política vivos, y borradores de atestación ensamblados a partir de artefactos reales del pipeline. El Compliance Auditor reemplaza el “sprint de auditoría” con un ritmo diario, aburrido, que produce evidencia.
La conformidad en un SDLC AI-nativo es un subproducto de buenos pipelines, no un proyecto separado. El Compliance Auditor diseña el subproducto.
Rol y responsabilidades
Piensa en el Compliance Auditor como un inspector de construcción que aprueba etapa por etapa en lugar de solo al final. Lee los planos, verifica cada vertido, cada cable, cada fixture — y cuando llega el recorrido final, no hay sorpresas. En un SDLC AI-nativo, el Compliance Auditor inspecciona el pipeline en cada etapa inspeccionando sus artefactos.
Responsabilidades principales:
- Mantener el catálogo de controles mapeando frameworks (SOX, ISO 27001, SOC 2) a artefactos del pipeline
- Ejecutar verificaciones de control continuas vía GitHub Actions, Azure Policy, y Microsoft Purview
- Ensamblar paquetes de evidencia listos para auditor bajo demanda a partir de artefactos reales
- Rastrear cambios de política con diffs aprobados por propietarios nombrados
- Redactar atestaciones y representaciones a partir de evidencia, nunca de memoria
- Operar el agente Evidence Curator y los prompts
/control-check,/audit-pack,/policy-diff,/attestation-draft - Coordinar con el InfoSec Officer en controles compartidos y con Legal en interpretación regulatoria
- Revisar revisiones de acceso en Microsoft Entra ID trimestralmente y en eventos de cambio de rol
Jobs to be done
- Como Compliance Auditor, quiero cada control mapeado a una verificación viva, para que el cumplimiento sea un estado continuo, no un momento.
- Como Compliance Auditor, quiero paquetes de evidencia ensamblados en minutos, para que los auditores externos reciban lo que necesitan el mismo día.
- Como Compliance Auditor, quiero cambios de política revisados como PRs, para que el rastro de quién aprobó qué sea verificable.
- Como Compliance Auditor, quiero atestaciones redactadas a partir de evidencia real del pipeline, para que las firmas reflejen la realidad.
- Como Compliance Auditor, quiero excepciones con límite de tiempo y rastreadas, para que ninguna excepción se vuelva permanente por negligencia.
- Como Compliance Auditor, quiero etiquetas de sensibilidad de Microsoft Purview aplicadas en repos de código, para que las obligaciones de manejo de datos se propaguen.
- Como Compliance Auditor, quiero revisiones de acceso de Entra ID programadas automáticamente, para que las revisiones de privilegio mínimo nunca se vuelvan vencidas.
- Como Compliance Auditor, quiero un único dashboard de postura publicado en Microsoft Teams, para que el liderazgo tenga una vista actual sin preguntar.
Puntos de dolor antes de AI-nativo
- Sprint de auditoría. El trimestre termina con un mes de pánico ensamblando artefactos, luego calma hasta el siguiente trimestre.
- Evidencia por captura de pantalla. Los paquetes de auditoría contienen capturas de pantalla que no pueden ser verificadas después del hecho.
- Políticas en la sombra. Los equipos mantienen guías privadas que divergen de la política publicada.
- Excepciones sin expiración. Excepciones temporales de hace tres años aún activas hoy.
- Controles desconectados. Controles descritos en texto, no cableados a ningún sistema que los aplique.
- Teatro de revisión de acceso. Las revisiones de acceso trimestrales aprobadas en masa sin inspección.
- Deriva de framework. Controles superpuestos de SOX, ISO, y SOC rastreados por separado; trabajo duplicado, brechas creadas.
Flujo diario AI-nativo
El Compliance Auditor trabaja desde Visual Studio Code con GitHub Copilot y desde Microsoft 365 (Teams, Loop, Purview) — invocando el agente Evidence Curator a lo largo del día.
Setup de la mañana
- Abre el dashboard de conformidad en Microsoft Loop; revisa fallas de control-check nocturnas.
- Ejecuta
/control-check --since=yesterdaypara exponer deriva a lo largo del catálogo de controles. - Revisa alertas de revisión de acceso de Entra ID y aprobaciones pendientes.
- Verifica Microsoft Purview para nuevos lanzamientos de etiquetas de sensibilidad o cambios de clasificación.
- Publica el standup de conformidad a Microsoft Teams con excepciones abiertas e items que expiran.
Ejecución al mediodía
- Para cada PR de política, ejecuta
/policy-diffpara generar el diff revisable e informe de impacto; enruta a propietarios nombrados para aprobación. - Para cualquier solicitud de auditor, invoca
/audit-packcon el alcance; el Evidence Curator ensambla artefactos de GitHub, Azure Policy, Defender for Cloud, Sentinel, y Purview. - Redacta atestaciones vía
/attestation-draft; el Evidence Curator llena URLs de evidencia y marca declaraciones no soportadas. - Triage de verificaciones de control fallidas con el InfoSec Officer cuando son controles compartidos.
Revisión al final de la tarde
- Repasa excepciones que expiran; extiende, reemplaza con una solución, o cierra.
- Actualiza el catálogo de controles con cualquier nuevo mapeo de cambios de arquitectura recientes.
- Publica la puntuación de postura diaria en Microsoft Loop y fija items en rojo.
Primitivas recomendadas
Agente
| Agente | Archivo | Propósito |
|---|---|---|
evidence-curator | .github/agents/evidence-curator.agent.md | Ejecuta verificaciones de control, ensambla paquetes de auditoría, diffs de políticas, redacta atestaciones |
Slash prompts
| Comando | Archivo | Propósito |
|---|---|---|
/control-check | .github/prompts/control-check.prompt.md | Ejecuta la suite de control continuo e informa deriva |
/audit-pack | .github/prompts/audit-pack.prompt.md | Ensambla un paquete de evidencia listo para auditor para un alcance |
/policy-diff | .github/prompts/policy-diff.prompt.md | Genera diff e informe de impacto para un cambio de política |
/attestation-draft | .github/prompts/attestation-draft.prompt.md | Redacta una atestación o representación a partir de evidencia real |
Instrucciones con alcance
Alcance (applyTo) | Archivo | Propósito |
|---|---|---|
docs/policies/**/*.md | .github/instructions/policy.instructions.md | Estructura de documento de política, propietario, cadencia de revisión |
controls/**/*.yaml | .github/instructions/controls.instructions.md | Formato de catálogo de control mapeando frameworks a artefactos |
attestations/**/*.md | .github/instructions/attestation.instructions.md | Secciones requeridas de atestación y vinculación de evidencia |
infra/**/*.bicep | .github/instructions/azpolicy.instructions.md | Patrones de Azure Policy y requisitos de etiqueta |
Hooks
pre-commit: verificación de metadatos de archivo de política (propietario, fecha de revisión)pre-push: subconjunto rápido de control-checkpost-merge: ejecuta la suite de control completa y refresca la puntuación de posturanightly: escanea excepciones que expiran y abre recordatorioson-access-review: genera informes de revisión de acceso de Entra ID para propietarios nombrados
MCPs validados
| MCP | Propósito | Dueño |
|---|---|---|
| GitHub MCP Server | Lee PRs, políticas, archivos de control, gestiona issues | GitHub |
| Azure MCP Server | Consulta Azure Policy, Defender for Cloud, Sentinel, Entra ID | Microsoft |
| Microsoft Learn Docs MCP | Referencia guía actual de framework (SOX, ISO, SOC 2) | Microsoft |
| Azure DevOps MCP Server | Rastrea items de trabajo de remediación cuando el equipo usa Azure DevOps | Microsoft |
| Playwright MCP | Captura flujos de evidencia para controles visibles por usuario | Microsoft |
Ejemplos reales
Ejemplo 1: auditoría SOC 2 en una tarde
Un auditor solicita evidencia para CC6.1 (acceso lógico) para Q2. El Compliance Auditor ejecuta /audit-pack --control=cc6.1 --period=Q2. El Evidence Curator extrae revisiones de acceso de Entra ID, asignaciones de Azure Policy, y protecciones de rama de GitHub, empaquetándolas con URLs trazables. El paquete se entrega en tres horas.
Ejemplo 2: un cambio de política revisado en público
El equipo de Legal propone una nueva cláusula de retención de datos. El cambio se abre como un PR. /policy-diff destaca servicios afectados y etiquetas de Purview. Los propietarios nombrados aprueban; el merge desencadena definiciones de Azure Policy actualizadas y reglas de etiquetas de Purview. Un único workflow aterriza cambios de legal, ingeniería, y aplicación.
Ejemplo 3: cerrando una excepción de tres años
Durante la noche el escaneo de expiración de excepciones identifica una aprobación de 2022 aún en efecto en una suscripción de Azure. /control-check confirma que el riesgo subyacente ahora se mitiga por un nuevo control. El Evidence Curator abre un PR removiendo la excepción; las aprobaciones fluyen a través de la revisión estándar; la excepción desaparece.
Anti-patrones
- Capturas de pantalla de evidencia. Las capturas de pantalla envejecen mal y no pueden ser verificadas; vincula a fuentes inmutables en lugar.
- Pensamiento de un único framework. Mantén un catálogo de controles unificado; mapea cada control a cada framework aplicable.
- Excepciones silenciosas. Cada excepción tiene un propietario, expiración, y control compensador registrado.
- Atestaciones copiadas y pegadas. Redacta a partir de evidencia; nunca recicles la redacción del año pasado.
- Política solo en SharePoint. Las políticas viven en el repo, bajo revisión, con propietarios nombrados.
- Revisiones de acceso por aprobación en masa. Requiere que los revisores abran cada asignación; el agente marca aprobaciones vencidas.
- Controles que no pueden fallar. Un control que siempre pasa no es un control; diseña para modos de falla accionables.
KPIs y métricas de impacto
| Métrica | Baseline (manual) | Objetivo (agéntico) | Fuente |
|---|---|---|---|
| Cobertura de control-check | 50 por ciento | 100 por ciento | Catálogo de controles |
| Tiempo de ensamblaje de paquete de auditoría | 2 semanas | < 1 día | Historial de /audit-pack |
| Cambios de política con diff + firma de propietario | 60 por ciento | 100 por ciento | Revisiones de PR en GitHub |
| Excepciones vencidas activas | 15 | 0 | Registro de excepciones |
| Finalización de revisión de acceso a tiempo | 70 por ciento | 100 por ciento | Entra ID |
| Retrabajo de atestación después de presentación | 25 por ciento | < 5 por ciento | Correspondencia de auditoría |
| Actualidad de puntuación de postura | Semanal | Diaria | Dashboard de Loop |
Madurez en cuatro niveles
- L1 Manual: Políticas como PDFs, controles como hojas de cálculo, auditorías como sprints.
- L2 Asistido: Algunos controles cableados a Defender for Cloud, pero evidencia aún ensamblada manualmente al final del trimestre.
- L3 Aumentado: Agente Evidence Curator, cuatro slash prompts, instrucciones con alcance, paquetes de auditoría en horas.
- L4 Autónomo: Verificaciones de control continuas, puntuación de postura diaria, excepciones que expiran auto-cerradas, atestaciones redactadas a partir de evidencia.
Integración con otras personas
- Con InfoSec Officer: controles compartidos, evidencia conjunta de SBOM y threat-model.
- Del Software Architect: ADRs de arquitectura mapeados a controles en el catálogo.
- Del Developer: metadatos de PR alimentando evidencia de gestión de cambios.
- Del Data Engineer: clasificaciones de Microsoft Purview impulsando evidencia de manejo de datos.
- Del SRE: cronogramas de incidentes y runbooks como evidencia de resiliencia operacional.
- Con Legal: interpretación regulatoria y cambios de texto de política.
- Para el Product Owner: estado de conformidad en features antes del lanzamiento.
Glosario
- Control: una regla verificable que mapea intención regulatoria a configuración del sistema o proceso.
- Paquete de evidencia: un conjunto de artefactos ensamblados para probar que un control estaba operando en un período.
- Atestación: una representación firmada, típicamente por un oficial, que controles específicos están en lugar.
- Excepción: una desviación aprobada por propietario con límite de tiempo de un control o política.
- Puntuación de postura: un resumen numérico rodante de salud de control a través de frameworks.
- Framework: un estándar regulatorio o de industria como SOX, ISO 27001, SOC 2.
- Revisión de acceso: una verificación periódica de que los permisos de cada identidad permanecen justificados.
Referencias
- Documentación de Microsoft Purview — gestión de sensibilidad y conformidad
- Documentación de Azure Policy — política como código
- Cumplimiento regulatorio de Microsoft Defender for Cloud — mapeo de framework
- Revisiones de acceso de Microsoft Entra ID — certificación de acceso periódica
- Registro de auditoría y API de GitHub — evidencia de gestión de cambios
- Microsoft Sentinel — evidencia de incidente y cronogramas
- Microsoft Learn Docs MCP — recuperación de guía de framework actual
- GitHub Actions — orquestación de CI y deployment a lo largo de la pila
- Microsoft Learn Docs MCP — recuperación de documentación de primera parte en tiempo de implementación
- GitHub Advanced Security — CodeQL, Dependabot, Secret Scanning, Push Protection