Agentes de IA · Evidências · ISO 27001

Agentes de IA para ISO 27001, com escopo mínimo e revisão humana.

Agentes podem ajudar a manter a ISO 27001 viva quando recebem uma função clara: coletar prova, classificar contexto e enviar evidências para uma plataforma que respeita isolamento e aprovação.

01 Intenção de busca

O agente não precisa “entender a empresa inteira”.

A arquitetura correta é limitada por escopo: um agente de projeto envia o que sabe sobre aquele projeto; um agente de infraestrutura envia verificações técnicas; a plataforma consolida e exige aprovação para decisões críticas.

  • Credencial própria por agente, sem acesso administrativo global.
  • Organização resolvida no servidor, não confiada ao texto enviado pelo agente.
  • Evidências associadas a controles e eventos revisáveis.
  • Prompt injection tratado como risco operacional, não como detalhe de UX.

02 O que entregamos

Coleta técnica

Versões, cabeçalhos, dependências, logs e configurações podem virar evidência quando coletados com data, origem e escopo claros.

Triagem assistida

A IA sugere relação com controles, riscos e tratamentos. O auditor ou responsável aprova o que entra no SGSI.

Operação contínua

A certificação deixa de depender de mutirões. Cada rodada alimenta uma linha do tempo de evidências e pendências.

03 Fluxo

Da intenção à evidência.

  1. 01

    Definir papéis de agente

    Separe agentes por contexto: projeto npm, infraestrutura, e-mail, runtime, catálogo de ativos ou monitoramento de segurança.

  2. 02

    Emitir credenciais limitadas

    Cada agente tem token próprio e permissão de escrita apenas na organização correspondente.

  3. 03

    Enviar evidência estruturada

    A plataforma recebe evento, risco ou evidência com origem, data, resumo e controle sugerido.

  4. 04

    Aprovar e exportar

    Responsáveis revisam, aprovam e exportam evidências, riscos e SoA quando a auditoria pedir.

04 Prova prática

A primeira skill pública resolve um controle concreto.

A Exponencial começou por A.8.8 porque vulnerabilidades técnicas são recorrentes, verificáveis e fáceis de demonstrar em um repositório real.

  • A skill roda dentro do projeto do cliente.
  • A credencial não é super-admin.
  • O painel mostra o que foi aberto, fechado e evidenciado.

05 Perguntas frequentes

Respostas diretas antes da conversa.

Posso usar com Claude Code, Cursor ou CI?

Sim. A skill é um script Node e também pode ser instalada como skill de agente. O canal importa menos que o escopo e a trilha de auditoria.

Agente de IA aumenta risco de segurança?

Pode aumentar se tiver privilégio excessivo. Por isso o desenho da Exponencial usa escopo mínimo, organização resolvida pelo token e revisão humana.

Isso substitui GRC tradicional?

Não necessariamente. Ele cria uma camada operacional para evidências e riscos técnicos. Pode conviver com GRC existente ou operar como plataforma de conformidade da Exponencial.