⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Por Maril Vernon, Evangelista de Engenharia do GRC, Anedotas.
Cada fornecedor em cada painel agora está dizendo a palavra “agentic”. Mas a maioria deles não consegue explicar o que realmente muda quando você para de tratar o GRC como um arquivo e começa a tratá-lo como um sistema fluido.
Passei anos no lado ofensivo, formando equipes vermelhas e roxas, quebrando os controles que as equipes GRC juravam que estavam funcionando. Mesmas descobertas, mesmas lacunas, trimestres diferentes. Então, quando eu digo que a IA agente está prestes a remodelar a forma como o GRC opera, não estou vendendo uma palavra da moda. Estou lhe dizendo no que eu estaria prestando atenção se ainda estivesse tentando escapar de seus controles.
Aqui está a versão honesta de onde isso vai e como um desses agentes realmente se parece quando você o constrói.
O que "Agentic" realmente significa aqui
A automação não é novidade no GRC. Há anos criamos scripts de coleta de evidências e incorporamos RPA em fluxos de trabalho. O problema é que a maior parte apenas agilizou o trabalho pesado. Ele ainda produzia artefatos estáticos, ainda era executado de acordo com um cronograma, ainda respondia à única pergunta que o GRC legado sabe fazer: "Esse controle foi aprovado?"
Um agente é diferente de três maneiras específicas. Tem autonomia, por isso atua quando uma condição é atendida, em vez de esperar que um humano inicie uma tarefa. Ele tem contexto, portanto funciona de acordo com o estado real do seu programa, em vez de uma captura de tela do último trimestre. E ele executa várias etapas para poder analisar, decidir e agir em sequência, em vez de despejar uma linha em um relatório para você lidar mais tarde.
Os sistemas que governamos já se tornaram agentes. A nuvem é elástica, a identidade é fluida, a infraestrutura é efêmera, a IA não é determinística e a CI/CD nunca para. Os invasores descobriram isso há muito tempo, mas muitos programas de conformidade ainda tentam governar sistemas em tempo real com suposições pontuais.
Agora, agente não significa julgar um papagaio estocástico; na verdade, a maior parte do trabalho deve permanecer determinista. O modelo fornece raciocínio, resumo e orquestração. Seus controles, limites e decisões políticas ainda devem vir de humanos.
Francamente, este é um dos melhores casos de uso de IA em segurança cibernética. O GRC está repleto de trabalhos repetíveis e de alto volume realizados em relação a linhas de base conhecidas. Esse é exatamente o tipo de problema em que as máquinas se destacam. Já confiamos na IA para nos ajudar a detectar anomalias, priorizar alertas e examinar montanhas de telemetria.
Usá-lo para ajudar os analistas a identificar lacunas nas evidências ou traçar desvios no controle dificilmente é o salto radical que algumas pessoas imaginam.
Resumindo: a IA não deve substituir o julgamento. Deve dar aos profissionais mais oportunidades para aplicá-lo de forma criativa.
Construindo seu primeiro agente GRC: obtenha acesso antecipado ao Agent Studio
Agent Studio é o construtor sem código para agentes GRC personalizados. Escolha um gatilho, descreva a tarefa em linguagem simples e implante com uma trilha de auditoria completa.
Participe do programa de acesso antecipado e crie seu primeiro agente em minutos.
Solicite acesso antecipado
Três coisas que realmente mudam
O trabalho do analista muda de cobrança para gerenciamento. Ninguém entra no GRC porque sonha em perseguir capturas de tela e atualizar planilhas manualmente. O trabalho do analista muda, mas não da forma como as pessoas temem.
Os agentes não transformam os profissionais em supervisores passivos. Os agentes não substituem os profissionais; eles lhes devolvem o tempo para aplicar o julgamento onde realmente importa.
A conformidade passa de periódica a contínua. Historicamente, os ciclos anuais e trimestrais existiam porque os humanos não podiam avaliar continuamente cada controle e cada mudança. Os agentes expandem drasticamente essa capacidade, tornando prática a avaliação contínua onde antes as revisões periódicas eram a única opção.
No momento em que essa restrição desaparece, “estamos em conformidade agora” torna-se uma pergunta que você pode realmente responder, e não um instantâneo que você defende três meses depois de ter deixado de ser verdade.
A confiança se torna o gargalo. Tenha em mente: aprovação/reprovação é um resultado de conformidade. A confiança é um resultado de segurança.
As pessoas subestimam isso porque, uma vez que o esforço é barato, a difícil questão é se você confia no que o agente fez e pode provar isso, ou se você simplesmente transferiu o trabalho manual para o imposto de verificação? Esse é um problema de governação e é aquele que merece a sua atenção.
Como é construir um
A teoria é fácil de consumir e arquivar. Aqui está a versão concreta, usando o Anecdotes Agent Studio, que é o construtor sem código que minha equipe colocou em acesso antecipado. A mecânica é o ponto principal, então siga a estrutura mesmo se usar outra coisa.
O desenvolvimento do agente se resume a três decisões:
Escolha um gatilho. Esta é a condição que acorda o agente. Pode ser um cronograma (executado todas as segundas-feiras) ou pode ser um evento em seu programa (um nível de risco muda ou a evidência de um controle fica obsoleta após um certo período).
Cada fornecedor em cada painel agora está dizendo a palavra “agentic”. Mas a maioria deles não consegue explicar o que realmente muda quando você para de tratar o GRC como um arquivo e começa a tratá-lo como um sistema fluido.
Passei anos no lado ofensivo, formando equipes vermelhas e roxas, quebrando os controles que as equipes GRC juravam que estavam funcionando. Mesmas descobertas, mesmas lacunas, trimestres diferentes. Então, quando eu digo que a IA agente está prestes a remodelar a forma como o GRC opera, não estou vendendo uma palavra da moda. Estou lhe dizendo no que eu estaria prestando atenção se ainda estivesse tentando escapar de seus controles.
Aqui está a versão honesta de onde isso vai e como um desses agentes realmente se parece quando você o constrói.
O que "Agentic" realmente significa aqui
A automação não é novidade no GRC. Há anos criamos scripts de coleta de evidências e incorporamos RPA em fluxos de trabalho. O problema é que a maior parte apenas agilizou o trabalho pesado. Ele ainda produzia artefatos estáticos, ainda era executado de acordo com um cronograma, ainda respondia à única pergunta que o GRC legado sabe fazer: "Esse controle foi aprovado?"
Um agente é diferente de três maneiras específicas. Tem autonomia, por isso atua quando uma condição é atendida, em vez de esperar que um humano inicie uma tarefa. Ele tem contexto, portanto funciona de acordo com o estado real do seu programa, em vez de uma captura de tela do último trimestre. E ele executa várias etapas para poder analisar, decidir e agir em sequência, em vez de despejar uma linha em um relatório para você lidar mais tarde.
Os sistemas que governamos já se tornaram agentes. A nuvem é elástica, a identidade é fluida, a infraestrutura é efêmera, a IA não é determinística e a CI/CD nunca para. Os invasores descobriram isso há muito tempo, mas muitos programas de conformidade ainda tentam governar sistemas em tempo real com suposições pontuais.
Agora, agente não significa julgar um papagaio estocástico; na verdade, a maior parte do trabalho deve permanecer determinista. O modelo fornece raciocínio, resumo e orquestração. Seus controles, limites e decisões políticas ainda devem vir de humanos.
Francamente, este é um dos melhores casos de uso de IA em segurança cibernética. O GRC está repleto de trabalhos repetíveis e de alto volume realizados em relação a linhas de base conhecidas. Esse é exatamente o tipo de problema em que as máquinas se destacam. Já confiamos na IA para nos ajudar a detectar anomalias, priorizar alertas e examinar montanhas de telemetria.
Usá-lo para ajudar os analistas a identificar lacunas nas evidências ou traçar desvios no controle dificilmente é o salto radical que algumas pessoas imaginam.
Resumindo: a IA não deve substituir o julgamento. Deve dar aos profissionais mais oportunidades para aplicá-lo de forma criativa.
Construindo seu primeiro agente GRC: obtenha acesso antecipado ao Agent Studio
Agent Studio é o construtor sem código para agentes GRC personalizados. Escolha um gatilho, descreva a tarefa em linguagem simples e implante com uma trilha de auditoria completa.
Participe do programa de acesso antecipado e crie seu primeiro agente em minutos.
Solicite acesso antecipado
Três coisas que realmente mudam
O trabalho do analista muda de cobrança para gerenciamento. Ninguém entra no GRC porque sonha em perseguir capturas de tela e atualizar planilhas manualmente. O trabalho do analista muda, mas não da forma como as pessoas temem.
Os agentes não transformam os profissionais em supervisores passivos. Os agentes não substituem os profissionais; eles lhes devolvem o tempo para aplicar o julgamento onde realmente importa.
A conformidade passa de periódica a contínua. Historicamente, os ciclos anuais e trimestrais existiam porque os humanos não podiam avaliar continuamente cada controle e cada mudança. Os agentes expandem drasticamente essa capacidade, tornando prática a avaliação contínua onde antes as revisões periódicas eram a única opção.
No momento em que essa restrição desaparece, “estamos em conformidade agora” torna-se uma pergunta que você pode realmente responder, e não um instantâneo que você defende três meses depois de ter deixado de ser verdade.
A confiança se torna o gargalo. Tenha em mente: aprovação/reprovação é um resultado de conformidade. A confiança é um resultado de segurança.
As pessoas subestimam isso porque, uma vez que o esforço é barato, a difícil questão é se você confia no que o agente fez e pode provar isso, ou se você simplesmente transferiu o trabalho manual para o imposto de verificação? Esse é um problema de governação e é aquele que merece a sua atenção.
Como é construir um
A teoria é fácil de consumir e arquivar. Aqui está a versão concreta, usando o Anecdotes Agent Studio, que é o construtor sem código que minha equipe colocou em acesso antecipado. A mecânica é o ponto principal, então siga a estrutura mesmo se usar outra coisa.
O desenvolvimento do agente se resume a três decisões:
Escolha um gatilho. Esta é a condição que acorda o agente. Pode ser um cronograma (executado todas as segundas-feiras) ou pode ser um evento em seu programa (um nível de risco muda ou a evidência de um controle fica obsoleta após um certo período).
#samirnews #samir #news #boletimtec #seu #primeiro #agente #grc: #um #passo #a #passo #do #red #teamer
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário