Volver a agentes IA
TI y seguridad

Agente de Seguridad

Puede resolver tickets, enriquecer alertas, ejecutar runbooks permitidos, revisar accesos y derivar incidentes críticos, con foco en seguridad. Trabaja con contexto de sistemas autorizados, herramientas conectadas y evidencia verificable antes de cerrar o derivar un caso.

Acompaña al equipo en seguridad: entiende solicitudes, consulta fuentes, prepara recomendaciones y ejecuta solo acciones permitidas por permisos y políticas.

Señales, herramientas y salidas

Este modelo evita que el agente sea solo una conversación: define qué lee, qué herramientas usa, qué puede ejecutar y qué deja listo para el equipo.

Señales de entrada

  • Solicitudes o alertas de seguridad
  • Datos operativos de seguridad
  • ITSM
  • Matriz de acceso

Herramientas conectadas

  • Enriquecimiento SIEM
  • Validador IAM
  • Scanner de vulnerabilidades
  • Runbook executor

Acciones del agente

  • Clasifica la solicitud dentro de seguridad y determina urgencia, dueño y nivel de confianza.
  • Consulta enriquecimiento SIEM y validador IAM antes de recomendar o preparar una acción.
  • Prepara borradores, tareas, alertas o actualizaciones para que el equipo pueda actuar más rápido.
  • Prepara paquete de revisión para TI o seguridad cuando hay incidente crítico, cambio productivo, acceso privilegiado o riesgo de seguridad en seguridad.

Salidas operativas

  • Resumen accionable de seguridad con fuentes citadas
  • Recomendación con confianza, responsable y siguiente paso
  • Evidencia lista para revisión, auditoría o seguimiento operativo

Cómo opera el agente

El ciclo empieza con contexto, aplica reglas, ejecuta acciones y termina con evidencia revisable.

01

Lee contexto

Consulta fuentes autorizadas, mensajes, documentos o datos del proceso.

02

Razona con límites

Usa guardrails, umbrales y políticas para priorizar y decidir el siguiente paso.

03

Actúa o deriva

Usa una herramienta aprobada, prepara una respuesta o asigna el caso a un responsable.

04

Deja evidencia

Guarda resumen, decisiones, errores, archivos y trazabilidad de la sesión.

Gobierno operativo

Controles

  • Cambios de acceso, severidad, secretos, configuración o remediación de seguridad requieren aprobación de TI.
  • Solo usa enriquecimiento SIEM y validador IAM con fuentes autorizadas; registra activo, usuario, severidad, control y responsable técnico.
  • No concede accesos, cierra incidentes críticos ni modifica controles sin aprobación; registra evidencia técnica para seguridad.

Canales

  • Slack/Teams
  • SIEM
  • Canal de incidentes

Derivación humana

Deriva a TI o seguridad cuando hay incidente crítico, cambio productivo, acceso privilegiado o riesgo de seguridad en seguridad.

Evidencia

Cada interacción puede quedar ligada a sesión, ejecución, usuario, fuente consultada y acción propuesta o ejecutada.

Patrón real aplicado

Basado en patrones reales de ITSM y SOC: el agente analiza contexto, busca casos similares, propone runbooks y automatiza solo cuando la confianza y los permisos lo permiten.

ITSM
SIEM
IAM
CMDB

Agentes relacionados

Revisar Agente de Seguridad con un proceso real

Validamos fuentes, permisos, herramientas disponibles y criterios de derivación antes de proponer el primer despliegue.

Agendar discovery