ISMS Copilot
Ingeniería de prompts

Sea claro y específico

Por qué importa la especificidad

En las labores de cumplimiento, la precisión determina si obtendrá una guía práctica o un consejo genérico. El entrenamiento especializado de ISMS Copilot en ISO 27001, SOC 2, NIST, GDPR y otros marcos requiere referencias claras para mostrar los controles adecuados, los requisitos de evidencia y los pasos de implementación.

Las consultas vagas como "¿Cómo protejo los datos?" podrían aplicarse a cientos de controles en docenas de marcos de trabajo. Las consultas específicas que apuntan a estándares exactos ahorran tiempo y reducen errores en auditorías de alto riesgo.

Elementos clave de un prompt específico

1. Marco de trabajo y versión

Especifique siempre el estándar y la versión exactos con los que está trabajando.

❌ Vago: "¿Cuáles son los requisitos de control de acceso?"

✅ Específico: "¿Cuáles son los requisitos de control de acceso para ISO 27001:2022 Anexo A.5.15?"

Hacer referencia a las versiones garantiza que obtendrá una orientación actualizada y alineada con el alcance de su auditoría.

2. Números de control o requisito

Cite identificadores de control exactos cuando sea posible.

❌ Vago: "Cuéntame sobre el acceso lógico de SOC 2"

✅ Específico: "¿Qué evidencia necesito para SOC 2 CC6.1 (controles de acceso lógico y físico)?"

Los números de control desbloquean guías detalladas de implementación y listas de evidencias de auditoría.

3. Contexto organizacional

Incluya el tamaño de la empresa, la industria y las tecnologías relevantes.

❌ Genérico: "¿Cómo implemento la autenticación de múltiples factores?"

✅ Contextualizado: "¿Cómo implemento MFA para ISO 27001 A.5.17 en una startup de salud de 40 personas que utiliza Google Workspace y AWS?"

El contexto produce recomendaciones que se ajustan a su entorno real, no a ideales teóricos.

4. Resultado deseado

Indique qué necesita: borrador de política, lista de evidencias, pasos de implementación o análisis de brechas.

❌ Poco claro: "Ayuda con la gestión de incidentes"

✅ Claro: "Genera un procedimiento de respuesta a incidentes para ISO 27001 A.5.24 que cubra detección, respuesta y reporte para una plataforma SaaS"

Ejemplos por marco de trabajo

ISO 27001

Vago: "¿Qué hay del cifrado?"

Específico: "¿Cómo implemento controles criptográficos para ISO 27001:2022 A.8.24 para proteger los datos de los clientes en reposo en PostgreSQL y en tránsito a través de APIs?"

SOC 2

Vago: "¿Gestión de cambios en SOC 2?"

Específico: "¿Qué procesos de gestión de cambios satisfacen SOC 2 CC8.1 para un equipo de desarrollo que utiliza GitHub, Jira y AWS CodePipeline?"

NIST CSF

Vago: "Consejos de seguridad de la cadena de suministro"

Específico: "¿Qué procedimientos de evaluación de riesgos de proveedores se alinean con NIST CSF ID.SC-2 para una empresa fintech que evalúa proveedores SaaS que manejan PII?"

GDPR

Vago: "Protección de datos GDPR"

Específico: "¿Qué medidas técnicas satisfacen el Artículo 32 de GDPR para una plataforma de marketing que procesa datos de clientes de la UE con Salesforce y Mailchimp?"

Especificidad en escenarios complejos

Análisis de brechas (Gap Analysis)

Al cargar archivos o describir el estado actual, proporcione detalles:

Ejemplo: "Revisa nuestra política de control de acceso adjunta frente a SOC 2 CC6.1-6.3. Somos una empresa de 60 personas que usa Okta para SSO, AWS IAM y GitHub. Identifica los controles faltantes para una auditoría de Tipo II."

Evaluaciones de riesgo

Especifique el alcance, los activos y el modelo de amenazas:

Ejemplo: "Crea una plantilla de evaluación de riesgos para ISO 27001 A.5.7 que cubra infraestructura en la nube (AWS), base de datos de clientes (RDS) y herramientas internas (Google Workspace) para una startup SaaS de Serie A"

Alineación de múltiples marcos de trabajo

Nombre todos los estándares aplicables:

Ejemplo: "¿Cómo creo un único proceso de revisión de acceso que satisfaga tanto ISO 27001:2022 A.5.18 como SOC 2 CC6.1 para auditorías trimestrales?"

Si no está seguro de los números de control exactos, comience de forma general ("¿Cuáles son los controles de acceso de ISO 27001?") y luego profundice con seguimientos específicos ("Amplía la información sobre A.5.15 para nuestro entorno de AWS").

Errores comunes

  • Omitir versiones: ISO 27001:2013 frente a 2022 tienen controles diferentes; especifique para evitar guías obsoletas

  • Usar jerga sin contexto: "Nuestro RBAC necesita ayuda" no indica marco de trabajo, herramienta ni problema

  • Hacer múltiples preguntas no relacionadas: "Cuéntame sobre A.5.1, A.8.1 y A.12.1" diluye el enfoque; las consultas separadas funcionan mejor

  • Asumir que ISMS Copilot conoce su configuración: No tiene conocimiento previo de su organización; proporcione siempre el contexto

Pruebe su especificidad

Antes de enviar una consulta, pregúntese:

  1. ¿Mencioné el marco de trabajo y la versión?

  2. ¿Incluí números de control/requisito?

  3. ¿Describí el contexto de mi organización?

  4. ¿Es claro el resultado que deseo obtener?

Si alguna respuesta es "no", refine su prompt.

Los prompts específicos suelen obtener respuestas completas y prácticas en un solo intento. Los prompts vagos requieren de 3 a 5 aclaraciones de ida y vuelta, desperdiciando su cuota de mensajes y su tiempo.

Próximos pasos

Aplique la especificidad en su próxima consulta. Note cómo el contexto detallado produce una guía personalizada y lista para auditoría en lugar de mejores prácticas genéricas.

Volver a la descripción general de Ingeniería de Prompts

¿Te fue útil?