Prompts para la implementación de controles ISO 27001
Resumen
Descubrirá prompts prácticos para implementar los controles del Anexo A de ISO 27001:2022 utilizando ISMS Copilot, desde el diseño de configuraciones técnicas hasta la creación de flujos de trabajo operativos que demuestren la ejecución efectiva de los controles de seguridad.
A quién va dirigido
Estos prompts están diseñados para:
Equipos de TI y seguridad que implementan los controles del Anexo A
Administradores de sistemas que configuran controles de seguridad
Ingenieros de DevOps que integran la seguridad en la infraestructura
Profesionales de cumplimiento que documentan la implementación de controles
Antes de comenzar
La implementación de controles es más efectiva cuando ya ha completado su evaluación de riesgos y ha creado sus políticas y procedimientos. Estos prompts le ayudan a traducir los requisitos en implementaciones técnicas y operativas reales.
Consejo profesional: Personalice los prompts con su pila tecnológica específica (proveedor de nube, sistema de identidad, herramienta SIEM, etc.) para obtener una guía de implementación adaptada a su entorno en lugar de recomendaciones genéricas.
Prompts para controles organizativos (A.5)
Diseñar roles de seguridad de la información (A.5.1-A.5.3)
"Diseña la estructura organizativa para los roles de seguridad de la información según los controles A.5.1-A.5.3 de ISO 27001:2022. Define: estructura de gobernanza de seguridad de la información (comités, líneas de reporte), definiciones de roles y responsabilidades (CISO, equipo de seguridad, equipo de TI, unidades de negocio), matriz de segregación de funciones para prevenir conflictos, rutas de escalada para decisiones de seguridad, integración con la estructura organizativa general, mecanismos de demostración del compromiso de la dirección y asignación de recursos para la función de seguridad. Adecuado para [tamaño y estructura de la empresa]."
Implementar el sistema de gestión de políticas (A.5.2)
"Diseña un sistema de gestión de políticas para mantener nuestras políticas ISO 27001 según el control A.5.2. Incluye: estructura del repositorio de políticas y controles de acceso, flujo de trabajo del ciclo de vida de las políticas (borrador, revisión, aprobación, publicación, retiro), control de versiones y seguimiento de cambios, cronograma de revisión de políticas y recordatorios, proceso de consulta a las partes interesadas, autoridades de aprobación de políticas por tipo, comunicación de políticas y seguimiento de acuse de recibo, gestión de excepciones a las políticas e integración con la incorporación de empleados."
Configurar la gestión de activos (A.5.9)
"Implementa un sistema de inventario y gestión de activos para el control A.5.9 de ISO 27001. Diseña: métodos de descubrimiento de activos (escaneo automatizado, registro manual), atributos de activos a rastrear (propietario, clasificación, ubicación, dependencias, estado del ciclo de vida), flujo de trabajo de asignación de propiedad de activos, proceso de etiquetado de clasificación, mecanismos de cumplimiento de uso aceptable, integración con CMDB o gestión de activos de TI, seguimiento del ciclo de vida de los activos (desde la adquisición hasta la eliminación) y paneles de informes para la supervisión de activos."
Diseñar el marco de control de acceso (A.5.15-A.5.18)
"Diseña un marco integral de control de acceso para los controles A.5.15-A.5.18 de ISO 27001 utilizando [su sistema de identidad, por ejemplo, Azure AD, Okta]. Incluye: gestión del ciclo de vida de la identidad (aprovisionamiento, cambios, desaprovisionamiento), modelo de control de acceso basado en roles (RBAC) con roles mapeados a funciones laborales, flujo de trabajo de solicitud y aprobación de acceso, estrategia de gestión de acceso privilegiado, mecanismos de autenticación (SSO, MFA, sin contraseña), modelos de autorización (RBAC, ABAC), proceso y cronograma de revisión de acceso e implementación técnica en [su sistema de directorio]."
Ejemplo: "Diseña un marco integral de control de acceso para los controles A.5.15-A.5.18 utilizando Azure AD con acceso condicional. Nuestro entorno: 200 usuarios, aplicaciones SaaS, infraestructura de nube Azure, estaciones de trabajo de acceso privilegiado para administradores."
Prompts para controles de personas (A.6)
Crear el proceso de selección de seguridad (A.6.1)
"Crea un proceso de selección de empleados y verificación de antecedentes para el control A.6.1 de ISO 27001. Define: requisitos de selección por sensibilidad del rol (estándar, elevado, privilegiado), comprobaciones previas al empleo (antecedentes penales, historial laboral, educación, referencias, crédito para roles financieros), cronograma de selección en el proceso de contratación, requisitos del proveedor de selección de terceros, consideraciones para candidatos internacionales, activadores de selección continua (cambios de rol, incidentes de seguridad), consentimiento del candidato y cumplimiento de la privacidad, retención de registros e integración con el flujo de trabajo de incorporación de RR.HH."
Implementar el programa de concienciación sobre seguridad (A.6.3)
"Diseña un programa integral de formación y concienciación sobre seguridad para el control A.6.3 de ISO 27001. Incluye: formación básica de concienciación sobre seguridad (temas de contenido, método de entrega, duración, frecuencia), lista de verificación de orientación de seguridad para nuevas contrataciones, itinerarios de formación basados en roles (desarrolladores, administradores, gerentes, todo el personal), programa de simulación de phishing (frecuencia, niveles de dificultad, activadores de formación correctiva), estrategia de comunicación de seguridad (boletines, alertas, campañas), medición de la eficacia de la formación (cuestionarios, encuestas, correlación de incidentes), integración con el sistema de gestión de aprendizaje y seguimiento e informes de cumplimiento."
Configurar el proceso disciplinario (A.6.4)
"Desarrolla un proceso disciplinario para violaciones de la política de seguridad según el control A.6.4 de ISO 27001. Define: categorías de violación y niveles de gravedad, procedimientos de investigación para sospechas de violación, acciones disciplinarias por tipo de violación (advertencia, suspensión, despido), autoridades de escalada y aprobación, requisitos de documentación, derechos de los empleados y debido proceso, integración con los procedimientos disciplinarios de RR.HH., privacidad y confidencialidad durante las investigaciones y protocolos de comunicación para casos sensibles."
Prompts para controles físicos (A.7)
Diseñar controles de acceso físico (A.7.1-A.7.2)
"Diseña controles de seguridad física para nuestras instalaciones según los controles A.7.1-A.7.2 de ISO 27001. Incluye: definición del perímetro de seguridad y barreras físicas, puntos de entrada y mecanismos de control de acceso (lectores de tarjetas, biometría, esclusas), proceso de gestión de visitantes (registro, escolta, devolución de tarjetas), zonas de seguridad y restricciones de acceso (pública, empleados, restringida, sala de servidores), sistemas de vigilancia (ubicación de CCTV, grabación, retención), personal de seguridad y procedimientos de patrulla, procedimientos de acceso fuera de horario e integración entre los sistemas de acceso físico y lógico."
Implementar seguridad de los equipos (A.7.7-A.7.8)
"Crea procedimientos de escritorio limpio, pantalla limpia y seguridad de los equipos para los controles A.7.7-A.7.8 de ISO 27001. Define: requisitos de escritorio limpio (fin de la jornada, manejo de material confidencial), políticas de pantalla limpia (tiempo de espera de bloqueo, protectores de privacidad, posicionamiento del monitor), disposiciones de almacenamiento seguro (armarios cerrados, cajas fuertes), ubicación de los equipos para evitar la visualización no autorizada, restricciones en áreas de visitantes, aplicabilidad al trabajo remoto, auditorías y comprobaciones de cumplimiento, formación y recordatorios para los empleados y mecanismos de cumplimiento."
Diseñar el proceso de eliminación segura (A.7.10, A.7.14)
"Implementa un proceso de eliminación segura para equipos y soportes según los controles A.7.10 y A.7.14 de ISO 27001. Incluye: tipos de soportes en alcance (papel, discos duros, SSD, unidades USB, dispositivos móviles, cintas de respaldo), métodos de eliminación por tipo de soporte (trituración, desmagnetización, borrado criptográfico, destrucción física), procedimientos de verificación de desinfección de datos, requisitos del certificado de destrucción, gestión y supervisión de proveedores de eliminación, registros de auditoría y seguimiento de eliminación, flujo de trabajo de aprobación de eliminación para sistemas sensibles y cumplimiento ambiental y regulatorio."
Prompts para controles tecnológicos (A.8)
Configurar la autenticación segura (A.8.5)
"Implementa controles de autenticación segura para el control A.8.5 de ISO 27001 utilizando [su proveedor de identidad]. Configura: registro y aplicación de autenticación multifactor (MFA) por nivel de riesgo del usuario, métodos de autenticación (aplicaciones de autenticación, tokens de hardware, biometría, SMS como respaldo), políticas de acceso condicional (ubicación, dispositivo, nivel de riesgo), inicio de sesión único (SSO) para aplicaciones integradas, gestión de sesiones (tiempo de espera, sesiones concurrentes), autenticación de cuentas de servicio, autenticación y autorización de API, opciones de autenticación sin contraseña y monitoreo de fallos de autenticación y anomalías."
Ejemplo: "Implementa autenticación segura para el control A.8.5 utilizando Azure AD. Configura MFA para todos los usuarios, acceso condicional basado en el riesgo de inicio de sesión, cumplimiento del dispositivo y ubicación. Habilita el acceso sin contraseña para ejecutivos usando Windows Hello y llaves FIDO2."
Diseñar la gestión de acceso privilegiado (A.8.2-A.8.3)
"Implementa un sistema de gestión de acceso privilegiado para los controles A.8.2-A.8.3 de ISO 27001. Diseña: inventario y clasificación de cuentas privilegiadas, flujo de trabajo de solicitud y aprobación de acceso privilegiado (acceso just-in-time), estaciones de trabajo de acceso privilegiado (PAW) para tareas administrativas, grabación y monitoreo de sesiones para actividades privilegiadas, almacenamiento de contraseñas para credenciales privilegiadas (usando [solución PAM]), rotación automática de contraseñas, procedimientos de emergencia break-glass, revisiones y recertificación de acceso privilegiado y registro de auditoría de actividad privilegiada."
Implementar la restricción de acceso (A.8.1)
"Configura restricciones de acceso a la red y a la información para el control A.8.1 de ISO 27001. Implementa: estrategia de segmentación y microsegmentación de red, reglas de firewall basadas en el mínimo privilegio, controles de acceso a nivel de aplicación (autenticación, autorización), restricciones de acceso a datos por nivel de clasificación, mecanismos de cumplimiento de necesidad de conocer, segregación de entornos de desarrollo, prueba y producción, controles de acceso remoto (VPN, zero trust, acceso condicional) y registro y monitoreo de acceso para todos los recursos restringidos."
Configurar la seguridad de los sistemas de información (A.8.9-A.8.11)
"Implementa la gestión de configuración y el endurecimiento (hardening) para los controles A.8.9-A.8.11 de ISO 27001. Incluye: configuraciones base de seguridad para [sus SO/plataformas], mantenimiento de la base de datos de gestión de configuración (CMDB), estándares y listas de verificación de hardening, detección y remediación de desviación de configuración, plantillas de configuración segura para nuevos sistemas, auditorías de configuración regulares, control de cambios para modificaciones de configuración, respaldo y recuperación de configuración e integración con la gestión de vulnerabilidades para identificar malas configuraciones."
Diseñar la prevención de fuga de datos (A.8.12)
"Implementa controles de prevención de fuga de datos para el control A.8.12 de ISO 27001. Diseña: integración de clasificación de datos (etiquetado automático), políticas de DLP para diferentes tipos de datos (PII, datos de pago, propiedad intelectual, confidencial), canales de monitoreo (correo electrónico, web, USB, aplicaciones en la nube, impresión), acciones de política (alertar, bloquear, cifrar, poner en cuarentena), educación del usuario para alertas de DLP, flujo de trabajo de aprobación y excepciones de la política de DLP, respuesta a incidentes por violaciones de DLP y métricas de efectividad y ajuste de DLP."
Implementar controles de respaldo (A.8.13)
"Configura el sistema de respaldo y recuperación para el control A.8.13 de ISO 27001. Implementa: alcance del respaldo (todos los sistemas y datos críticos), frecuencia de respaldo por nivel de sistema (continuo, por hora, diario, semanal), política de retención de respaldos (GFS - Abuelo-Padre-Hijo), almacenamiento de respaldos (local, fuera del sitio, nube), cifrado de respaldos en tránsito y en reposo, verificación de integridad de respaldos, cronograma de pruebas de restauración, monitoreo y alertas de respaldo automatizados e integración de recuperación ante desastres con objetivos de RTO/RPO."
Configurar el registro y monitoreo (A.8.15-A.8.16)
"Implementa un registro y monitoreo integral para los controles A.8.15-A.8.16 de ISO 27001 utilizando [su herramienta SIEM]. Configura: fuentes de registros y tipos de eventos a recolectar (autenticación, acceso, cambios, eventos de seguridad, errores), centralización y agregación de registros en el SIEM, retención de registros por tipo y requisitos regulatorios, protección de registros (integridad, control de acceso, cifrado), reglas de alerta y monitoreo en tiempo real, casos de uso de seguridad y lógica de detección, procedimientos y responsabilidades de revisión de registros, flujos de trabajo de investigación de incidentes y panel de monitoreo para operaciones de seguridad."
Ejemplo: "Implementa registro y monitoreo para los controles A.8.15-A.8.16 usando Microsoft Sentinel. Recolecta registros de Azure AD, Office 365, recursos de Azure, AD local, firewalls y endpoints. Configura la detección de fuerza bruta, escalada de privilegios, exfiltración de datos y malware."
Diseñar controles criptográficos (A.8.24)
"Implementa controles criptográficos para el control A.8.24 de ISO 27001. Configura: cifrado para datos en reposo (bases de datos, almacenamiento de archivos, respaldos) utilizando [método de cifrado], cifrado para datos en tránsito (TLS 1.2+, suites de cifrado aprobadas), sistema de gestión de claves (generación, almacenamiento, rotación, destrucción), depósito de claves de cifrado para escenarios de recuperación, certificados digitales y gestión de PKI, algoritmos criptográficos y longitudes de clave aprobados, cifrado en la nube (claves administradas por el cliente frente a administradas por el proveedor) y auditoría de controles criptográficos y verificación de cumplimiento."
Implementar la gestión de vulnerabilidades (A.8.8)
"Diseña un programa de gestión de vulnerabilidades para el control A.8.8 de ISO 27001 utilizando [sus herramientas de escaneo]. Implementa: cronograma de escaneo de vulnerabilidades (escaneos autenticados semanales para sistemas críticos, mensuales para todos los sistemas), cobertura del escaneo (red, aplicaciones, contenedores, infraestructura de nube), clasificación de la gravedad de la vulnerabilidad y SLA (crítica en 24 horas, alta en 7 días, media en 30 días), flujo de trabajo y pruebas de gestión de parches, controles compensatorios para sistemas que no se pueden parchear, manejo de divulgación de vulnerabilidades, métricas e informes a la dirección e integración con la gestión de activos y cambios."
Configurar el desarrollo seguro (A.8.25-A.8.31)
"Implementa un ciclo de vida de desarrollo seguro para los controles A.8.25-A.8.31 de ISO 27001. Diseña: requisitos de seguridad en el proceso de desarrollo, modelado de amenazas para nuevas funcionalidades, estándares de codificación segura para [sus lenguajes de programación], proceso de revisión de código con enfoque en seguridad, pruebas de seguridad de aplicaciones estáticas (SAST) en el pipeline de CI/CD, pruebas dinámicas (DAST) antes del despliegue, escaneo de dependencias y bibliotecas de terceros, pruebas de seguridad en la fase de QA, gestión de datos de desarrollo/prueba (enmascaramiento de datos, datos sintéticos) y comprobaciones de seguridad del despliegue en producción."
Diseñar la gestión de cambios (A.8.32)
"Implementa un sistema de gestión de cambios para el control A.8.32 de ISO 27001 utilizando [su herramienta de gestión de cambios]. Configura: proceso de solicitud de cambios y aprobaciones, categorización de cambios (estándar, normal, emergencia), evaluación de riesgos para cambios, proceso del comité asesor de cambios (CAB), requisitos de prueba antes de la implementación, ventanas de implementación y períodos de veda, procedimientos y criterios de reversión (rollback), revisión posterior a la implementación, proceso de cambio de emergencia con aprobación retroactiva y analíticas y métricas de cambios (tasa de éxito, incidentes causados por cambios)."
Prompts para la implementación de la gestión de incidentes
Crear la capacidad de respuesta ante incidentes (A.5.24-A.5.28)
"Implementa un programa de respuesta a incidentes de seguridad para los controles A.5.24-A.5.28 de ISO 27001. Diseña: fuentes de detección de incidentes (SIEM, EDR, informes de usuarios, inteligencia de amenazas), clasificación de incidentes y niveles de gravedad, estructura del equipo de respuesta a incidentes y rotación de guardias, manuales de respuesta (playbooks) por tipo de incidente (ransomware, filtración de datos, DDoS, amenaza interna), procedimientos forenses y de recolección de evidencia, plan de comunicación (escalada interna, notificación a clientes, informes regulatorios), sistema de gestión de casos y seguimiento de incidentes, proceso de revisión posterior al incidente y lecciones aprendidas y simulacros de escritorio y pruebas de IR."
Configurar la detección de eventos de seguridad (A.8.16)
"Diseña la detección y respuesta a eventos de seguridad utilizando [sus herramientas SIEM/EDR]. Implementa: casos de uso de seguridad y reglas de detección (anomalías de autenticación, movimiento lateral, exfiltración de datos, escalada de privilegios, ejecución de malware), integración de inteligencia de amenazas, analítica de comportamiento y aprendizaje automático para la detección de anomalías, ajuste de alertas y reducción de falsos positivos, flujo de trabajo de triaje e investigación de alertas, acciones de respuesta automatizadas (desactivar cuenta, cuarentena, bloquear IP), playbooks de SOC para escenarios comunes y seguimiento y mejora del MTTR (tiempo medio de respuesta)."
Prompts para la implementación de la continuidad del negocio
Diseñar el programa de continuidad del negocio (A.5.29-A.5.30)
"Implementa un programa de continuidad del negocio y recuperación ante desastres para los controles A.5.29-A.5.30 de ISO 27001. Crea: análisis de impacto al negocio (BIA) para identificar funciones críticas, objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO) por función de negocio, estrategias de continuidad (redundancia, failover, soluciones alternativas, procesos manuales), sitios de procesamiento alternos o DR en la nube, planes de comunicación durante interrupciones, roles y responsabilidades del equipo de BC, cronograma de pruebas del plan de BC (simulacros anuales, prueba completa cada 2 años), activadores de mantenimiento del plan e integración con la respuesta a incidentes y gestión de crisis."
Implementar la continuidad de las TIC (A.8.14)
"Diseña la continuidad y redundancia de las TIC para el control A.8.14 de ISO 27001. Implementa: redundancia del sistema y alta disponibilidad para sistemas críticos, mecanismos de failover automatizados, replicación de datos (sincrónica para críticos, asincrónica para otros), sitio de recuperación ante desastres o región de nube, verificación de RTO y RPO mediante pruebas, procedimientos de retorno (failback) cuando se recupere el primario, redundancia de proveedores para servicios críticos e integración con los procesos de restauración de respaldo del control A.8.13."
Prompts para la implementación de la gestión de proveedores
Diseñar el programa de seguridad de proveedores (A.5.19-A.5.23)
"Implementa un programa de gestión de seguridad de terceros para los controles A.5.19-A.5.23 de ISO 27001. Crea: clasificación de riesgo de proveedores (alto/medio/bajo basado en el acceso a datos y criticidad), proceso y cuestionario de evaluación de seguridad de proveedores, requisitos de seguridad en el proceso de adquisición, requisitos de seguridad contractuales (controles de seguridad, derechos de auditoría, notificación de incidentes, obligaciones de cumplimiento), verificación de seguridad en la incorporación de proveedores, monitoreo continuo y revisiones de desempeño de proveedores, gestión y restricciones de acceso de proveedores, coordinación de respuesta a incidentes de proveedores y procedimientos de salida de proveedores y devolución de datos."
Configurar la seguridad de los servicios en la nube (A.5.23)
"Implementa controles de seguridad de servicios en la nube según el control A.5.23 de ISO 27001 para [sus proveedores de nube]. Aborda: comprensión y documentación del modelo de responsabilidad compartida, verificación de seguridad del proveedor de nube (SOC 2, ISO 27001, FedRAMP), configuraciones de seguridad específicas de la nube (IAM, cifrado, red, registro), requisitos de soberanía y residencia de datos, herramientas de gestión de la postura de seguridad en la nube (CSPM), agente de seguridad de acceso a la nube (CASB) si se utilizan varios SaaS, consistencia de seguridad multi-nube y coordinación de respuesta a incidentes del proveedor de nube."
Prompts para la implementación legal y de cumplimiento
Implementar controles de privacidad (A.5.33-A.5.34)
"Diseña un programa de protección de la privacidad para los controles A.5.33-A.5.34 de ISO 27001 y el cumplimiento del RGPD. Implementa: proceso de cumplimiento de los derechos de los interesados (acceso, rectificación, supresión, portabilidad), privacidad desde el diseño en nuevos proyectos y sistemas, activadores y procesos de evaluaciones de impacto de la privacidad (PIA), gestión del consentimiento para marketing y procesamiento opcional, registros e inventario de procesamiento de datos, automatización de la retención y eliminación de datos, mecanismos de transferencia transfronteriza (cláusulas contractuales tipo, decisiones de adecuación) y responsabilidades del delegado de protección de datos (DPO) o del equipo de privacidad."
Diseñar la gestión del cumplimiento (A.5.31)
"Implementa un sistema de gestión del cumplimiento para el control A.5.31 de ISO 27001. Crea: inventario de obligaciones de cumplimiento (requisitos legales, regulatorios, contractuales), mapeo de controles y monitoreo de cumplimiento, cronograma de evaluación de cumplimiento, proceso de monitoreo de cambios regulatorios, capacitación de cumplimiento para el personal relevante, informes de cumplimiento a la dirección y a la junta, evaluación de riesgos de cumplimiento, verificación externa del cumplimiento (auditorías, evaluaciones) y retención de registros para evidencia de cumplimiento según [regulaciones aplicables]."
Prompts de prueba y verificación
Diseñar pruebas de eficacia de los controles
"Crea un programa de validación y prueba de controles para verificar la eficacia de los controles del Anexo A. Para el control [número de control], diseña: objetivos y alcance de la prueba, metodología de prueba (revisión de documentos, observación, pruebas técnicas, repetición), enfoque de muestreo y tamaño de la muestra, frecuencia de las pruebas (monitoreo continuo, trimestral, anual), evidencia esperada y criterios de éxito/fallo, herramientas y automatización de pruebas, requisitos de independencia del evaluador, reporte y remediación de deficiencias y documentación de las pruebas para evidencia de auditoría."
Realizar un recorrido (walkthrough) del control
"Crea un documento de recorrido de control para el control del Anexo A [número y nombre del control]. Incluye: descripción y objetivo del control, referencias a políticas y procedimientos, flujo del proceso paso a paso (narrativa y diagrama), roles y responsabilidades en cada paso, sistemas y herramientas involucrados, entradas y salidas, puntos de control y verificaciones, excepciones y escaladas, y evidencia generada por el control. Utiliza esto para capacitar al personal y demostrarlo a los auditores."
Prompts para integración y automatización
Automatizar la implementación de controles
"Diseña la automatización para el control ISO 27001 [número de control] utilizando [sus herramientas de automatización, por ejemplo, PowerShell, Terraform, Ansible]. Crea: objetivos y alcance de la automatización, enfoque de implementación técnica, scripts de automatización o infraestructura como código, prueba y validación de la automatización, manejo de errores y reversión, programación y orquestación, registro y rastro de auditoría de acciones automatizadas, puntos de intervención manual y documentación para el mantenimiento y resolución de problemas de la automatización."
Integrar herramientas de seguridad
"Diseña una estrategia de integración para las herramientas de seguridad que soportan los controles ISO 27001. Integra: proveedor de identidad (AD/Azure AD/Okta), SIEM (Splunk/Sentinel/Chronicle), EDR (CrowdStrike/Defender/SentinelOne), escáner de vulnerabilidades (Qualys/Rapid7/Tenable), solución PAM, herramienta DLP, CASB y sistema de tickets. Para cada integración: define flujos de datos, configuraciones de API, flujos de trabajo de alerta, oportunidades de automatización e informes en un panel unificado."
Consejos para usar estos prompts de manera efectiva
Especifique su pila tecnológica: Incluya siempre sus herramientas y plataformas reales en los prompts (por ejemplo, "usando Azure AD e Intune" en lugar del genérico "usando un proveedor de identidad"). Esto produce una guía de implementación procesable y específica en lugar de teoría genérica.
Comience con la arquitectura: Antes de implementar controles individuales, solicite un diseño de arquitectura general: "Diseña nuestra arquitectura de seguridad para soportar los controles ISO 27001 para [su entorno]". Esto asegura que los controles se integren de forma cohesiva.
Solicite fases de implementación: Para controles complejos, pida una implementación por fases: "Crea un plan de implementación de 6 meses para el control A.8.15-A.8.16 desde nuestro estado actual [describir] hasta el cumplimiento total". Esto hace que los proyectos grandes sean manejables.
Valide las configuraciones técnicas: Las configuraciones generadas por IA deben ser revisadas por expertos técnicos y probadas en entornos que no sean de producción antes de desplegarlas en sistemas productivos. Las malas configuraciones de seguridad pueden crear vulnerabilidades.
Documente mientras implementa: Después de implementar un control, pregunte: "Crea documentación de implementación para lo que acabamos de configurar, incluyendo arquitectura, detalles de configuración, procedimientos de operación y guía de resolución de problemas". Esto captura el conocimiento institucional.
Bibliotecas de prompts relacionadas
Complete su implementación de ISO 27001 con estas colecciones de prompts relacionadas:
Obtener ayuda
Para soporte con la implementación de controles:
Entender los requisitos: Revise la guía de evaluación de riesgos de ISO 27001 para ver qué controles abordan sus riesgos
Crear documentación: Use los prompts de políticas y procedimientos para documentar sus implementaciones
Use la IA de forma responsable: Lea Cómo usar ISMS Copilot de forma responsable para obtener orientación sobre la implementación
¿Listo para implementar controles? Abra su espacio de trabajo ISO 27001 en chat.ismscopilot.com y use estos prompts para comenzar a implementar los controles identificados en su evaluación de riesgos.