ISMS Copilot
Ingeniería de prompts

Itere y perfeccione con conversaciones de varios turnos

El poder del contexto en la conversación

A diferencia de las consultas únicas en herramientas de IA genéricas, ISMS Copilot mantiene el historial de la conversación dentro de los espacios de trabajo. Cada pregunta de seguimiento se basa en las respuestas anteriores, lo que le permite perfeccionar políticas, ampliar controles específicos o ajustar recomendaciones sin repetir el contexto.

Este enfoque iterativo refleja cómo trabajan realmente los profesionales de cumplimiento: comenzar con una visión general del marco de trabajo, profundizar en los controles prioritarios, generar borradores iniciales y luego perfeccionarlos basándose en las especificidades de la organización y los comentarios de la auditoría.

Cómo funciona la persistencia del contexto

Dentro de una conversación en un espacio de trabajo, ISMS Copilot recuerda:

  • Instrucciones personalizadas establecidas para el espacio de trabajo

  • Consultas y respuestas anteriores en el hilo actual

  • Marcos de trabajo, controles y detalles organizativos mencionados anteriormente

  • Documentos y políticas generados en mensajes previos

  • Aclaraciones y restricciones que usted haya especificado

Esto le permite hacer referencia a "la política de control de acceso de antes" o "ampliar el punto A.5.15 de la respuesta anterior" sin tener que volver a explicarlo todo.

Inicie nuevas conversaciones en el espacio de trabajo para proyectos no relacionados (diferentes clientes, marcos o fases) para evitar la confusión de contextos. Utilice la misma conversación para iterar en tareas conectadas.

Patrones comunes de iteración

1. Explorar → Enfocar → Implementar

Comience de forma amplia, redúzcase a lo específico y luego genere entregables.

Ejemplo de conversación:

  1. Explorar: "¿Cuáles son los controles clave de SOC 2 CC7 para las operaciones del sistema?"

  2. Enfocar: "Explica con más detalle el CC7.2 (monitoreo del sistema) para una plataforma SaaS que utiliza Datadog y PagerDuty"

  3. Implementar: "Redactar un procedimiento de monitoreo del sistema para CC7.2 que incluya umbrales de alerta, rutas de escalamiento y registro de incidentes"

  4. Perfeccionar: "Añade una sección sobre la gestión de falsos positivos y ajusta los umbrales de alerta para un SLA de tiempo de actividad del 99.9%"

Cada turno profundiza desde el concepto hasta la implementación y el detalle operativo.

2. Generar → Revisar → Mejorar

Cree un resultado inicial, identifique lagunas y luego mejórelo.

Ejemplo de conversación:

  1. Generar: "Crea una plantilla de evaluación de riesgos para ISO 27001 A.5.7 que cubra nuestra infraestructura de AWS"

  2. Revisar: "¿Esta plantilla aborda los riesgos de despliegue en múltiples regiones y las integraciones con terceros?"

  3. Mejorar: "Añade secciones para los riesgos de replicación de datos entre regiones y evaluaciones de seguridad de integración de API"

  4. Validar: "¿Qué evidencias esperan los auditores para este enfoque de evaluación de riesgos?"

El refinamiento iterativo produce resultados listos para auditoría sin tener que empezar de cero.

3. Comparar → Decidir → Personalizar

Evalúe opciones, seleccione el enfoque y luego adáptelo a su organización.

Ejemplo de conversación:

  1. Comparar: "¿Cuáles son los pros y los contras del control de acceso basado en roles frente al basado en atributos para ISO 27001 A.5.15?"

  2. Decidir: "Usaremos RBAC. ¿Qué roles deberíamos definir para una empresa SaaS de 50 personas con equipos de ingeniería, ventas y soporte?"

  3. Personalizar: "Genera una matriz RBAC que asocie esos roles con los sistemas: AWS, GitHub, Salesforce, Zendesk y herramientas de administración"

  4. Implementar: "Crea un procedimiento de aprovisionamiento de acceso utilizando este modelo RBAC con flujos de trabajo de aprobación"

Las decisiones informan los pasos subsiguientes sin necesidad de repetir los motivos.

4. Control → Evidencia → Verificación

Implemente el control, identifique las necesidades de evidencia y planifique la validación.

Ejemplo de conversación:

  1. Control: "¿Cómo implemento el registro ISO 27001 A.8.15 para AWS CloudTrail y los registros de aplicaciones?"

  2. Evidencia: "¿Qué evidencia demuestra el cumplimiento del A.8.15 para un auditor?"

  3. Verificación: "Crea una lista de verificación de revisión trimestral de registros para verificar la eficacia del A.8.15 y mantener la evidencia"

  4. Documentar: "Redacta la sección de registros de nuestra documentación del SGSI haciendo referencia a estos controles y evidencias"

Implementación de extremo a extremo en un único hilo de conversación.

Técnicas eficaces de seguimiento

Referenciar resultados anteriores

Utilice frases que aprovechen la memoria de la conversación:

  • "Amplía el tercer punto de tu última respuesta"

  • "Aplica la metodología de riesgo que acabamos de discutir al cifrado de bases de datos"

  • "Actualiza el borrador de la política para incluir esos requisitos de evidencia"

  • "Añade las herramientas que mencionaste (Okta, AWS IAM) a la matriz de控制 de acceso"

Construir de forma incremental

Añada complejidad gradualmente en lugar de hacerlo todo a la vez:

  1. "Crea un procedimiento básico de respuesta ante incidentes para ISO 27001 A.5.24"

  2. "Añade plantillas de comunicación para el escalamiento interno y la notificación a los clientes"

  3. "Incluye la integración con nuestro flujo de trabajo de alertas de PagerDuty y tickets de Jira"

  4. "Amplía la sección de revisión post-incidente con los pasos del análisis de causa raíz"

La estratificación de detalles evita que los resultados iniciales sean abrumadores.

Comprobar la comprensión

Verifique la alineación antes de una generación extensa:

  • "Antes de redactar la política completa, confirma: ¿debería cubrir tanto a empleados como a contratistas?"

  • "¿Este enfoque satisface tanto la norma ISO 27001 A.6.1 como nuestras obligaciones del RGPD?"

  • "¿Es suficiente una frecuencia de revisión trimestral para SOC 2 CC6.1, o debería ser mensual?"

Corrija el rumbo pronto para evitar tener que repetir el trabajo.

Solicitar alternativas

Explore opciones dentro de la conversación:

  • "¿Cuál es un enfoque alternativo para equipos más pequeños con presupuesto limitado?"

  • "Muéstrame una versión simplificada para la implementación inicial y luego el enfoque completo para empresas"

  • "Compara las soluciones manuales frente a las automatizadas para este control"

El contexto de la conversación se restablece entre diferentes conversaciones del espacio de trabajo. No espere que ISMS Copilot recuerde detalles del espacio de trabajo de un cliente independiente o de un hilo de conversación diferente dentro del mismo espacio de trabajo.

Ejemplos por escenario

Iteración en el desarrollo de políticas

Turno 1: "Redacta una política de control de acceso para SOC 2 CC6 que cubra el aprovisionamiento de usuarios, las revisiones y la finalización"

Turno 2: "Añade una sección sobre la gestión de accesos privilegiados para los roles de administrador en AWS y GitHub"

Turno 3: "Incluye procedimientos de acceso de emergencia para los ingenieros de guardia con registro posterior al acceso"

Turno 4: "Revisa la frecuencia de revisión de trimestral a mensual para las cuentas privilegiadas, y trimestral para los usuarios estándar"

Turno 5: "Añade referencias a nuestra configuración de SSO de Okta y a los grupos basados en roles"

Resultado: Política exhaustiva y personalizada creada mediante el perfeccionamiento.

Análisis de brechas en profundidad

Turno 1: "Analiza nuestra postura de seguridad actual frente al Anexo A.8 (controles técnicos) de la norma ISO 27001:2022"

Turno 2: "Céntrate en las brechas que identificaste en A.8.1 (dispositivos de usuario final) y A.8.15 (registro)"

Turno 3: "Para la brecha de gestión de puntos finales, ¿qué herramientas satisfacen el A.8.1 para un equipo que trabaja principalmente en remoto y utiliza macOS y Windows?"

Turno 4: "Crea un plan de implementación para Jamf (macOS) e Intune (Windows) que aborde los requisitos del A.8.1"

Turno 5: "¿Qué evidencias necesitarán los auditores para verificar el cumplimiento del A.8.1 con estas herramientas?"

Resultado: Desde una brecha de alto nivel hasta la selección de herramientas y el plan de implementación en un solo hilo.

Alineación con múltiples marcos de trabajo

Turno 1: "Necesitamos satisfacer tanto la norma ISO 27001 A.5.24 (gestión de incidentes) como SOC 2 CC7.3-7.5. ¿Qué solapamientos existen?"

Turno 2: "Crea un plan unificado de respuesta ante incidentes que aborde ambos marcos"

Turno 3: "Añade secciones específicas para los requisitos únicos de SOC 2 que mencionaste (incidentes de disponibilidad y plazos de comunicación)"

Turno 4: "Incluye una tabla que relacione cada paso del procedimiento con los controles pertinentes de ISO 27001 y SOC 2 para la trazabilidad de la auditoría"

Resultado: Plan único y eficiente con un mapeo de cumplimiento claro.

Resolución de problemas de implementación

Turno 1: "¿Cómo implemento el MFA para ISO 27001 A.5.17 utilizando Okta?"

Turno 2: "Tenemos aplicaciones heredadas que no admiten SAML. ¿Cómo las gestionamos?"

Turno 3: "Sugiere un control compensatorio para las aplicaciones heredadas hasta que podamos migrarlas"

Turno 4: "Documenta el enfoque de control compensatorio para la revisión del auditor, incluyendo el cronograma para la migración completa a MFA"

Resultado: Solución pragmática que tiene en cuenta las limitaciones técnicas.

Gestión de conversaciones largas

Cuándo continuar frente a cuándo empezar de cero

Continúe la conversación cuando:

  • Esté construyendo sobre resultados anteriores (perfeccionando una política, ampliando un procedimiento)

  • Esté trabajando en controles relacionados en secuencia (A.5.1 → A.5.2 → A.5.3)

  • Esté iterando en un único entregable (perfeccionamiento de la evaluación de riesgos)

  • Esté resolviendo problemas de implementación de un control discutido

Inicie una nueva conversación cuando:

  • Cambie a un marco o dominio no relacionado (SOC 2 → RGPD)

  • Se encuentre en una fase diferente del proyecto (pasando de la implementación a la preparación de la auditoría)

  • El contexto se vuelva demasiado complejo (más de 10 turnos de ida y vuelta sobre múltiples temas)

  • Necesite empezar de cero sin suposiciones previas

Resumir para mayor claridad

En las conversaciones largas, resuma periódicamente:

Ejemplo: "Para confirmar nuestras decisiones hasta ahora: estamos utilizando RBAC con 5 roles (Administrador, Desarrollador, Ventas, Soporte, Contratista), revisiones de acceso trimestrales excepto mensuales para los administradores, SSO de Okta para todas las aplicaciones excepto el CRM heredado que recibe controles compensatorios. Ahora vamos a redactar la política formal".

Esto restablece el entendimiento compartido y evita desviaciones.

Utilice el menú desplegable de estilo de respuesta (Conciso/Normal/Detallado) de forma estratégica: Conciso para iteraciones rápidas, Detallado para borradores iniciales, Normal para la mayoría de los refinamientos.

Combinar la iteración con otras técnicas

Iteración + Instrucciones personalizadas

Establezca instrucciones en el espacio de trabajo para un contexto coherente en todos los turnos:

Instrucción: "SaaS de atención médica, 80 empleados, infraestructura de AWS, implementación de ISO 27001:2022 con alineación HIPAA, auditoría en 8 meses"

Secuencia de consulta: Cada consulta hereda este contexto sin necesidad de repetirlo

Iteración + Carga de archivos

Cargue una vez, haga referencia a lo largo de la conversación:

  1. Carga: Adjuntar política de control de acceso actual (PDF)

  2. Turno 1: "Revisa esta política frente a SOC 2 CC6 e identifica brechas"

  3. Turno 2: "Reescribe la sección de revisión de accesos para abordar las brechas que encontraste"

  4. Turno 3: "Añade los requisitos de evidencia que mencionaste a un nuevo Apéndice A"

Iteración + Personas

Cambie de persona a mitad de la conversación para obtener diferentes perspectivas:

  1. Persona de implementador: "Dame la implementación paso a paso de MFA para Okta"

  2. Persona de auditor: "Revisa ese plan de implementación: ¿qué evidencias faltarán?"

  3. Persona de consultor: "¿Cómo justifico el coste de la implementación ante nuestro director financiero?"

Múltiples puntos de vista sobre el mismo tema en un solo hilo.

Reconocer los rendimientos decrecientes

Deje de iterar cuando:

  • Esté realizando microajustes que no mejoran la preparación para la auditoría

  • Los seguimientos no incorporen el contexto anterior con precisión (señal de sobrecarga de la conversación)

  • Esté haciendo la misma pregunta reformulada varias veces

  • Los resultados sean cada vez menos útiles o más genéricos

En ese momento, guarde la mejor versión y pase a la implementación o inicie una nueva conversación.

Guardar el trabajo iterativo

Prácticas recomendadas para conservar los resultados de las conversaciones:

  • Copie las versiones finales en su repositorio de documentación después de cada refinamiento importante

  • Utilice la conversación como un rastro de auditoría que muestre cómo evolucionó la política/procedimiento

  • Exporte las respuestas clave para revisarlas con las partes interesadas antes de seguir iterando

  • Nombre los espacios de trabajo claramente para encontrar las conversaciones más tarde ("ISO 27001 - Controles de acceso - Cliente ABC")

Las conversaciones de varios turnos son el lugar donde brilla la especialización de ISMS Copilot. Las herramientas de IA genéricas pierden el contexto o la precisión después de 2 o 3 turnos. ISMS Copilot mantiene el entendimiento específico del cumplimiento durante proyectos de implementación completos.

Próximos pasos

Inicie una conversación de varios turnos para su próxima tarea de cumplimiento. Comience con una consulta de alto nivel y luego utilice de 3 a 5 seguimientos para perfeccionar el resultado en un entregable listo para la implementación. Observe cómo la preservación del contexto acelera la calidad.

Volver a la descripción general de la ingeniería de prompts

¿Te fue útil?