ISMS Copilot
Ingeniería de prompts

Solicitar Formatos de Salida Específicos

Por qué el formato es importante

El trabajo de cumplimiento exige entregables específicos: documentos de políticas, matrices de riesgos, mapeo de controles, listas de verificación de auditoría, registros de evidencia. Sin instrucciones de formato, ISMS Copilot utiliza por defecto explicaciones en párrafos, útiles para aprender, pero menos útiles para la implementación.

Solicitar formatos explícitos produce resultados listos para usar: tablas que puede pegar en hojas de cálculo, secciones de políticas que puede incluir en plantillas, listas de verificación que puede imprimir para auditorías. Esto elimina el trabajo de reformateo y acelera el paso de la guía a la acción.

Formatos Comunes en Cumplimiento

1. Tablas y Matrices

Ideales para mapeo de controles, análisis de brechas (gap analysis), evaluaciones de riesgos e inventarios de activos.

Ejemplo de solicitud: "Crea una tabla que mapee nuestros procesos de RR.HH. con los controles del Anexo A.6 de ISO 27001:2022, con columnas para Proceso, Número de Control, Nombre del Control, Estado Actual y Brecha"

Uso del resultado: Copiar en una hoja de cálculo para revisión ejecutiva o evidencia de auditoría.

Ejemplo de evaluación de riesgos: "Genera una matriz de riesgos para amenazas de infraestructura en la nube con las columnas: Activo, Amenaza, Probabilidad (1-5), Impacto (1-5), Puntuación de Riesgo y Control de Mitigación"

Ejemplo de mapeo de controles: "Crea una tabla que muestre qué controles de SOC 2 se superponen con ISO 27001:2022, con las columnas: Criterio SOC 2, Control ISO 27001, Descripción, ¿Es posible una política única? (S/N)"

2. Listas de Verificación (Checklists)

Perfectas para la preparación de auditorías, seguimiento de implementación y recolección de evidencias.

Ejemplo de solicitud: "Genera una lista de verificación de preparación para SOC 2 Tipo II con categorías para Políticas, Controles de Acceso, Gestión de Cambios, Monitoreo y Gestión de Proveedores. Incluye formato de casilla de verificación y requisitos de evidencia para cada ítem."

Uso del resultado: Imprimir para reuniones de equipo, realizar seguimiento en herramientas de gestión de proyectos, compartir con auditores.

Ejemplo de lista de evidencias: "Crea una lista de verificación de elementos de evidencia para ISO 27001 A.8.15 (registro y monitoreo) que incluya prueba de retención de registros, configuración de alertas de monitoreo y registros de respuesta a incidentes"

3. Documentos de Políticas y Procedimientos

Solicite secciones estructuradas para documentación formal.

Ejemplo de solicitud: "Redacta una política de control de acceso para ISO 27001 A.5.15-5.18 con secciones de Propósito, Alcance, Roles y Responsabilidades, Proceso de Solicitud de Acceso, Procedimientos de Revisión, Proceso de Terminación y Referencias. Utiliza un lenguaje de política formal adecuado para aprobación ejecutiva."

Uso del resultado: Personalizar con detalles específicos de la empresa, enviar para aprobación, publicar en el repositorio de políticas.

Ejemplo de procedimiento: "Crea un procedimiento de respuesta a incidentes paso a paso para SOC 2 CC7.3 con pasos numerados, puntos de decisión, criterios de escalación y plantillas de comunicación"

4. Listas (Ordenadas y no ordenadas)

Útiles para pasos de implementación, requisitos de control y recomendaciones de herramientas.

Ejemplo de solicitud: "Enumera los controles técnicos requeridos para ISO 27001 A.8.24 (criptografía) en orden de prioridad para una plataforma SaaS, con breves notas de implementación para cada uno"

Ejemplo de recomendación de herramientas: "Proporciona una lista con viñetas de herramientas SaaS para la automatización del cumplimiento de SOC 2 que cubra revisiones de acceso, gestión de registros y evaluaciones de proveedores, con precios aproximados"

5. Flujos de Trabajo y Diagramas (Basados en texto)

Describa árboles de decisión y flujos de procesos en formato estructurado.

Ejemplo de solicitud: "Describe el flujo de trabajo de aprobación de gestión de cambios para ISO 27001 A.8.32 en formato paso a paso: quién envía, quién revisa, criterios de aprobación, activadores de reversión (rollback) y verificación post-implementación"

Uso del resultado: Convertir en diagramas de flujo visuales, documentar en manuales de procesos, capacitar a los miembros del equipo.

6. Plantillas

Solicite formatos de espacios en blanco para tareas recurrentes.

Ejemplo de solicitud: "Crea una plantilla de evaluación de riesgos de proveedores para SOC 2 CC9.2 con secciones para Información del Proveedor, Manejo de Datos, Controles de Seguridad, Certificaciones de Cumplimiento, Puntuación de la Evaluación y Decisión de Aprobación. Incluye escalas de calificación."

Uso del resultado: Guardar como plantilla reutilizable para evaluar a cada proveedor.

Ejemplo de plantilla de tratamiento de riesgos: "Genera una plantilla de plan de tratamiento de riesgos para ISO 27001 con campos para ID de Riesgo, Descripción del Riesgo, Opción de Tratamiento (Aceptar/Mitigar/Transferir/Evitar), Controles Implementados, Propietario, Fecha de Vencimiento y Método de Verificación"

7. Formatos de Comparación

Análisis comparativo para la toma de decisiones.

Ejemplo de solicitud: "Compara AWS KMS, HashiCorp Vault y Google Cloud KMS para la gestión de claves criptográficas según ISO 27001 A.8.24 en una tabla con filas para Costo, Facilidad de Integración, Rotación de Claves, Registro de Auditoría y Certificaciones de Cumplimiento"

8. Registros de Evidencia

Documentación estructurada para pistas de auditoría.

Ejemplo de solicitud: "Crea un formato de registro de evidencia para las revisiones de acceso de SOC 2 CC6.1 con las columnas: Período de Revisión, Nombre del Revisor, Sistemas Revisados, Usuarios Revisados, Cambios de Acceso Realizados, Fecha de Revisión y Notas del Auditor"

Después de recibir un resultado formateado, puede hacer preguntas de seguimiento como "Añade una columna para el Cronograma de Remediación" o "Amplía la sección de Propósito de la política para incluir los impulsores regulatorios" para refinar el contenido sin empezar de cero.

Especificaciones de Formato

Tablas Markdown

ISMS Copilot puede generar tablas en Markdown que puede copiar directamente en herramientas de documentación o convertir a otros formatos.

Ejemplo de solicitud: "Crea una tabla en markdown que compare los controles del Anexo A de ISO 27001:2013 frente a 2022 con las columnas: Control Antiguo, Control Nuevo, Tipo de Cambio (Renombrado/Fusionado/Nuevo/Eliminado)"

Listas Numeradas vs. con Viñetas

Especifique la jerarquía para mayor claridad:

  • Listas numeradas: Pasos secuenciales, elementos priorizados, recomendaciones jerarquizadas

  • Listas con viñetas: Requisitos no secuenciales, listas de características, elementos con la misma prioridad

Ejemplo: "Proporciona una lista numerada de las fases de implementación de ISO 27001 en orden cronológico, con subtareas en viñetas bajo cada fase"

Encabezados de Sección y Profundidad

Para documentos largos, solicite estructuras de encabezados específicas.

Ejemplo de solicitud: "Redacta una política de seguridad de la información con secciones principales (encabezados H2) para Propósito, Alcance, Declaraciones de Política, Roles y Procedimientos. Bajo Declaraciones de Política, usa encabezados H3 para Control de Acceso, Protección de Datos y Respuesta a Incidentes."

Ejemplos por Caso de Uso

Análisis de Brechas (Gap Analysis)

Solicitud: "Analiza nuestros controles de seguridad actuales frente a SOC 2 CC6-CC8 en formato de tabla con las columnas: Control, Requisito, Nuestro Estado Actual, Brecha (Sí/No), Prioridad (Alta/Media/Baja), Esfuerzo de Remediación (Horas)"

Por qué este formato: Los ejecutivos necesitan una visión priorizada; los implementadores necesitan estimaciones de esfuerzo; los auditores necesitan identificar las brechas.

Preparación de Auditoría

Solicitud: "Crea una lista de verificación de auditoría de certificación ISO 27001 organizada por dominio del Anexo A (A.5, A.6, A.7, A.8) con casillas de verificación para Política Existente, Procedimiento Documentado, Evidencia Recolectada y Probado/Verificado"

Por qué este formato: Permite rastrear la preparación en los 93 controles, identificar áreas débiles y delegar tareas de recolección de evidencia.

Gestión de Riesgos

Solicitud: "Genera una plantilla de registro de riesgos con las columnas: ID de Riesgo, Categoría (Confidencialidad/Integridad/Disponibilidad), Fuente de Amenaza, Activo Afectado, Puntuación de Riesgo Inherente, Controles Vigentes, Puntuación de Riesgo Residual, Decisión de Tratamiento, Propietario. Incluye guía de puntuación (escala 1-5 para probabilidad e impacto)."

Por qué este formato: Puntuación de riesgo estandarizada, propiedad clara y pista de auditoría para las decisiones de tratamiento.

Desarrollo de Políticas

Solicitud: "Redacta una política de continuidad del negocio para ISO 27001 A.5.29 con estas secciones: 1) Propósito y Alcance, 2) Objetivos de Tiempo de Recuperación (RTO) y Objetivos de Punto de Recuperación (RPO) por nivel de sistema, 3) Roles (Coordinador de BC, Jefes de Departamento, TI), 4) Activadores del Plan, 5) Calendario de Pruebas, 6) Proceso de Revisión y Actualización. Usa un tono de política corporativa formal."

Por qué este formato: Estructurado para revisión legal/ejecutiva, incluye criterios de decisión y define objetivos medibles.

Planificación de la Implementación

Solicitud: "Crea un cronograma estilo diagrama de Gantt en formato de tabla para una implementación de SOC 2 de 6 meses con las columnas: Mes, Fase, Actividades Clave, Entregables, Propietario, Dependencias. Comienza con la evaluación de brechas en el Mes 1 hasta la revisión de preparación en el Mes 6."

Por qué este formato: Visualiza dependencias, asigna responsabilidades y rastrea hitos para la gestión del proyecto.

Evaluación de Herramientas

Solicitud: "Compara plataformas de capacitación en concientización sobre seguridad (KnowBe4, Proofpoint, SANS) en formato de tabla para el cumplimiento de ISO 27001 A.6.3 con filas para Biblioteca de Contenidos, Simulación de Phishing, Seguimiento de Cumplimiento, Costo por Usuario e Integración con Okta/Google"

Por qué este formato: Comparación objetiva para decisiones de adquisición, alineación con requisitos de control específicos.

Los formatos altamente complejos (tablas anidadas de varios niveles, fórmulas avanzadas de hojas de cálculo) pueden no renderizarse perfectamente. Solicite estructuras más simples y mejore el formato después de exportar.

Combinación de Formatos

Muchas consultas se benefician de múltiples formatos en secuencia.

Ejemplo: "Para los requisitos de registro de ISO 27001 A.8.15: 1) Crea una tabla de fuentes de registros (Aplicación, AWS CloudTrail, Okta) con períodos de retención y herramientas de monitoreo, 2) Proporciona una lista con viñetas de eventos de registro que deben activar alertas, 3) Redacta un procedimiento numerado para la revisión de registros y escalación de incidentes"

Resultado: Tabla de referencia + lista de escaneo rápido + procedimiento de implementación en una sola respuesta.

Refinar los Resultados de Formato

Si el formato inicial no se ajusta a sus necesidades, itere:

  • "Añade una columna de Estado a la matriz de riesgos para rastrear el progreso de la remediación"

  • "Convierte la lista de viñetas en un ranking de prioridad numerado"

  • "Amplía la plantilla de política para incluir una sección de Definiciones"

  • "Reformatea la tabla para agrupar los controles por dificultad de implementación en lugar de alfabéticamente"

Los espacios de trabajo recuerdan el contexto, por lo que los refinamientos se basan en resultados anteriores.

Cuando no se Especifica el Formato

Sin solicitudes de formato, ISMS Copilot utiliza por defecto:

  • Párrafos explicativos para preguntas de "cómo" y "qué"

  • Listas con viñetas para respuestas de varios elementos

  • Prosa estructurada para la generación de políticas/procedimientos

Esto funciona para aprender, pero requiere reformateo manual para los entregables. Siempre especifique el formato para los resultados de implementación.

Las consultas con formato específico reducen el tiempo de post-procesamiento en un 70-80%. En lugar de copiar párrafos en tablas manualmente, obtiene entregables listos para auditoría de inmediato.

Exportación e Integración

Los resultados formateados funcionan bien con:

  • Herramientas de hojas de cálculo: Las tablas Markdown se pueden pegar en Excel/Google Sheets

  • Plataformas de documentación: Las políticas se copian en Confluence, SharePoint, Notion

  • Gestión de proyectos: Las listas de verificación se importan a Jira, Asana, Monday.com

  • Plataformas GRC: Los registros de riesgos y de evidencia se integran con Vanta, Drata, Secureframe

Especifique si el resultado necesita ser compatible con herramientas específicas (por ejemplo, "en formato compatible con CSV" o "como Markdown para Confluence").

Probar la Claridad del Formato

Antes de enviar, verifique que su solicitud especifique:

  1. Tipo de salida (tabla, lista, política, lista de verificación, plantilla)

  2. Estructura (columnas/filas, encabezados de sección, esquema de numeración)

  3. Contenido por elemento (qué información va en cada columna/sección)

  4. Tono o estilo si aplica (lenguaje de política formal, procedimiento técnico, resumen ejecutivo)

Próximos Pasos

Identifique su próximo entregable de cumplimiento y solicite el formato exacto que necesita. Observe cómo los resultados formateados aceleran el paso de la respuesta de la IA al entregable implementado.

Volver a la descripción general de Ingeniería de Prompts

¿Te fue útil?