ISMS Copilot
Ingeniería de prompts

Carga de archivos para contexto y análisis

¿Por qué cargar archivos?

El trabajo de cumplimiento se centra en documentos: políticas existentes, informes de auditoría, evaluaciones de riesgos, contratos de proveedores e inventarios de activos. Describir estos mediante texto hace perder tiempo e introduce errores. Cargar archivos directamente le da a ISMS Copilot el contexto preciso para el análisis de brechas, recomendaciones de mejora y mapeo de cumplimiento.

El análisis de archivos transforma preguntas vagas como "¿Es nuestra política suficientemente buena?" en comentarios específicos y prácticos: "Su política de control de acceso aborda SOC 2 CC6.1 y CC6.2, pero faltan los requisitos de CC6.3 para el monitoreo de accesos privilegiados. Agregue secciones para..."

Tipos de archivos admitidos y límites

ISMS Copilot acepta:

  • PDF – Políticas, informes de auditoría, certificaciones, evaluaciones de proveedores

  • DOCX – Borradores de políticas, procedimientos, plantillas de documentación

  • XLS/XLSX – Registros de riesgos, inventarios de activos, matrices de control, registros de evidencias

Tamaño de archivo: Hasta 10MB por archivo

Extensión: Los documentos de hasta más de 20 páginas se procesan con eficacia; los documentos más largos pueden necesitar ser divididos en partes

Ubicación de carga: Adjunte archivos a través del icono del clip en el área de entrada de consultas

Los archivos cargados se procesan con los mismos estándares de privacidad que las consultas de texto: cifrado de extremo a extremo, almacenamiento en la UE (Frankfurt) y nunca se utilizan para el entrenamiento de IA. No obstante, evite cargar archivos que contengan contraseñas reales, claves API o información de identificación personal (PII) a menos que sea necesario.

Escenarios comunes de carga de archivos

1. Análisis de Brechas (Gap Analysis)

Cargue políticas o documentación existente para la evaluación de cumplimiento.

Ejemplo de consulta con carga: "Revise esta política de control de acceso [adjuntar PDF] frente a los requisitos de SOC 2 CC6.1-6.3. Identifique controles faltantes, lenguaje desactualizado y brechas de evidencia para una auditoría de Tipo II."

Respuesta de ISMS Copilot: Secciones específicas que necesitan actualizaciones, controles faltantes (por ejemplo, monitoreo de acceso privilegiado para CC6.3), adiciones recomendadas y requisitos de evidencia.

Ejemplo de informe de auditoría: "Analice los hallazgos de nuestra última auditoría de vigilancia ISO 27001 [adjuntar PDF]. Priorice la remediación por gravedad y cree un plan de acción con cronogramas."

2. Mejora de Políticas

Mejore la documentación existente para cumplir con nuevos estándares o marcos de trabajo.

Ejemplo de consulta: "Actualice esta política de seguridad de la información [adjuntar DOCX] de los requisitos de ISO 27001:2013 a los de 2022. Resalte las secciones que necesitan revisión y sugiera un nuevo lenguaje para los controles que han cambiado."

Respuesta de ISMS Copilot: Comparación paralela de requisitos antiguos frente a los nuevos, secciones de política revisadas, nuevos controles a agregar (por ejemplo, inteligencia de amenazas A.5.7, filtrado web A.8.23).

3. Revisión de la Evaluación de Riesgos

Valide la metodología de riesgo y la puntuación frente a los requisitos del marco.

Ejemplo de consulta: "Revise este registro de riesgos [adjuntar XLSX] frente a los requisitos de ISO 27001 A.5.7. ¿Son exhaustivas las fuentes de amenazas? ¿Es adecuada nuestra puntuación de 1 a 5? ¿Qué riesgos estamos omitiendo para una plataforma SaaS con prioridad en la nube?"

Respuesta de ISMS Copilot: Evaluación de la metodología, sugerencia de categorías de amenazas adicionales (por ejemplo, cadena de suministro, amenazas internas), emparejamientos de activos-riesgos faltantes, comentarios sobre la calibración de la puntuación.

4. Evaluación de Proveedores

Evalúe certificaciones y contratos de terceros para verificar el cumplimiento.

Ejemplo de consulta: "Analice este informe SOC 2 de un proveedor [adjuntar PDF] para nuestra evaluación de riesgos de terceros. ¿Cubre los servicios que utilizamos (almacenamiento y procesamiento de datos)? ¿Existen excepciones o salvedades relevantes? ¿Cumple con nuestros requisitos SOC 2 CC9.2?"

Respuesta de ISMS Copilot: Cobertura del alcance del servicio, excepciones notables, brechas de control, recomendaciones para el seguimiento del cuestionario del proveedor.

5. Mapeo de Evidencias

Conecte los artefactos existentes con los requisitos de auditoría.

Ejemplo de consulta: "Mapee este registro de capacitación en concientización sobre seguridad [adjuntar XLSX] con los requisitos de evidencia de ISO 27001 A.6.3. ¿Qué evidencia adicional necesitamos para la auditoría de certificación?"

Respuesta de ISMS Copilot: Cobertura de evidencia actual, elementos faltantes (por ejemplo, seguimiento de finalización, puntuaciones de exámenes, capacitación específica por roles), mejoras recomendadas para los registros.

6. Verificación de Implementación de Controles

Valide configuraciones técnicas frente a los requisitos de control.

Ejemplo de consulta: "Revise esta documentación de configuración de AWS CloudTrail [adjuntar PDF] frente a los requisitos de ISO 27001 A.8.15 (registro y monitoreo). ¿Es suficiente la retención? ¿Están cubiertos los eventos críticos?"

Respuesta de ISMS Copilot: Evaluación de la suficiencia de la configuración, fuentes de registros faltantes (por ejemplo, registros de aplicaciones, acceso a bases de datos), recomendaciones sobre el período de retención, brechas en las alertas.

7. Evaluación de Plantillas

Evalúe si las plantillas cumplen con los estándares del marco.

Ejemplo de consulta: "Evalúe esta plantilla de respuesta a incidentes [adjuntar DOCX] para el cumplimiento de SOC 2 CC7.3-7.5. ¿Incluye todos los elementos requeridos (detección, respuesta, comunicación, revisión posterior al incidente)? ¿Qué falta?"

8. Comparación de Múltiples Documentos

Analice varios archivos para verificar la coherencia o cobertura.

Ejemplo de consulta: "Compare nuestra política de control de acceso [adjuntar DOCX] con nuestro registro real de revisión de acceso [adjuntar XLSX]. ¿Estamos siguiendo nuestros procedimientos documentados? ¿Dónde divergen la práctica y la política?"

Adjunte archivos al inicio de las conversaciones para establecer el contexto de todas las consultas de seguimiento. ISMS Copilot recuerda los documentos cargados dentro de la conversación del espacio de trabajo.

Consultas efectivas para la carga de archivos

Especifique qué analizar

No se limite a cargar un archivo y decir "Revise esto". Proporcione dirección:

  • ❌ "¿Qué te parece esto?" [adjuntar política]

  • ✅ "Revise esta política de clasificación de datos frente a los requisitos de ISO 27001 A.5.12. Verifique que esté completa, que los niveles de sensibilidad sean adecuados y los procedimientos de manejo."

Indique su Marco de Trabajo y Alcance

Los archivos carecen de contexto inherente sobre qué estándar se aplica:

  • ❌ "¿Cumple esta política con las normas?" [adjuntar política de control de acceso]

  • ✅ "Evalúe esta política de control de acceso frente a SOC 2 CC6.1-6.3 para nuestra próxima auditoría de Tipo II. Céntrese en el aprovisionamiento de usuarios, revisiones y acceso privilegiado."

Indique el formato de salida deseado

Especifique qué necesita recibir de vuelta:

  • "Cree una tabla de resumen de brechas con las columnas: Requisito, Estado Actual, Brecha (S/N), Recomendación"

  • "Proporcione una versión marcada con sugerencias de edición integradas"

  • "Enumere las 5 mejoras prioritarias clasificadas por riesgo de auditoría"

  • "Genere una lista de verificación de cumplimiento que muestre qué controles se abordan frente a los que faltan"

Proporcione contexto organizacional

Los archivos no revelan el tamaño de su empresa, la pila tecnológica o las restricciones:

Ejemplo: "Revise este plan de continuidad del negocio [adjuntar PDF] frente a ISO 27001 A.5.29 para una empresa SaaS de 60 personas con infraestructura de AWS y un SLA de tiempo de actividad del 99,9%. ¿Son adecuados los RTO y RPO? ¿Es suficiente nuestra estrategia de respaldo?"

Análisis de múltiples archivos

Cargue varios archivos relacionados para una revisión integral:

Ejemplo de consulta: "Revise estas tres políticas [adjuntar: InfoSec Policy.pdf, Access Control Policy.pdf, Incident Response Policy.pdf] para verificar la coherencia y exhaustividad frente a los controles organizativos del Anexo A.5 de ISO 27001:2022. Identifique contradicciones, brechas y redundancias."

Ejemplo de referencia cruzada: "Compare nuestro procedimiento documentado de gestión de cambios [adjuntar DOCX] con los registros de cambios reales de Jira [adjuntar XLSX]. ¿Estamos siguiendo nuestro proceso? ¿Dónde ocurren las desviaciones?"

Aunque puede cargar varios archivos por consulta, analizar 2 o 3 documentos relacionados funciona mejor. Más que eso puede diluir el enfoque—considere realizar consultas secuenciales para conjuntos de documentos de mayor tamaño.

Mejores prácticas para la carga de archivos

Antes de cargar

  1. Elimine datos sensibles: Redacte nombres reales de clientes, credenciales o PII si no son esenciales para el análisis

  2. Verifique el tamaño del archivo: Asegúrese de que sea inferior a 10MB; comprima o divida archivos grandes si es necesario

  3. Use nombres de archivo claros: "Politica_Control_Acceso_v2.pdf" es mejor que "Documento1.pdf"

  4. Verifique el tipo de archivo: Convierta formatos no compatibles (por ejemplo, de .pages a .docx)

En su consulta

  1. Referencie la carga: "Revise el registro de riesgos adjunto..." aclara qué documento si existen múltiples archivos en la conversación

  2. Explique el propósito del archivo: "Esta es nuestra política del estado actual que necesita actualizarse al estándar de 2022"

  3. Establezca expectativas: "Céntrese en las brechas, no en problemas de formato" o "Priorice los hallazgos de alto riesgo"

Después de la carga

  1. Itere basándose en los hallazgos: "Amplíe la información sobre la brecha CC6.3 que identificó: ¿qué controles específicos faltan?"

  2. Solicite revisiones: "Reescriba la sección de revisión de acceso para abordar esas brechas"

  3. Genere contenido relacionado: "Cree una lista de verificación de evidencia para los controles que aborda esta política"

Resolución de problemas en la carga de archivos

La carga falla o expira el tiempo

  • Verifique el tamaño del archivo (debe ser inferior a 10MB)

  • Verifique el tipo de archivo (solo PDF, DOCX, XLS/XLSX)

  • Intente dividir archivos grandes en secciones

  • Asegúrese de tener una conexión a internet estable

El análisis omite puntos clave

  • Proporcione una dirección de consulta más específica ("Céntrese en la Sección 3.2 relativa al acceso privilegiado")

  • Cargue una fuente de mayor calidad (por ejemplo, DOCX original en lugar de un PDF escaneado)

  • Divida los documentos con múltiples temas en cargas separadas con consultas enfocadas

La respuesta hace referencia al marco de trabajo equivocado

  • Indique explícitamente el marco en la consulta: "Revise frente a ISO 27001:2022, no frente a SOC 2"

  • Verifique las instrucciones personalizadas del espacio de trabajo para detectar contextos conflictivos

El procesamiento del archivo tarda demasiado

  • Los archivos grandes (más de 15 páginas) pueden tardar entre 30 y 60 segundos en procesarse

  • Las hojas de cálculo complejas con muchas pestañas pueden retrasar la respuesta

  • Los PDF escaneados (imágenes) se procesan más lentamente que los PDF basados en texto

Consideraciones de Privacidad y Seguridad

El manejo de archivos de ISMS Copilot cumple con estrictos estándares de privacidad:

  • Cifrado: Archivos cifrados en tránsito y en reposo

  • Residencia de datos: Almacenados en centros de datos de la UE (Frankfurt)

  • Sin entrenamiento de IA: El contenido cargado nunca se utiliza para entrenar modelos

  • Controles de acceso: Los archivos solo son visibles dentro de su espacio de trabajo

  • Retención: Los archivos se almacenan durante la duración de la conversación; elimine el espacio de trabajo para borrarlos

Cuándo usar la reducción de PII: Active el interruptor de reducción de PII si los archivos contienen ejemplos con nombres reales, correos electrónicos o identificadores que no son esenciales para el análisis.

Para archivos que contienen datos altamente sensibles (contratos de fusiones y adquisiciones, compensación de ejecutivos, forense de incidentes reales con PII), considere cargar versiones redactadas o usar texto de marcador de posición en las consultas en lugar de los documentos completos.

Combinar cargas de archivos con otras técnicas

Archivos + Instrucciones personalizadas

Establezca el contexto del espacio de trabajo y luego cargue los archivos—el contexto se aplica automáticamente:

Instrucción: "Empresa de servicios financieros, 200 empleados, implementando ISO 27001:2022"

Carga + Consulta: "Revise la política de control de acceso adjunta frente a A.5.15-5.18" (sin necesidad de repetir industria/tamaño)

Archivos + Personas (Roles)

Cambie de persona para obtener diferentes ángulos de análisis:

  1. Persona Auditor: "Revise esta política [adjuntar] para la preparación de la auditoría SOC 2: ¿qué brechas de evidencia existen?"

  2. Persona Implementador: "Basándose en esa política, proporcione tareas de implementación paso a paso para nuestro equipo de DevOps"

Archivos + Refinamiento iterativo

Cargue una vez, refine a través de la conversación:

  1. Carga: Adjuntar registro de riesgos actual

  2. Turno 1: "Revise frente a ISO 27001 A.5.7: ¿qué falta?"

  3. Turno 2: "Agregue los riesgos de infraestructura en la nube faltantes que identificó"

  4. Turno 3: "Actualice las puntuaciones de riesgo utilizando la matriz de 5x5 que sugirió"

  5. Turno 4: "Genere planes de tratamiento de riesgos para los riesgos con puntuación de 15 o superior"

Flujos de trabajo de ejemplo

Flujo de trabajo 1: Modernización de Políticas

  1. Cargue la política obsoleta (política de control de acceso de la era ISO 27001:2013)

  2. Consulta: "Compare esta política con los requisitos de ISO 27001:2022 A.5.15-5.18. ¿Qué cambió?"

  3. Seguimiento: "Reescriba la Sección 4 (Revisiones de Acceso) para cumplir con los nuevos requisitos de A.5.18"

  4. Seguimiento: "Agregue una nueva Sección 5 para Acceso Privilegiado (A.5.17) con nuestros roles de administrador de AWS y GitHub"

  5. Final: "Genere un memorando de aprobación para el CTO explicando los cambios y los beneficios de cumplimiento"

Flujo de trabajo 2: Preparación para la Auditoría

  1. Cargue 3 archivos: Política de control de acceso, registro de revisión de acceso (XLSX), doc de configuración de Okta

  2. Consulta: "Evalúe la preparación para SOC 2 CC6.1 utilizando estos documentos. ¿Qué evidencia es sólida? ¿Qué falta?"

  3. Seguimiento: "Cree un plan de remediación para la evidencia faltante con un cronograma de 60 días"

  4. Seguimiento: "Redacte un procedimiento de revisión de acceso actualizado incorporando sus recomendaciones"

  5. Final: "Genere un documento de información para el auditor que resuma nuestros controles y evidencias de CC6.1"

Flujo de trabajo 3: Evaluación de Riesgos de Proveedores

  1. Cargue el informe SOC 2 del proveedor + contrato del proveedor

  2. Consulta: "Evalúe el informe SOC 2 de este proveedor para nuestros requisitos CC9.2. ¿Cubre los servicios de procesamiento de datos en el alcance de nuestro contrato?"

  3. Seguimiento: "¿Qué preguntas deberíamos hacer en un cuestionario para proveedores para abordar las brechas que encontró?"

  4. Seguimiento: "Redacte un resumen de la evaluación de riesgos del proveedor para nuestro comité de cumplimiento"

Las cargas de archivos son más potentes cuando se combinan con consultas específicas y refinamiento iterativo. Cargar, analizar, mejorar, verificar—todo en una sola conversación de espacio de trabajo.

Próximos pasos

Identifique una política, informe o evaluación existente que necesite revisión. Cárguelo con una consulta específica de análisis de brechas o mejora y experimente cómo el contexto del archivo acelera el trabajo de cumplimiento.

Volver a la descripción general de ingeniería de prompts

¿Te fue útil?