ISMS Copilot
Crear un SGSI con Copilot

Crear un SGSI con Copilot: un flujo de trabajo inicial

Esta guía le orientará en la creación de un SGSI desde cero utilizando ISMS Copilot, desde la configuración del espacio de trabajo hasta la generación de su conjunto de documentos principales. Siga este flujo de trabajo para crear una base estructurada y lista para auditorías para su implementación de ISO 27001.

Qué logrará

Al finalizar este flujo de trabajo, tendrá:

  • Un espacio de trabajo dedicado para su proyecto de SGSI

  • Instrucciones del proyecto adaptadas a su organización

  • Documentos principales del SGSI: políticas, evaluación de riesgos y Declaración de Aplicabilidad

  • Un camino claro para validar e iterar sobre los resultados generados por IA

Requisitos previos

Antes de comenzar, reúna:

  • Su elección de marco de trabajo (ISO 27001:2022 es el predeterminado para nuevas creaciones de SGSI)

  • Contexto organizacional básico: industria, tamaño de la empresa, sistemas dentro del alcance

  • Cualquier documentación de seguridad existente (políticas, procedimientos, diagramas) para cargar

ISMS Copilot es compatible con ISO 27001:2022, ISO 42001:2023, SOC 2, RGPD, HIPAA, DORA, NIS2 y más. Este flujo de trabajo se centra en ISO 27001 como punto de partida más común, pero el mismo enfoque se aplica a otros marcos.

Paso 1: Crear un espacio de trabajo dedicado

Su proyecto de SGSI necesita su propio espacio de trabajo para mantener las conversaciones, el contexto y los documentos generados organizados en un solo lugar.

  1. Navegue a la sección Workspaces en la barra lateral

  2. Haga clic en Add workspace o en el botón +

  3. Nombre su espacio de trabajo de forma descriptiva: ISO 27001 Implementation o [Nombre de la empresa] — ISO 27001

  4. Haga clic en Create Workspace

Para obtener instrucciones detalladas sobre la configuración del espacio de trabajo, consulte Cómo crear y configurar su primer espacio de trabajo.

Paso 2: Añadir instrucciones del proyecto

Las instrucciones del proyecto proporcionan a la IA un contexto persistente sobre su organización. Esto significa que no tendrá que repetir los mismos detalles de fondo en cada conversación.

Para añadir instrucciones del proyecto:

  1. Abra su espacio de trabajo y haga clic en Edit en la tarjeta del espacio de trabajo

  2. Busque el campo de texto Project Instructions

  3. Introduzca su contexto organizacional

  4. Haga clic en Save Changes

Qué incluir

Las instrucciones de proyecto eficaces cubren:

  • Industria y tamaño de la empresa: por ejemplo, "SaaS B2B, 50 empleados, nativo en la nube en AWS"

  • Alcance del marco de trabajo: por ejemplo, "ISO 27001:2022, certificación completa de SGSI"

  • Madurez actual: por ejemplo, "Sin SGSI existente, empezando desde cero"

  • Sistemas clave: por ejemplo, "GitHub, Google Workspace, AWS, Stripe"

  • Preferencias de salida: por ejemplo, "Lenguaje formal adecuado para documentación de auditoría"

Ejemplo de instrucciones de proyecto

Industry: B2B SaaS (healthcare sector)
Framework: ISO 27001:2022
Scope: Full ISMS implementation
Team: 45 employees, 3-person security team
Systems: GitHub, AWS, Google Workspace, Stripe
Current state: No existing ISMS, starting fresh
Output style: Formal, audit-ready documents

Evite incluir datos sensibles en las instrucciones del proyecto: nombres reales de clientes, correos electrónicos de empleados, cifras presupuestarias específicas o detalles sobre incidentes de seguridad. En su lugar, utilice descripciones genéricas.

Paso 3: Elegir una persona

Cada espacio de trabajo puede tener una persona predeterminada que da forma a las respuestas de la IA. Para crear un SGSI, elija la persona que coincida con su función:

  • Implementer: ideal para crear un SGSI desde cero. Las respuestas se centran en pasos prácticos, plantillas de políticas y orientación para la implementación de controles.

  • Consultant: ideal si está asesorando a una organización. Las respuestas incluyen recomendaciones estratégicas y entregables para el cliente.

  • Default: orientación de propósito general para tareas mixtas.

Para establecer una persona:

  1. Abra la configuración del espacio de trabajo (haga clic en Edit en la tarjeta del espacio de trabajo)

  2. Seleccione su persona en el menú desplegable Default Persona

  3. Haga clic en Save Changes

Paso 4: Generar sus documentos principales del SGSI

Con su espacio de trabajo configurado, comience a generar documentos. Empiece con los artefactos fundamentales del SGSI y continúe a partir de ahí.

Secuencia de generación recomendada

  1. Gap analysis: comprenda qué tiene frente a lo que requiere la norma ISO 27001

  2. Evaluación de riesgos: identifique activos, amenazas y planes de tratamiento

  3. Declaración de Aplicabilidad (SoA): documente qué controles del Anexo A se aplican

  4. Políticas principales: política de seguridad de la información, política de control de acceso, política de uso aceptable

  5. Procedimientos de apoyo: gestión de incidentes, gestión de cambios, procedimientos de respaldo

Ejemplos de prompts

Comience con estos prompts dentro de su espacio de trabajo:

Create a gap analysis table for ISO 27001:2022 Annex A controls.
Include columns: control ID, requirement, current status, gap description, priority.
Generate an information security policy for a SaaS company.
Reference ISO 27001 clauses 5.1-5.2 and include version control headers.
Create a risk assessment template with asset inventory, threat analysis,
and risk treatment plan. Format as a structured table.

Utilice el Think mode para sesiones de generación de documentos prolongadas. El modo Think admite conversaciones indefinidas mediante la compactación automática, lo que le permite generar múltiples políticas sin interrupciones. Consulte Generación eficiente de múltiples documentos para más detalles.

Paso 5: Acceder a sus documentos generados

Los documentos generados dentro de un espacio de trabajo se guardan en el área de archivos de ese espacio. Para encontrarlos:

  1. Navegue a su espacio de trabajo

  2. Desplácese hasta la sección Generated Files

  3. Haga clic en cualquier archivo para previsualizarlo o descargarlo

Para una gestión de archivos detallada, consulte Acceder a los archivos generados en el espacio de trabajo.

Solo los documentos generados dentro de ese espacio de trabajo específico aparecerán en su área de archivos. Los documentos creados fuera de un espacio de trabajo no se vinculan automáticamente.

Paso 6: Validar los resultados de la IA antes de su adopción

Los documentos generados por IA aceleran su trabajo, pero requieren validación antes de considerarlos como artefactos finales. ISMS Copilot reduce el riesgo de alucinaciones mediante la inyección de conocimiento del marco de trabajo, pero aun así debe verificar los resultados críticos.

Lista de verificación rápida de validación

  • Verifique aleatoriamente los números de control con el estándar oficial ISO 27001:2022

  • Verifique que la IA haya utilizado la versión actual del marco (2022, no 2013)

  • Compruebe que la guía de implementación coincida con su pila tecnológica real

  • Confirme que los requisitos de evidencia sean alcanzables para el tamaño de su organización

  • Haga preguntas de seguimiento para probar la profundidad: "¿Por qué es necesario este control?"

Para conocer los pasos de verificación exhaustivos, consulte Cómo verificar las listas de comprobación de cumplimiento generadas por IA para ISO 27001 y SOC 2.

Señales de alerta a las que prestar atención

  • ID de control que no siguen la numeración del Anexo A de la norma ISO 27001 (desde A.5.1 hasta A.8.34)

  • Marcadores de posición genéricos como "TuEmpresa" que no fueron personalizados

  • Pasos de implementación que asumen recursos empresariales de los que no dispone

  • Falta de requisitos de evidencia para controles que requieren verificación

Paso 7: Iterar y ampliar

La creación de un SGSI es un proceso iterativo. Después de sus documentos principales:

  • Refinar según las brechas: su análisis de brechas resalta lo que falta. Genere primero las políticas para las brechas de alta prioridad.

  • Cargar documentos existentes: si tiene políticas o procedimientos de seguridad, cárguelos para realizar un análisis de brechas y comprobar la alineación.

  • Crear documentación de controles: para cada control del Anexo A en su Declaración de Aplicabilidad, genere plantillas de evidencia de implementación.

  • Prepararse para la auditoría: genere listas de verificación de auditoría interna y plantillas de revisión por la dirección a medida que se acerque a la certificación.

Para conocer las estrategias de organización del espacio de trabajo a medida que crece su SGSI, consulte Cómo organizar proyectos de cumplimiento con espacios de trabajo.

Lista de verificación del flujo de trabajo inicial

Use esta lista de verificación para seguir su progreso a través de la creación del SGSI:

  • Crear un espacio de trabajo dedicado para su proyecto de SGSI

  • Añadir instrucciones del proyecto con contexto organizacional

  • Establecer la persona Implementer para obtener orientación práctica

  • Generar un análisis de brechas para identificar los controles faltantes

  • Crear una evaluación de riesgos con inventario de activos y plan de tratamiento

  • Generar la Declaración de Aplicabilidad para los controles aplicables

  • Redactar políticas principales (seguridad de la información, control de acceso, uso aceptable)

  • Validar los resultados frente a los requisitos oficiales del marco de trabajo

  • Ampliar a procedimientos específicos de control y plantillas de evidencia

Próximos pasos

¿Te fue útil?