ISMS Copilot
Seguridad de IA

Cómo usar ISMS Copilot de forma responsable

Descripción general

El uso responsable de las herramientas de IA requiere comprender sus capacidades, limitaciones y aplicaciones adecuadas. Esta guía proporciona prácticas recomendadas para utilizar ISMS Copilot de manera eficaz y ética en su trabajo de cumplimiento.

A quién va dirigido

Este artículo es para:

  • Profesionales del cumplimiento que utilizan la IA por primera vez

  • Equipos que establecen políticas de gobernanza de la IA

  • Consultores que gestionan múltiples proyectos de clientes

  • Cualquier persona que quiera maximizar el valor de la IA minimizando los riesgos

Principios básicos del uso responsable de la IA

1. La IA como asistente, no como reemplazo

La mentalidad adecuada:

  • Piense en ISMS Copilot como un consultor júnior con conocimientos

  • Proporciona borradores y sugerencias, no entregables finales

  • La experiencia, el juicio y la revisión humanos siguen siendo esenciales

  • La IA acelera el trabajo pero no sustituye la responsabilidad profesional

El uso más eficaz de ISMS Copilot combina la eficiencia de la IA con la experiencia humana. Deje que la IA se encargue de la redacción y la investigación mientras usted se centra en el pensamiento estratégico, la personalización y el control de calidad.

2. Verificar antes de confiar

Valide siempre:

  • Números de control y citas de marcos de referencia

  • Requisitos reglamentarios y mandatos de cumplimiento

  • Especificaciones técnicas y detalles de implementación

  • Estadísticas, plazos y afirmaciones cuantitativas

Fuentes de verificación:

  • Estándares oficiales (ISO 27001:2022, criterios SOC 2, etc.)

  • Documentos de orientación reglamentaria

  • Marcos de la industria y guías de mejores prácticas

  • Expertos legales y de cumplimiento

3. El contexto lo es todo

La IA necesita el contexto de su organización:

  • Entorno industrial y regulatorio

  • Tamaño y complejidad de la organización

  • Nivel actual de madurez del SGSI

  • Tolerancia al riesgo y objetivos de negocio

  • Recursos disponibles y cronograma

Las respuestas genéricas de la IA sin contexto organizacional pueden no ajustarse a su situación específica. Personalice siempre el contenido generado por IA para su entorno antes de la implementación.

4. Transparencia en el uso de la IA

Sea abierto sobre el uso de la IA:

  • Informe sobre el trabajo asistido por IA a los clientes cuando sea apropiado

  • Documente el uso de la IA en sus procesos de cumplimiento

  • Incluya herramientas de IA en sus acuerdos de procesamiento de datos

  • Capacite a su equipo sobre el uso adecuado de la IA y sus limitaciones

Prácticas recomendadas para hacer preguntas

Sea específico y detallado

En lugar de preguntas vagas:

  • ❌ "Háblame de ISO 27001"

  • ❌ "¿Cómo hago el control de acceso?"

  • ❌ "¿Qué es SOC 2?"

Haga preguntas específicas y contextualizadas:

  • ✓ "¿Cómo implemento el control 5.15 (Control de acceso) de ISO 27001:2022 para una empresa SaaS de 50 personas?"

  • ✓ "¿Qué evidencia necesito para el criterio SOC 2 CC6.1 (Controles de acceso lógico y físico) para nuestra aplicación alojada en AWS?"

  • ✓ "¿Cuáles son los pasos clave para crear una política de retención de datos conforme al RGPD para registros de atención al cliente?"

Cuanto más específica sea su pregunta, más precisa y útil será la respuesta de la IA. Incluya versiones del marco, números de control, su industria y el tamaño de la organización para obtener los mejores resultados.

Proporcionar contexto relevante

Contexto útil a incluir:

  • Perfil de la organización: "Somos una empresa SaaS de salud con 200 empleados..."

  • Estado actual: "Estamos implementando ISO 27001 por primera vez..."

  • Objetivo específico: "Necesitamos prepararnos para nuestra auditoría de Etapa 2 en 3 meses..."

  • Restricciones: "Tenemos poco personal de seguridad de TI y un presupuesto ajustado..."

  • Versión del marco: "Estamos trabajando con ISO 27001:2022, no con la versión de 2013..."

Dividir preguntas complejas

En lugar de una pregunta masiva:

❌ "¿Cómo implemento ISO 27001 desde cero, incluyendo evaluación de riesgos, controles, políticas, procedimientos y preparación para la certificación?"

Divídala en preguntas enfocadas:

  1. "¿Cuáles son las fases clave de la implementación de ISO 27001 para una organización primeriza?"

  2. "¿Cómo realizo una evaluación de riesgos ISO 27001 para una plataforma SaaS basada en la nube?"

  3. "¿Qué políticas se requieren para la certificación ISO 27001:2022?"

  4. "¿Qué evidencia debo preparar para una auditoría de Etapa 2 de ISO 27001?"

Pida explicaciones, no solo respuestas

Preguntas que fomentan la comprensión:

  • "Explica la diferencia entre los controles 5.15 y 8.2 de ISO 27001"

  • "¿Por qué es importante la segregación de funciones para el cumplimiento de SOC 2?"

  • "¿Cuál es la lógica detrás del principio de minimización de datos del RGPD?"

  • "Guíame a través de la lógica de la toma de decisiones sobre el tratamiento de riesgos en ISO 27001"

Beneficios:

  • Profundiza su comprensión de los conceptos de cumplimiento

  • Le ayuda a explicar los requisitos a las partes interesadas

  • Permite una mejor personalización para su organización

  • Le convierte en un profesional del cumplimiento más eficaz

Prácticas recomendadas para la generación de documentos

Use la IA para los primeros borradores

Buenos casos de uso para la redacción con IA:

  • Plantillas de políticas y procedimientos

  • Marcos de evaluación de riesgos

  • Guías de implementación de controles

  • Documentación de análisis de brechas

  • Listas de verificación de preparación para auditorías

Flujo de trabajo:

  1. Generar: Pida a ISMS Copilot que cree un borrador de política

  2. Revisar: Compruebe la precisión, integridad y relevancia

  3. Personalizar: Adapte al contexto específico de su organización

  4. Mejorar: Agregue detalles y ejemplos específicos de la organización

  5. Validar: Haga que un experto en cumplimiento o auditor revise el documento

  6. Aprobar: Firma final de la autoridad correspondiente

Nunca entregue políticas generadas por IA directamente a los auditores sin revisión y personalización. Las plantillas genéricas son una señal de alerta en las auditorías y pueden no cumplir con sus requisitos específicos.

Personalizar para su organización

Áreas que requieren personalización:

  • Roles y responsabilidades: Cargos y nombres reales

  • Entorno técnico: Sistemas, herramientas y plataformas específicas

  • Procesos de negocio: Cómo opera realmente su organización

  • Perfil de riesgo: Sus amenazas, vulnerabilidades y apetito de riesgo específicos

  • Requisitos regulatorios: Reglas específicas de la industria o jurisdicción

Ejemplo de personalización:

Generado por IA (genérico):

"El Responsable de Seguridad de la Información es el encargado de supervisar los procesos de control de acceso."

Personalizado (específico):

"La Directora de Seguridad de la Información (CISO), Jane Smith, delega la supervisión del control de acceso en el Gerente de Operaciones de TI, quien utiliza Okta para la gestión de identidades y revisa los registros de acceso semanalmente a través de Splunk."

Agregar evidencias y detalles de implementación

Transforme las políticas de IA en documentación lista para auditorías:

  • Agregue nombres de herramientas específicas (p. ej., "usando Vanta para la automatización del cumplimiento")

  • Incluya ubicaciones de evidencia (p. ej., "registros de acceso almacenados en el bucket S3: company-audit-logs")

  • Referencie procedimientos relacionados (p. ej., "Ver SOP-001: Proceso de incorporación de usuarios")

  • Documente ciclos de revisión (p. ej., "Política revisada trimestralmente por el Comité de Seguridad")

  • Enlace a artefactos de cumplimiento (p. ej., "Registro de riesgos mantenido en el proyecto Jira Security")

Prácticas recomendadas para la carga de archivos

Qué cargar

Buenos documentos para analizar:

  • Políticas existentes para análisis de brechas

  • Evaluaciones de riesgos para revisión y mejora

  • Informes de auditoría para la planificación de la remediación

  • Matrices de control para comprobaciones de integridad

  • Cuestionarios de seguridad de proveedores para redactar respuestas

Requisitos de archivo:

  • Máximo 10 MB para archivos simples (TXT, CSV, JSON), 5 MB para archivos convertibles (PDF, DOC, DOCX, XLS, XLSX)

  • Formatos compatibles: PDF, DOCX, DOC, XLSX, XLS, TXT, CSV, JSON

  • Un archivo a la vez

Consideraciones sobre la sensibilidad de los datos

Antes de cargar datos sensibles:

  1. Revise qué información personal o confidencial contiene el documento

  2. Considere anonimizar nombres de clientes, detalles de empleados o información patentada

  3. Recuerde que los archivos cargados se conservan según su configuración de retención de datos

  4. Use espacios de trabajo para aislar los datos de diferentes clientes

Para documentos altamente confidenciales, considere crear una versión saneada con los nombres de los clientes reemplazados por marcadores (p. ej., "Cliente A") antes de cargarlos. Esto protege la confidencialidad permitiendo un análisis útil de la IA.

Qué NO cargar

Evite cargar:

  • Estándares ISO con derechos de autor o marcos patentados (la IA no los procesará; consulte nuestra política de Cumplimiento de Propiedad Intelectual)

  • Archivos de credenciales sin procesar o contraseñas

  • PII sin anonimizar o datos personales sensibles

  • Datos de clientes sin los acuerdos contractuales apropiados

  • Documentos que contengan secretos comerciales a menos que sea necesario

Mejores prácticas de gestión de espacios de trabajo

Organizar por proyecto o cliente

Estructura de espacio de trabajo recomendada:

  • Para consultores: Un espacio de trabajo por cliente

  • Para organizaciones: Un espacio de trabajo por marco de referencia o iniciativa

  • Para proyectos multifase: Espacios de trabajo separados para planificación, implementación y preparación de auditoría

Ejemplos de nombres de espacios de trabajo:

  • "Cliente A - Implementación ISO 27001:2022"

  • "SOC 2 Tipo II Prep Auditoría Q1 2024"

  • "Cumplimiento RGPD - Departamento de RR. HH."

  • "Evaluación de Riesgos - Infraestructura en la Nube"

Use las Instrucciones personalizadas de manera eficaz

Buenas instrucciones personalizadas:

  • "Céntrate en los controles de ISO 27001:2022. Somos una empresa SaaS de salud sujeta a HIPAA."

  • "Nos estamos preparando para la auditoría SOC 2 Tipo II. Enfatiza la recopilación de evidencia y la documentación."

  • "Se trata de una pequeña startup (20 empleados) con recursos de seguridad limitados. Prioriza controles prácticos y rentables."

Instrucciones que no funcionarán:

  • ❌ Intentar anular las restricciones de seguridad

  • ❌ Solicitar contenido que no cumpla con las normas

  • ❌ Pedir que se ignoren las protecciones de derechos de autor

Las instrucciones personalizadas ayudan a la IA a adaptar todas las respuestas dentro de un espacio de trabajo a las necesidades específicas de su proyecto. Esto reduce la configuración repetitiva del contexto y mejora la relevancia de las respuestas.

Limpiar los espacios de trabajo finalizados

Cuándo eliminar espacios de trabajo:

  • El proyecto o compromiso ha terminado

  • El periodo de retención de datos de ese cliente ha expirado

  • El contrato del cliente exige la eliminación de datos

  • El espacio de trabajo se creó para pruebas o experimentación

Antes de eliminar:

  1. Exporte cualquier conversación o documentación importante

  2. Archive la información relevante en su sistema de gestión de cumplimiento

  3. Verifique que no necesita el espacio de trabajo para futuras consultas

  4. Elimine el espacio de trabajo para mantener la higiene de los datos

Mejores prácticas de retención de datos

Establecer periodos de retención adecuados

Considere:

  • Requisitos legales: Mandatos regulatorios de retención para su industria

  • Obligaciones contractuales: Acuerdos con clientes sobre la retención de datos

  • Necesidades de negocio: Cuánto tiempo necesita el historial de conversaciones para referencia

  • Perfil de riesgo: Equilibrio entre la utilidad de los datos y la minimización de la exposición

Periodos de retención recomendados:

Caso de uso

Retención sugerida

Justificación

Proyectos de consultoría a corto plazo

90-180 días

Mantener datos hasta finalizar el proyecto más un margen

Auditorías anuales de cumplimiento

365-730 días

Retener evidencias hasta el próximo ciclo de auditoría

Trabajo altamente sensible

30 días

Minimizar la ventana de exposición de datos confidenciales

Base de conocimientos organizacional

Mantener para siempre

Construir conocimiento institucional sobre cumplimiento

Implementación de ISO 27001

2-3 años

Cubrir la certificación más la primera auditoría de vigilancia

Exportar antes del vencimiento

Para conversaciones importantes:

  1. Copie el contenido de la conversación antes de que expire el periodo de retención

  2. Guárdelo en su sistema de gestión de cumplimiento o repositorio de documentación

  3. Incluya metadatos relevantes (fecha, espacio de trabajo, contexto)

  4. Siga los procedimientos de gestión de registros de su organización

La eliminación de datos es automática y permanente. Establezca recordatorios en el calendario para exportar conversaciones valiosas antes de que expiren según su configuración de retención.

Uso adecuado del chat temporal

Cuándo usar el chat temporal

Buenos casos de uso:

  • Preguntas rápidas únicas que no necesitan almacenamiento permanente

  • Investigación exploratoria antes de comprometerse con un espacio de trabajo

  • Discusiones sensibles que no desea en el historial permanente

  • Probar cómo formular preguntas complejas

No es apropiado para:

  • Trabajo importante del proyecto que necesitará consultar más tarde

  • Generación de documentación para auditorías

  • Construir la base de conocimientos organizacional

  • Trabajo que pueda necesitar como evidencia de actividad de cumplimiento

Recuerde la ventana de seguridad de 30 días

Limitación importante:

Incluso los chats temporales pueden conservarse hasta 30 días para la supervisión de seguridad y prevención de abusos.

Qué significa esto:

  • El chat temporal no es completamente efímero

  • Los datos pueden ser revisados si surgen preocupaciones de seguridad

  • Siguen sujetos a los acuerdos de procesamiento de datos

  • Use espacios de trabajo regulares si necesita control total sobre la retención

Consideraciones éticas

Confidencialidad del cliente

Proteja la información del cliente:

  • Use espacios de trabajo separados para diferentes clientes

  • Anonimice los nombres de los clientes en los documentos cuando sea posible

  • Incluya el uso de la IA en sus contratos de clientes y NDAs

  • Establezca periodos de retención que cumplan con los acuerdos con los clientes

  • Informe a los clientes si utiliza herramientas de IA para su trabajo

  • Active el Modo de Protección de Datos Avanzado cuando los contratos de los clientes requieran procesamiento de datos exclusivo en la UE o retención cero por parte del proveedor de IA

Algunos contratos con clientes pueden prohibir el uso de herramientas de IA o servicios de terceros. Compruebe siempre sus obligaciones contractuales antes de cargar datos de clientes en ISMS Copilot.

Al negociar contratos con clientes, aclare el uso de herramientas de IA y su capacidad para activar el Modo de Protección de Datos Avanzado para el procesamiento exclusivo en la UE con retención cero. Esto demuestra su compromiso con la privacidad de los datos y puede ser una ventaja competitiva.

Atribución y divulgación

Al entregar trabajos a los clientes:

  • Sea transparente sobre la asistencia de la IA en la creación de entregables

  • Enfatice su revisión experta y personalización

  • No presente el contenido generado por IA como un trabajo puramente original

  • Explique cómo la IA mejoró la eficiencia sin comprometer la calidad

Evitar la dependencia excesiva

Señales de advertencia de dependencia excesiva:

  • Aceptar respuestas de la IA sin verificación

  • Saltarse la revisión experta de documentos generados por IA

  • Usar la IA como sustituto del aprendizaje de los marcos de cumplimiento

  • Entregar contenido de IA sin personalización

  • Tomar decisiones críticas basadas únicamente en el consejo de la IA

Mantener la competencia profesional:

  • Continúe aprendiendo sobre marcos y estándares

  • Participe con la comunidad de cumplimiento y líderes de opinión

  • Asista a programas de formación y certificación

  • Lea los estándares oficiales y la guía regulatoria

  • Desarrolle su experiencia más allá del trabajo asistido por IA

Capacitación del equipo y gobernanza

Establecer políticas de uso de IA

Elementos clave de la política:

  1. Casos de uso aprobados: Para qué se puede y no se puede usar la IA

  2. Requisitos de revisión: Quién debe revisar el contenido generado por IA

  3. Estándares de verificación: Cómo validar el resultado de la IA

  4. Manejo de datos: Qué datos se pueden cargar y cómo

  5. Divulgación al cliente: Cuándo y cómo informar a los clientes sobre el uso de la IA

  6. Documentación: Cómo registrar la asistencia de la IA en los productos de trabajo

Capacitación de su equipo

Temas esenciales de capacitación:

  • Cómo funciona ISMS Copilot y sus limitaciones

  • Reconocimiento y reporte de alucinaciones

  • Técnicas efectivas de prompting

  • Requisitos de verificación y personalización

  • Consideraciones de privacidad y sensibilidad de los datos

  • Gestión de espacios de trabajo y retención

  • Principios de uso ético de la IA

Procesos de aseguramiento de la calidad

Implemente puntos de control de revisión:

  1. Borrador de IA: Contenido inicial generado por IA

  2. Primera revisión: Un experto en la materia verifica la precisión

  3. Personalización: Adaptación al contexto organizacional

  4. Segunda revisión: El responsable de cumplimiento comprueba la integridad

  5. Aprobación final: El revisor autorizado da el visto bueno

  6. Pista de auditoría: Documentar la revisión y aprobación

Medición de la efectividad

Seguimiento del valor de la IA

Métricas a considerar:

  • Tiempo ahorrado en la redacción de políticas

  • Reducción en los ciclos de preparación para el cumplimiento

  • Número de hallazgos de auditoría (para asegurar que la calidad no se vea comprometida)

  • Satisfacción del equipo con la asistencia de la IA

  • Comentarios de los clientes sobre la calidad de los entregables

Mejora continua

Refine su enfoque:

  • Documente prompts y preguntas efectivas

  • Comparta las mejores prácticas con su equipo

  • Rastree e informe sobre alucinaciones para mejorar el sistema

  • Actualice las políticas de uso de IA basadas en la experiencia

  • Ajuste las estrategias de retención y de espacio de trabajo según sea necesario

Lista de verificación de IA responsable

Antes de usar la IA

  • ✓ Conozca la política de uso de IA de su organización

  • ✓ Verifique los contratos de los clientes para restricciones de herramientas de IA

  • ✓ Planifique los procesos de verificación y revisión

  • ✓ Establezca periodos de retención de datos adecuados

  • ✓ Cree espacios de trabajo para diferentes proyectos/clientes

Durante el uso de la IA

  • ✓ Proporcione preguntas específicas y contextualizadas

  • ✓ Revise las respuestas para verificar su precisión y relevancia

  • ✓ Personalice el resultado de la IA para su organización

  • ✓ Contraste la información con los estándares oficiales

  • ✓ Mantenga su juicio profesional

Después del uso de la IA

  • ✓ Haga que un experto revise el contenido generado por IA

  • ✓ Documente la asistencia de la IA en los productos de trabajo

  • ✓ Informe sobre alucinaciones o preocupaciones de seguridad

  • ✓ Archive conversaciones importantes antes de su vencimiento

  • ✓ Elimine los espacios de trabajo finalizados de forma adecuada

Qué sigue

  • Conozca las limitaciones y medidas de seguridad de la IA

  • Entienda cómo identificar y prevenir alucinaciones

  • Inicie su primera conversación aplicando las mejores prácticas

  • Configure espacios de trabajo para organizar su trabajo

Obtener ayuda

Para preguntas sobre el uso responsable de la IA:

  • Revise el Centro de Confianza para obtener orientación sobre gobernanza de la IA

  • Contacte con soporte a través del menú del Centro de Ayuda

  • Informe sobre preocupaciones de seguridad o comportamiento inapropiado de la IA

  • Comparta comentarios sobre la efectividad y usabilidad de la IA

¿Te fue útil?