Workspace ISO 27001 ISMS: del alcance a la preparación para certificación en 19 pasos

Tú: CloudSync Solutions es una empresa SaaS B2B con base en São Paulo, 45 empleados. Corremos en GCP, usamos GitHub, Google Workspace, Okta para IAM, Stripe para pagos y SendGrid para email. Maria Santos es CISO, João Silva es CTO. Procesamos datos de proyectos de clientes y estamos sujetos a LGPD.

Agente: He redactado el perfil de la organización. Voy a ejecutar el clasificador de stack tecnológico y el verificador de completitud del perfil.

El clasificador categorizó 8 entradas: GCP como IaaS, GitHub como SaaS (DevOps), Google Workspace como SaaS (Productividad), Okta como SaaS (Seguridad/IAM). Un flag — AWS CloudFront aparece sin especificación de región.

Completitud del perfil: PASS (92%). Brecha menor: el rango de facturación es estimado — considera confirmarlo con finanzas.

También actualicé el dashboard del proyecto para marcar Organization Profile como completo.

Tú: Define el alcance del ISMS para CloudSync Solutions. Nuestra plataforma SaaS y la infraestructura de soporte deben estar en alcance. Sistemas de marketing y RR. HH. quedan fuera.

Agente: He redactado la declaración de alcance basada en tu Organization Profile. Voy a ejecutar las verificaciones de frontera de alcance y exclusiones.

Integridad de frontera de alcance: PASS. El alcance cubre la plataforma SaaS, infraestructura en GCP, procesamiento de datos de clientes y todos los servicios TI de soporte. Las fronteras quedan claramente definidas por unidad organizativa, ubicación (HQ São Paulo + regiones GCP) y tecnología.

Verificación de justificación de exclusiones: WARNING. Dos exclusiones necesitan una justificación más sólida. “Sistemas de marketing” se acepta — no procesan datos de clientes. Pero “RR. HH.” requiere aclaración: RR. HH. mantiene PII de empleados sujeta a LGPD, y la Cláusula 4.3 exige justificar por qué el tratamiento de datos de RR. HH. no afecta los objetivos del ISMS. Lo marqué para revisión y sugerí añadir una frase indicando que los datos de RR. HH. se gobiernan bajo un programa separado de cumplimiento LGPD.

Tú: Construye el inventario de activos basado en nuestro perfil y alcance.

Agente: He identificado 18 activos de información dentro del alcance del ISMS y los clasifiqué por tipo. Voy a validar etiquetado y ownership.

Consistencia de etiquetado: PASS. Los 18 activos siguen la convención (prefijo de tipo + ID secuencial). Los niveles de clasificación (Confidencial, Interno, Público) se asignaron de forma consistente — datos de proyectos de clientes y claves API son Confidenciales; documentación interna es Interna.

Chequeo de accountability del owner: WARNING. Dos activos tienen owners a nivel de equipo (“Equipo de Ingeniería”) en lugar de personas identificadas. ISO 27001 A.5.9 requiere owners identificables. Marqué AST-011 (Pipeline CI/CD) y AST-014 (Dashboard de monitoreo) para reasignación a individuos concretos.

Tú: Basado en nuestro perfil y alcance, evalúa nuestros riesgos de seguridad de la información.

Agente: Identifiqué 7 riesgos y construí el registro con scoring probabilidad × impacto. Voy a ejecutar la suite de validación.

El verificador metodológico confirmó que los 11 requisitos de la Cláusula 6.1.2 están cubiertos — escalas, matriz y umbral de aceptación de 12 están correctamente definidos.

Cada una de las 7 entradas pasó validación de completitud: activo, amenaza, vulnerabilidad, consecuencia, scores P×I, owner y decisión de tratamiento están presentes.

El detector de duplicados no encontró solapamientos — los 7 riesgos cubren escenarios distintos.

El validador de cobertura activo–riesgo cruzó el inventario: 5 de 6 activos Confidenciales tienen riesgos correspondientes. Sin embargo, AST-008 (Bóveda de claves API) está clasificado como Confidencial y no tenía riesgo — añadí R-08 sobre extracción no autorizada de claves con score 4×5=20 (Tratar, controles A.5.17, A.8.24).

El mapeador riesgo–control verificó que los 8 riesgos tratados enlazan a controles del Anexo A. Y el verificador de riesgo residual confirmó que los scores post-tratamiento quedan por debajo del umbral 12.

Tú: Genera la Statement of Applicability basada en nuestra evaluación de riesgos. Incluye seguimiento del estado de implementación.

Agente: Mapeé los 93 controles del Anexo A contra el registro de riesgos y el perfil. Voy a ejecutar la suite de validación de la SoA.

Sugerencias de inclusión: 78 controles marcados como aplicables, 15 excluidos. La herramienta señaló 2 controles a reconsiderar: A.7.4 (Monitoreo de seguridad física) — marcado como excluido, pero tienes una oficina física con acceso a sala de servidores. Y A.5.23 (Seguridad de la información para servicios cloud) — debería ser aplicable dada la dependencia de GCP.

Auditoría de justificaciones: PASS. Las 15 exclusiones tienen justificación documentada, referenciando límites de alcance o contexto organizativo. La auditoría también señaló 12 controles con evidencia pero estado aún “Not Started” — considera actualizar a medida que implementas.

Consistencia SoA–riesgo: PASS. Cada riesgo tratado del registro mapea al menos a un control aplicable en la SoA, y ningún control aplicable carece de un riesgo o requisito de negocio asociado.

Resumen de estado de implementación: Not Started: 34, Planned: 28, Implemented: 14, Verified: 2. El checker ahora lo sigue para que puedas ver el progreso de un vistazo.

Chequeo de evidencias de políticas: el checker escaneó el directorio de políticas. 3 controles incluidos referencian evidencias que aún no existen — A.5.24 cita “Incident-Management-Procedure.md”, pero ese archivo todavía no fue generado. Lo dejé como recordatorio para el paso Policy Generator.

Tú: Evalúa el estado actual de nuestro ISMS contra requisitos ISO 27001.

Agente: He escaneado el workspace buscando artefactos obligatorios y he calificado la madurez por área de cláusulas. Esto es lo que encontré.

El escaneo de artefactos obligatorios produjo un checklist trazable — la declaración de alcance del ISMS y el registro de riesgos existen, pero aún faltan la Política de Seguridad de la Información, la SoA y resultados de Auditoría Interna.

En madurez por cláusula, califiqué la Cláusula 6 (Planificación) con nivel 3 (“Definido”) basado en la metodología y registro de riesgos existentes, mientras que la Cláusula 9 (Evaluación del desempeño) está en nivel 0 (“Inexistente”) porque aún no hay monitoreo, auditoría o revisión por la dirección.

Según riesgo de auditoría, la prioridad de remediación es:

1. Inmediato — Política de Seguridad de la Información (Cláusula 5.2), justificaciones de exclusión de alcance
2. Corto plazo — SoA, Plan de Tratamiento de Riesgos, Objetivos de Seguridad
3. Medio plazo — Procedimientos operativos (control de accesos, gestión de incidentes, seguridad de proveedores)
4. Preparación para auditoría — Auditoría interna, revisión por la dirección, proceso CAPA

Tú: Genera la Política de Seguridad de la Información para CloudSync Solutions.

Agente: He redactado POL-001 basada en tu perfil y contexto de riesgo. Voy a validar metadatos del documento y cobertura de temas obligatorios.

Verificación de metadatos: PASS. POL-001 tiene versión, owner (Maria Santos), aprobación (João Silva), fecha de vigencia, próxima revisión y clasificación (Interno) — todo presente.

Checker de temas obligatorios: PASS. Se cubren todas las secciones requeridas — compromiso de la dirección (5.1), propósito (5.2), roles y responsabilidades (5.3), gestión de riesgos (6.1), requisitos de cumplimiento y calendario de revisión.

Tras generar las 16 políticas y procedimientos, ejecuté el check de trazabilidad tratamiento–política. Cruzó 8 decisiones “Tratar” del plan de tratamiento contra las políticas generadas. 7 de 8 tienen cadena completa — existe la política que implementa cada control. Un gap: R-06 (vulnerabilidades en APIs, controles A.8.25–A.8.26) mapea a un Procedimiento de Desarrollo Seguro, pero aún no existe porque los procedimientos de desarrollo de software eran opcionales en tu alcance. Recomiendo añadirlo dado que la plataforma SaaS es el activo principal.

Tú: Define controles de seguridad física para nuestra oficina en São Paulo.

Agente: Basado en el perfil, tu oficina es una única sede con sala de servidores y espacio open-plan. Redacté el documento con controles para tres zonas: entrada del edificio, planta de oficinas y sala de servidores. Voy a validar.

Verificación de prevención de tailgating: PASS. Los controles incluyen acceso solo con credencial en recepción, registro de visitantes con escolta obligatoria y un mantrap para la sala de servidores con doble autenticación (credencial + PIN).

También lo crucé con la SoA — A.7.1 (Perímetros de seguridad física), A.7.2 (Entrada física) y A.7.4 (Monitoreo de seguridad física) quedan cubiertos.

Tú: Crea la política de seguridad de proveedores basada en nuestro stack y evaluación de riesgos.

Agente: Clasifiqué tus 8 proveedores en tres tiers según acceso a datos y criticidad. Voy a validar la política.

Clasificación por tier:

• Tier 1 (Crítico): GCP (IaaS — aloja todos los datos de clientes), Okta (IAM — controla autenticación)
• Tier 2 (Importante): GitHub (código fuente), Stripe (procesamiento de pagos), Google Workspace (comunicaciones internas)
• Tier 3 (Estándar): SendGrid (entrega de email), CloudFront (CDN), herramientas de monitoreo

Generación de cláusulas por tier: PASS. Tier 1 requiere SOC 2 Type II anual, derecho de auditoría, notificación de incidentes en 24 horas y garantías de residencia de datos. Tier 2 requiere SOC 2 o evidencia ISO 27001 y notificación en 48 horas. Tier 3 requiere cuestionarios básicos.

Refuerzo de derecho de auditoría: PASS. Todas las cláusulas Tier 1 y Tier 2 incluyen derecho contractual de auditoría según A.5.19 y A.5.21.

Tú: Crea el registro de requisitos legales para CloudSync Solutions.

Agente: Basado en el perfil de la organización, identifiqué 12 obligaciones legales y regulatorias aplicables. Voy a validar el registro.

Requisitos identificados: LGPD (protección de datos personales), Marco Civil da Internet (retención de registros), Código de Defesa do Consumidor (protección al consumidor en servicios digitales), cláusulas contractuales de clientes enterprise con requisitos de residencia de datos, y 8 requisitos regulatorios adicionales.

Mapeo a controles del Anexo A: PASS. Cada requisito tiene al menos un control asociado — LGPD mapea a A.5.34 (Privacidad y protección de PII), A.5.31 (Requisitos legales) y A.5.12 (Clasificación de información). Los requisitos contractuales de residencia de datos mapean a A.5.23 (Seguridad de servicios cloud).

Verificación de completitud: WARNING. No se encontró referencia a regulaciones laborales sobre monitoreo de empleados. Dado que el ISMS podría incluir monitoreo de actividades en endpoints, recomiendo documentar la base legal para dicho tratamiento.

Tú: Genera las plantillas de NDA y el registro de seguimiento para CloudSync Solutions.

Agente: He creado dos plantillas de NDA: una para empleados y contratistas, y otra para terceros y proveedores. También generé el registro de seguimiento de acuerdos. Voy a validar.

Plantilla de empleados: PASS. Incluye definición de información confidencial, obligaciones del firmante, duración de la obligación (2 años post-terminación), excepciones y consecuencias del incumplimiento. Adaptada al contexto LGPD con referencia a datos de clientes procesados por CloudSync.

Plantilla de terceros: PASS. Incluye cláusulas de derecho de auditoría, notificación de incidentes, devolución o destrucción de información al término del acuerdo, y referencia a los tiers de proveedores definidos en la política de seguridad de proveedores.

Registro de seguimiento: 11 acuerdos registrados — 45 empleados activos, más 6 proveedores Tier 1 y Tier 2. Dos proveedores Tier 2 tienen acuerdos próximos a vencer (dentro de 60 días). Lo marqué para renovación.

Tú: Genera los procedimientos operativos clave para nuestro ISMS.

Agente: Basado en la SoA y las políticas generadas, identifiqué 8 SOPs prioritarios. He redactado los procedimientos y generado el índice. Voy a validar.

SOPs generados: SOP-001 (Gestión de accesos y privilegios), SOP-002 (Respuesta a incidentes de seguridad), SOP-003 (Gestión de backups y restauración), SOP-004 (Gestión de cambios), SOP-005 (Gestión de vulnerabilidades), SOP-006 (Monitoreo de logs de seguridad), SOP-007 (Onboarding/offboarding de personal), SOP-008 (Gestión de medios removibles).

Trazabilidad SOP–control: PASS. Cada SOP referencia los controles del Anexo A que implementa. Por ejemplo, SOP-002 cubre A.5.24, A.5.25, A.5.26 y A.5.27 (la cadena completa de gestión de incidentes).

Índice de SOPs: PASS. El índice incluye ID del procedimiento, título, controles del Anexo A cubiertos, owner, fecha de vigencia y próxima revisión.

Tú: Documenta los principios de arquitectura segura para nuestra plataforma SaaS en GCP.

Agente: He generado un catálogo de 14 principios de ingeniería segura adaptados al stack de CloudSync Solutions. Voy a validar.

Principios documentados: defensa en profundidad, privilegio mínimo, segregación de entornos (dev/staging/prod en proyectos GCP separados), cifrado en tránsito y en reposo, autenticación y autorización centralizadas vía Okta, inmutabilidad de infraestructura, logging centralizado, secure defaults y 6 principios adicionales.

Aplicabilidad por stack: PASS. Cada principio incluye guía específica para GCP (VPC Service Controls, Cloud KMS, IAM Conditions), GitHub (branch protection, secret scanning) y la plataforma SaaS (OWASP Top 10, validación de input, gestión de sesiones).

Verificación cruzada con SoA: PASS. A.8.27 (Principios de ingeniería segura) está marcado como aplicable y ahora referencia este catálogo como evidencia de implementación.

Tú: Crea el plan de concienciación y formación en seguridad para CloudSync Solutions.

Agente: He diseñado el plan de formación basado en el perfil de la organización y los riesgos identificados. Voy a validar.

Audiencias definidas: 4 grupos — Todo el personal (45 empleados), Equipo de desarrollo (12 personas), Management (5 personas), Nuevos ingresos. Cada grupo tiene requisitos de formación diferenciados según su rol y nivel de acceso.

Módulos de formación: 6 módulos — Fundamentos de seguridad de la información, Phishing y ingeniería social, Protección de datos y LGPD, Desarrollo seguro (solo devs), Gestión de incidentes (roles clave), Responsabilidades de management (solo dirección).

Calendario: PASS. Formación general obligatoria anual, simulaciones de phishing trimestrales, formación de desarrollo seguro semestral, onboarding de seguridad para nuevos ingresos dentro de los primeros 5 días.

Métricas de efectividad: PASS. Tasa de completitud de cursos (meta: 95%), tasa de clics en simulaciones de phishing (meta: <10%), score medio en evaluaciones post-formación (meta: >80%), tiempo desde ingreso hasta completar onboarding de seguridad (meta: <5 días hábiles).

Tú: Configura el marco de monitoreo y evaluación para nuestro ISMS.

Agente: Generé 8 KPI alineados a los objetivos definidos en alcance y políticas, y completé el Registro de Objetivos de SI. Voy a validar el seguimiento de CAPA.

Generación de KPI: PASS. Cada KPI tiene métrica, objetivo, frecuencia, fuente de datos y owner. Ejemplos: “Porcentaje de revisiones de acceso completadas a tiempo” (meta: 100%, trimestral, fuente: logs de auditoría de Okta, owner: Maria Santos), “Tiempo medio para parchear vulnerabilidades críticas” (meta: <72 horas, mensual, fuente: GitHub security alerts, owner: João Silva).

Registro de Objetivos de SI: PASS. El objectives_completeness_checker validó que los 6 objetivos de seguridad de la información tienen métricas medibles, responsables asignados, plazos definidos y fuentes de datos especificadas.

Completitud de CAPA: WARNING. Dos de los tres hallazgos (Finding 01 y 02) tienen CAPA completo — causa raíz, acción correctiva, owner, due date y criterios de efectividad. Finding 03 (verificación de backups) tiene causa raíz y acción correctiva, pero le faltan criterios de verificación de efectividad. Lo marqué para completar.

Reconciliación NC–CAPA: el reconciliador cruzó el informe de auditoría interna contra el registro CAPA. Las 3 NC (NC-001 a NC-003) tienen entradas CAPA correspondientes. También verificó controles fallidos del reporte de monitoreo — la métrica de revisiones de acceso (72% completado vs. 100% objetivo) estaba correctamente vinculada a CAPA-001. Sin hallazgos huérfanos.

Seguimiento de acciones correctivas: PASS. Todos los CAPA tienen owners asignados y due dates dentro de 90 días desde la fecha del hallazgo.

Tú: Crea el plan de continuidad del negocio y recuperación ante desastres para CloudSync Solutions.

Agente: Basado en el inventario de activos y la evaluación de riesgos, he redactado el BCP/DRP. Voy a validar.

Análisis de impacto en el negocio (BIA): PASS. Los 5 procesos críticos están priorizados — la plataforma SaaS tiene RTO de 4 horas y RPO de 1 hora, autenticación Okta tiene RTO de 2 horas, procesamiento de pagos Stripe tiene RTO de 8 horas.

Validación de RTO/RPO: PASS. Los objetivos de recuperación son consistentes con la arquitectura GCP actual — replicación multi-región soporta el RPO de 1 hora, y las capacidades de auto-scaling permiten el RTO de 4 horas.

Procedimientos de failover: PASS. Procedimientos paso a paso documentados para 3 escenarios — falla de región GCP, compromiso de credenciales (rotación de claves vía Okta), y falla de proveedor crítico (playbook de migración de DNS).

Registros de ejercicios: WARNING. El plan está listo pero no se han ejecutado ejercicios de prueba. Recomiendo programar un tabletop exercise dentro de 30 días y un test de failover técnico dentro de 60 días.

Tú: Crea el informe de auditoría interna para nuestro ISMS.

Agente: Redacté el plan de auditoría para 20–24 de marzo de 2026 con Carlos Mendes (Equipo de Calidad) como auditor líder. Voy a ejecutar el check de imparcialidad.

Validación de imparcialidad: PASS. Carlos Mendes no tiene responsabilidades operativas, de gestión o de diseño del ISMS — independencia confirmada.

Completé el checklist contra todas las cláusulas y controles del Anexo A. Se identificaron tres hallazgos:

Finding 01 (Evidencia de revisiones de acceso, A.5.15): No conformidad menor. La Política de Control de Accesos requiere revisiones trimestrales, pero no existen registros de Q1 2026. Causa raíz: se completó la migración a Okta, pero no se programaron los flujos de revisión.

Finding 02 (Procedimiento de gestión de incidentes, A.5.24): No conformidad menor. PROC-003 está en borrador y le faltan pasos específicos para incidentes SaaS.

Finding 03 (Verificación de backups, A.8.13): No conformidad mayor. Existen backups en GCP, pero no hay logs de pruebas de restauración. La suposición de que los servicios gestionados garantizan integridad sin verificación manual es insuficiente.

Tú: Compila el input pack de management review.

Agente: Compilé el input pack con referencias trazables a todos los artefactos del workspace. El checker confirmó que los 10 inputs obligatorios de la Cláusula 9.3 están cubiertos.

También validé que cada action item tenga owner, due date y criterios de aceptación — todos los checks pasaron.

Tú: Genera el informe ejecutivo de preparación para el comité directivo de CloudSync Solutions.

Agente: He sintetizado los datos de todos los artefactos del ISMS en un informe ejecutivo. Voy a validar la cobertura.

Scoring de preparación por área: Alcance y Contexto 100%, Gestión de Riesgos 95%, Políticas y Procedimientos 88%, Controles Operativos 82%, Monitoreo y Auditoría 78%, Continuidad del Negocio 70%. Preparación general: 86%.

Brechas críticas: 3 items requieren atención antes de Stage 1 — procedimiento de desarrollo seguro (R-06), registros de ejercicio de BCP, y criterios de efectividad de CAPA para Finding 03.

Timeline estimado: con dedicación actual, Stage 1 viable en 6 semanas, Stage 2 en 10 semanas. El informe incluye un roadmap visual con hitos y responsables.

El informe está listo para exportación en formato ejecutivo — sin jerga técnica, con gráficos de progreso y recomendaciones priorizadas.

Tú: Ejecuta el dashboard de trazabilidad para verificar la consistencia general del ISMS.

Agente: Escaneé el workspace y verifiqué los 11 vínculos de trazabilidad. Estos son los resultados.

Progreso de implementación:

• Fase Plan (Cláusulas 4–6): 6/6 documentos completos
• Fase Do (Cláusulas 7–8): 16 políticas y procedimientos encontrados
• Fase Check (Cláusula 9): 2/2 documentos completos
• Fase Act (Cláusula 10): 3/3 documentos completos

Vínculos de trazabilidad: 9 de 11 vínculos son plenamente consistentes. 2 advertencias:

1. SoA → Políticas: 3 controles incluidos citan evidencias que fueron modificadas después de la última actualización de la SoA — puede que la SoA necesite refrescarse para reflejar el contenido actual.
2. Tratamiento de riesgos → Políticas: R-06 (vulnerabilidades en APIs) está como “Tratar” con controles A.8.25–A.8.26, pero el Procedimiento de Desarrollo Seguro aún no existe.

Preparación para auditoría: 91% — resuelve las 2 advertencias antes de Stage 1.

Agente: He completado el registro de riesgos con 8 entradas. Ejecutando la suite de validación…

El validador de cobertura activo–riesgo encontró una brecha: AST-008 (Bóveda de claves API, clasificado Confidencial) aparece en el inventario de activos, pero no tiene entrada correspondiente en el registro de riesgos. Esto es una bandera roja de auditoría — un activo Confidencial sin evaluación de riesgos sugiere análisis incompleto.

Añadí el riesgo R-08: “Extracción no autorizada de claves API desde la bóveda de secretos” (Probabilidad: 4, Impacto: 5, Score: 20, Tratamiento: Tratar, Controles: A.5.17, A.8.24).

Ahora ejecutando el checker de consistencia de SoA con el registro actualizado…

El checker confirmó que A.5.17 (Información de autenticación) y A.8.24 (Uso de criptografía) están marcados como aplicables en la SoA — consistente con el nuevo riesgo. Sin embargo, detectó que el campo de evidencia de implementación de A.8.24 contiene “[TBD]” — un placeholder que debe reemplazarse por una referencia real.

Actualicé la evidencia de A.8.24 para referenciar la “Sección de Controles Criptográficos” en la Política de Seguridad de la Información. Ejecutando de nuevo… PASS.