Elaboración guiada de documentación de preparación SOC 2
Guía paso a paso para redactar narrativas de control SOC 2 y placeholders de evidencia con el agente, con ejemplos de chat y fragmentos del documento en cada etapa.
Esta guía recorre una sesión típica con el skill SOC 2 Control Narrative Author: indicas al agente el alcance de la auditoría y las políticas existentes, y el agente redacta narrativas de control alineadas con los Trust Services Criteria (TSC) del AICPA, añade placeholders de evidencia y ejecuta una herramienta de validación integrada para que puedas cerrar brechas antes de la auditoría Type I o Type II.
Verás diálogos de ejemplo como mensajes de chat y fragmentos del documento después de cada turno importante para saber qué esperar en cada paso.
Qué necesitas
- Un proyecto Rakenne con el skill SOC 2 Control Narrative Author activado.
- Una idea clara de las categorías TSC en alcance (p. ej. solo Security o Security + Availability).
- Cualquier documento existente que quieras que el agente use o amplíe: política de control de acceso, procedimiento de gestión del cambio, runbooks, documentación BCP/DR.
Turno 1: Definir el alcance
Abres el proyecto y describes tu objetivo. El agente confirma el alcance y pregunta si debe crear un documento nuevo o ampliar uno existente.
Tú: Necesitamos preparación para SOC 2 Type II. Estamos en alcance para Security (todos los criterios comunes) y Availability. ¿Puedes redactar narrativas de control y placeholders de evidencia para CC1 a CC9 y A1?
Agente: Redactaré narrativas de control para Security (CC1–CC9) y Availability (A1). ¿Ya tienes un documento de narrativas de control que deba ampliar o creo uno nuevo?
Tú: Crea un documento nuevo. Tenemos una política de control de acceso, un procedimiento de gestión del cambio y runbooks de supervisión.
Agente: He creado
soc2-control-narratives.mdcon secciones por criterio. Para CC1 (Control environment) he descrito la supervisión del consejo y la estructura de gestión y he añadido un placeholder de evidencia: “Board charter, org chart, actas de reuniones de gestión.” Para CC6 (Logical and physical access) he referenciado tu política de control de acceso y he añadido placeholders para revisiones de acceso y checklist de baja. Continuaré con CC2–CC5, CC7–CC9 y A1.
Fragmento del documento tras el turno 1 — El archivo nuevo tiene título, nota de alcance y los primeros criterios rellenados; el resto queda esbozado para la siguiente pasada.
# SOC 2 Control Narratives — [Company]
**Scope:** Security (CC1–CC9), Availability (A1). Target: Type II readiness.
## CC1 — Control environment
…
## CC6 — Logical and physical access controls
…
## CC2 — Communication and information
*[Drafting in progress…]*
Turno 2: Completar todos los criterios
El agente ha terminado de redactar CC2–CC5, CC7–CC9 y A1. Revisas y pides un ajuste.
Agente: He completado todas las secciones. CC2–CC5 cubren comunicación, evaluación de riesgos, actividades de supervisión y de control; CC7–CC9 cubren respuesta a incidentes, gestión del cambio y mitigación de riesgos. A1 cubre disponibilidad (SLA, supervisión, BCP/DR). Cada criterio tiene una narrativa de control y una línea de evidencia. Dime si quieres vincular alguna narrativa a una política o runbook concreto por nombre.
Tú: ¿Puedes para CC7 nombrar nuestro runbook de respuesta a incidentes y añadir un placeholder para las notas del ejercicio de mesa?
Agente: CC7 actualizado: la narrativa referencia ahora “Incident Response Runbook v1.2” y la línea de evidencia incluye “Tabletop exercise notes (annual).”
Fragmento tras el turno 2 — CC7 y A1 muestran el patrón: narrativa más placeholders de evidencia concretos.
## CC7 — Incident response
**Evidence:** Incident Response Runbook v1.2; incident log sample; tabletop exercise notes (annual).
## A1 — Availability
**Evidence:** SLA document; PagerDuty runbook; BCP section 4.2; DR test report 2025.
Turno 3: Ejecutar la herramienta de validación
Pides al agente que ejecute la comprobación de cobertura integrada. La herramienta indica qué criterios están presentes y si cada uno tiene narrativa y referencia de evidencia; también puede señalar evidencia ausente o débil.
Tú: Ejecuta la herramienta de validación para ver si nos falta algo.
Agente: He ejecutado
check_trust_services_criteria_coveragesobre el documento. Resultado: 10 criterios referenciados (CC1–CC9, A1). Dos advertencias: CC4 y CC7 necesitan una referencia de evidencia más clara (p. ej. nombre del runbook o informe concreto). Los añado ahora.
Agente: He actualizado CC4 para referenciar “Monitoring and Alerting Runbook” y CC7 ya tenía el nombre del runbook; he añadido “quarterly incident review summary” a la línea de evidencia. Nueva ejecución: PASS — los 10 criterios tienen narrativa y referencia de evidencia.
Salida del validador (fragmento) — Lo que reporta la herramienta antes y después de las correcciones.
=== Trust Services Criteria Coverage ===
Criteria referenced: CC1, CC2, CC3, CC4, CC5, CC6, CC7, CC8, CC9, A1 (10)
…
Overall: 2 warnings. Address warnings and re-run for a clean PASS.
Tras las actualizaciones del agente, una segunda ejecución muestra:
Overall: PASS — All referenced criteria have control narrative and evidence reference.
Turno 4: Listo para preparar la auditoría
Con el check en PASS, el documento está en buen estado para revisión interna y preparación de auditoría. Puedes pedir más secciones (p. ej. una checklist de preparación) o alinear el texto a un auditor o marco concreto.
Tú: Añade una checklist de preparación corta al inicio con una fila por criterio y columnas para narrativa hecha, evidencia recopilada y responsable.
Agente: He añadido una tabla “Readiness checklist” al inicio del documento con las columnas Criterion, Control narrative, Evidence collected, Owner. Filas para CC1–CC9 y A1. Puedes rellenar Owner y Evidence collected según vayas recopilando artefactos.
Fragmento tras el turno 4 — El inicio del documento incluye ahora la tabla de la checklist.
## Readiness checklist
| Criterion | Control narrative | Evidence collected | Owner |
| CC1 | Done | — | — |
…
Resumen
| Paso | Tú | Agente | Estado del documento |
|---|---|---|---|
| 1 | Indicar alcance (Security + Availability) y pedir documento nuevo | Crea soc2-control-narratives.md, redacta CC1, CC6, esboza el resto | Archivo nuevo con primeros criterios y placeholders |
| 2 | Pedir nombres de runbooks/evidencias | Completa todos los criterios, vincula CC7 a runbook y notas de tabletop | Borrador completo para CC1–CC9 y A1 |
| 3 | Pedir ejecutar validación | Ejecuta check_trust_services_criteria_coverage, corrige evidencia CC4/CC7, re-ejecuta | Mismo doc con líneas de evidencia más claras; check PASS |
| 4 | Pedir checklist de preparación | Añade tabla de checklist al inicio | Documento listo para revisión interna y recopilación de evidencia |
El skill SOC 2 Control Narrative Author mantiene la conversación en lenguaje claro y produce narrativas y placeholders de evidencia alineados con TSC. Usa la herramienta integrada check_trust_services_criteria_coverage después de cada edición importante para que las brechas se detecten antes que el auditor.
Próximos pasos
- SOC 2 Control Narrative Author — Página del skill con resumen y detalles del validador.
- SOC 2 Readiness Gap Analysis — Mapear controles existentes al TSC, localizar criterios no mapeados y definir una hoja de ruta de remediación.
- Gestión de sesiones e higiene del contexto — Mantener sesiones SOC 2 largas centradas y evitar saturación de contexto.