# Elaboración guiada de documentación de preparación SOC 2 > Guía paso a paso para redactar narrativas de control SOC 2 y placeholders de evidencia con el agente, con ejemplos de chat y fragmentos del documento en cada etapa. Author: map[bio:Founder linkedin:https://www.linkedin.com/in/ricardocabral/ name:Ricardo Cabral] Published: 2026-02-18 URL: https://rakenne.app/es/learn/tutorials/soc2-readiness-documentation-guide/index.md Esta guía recorre una sesión típica con el skill **SOC 2 Control Narrative Author**: indicas al agente el alcance de la auditoría y las políticas existentes, y el agente redacta narrativas de control alineadas con los Trust Services Criteria (TSC) del AICPA, añade placeholders de evidencia y ejecuta una herramienta de validación integrada para que puedas cerrar brechas antes de la auditoría Type I o Type II. Verás diálogos de ejemplo como mensajes de chat y fragmentos del documento después de cada turno importante para saber qué esperar en cada paso. ## Qué necesitas - Un proyecto Rakenne con el skill **SOC 2 Control Narrative Author** activado. - Una idea clara de las **categorías TSC en alcance** (p. ej. solo Security o Security + Availability). - Cualquier documento existente que quieras que el agente use o amplíe: política de control de acceso, procedimiento de gestión del cambio, runbooks, documentación BCP/DR. --- ## Turno 1: Definir el alcance Abres el proyecto y describes tu objetivo. El agente confirma el alcance y pregunta si debe crear un documento nuevo o ampliar uno existente. > **Tú:** Necesitamos preparación para SOC 2 Type II. Estamos en alcance para Security (todos los criterios comunes) y Availability. ¿Puedes redactar narrativas de control y placeholders de evidencia para CC1 a CC9 y A1? > **Agente:** Redactaré narrativas de control para Security (CC1–CC9) y Availability (A1). ¿Ya tienes un documento de narrativas de control que deba ampliar o creo uno nuevo? > **Tú:** Crea un documento nuevo. Tenemos una política de control de acceso, un procedimiento de gestión del cambio y runbooks de supervisión. > **Agente:** He creado `soc2-control-narratives.md` con secciones por criterio. Para **CC1 (Control environment)** he descrito la supervisión del consejo y la estructura de gestión y he añadido un placeholder de evidencia: "Board charter, org chart, actas de reuniones de gestión." Para **CC6 (Logical and physical access)** he referenciado tu política de control de acceso y he añadido placeholders para revisiones de acceso y checklist de baja. Continuaré con CC2–CC5, CC7–CC9 y A1. **Fragmento del documento tras el turno 1** — El archivo nuevo tiene título, nota de alcance y los primeros criterios rellenados; el resto queda esbozado para la siguiente pasada. ```md # SOC 2 Control Narratives — [Company] **Scope:** Security (CC1–CC9), Availability (A1). Target: Type II readiness. ## CC1 — Control environment … ## CC6 — Logical and physical access controls … ## CC2 — Communication and information *[Drafting in progress…]* ``` --- ## Turno 2: Completar todos los criterios El agente ha terminado de redactar CC2–CC5, CC7–CC9 y A1. Revisas y pides un ajuste. > **Agente:** He completado todas las secciones. CC2–CC5 cubren comunicación, evaluación de riesgos, actividades de supervisión y de control; CC7–CC9 cubren respuesta a incidentes, gestión del cambio y mitigación de riesgos. A1 cubre disponibilidad (SLA, supervisión, BCP/DR). Cada criterio tiene una narrativa de control y una línea de evidencia. Dime si quieres vincular alguna narrativa a una política o runbook concreto por nombre. > **Tú:** ¿Puedes para CC7 nombrar nuestro runbook de respuesta a incidentes y añadir un placeholder para las notas del ejercicio de mesa? > **Agente:** CC7 actualizado: la narrativa referencia ahora "Incident Response Runbook v1.2" y la línea de evidencia incluye "Tabletop exercise notes (annual)." **Fragmento tras el turno 2** — CC7 y A1 muestran el patrón: narrativa más placeholders de evidencia concretos. ```md ## CC7 — Incident response **Evidence:** Incident Response Runbook v1.2; incident log sample; tabletop exercise notes (annual). ## A1 — Availability **Evidence:** SLA document; PagerDuty runbook; BCP section 4.2; DR test report 2025. ``` --- ## Turno 3: Ejecutar la herramienta de validación Pides al agente que ejecute la comprobación de cobertura integrada. La herramienta indica qué criterios están presentes y si cada uno tiene narrativa y referencia de evidencia; también puede señalar evidencia ausente o débil. > **Tú:** Ejecuta la herramienta de validación para ver si nos falta algo. > **Agente:** He ejecutado `check_trust_services_criteria_coverage` sobre el documento. Resultado: 10 criterios referenciados (CC1–CC9, A1). Dos advertencias: CC4 y CC7 necesitan una referencia de evidencia más clara (p. ej. nombre del runbook o informe concreto). Los añado ahora. > **Agente:** He actualizado CC4 para referenciar "Monitoring and Alerting Runbook" y CC7 ya tenía el nombre del runbook; he añadido "quarterly incident review summary" a la línea de evidencia. Nueva ejecución: **PASS** — los 10 criterios tienen narrativa y referencia de evidencia. **Salida del validador (fragmento)** — Lo que reporta la herramienta antes y después de las correcciones. ```text === Trust Services Criteria Coverage === Criteria referenced: CC1, CC2, CC3, CC4, CC5, CC6, CC7, CC8, CC9, A1 (10) … Overall: 2 warnings. Address warnings and re-run for a clean PASS. ``` Tras las actualizaciones del agente, una segunda ejecución muestra: ```text Overall: PASS — All referenced criteria have control narrative and evidence reference. ``` --- ## Turno 4: Listo para preparar la auditoría Con el check en PASS, el documento está en buen estado para revisión interna y preparación de auditoría. Puedes pedir más secciones (p. ej. una checklist de preparación) o alinear el texto a un auditor o marco concreto. > **Tú:** Añade una checklist de preparación corta al inicio con una fila por criterio y columnas para narrativa hecha, evidencia recopilada y responsable. > **Agente:** He añadido una tabla "Readiness checklist" al inicio del documento con las columnas Criterion, Control narrative, Evidence collected, Owner. Filas para CC1–CC9 y A1. Puedes rellenar Owner y Evidence collected según vayas recopilando artefactos. **Fragmento tras el turno 4** — El inicio del documento incluye ahora la tabla de la checklist. ```md ## Readiness checklist | Criterion | Control narrative | Evidence collected | Owner | | CC1 | Done | — | — | … ``` --- ## Resumen | Paso | Tú | Agente | Estado del documento | | ---- | -- | ------ | -------------------- | | 1 | Indicar alcance (Security + Availability) y pedir documento nuevo | Crea `soc2-control-narratives.md`, redacta CC1, CC6, esboza el resto | Archivo nuevo con primeros criterios y placeholders | | 2 | Pedir nombres de runbooks/evidencias | Completa todos los criterios, vincula CC7 a runbook y notas de tabletop | Borrador completo para CC1–CC9 y A1 | | 3 | Pedir ejecutar validación | Ejecuta `check_trust_services_criteria_coverage`, corrige evidencia CC4/CC7, re-ejecuta | Mismo doc con líneas de evidencia más claras; check PASS | | 4 | Pedir checklist de preparación | Añade tabla de checklist al inicio | Documento listo para revisión interna y recopilación de evidencia | El skill **SOC 2 Control Narrative Author** mantiene la conversación en lenguaje claro y produce narrativas y placeholders de evidencia alineados con TSC. Usa la herramienta integrada **check_trust_services_criteria_coverage** después de cada edición importante para que las brechas se detecten antes que el auditor. ## Próximos pasos - **[SOC 2 Control Narrative Author](/skills/soc2-control-narrative-author/)** — Página del skill con resumen y detalles del validador. - **[SOC 2 Readiness Gap Analysis](/skills/soc2-readiness-gap-analysis/)** — Mapear controles existentes al TSC, localizar criterios no mapeados y definir una hoja de ruta de remediación. - **[Gestión de sesiones e higiene del contexto](/learn/tutorials/session-management/)** — Mantener sesiones SOC 2 largas centradas y evitar saturación de contexto. --- Back to [Tutoriales](https://rakenne.app/es/learn/tutorials/index.md)