ciso-review
por alirezarezvaniciso-review es un prompt de Security Audit con enfoque tipo CISO para planes que involucran datos de clientes, cumplimiento, proveedores, límites de confianza o acceso a producción. Usa seis preguntas obligatorias —modelo de amenazas, radio de impacto, detección, respuesta, exposición regulatoria y riesgo de lanzar o no lanzar— para convertir un plan en bloqueadores, mitigaciones y orientación de lanzamiento.
Esta skill obtiene 72/100, lo que significa que es aceptable para incluirse en el directorio, aunque encaja mejor con usuarios que buscan una lista ligera de comprobación de seguridad y no un sistema completo de revisión CISO. La evidencia del repositorio muestra un SKILL.md válido y enfocado, con un comando claro, situaciones de activación y preguntas sustantivas, pero carece de materiales de apoyo, ejemplos y guía de instalación que darían más confianza para adoptarla.
- Activación e invocación claras: `/cs:ciso-review <plan>` para planes relacionados con datos de clientes, cumplimiento, acceso a producción, auditorías, incidentes o cambios en límites de confianza.
- Ofrece un marco conciso de revisión tipo CISO basado en seis preguntas obligatorias, con modelado de amenazas STRIDE, radio de impacto, detección, respuesta a incidentes y aspectos regulatorios.
- Da a los agentes más capacidad que un prompt genérico al nombrar conceptos de seguridad específicos como PII/PHI/cardholder data, FAIR-based ALE, MTTD, alertas, responsables de guardia y runbooks probados en ejercicios tabletop.
- No incluye archivos de apoyo, referencias, ejemplos ni instrucciones de instalación, por lo que los usuarios deben depender por completo del contenido de SKILL.md.
- La guía operativa se basa en preguntas más que en un flujo completo de revisión con plantillas, criterios de puntuación o ejemplos concretos de entregables.
Descripción general de la skill ciso-review
Qué hace ciso-review
La skill ciso-review es un prompt de revisión ejecutiva de seguridad para planes que afectan datos de clientes, alcance de cumplimiento, proveedores, acceso a producción o límites de confianza. Enmarca la revisión en seis preguntas de presión típicas de un CISO: modelo de amenazas, radio de impacto, detección, respuesta a incidentes, exposición regulatoria y riesgo de lanzar o no lanzar.
Úsala cuando necesites una mirada escéptica de Security Audit antes de un cambio en producción, una decisión sobre proveedores, un hito de auditoría o un plan correctivo posterior a un incidente. Su valor no está en dar “consejos generales de seguridad”, sino en ofrecer una interrogación estructurada que obliga a un asistente de IA a identificar qué puede salir mal, cuán grave sería, si podrías detectarlo y qué debe corregirse antes del lanzamiento.
Usuarios y decisiones para los que mejor encaja
La skill ciso-review encaja con responsables de ingeniería, fundadores, managers de seguridad, responsables de cumplimiento y equipos de plataforma que necesitan una revisión previa rápida sin convertir cada decisión en una evaluación formal completa. Es especialmente útil antes de desplegar sistemas que involucren PII, PHI, datos de pago, autenticación, autorización, logging, integraciones con terceros o acceso privilegiado.
Es menos adecuada para investigación profunda de exploits, escaneo de vulnerabilidades en código fuente o para sustituir a un evaluador de seguridad cualificado. Trátala como una herramienta para mejorar la calidad de las decisiones: ayuda a exponer riesgos, afinar preguntas y prepararse para una conversación real de Security Audit.
Por qué es distinta de un prompt genérico
Un prompt genérico del tipo “revisa esto desde seguridad” suele producir listas de verificación amplias. La skill ciso-review enfoca al asistente como una función de presión de CISO: modelado de amenazas STRIDE, peor escenario de radio de impacto, razonamiento de pérdidas estilo FAIR, preparación de detección, preparación de respuesta a incidentes e impacto de cumplimiento.
Esa estructura importa porque los bloqueos de adopción normalmente no aparecen porque “olvidamos que la seguridad existe”; suelen venir de responsabilidades difusas, exposición sin cuantificar, detección ausente, planes de respuesta no probados y criterios de lanzamiento poco claros.
Cómo usar la skill ciso-review
Instalación de ciso-review y ruta del repositorio
Para instalarla desde el repositorio de skills de GitHub, usa el flujo estándar de instalación de skills del directorio, por ejemplo:
npx skills add alirezarezvani/claude-skills --skill ciso-review
La skill se encuentra en:
c-level-advisor/c-level-agents/skills/ciso-review/SKILL.md
En la evidencia del repositorio no se muestran scripts adicionales, carpetas de referencia ni archivos de reglas complementarios, así que empieza leyendo SKILL.md. La implementación es compacta: el activo principal es el patrón de comando /cs:ciso-review <plan> y el flujo de revisión basado en seis preguntas.
Información que necesita la skill
Para usar ciso-review con buenos resultados, no pases una idea de una sola línea. Incluye el plan, la arquitectura, los datos involucrados, los usuarios afectados, los proveedores, las rutas de acceso, los controles, el monitoreo, el contexto de cumplimiento y el calendario de lanzamiento.
Prompt débil:
/cs:ciso-review We are adding a new analytics vendor.
Prompt más sólido:
/cs:ciso-review Review our plan to send product usage events to Vendor X. Data includes user_id, email, workspace_id, IP address, feature events, and timestamps. Vendor receives data via server-side API from production. SOC 2 scope applies; GDPR users are included. We currently have a DPA draft, SSO for vendor admin access, no field-level tokenization, logs in Datadog, and no specific detection rule for abnormal export volume. Launch target is next Friday. Identify top risks, required blockers, detection gaps, and a ship/no-ship recommendation.
La versión más sólida mejora la salida porque da al asistente suficiente contexto para evaluar radio de impacto, detección, exposición regulatoria y preparación de respuesta, en vez de obligarlo a inventar supuestos.
Flujo práctico para preparar un Security Audit
Usa la skill ciso-review antes de la aprobación de seguridad, no después de que la implementación ya quedó congelada. Un flujo útil es:
- Redacta el plan de cambio en lenguaje claro.
- Agrega un inventario de datos: tipos de datos, sensibilidad, residencia, retención y cantidad de usuarios afectados.
- Agrega los límites de confianza: servicios internos, proveedores, administradores, clientes, CI/CD y acceso a producción.
- Ejecuta
/cs:ciso-review <plan>. - Convierte los hallazgos en bloqueos, mitigaciones, responsables y fechas límite.
- Vuelve a ejecutar la skill después de los cambios para verificar si el riesgo residual es aceptable.
Para estar listo ante una auditoría, pide al asistente que separe “evidencia que tenemos” de “evidencia que todavía necesitamos”. Eso hace que la salida sea más útil para paquetes de revisión SOC 2, ISO 27001, HIPAA, GDPR o de seguridad de proveedores.
Consejos para mejorar la salida
Pide una tabla de riesgos priorizada en lugar de una narración si necesitas claridad de ejecución. Incluye probabilidad, impacto, activos afectados, controles actuales, controles faltantes, responsable y decisión recomendada.
Buenos añadidos incluyen:
- “Use STRIDE and call out the top 3 risks by likelihood × impact.”
- “Estimate worst-case exposure in users, records, systems, and business impact.”
- “Identify detection rules, alert owners, and MTTD assumptions.”
- “State what must be true before ship.”
- “Separate blockers from follow-up hardening.”
FAQ de la skill ciso-review
¿ciso-review es solo para CISOs?
No. La skill ciso-review es útil para cualquier persona que deba tomar o preparar una decisión sensible desde el punto de vista de seguridad. Da a equipos que no son CISO una forma estructurada de plantear las preguntas que haría un ejecutivo de seguridad, manteniendo la aprobación final en manos de los responsables de seguridad, legal, cumplimiento o riesgo.
¿Puede ciso-review sustituir un Security Audit formal?
No. ciso-review para preparar un Security Audit funciona mejor como herramienta de revisión previa y detección de brechas. Puede ayudar a organizar riesgos, evidencia y bloqueos de lanzamiento, pero no realiza pruebas de penetración, análisis de código, revisión legal ni trabajo formal de certificación.
¿Cuándo no debería usar ciso-review?
No la uses como única revisión para sistemas regulados de alto riesgo, diseño criptográfico, contención de incidentes, determinación legal de brechas o respuesta de emergencia en producción. Evita también usarla cuando no puedas aportar suficiente contexto sobre datos, acceso, arquitectura y controles; la salida dependerá demasiado de supuestos.
¿Qué hace que un plan esté listo para revisión?
Un plan está listo cuando responde: qué va a cambiar, qué datos están involucrados, quién puede acceder a ellos, por dónde fluyen, qué podría fallar, qué monitoreo existe, quién responde, qué regulaciones aplican y qué plazo o presión de negocio existe. Si faltan esos datos, empieza pidiendo al asistente que te ayude a reunir los insumos necesarios para la revisión.
Cómo mejorar la skill ciso-review
Mejorar los resultados de ciso-review con contexto más preciso
La forma más rápida de mejorar la salida de ciso-review es hacer explícito el riesgo implícito. Incluye diagramas o notas breves de arquitectura, modelo de autenticación y autorización, roles de administrador, acceso de proveedores, límites de cifrado, periodos de retención, cobertura de logs y opciones de rollback.
Una entrada de alta calidad no debería decir solo “usamos logs”, sino qué logs, a dónde van, qué alerta se dispara, quién la recibe y cuál es el tiempo de detección esperado. La pregunta de detección de la skill está diseñada para revelar la brecha entre observabilidad y detección accionable.
Fallos comunes que conviene vigilar
El principal fallo es aceptar una respuesta plausible pero genérica. Cuestiona la salida cuando no incluya un radio de impacto cuantificado, activos nombrados, señales de detección concretas o criterios de lanzamiento/no lanzamiento.
Otro problema habitual es tratar el cumplimiento como una etiqueta en lugar de un requisito de control. Si se menciona relevancia de GDPR, HIPAA, SOC 2, ISO 27001 o PCI, pregunta qué evidencia, política, control o artefacto contractual se necesita.
Itera después de la primera revisión
Después de la primera pasada de ciso-review, pide una segunda revisión centrada solo en los bloqueos no resueltos. Por ejemplo:
Re-review the plan assuming we added vendor SSO, IP allowlisting, a Datadog alert for export spikes, and an incident runbook. What residual risks remain, and what would still block launch?
Esto convierte la skill de una crítica puntual en un ciclo práctico de reducción de riesgo. La mejor salida final es un memo breve de decisión: aprobado, aprobado con condiciones o bloqueado, con evidencia y responsables adjuntos.
