Controles de manejo de datos que todo administrador debe configurar
Antes de que cualquier equipo comience a usar Claude en el día a día, se deben revisar y configurar deliberadamente un puñado de ajustes del espacio de trabajo, en lugar de dejarlos en sus valores predeterminados.
Esta lista de verificación recorre esos ajustes en un orden lógico, desde los fundamentales hasta los que dependen de tener los conceptos básicos ya implementados.
Cómo usar esta lista de verificación
- Trabaja a través de los niveles en orden: los elementos posteriores asumen que los anteriores ya están configurados.
- Registra cada decisión y la razón detrás de ella, no solo la configuración final: las revisiones y auditorías futuras necesitarán ese contexto.
- Vuelve a visitar esta lista de verificación cada vez que se agregue un nuevo equipo, proyecto o tipo de datos al espacio de trabajo, no solo durante la configuración inicial.
- Asigna un único propietario para mantener actualizados estos ajustes, de modo que no se desvíen silenciosamente después del lanzamiento inicial.
Nivel 1: Ajustes fundamentales
- Confirma que el acceso al espacio de trabajo/administrador esté limitado a las personas adecuadas: revisa quién tiene actualmente derechos de administrador y elimina a cualquiera que ya no los necesite.
- Establece la ventana de retención de datos deliberadamente: no la dejes en el valor predeterminado de la plataforma sin verificar si se ajusta a la sensibilidad de datos de tu organización.
- Habilita la exclusión voluntaria de entrenamiento si tus datos lo justifican: para los espacios de trabajo que manejan datos regulados o propietarios, excluye las conversaciones de ser utilizadas para el entrenamiento del modelo.
- Verifica estas dos configuraciones de forma independiente: la retención y la exclusión voluntaria de entrenamiento son controles separados, y confirmar que uno está configurado correctamente no confirma el otro.
- Documenta el razonamiento detrás de cada ajuste: una nota de una línea sobre por qué la ventana de retención es la que es ahorra tiempo durante una auditoría posterior.
Nivel 2: Controles de acceso e identidad
- Revisa cómo se aprovisionan los nuevos usuarios en el espacio de trabajo: confirma que existe un proceso definido, no uno ad hoc.
- Confirma que los permisos basados en roles coinciden con las funciones laborales reales: los administradores deben ser administradores porque lo necesitan, no porque fuera conveniente durante la configuración.
- Establece una cadencia para las revisiones periódicas de acceso: trimestralmente es un punto de partida razonable para la mayoría de las organizaciones.
- Elimina el acceso de inmediato cuando alguien abandona el equipo u organización: el acceso obsoleto es uno de los hallazgos más comunes en una revisión de seguridad.
Nivel 3: Monitoreo y rendición de cuentas
- Activa y localiza el registro de auditoría: confirma que sabes dónde se encuentra y qué está capturando actualmente antes de que lo necesites durante un incidente.
- Asigna la propiedad de la revisión del registro de auditoría: un registro que nadie revisa proporciona poco valor práctico.
- Establece una cadencia de revisión para el registro de auditoría: una revisión trimestral más una revisión ad hoc después de cualquier cambio inesperado es una línea base razonable.
- Confirma qué cubre y qué no cubre el registro de auditoría: captura acciones administrativas y eventos de acceso, no el contenido de las conversaciones, por lo que planifica tus otros controles en consecuencia.
Nivel 4: Orientación sobre el uso de datos
- Escribe una breve nota interna sobre qué categorías de datos se pueden pegar en Claude y cuáles no: cubre como mínimo los PII de los clientes, las credenciales y las finanzas no publicadas.
- Distribuye esa guía durante la incorporación, no después de un incidente: el objetivo es la prevención, no la limpieza.
- Identifica qué equipos manejan los datos más sensibles y dales atención adicional: legal, finanzas y soporte al cliente a menudo justifican una guía más estricta que los equipos generales.
- Revisa la guía cada vez que un nuevo tipo de datos regulados ingrese al flujo de trabajo de la organización: un nuevo contrato de cliente o una nueva línea de productos pueden cambiar lo que está en el alcance.
Nivel 5: Alineación de cumplimiento
- Confirma qué marcos de cumplimiento se aplican realmente a tu organización: SOC2, GDPR, ambos, o ninguno en un sentido formal: esto determina cuán estricta debe ser el resto de esta lista de verificación.
- Mapea tu configuración de retención y entrenamiento a las obligaciones de protección de datos declaradas de tu organización: sé capaz de explicar, por escrito, por qué la configuración actual satisface esas obligaciones.
- Mantén evidencia de estos ajustes junto con otra documentación de riesgo de proveedores: para que pueda ser producida rápidamente durante una auditoría o revisión de clientes.
- Programa una revisión recurrente de toda esta lista de verificación: anualmente como mínimo, y nuevamente cada vez que el uso de datos de la organización cambie significativamente.
Aplicación de la lista de verificación en orden
- Nivel 1 (1-5) viene primero porque la retención, la exclusión voluntaria de entrenamiento y el acceso administrativo son la base de todo lo demás; si te equivocas en esto, los niveles posteriores no importarán.
- Nivel 2 (6-9) se basa en esa base asegurándose de que solo las personas adecuadas puedan cambiar esas configuraciones fundamentales en primer lugar.
- Nivel 3 (10-13) agrega visibilidad: una vez que el acceso y la configuración son correctos, necesitas una forma de confirmar que se mantengan correctos con el tiempo.
- Nivel 4 (14-17) cambia el enfoque a lo que los empleados hacen realmente día a día, ya que la configuración por sí sola no evita que alguien pegue datos confidenciales en una conversación.
- Nivel 5 (18-21) vincula todo a las obligaciones de cumplimiento reales de la organización, cerrando el ciclo entre la configuración técnica y la postura documentada.
Preguntas frecuentes
¿Necesito completar todos los niveles antes de lanzar Claude a mi equipo?
Los niveles 1 y 2 son casi innegociables antes de cualquier lanzamiento.
Los niveles 3 a 5 se pueden completar razonablemente en las primeras semanas después del lanzamiento, pero no deben posponerse indefinidamente.
¿Cuál es el elemento que se omite con más frecuencia en esta lista?
Asignar la propiedad de la revisión del registro de auditoría (elemento 11): el registro se activa durante la configuración y luego nadie lo vuelve a mirar hasta que algo sale mal.
¿Con qué frecuencia se debe revisar toda esta lista de verificación?
Al menos anualmente, además de cada vez que se introduce un nuevo equipo, proyecto o tipo de datos regulados: esos eventos son desencadenantes naturales para volver a verificar si la configuración todavía encaja.
¿El ajuste de exclusión voluntaria de entrenamiento es relevante para todas las organizaciones?
Es más claramente relevante para las organizaciones que manejan datos regulados o propietarios.
Los espacios de trabajo de menor sensibilidad y de propósito general pueden decidir razonablemente que importa menos, pero la decisión aún debe ser deliberada en lugar de predeterminada.
¿Por qué la lista de verificación separa la "configuración" de la "guía para empleados"?
Porque resuelven problemas diferentes: la configuración controla lo que la plataforma hace con los datos, mientras que la guía controla lo que los empleados eligen pegar en primer lugar.
Ambos son necesarios; ninguno sustituye al otro.
¿Qué debo hacer si heredo un espacio de trabajo donde nada de esto se ha configurado?
Comienza en el Nivel 1 y avanza en orden: trátalo igual que un lanzamiento nuevo, ya que un espacio de trabajo no configurado está funcionando funcionalmente con los valores predeterminados con los que la plataforma se envía.
¿Deben los equipos más pequeños omitir el nivel de alineación de cumplimiento?
No por completo: incluso un equipo pequeño debe saber si algún marco de cumplimiento formal se aplica a ellos, ya que esa respuesta determina cuánto del resto de la lista de verificación realmente importa.
¿Cómo se relaciona esta lista de verificación con la lista de verificación de lanzamiento a nivel empresarial?
Esta lista de verificación son los ajustes básicos que cada administrador debe configurar para un solo espacio de trabajo; la lista de verificación de lanzamiento a nivel empresarial se basa en esto al expandir Claude en toda una organización.
¿Cuál es la forma más rápida de saber si la configuración de un espacio de trabajo se ha desviado?
Compara la ventana de retención actual, la exclusión voluntaria de entrenamiento y la lista de administradores con lo que se documentó en la última revisión: cualquier diferencia inexplicable vale la pena investigarla.
¿Quién debería ser el propietario de esta lista de verificación dentro de una organización?
Generalmente un administrador del espacio de trabajo en coordinación con partes interesadas de seguridad o cumplimiento: la configuración técnica recae en el administrador, pero el "por qué" detrás de ellos a menudo requiere aportes del cumplimiento o legal.
Relacionado
- Conceptos básicos de gobernanza y cumplimiento - el recorrido que amplía esta lista de verificación
- Cómo Claude maneja la retención de datos y la exclusión voluntaria de entrenamiento - el modelo mental detrás del Nivel 1
- Qué capturan los registros de auditoría en la consola de Claude - detalles detrás del Nivel 3
- Lista de verificación de cumplimiento antes de lanzar Claude a nivel empresarial - la versión a escala empresarial de esta lista de verificación
Versiones de Stack: Escrito contra la línea de modelos de Claude actual a partir de ~junio de 2026 - Claude Fable 5, Claude Opus 4.8, Claude Sonnet 5 (el predeterminado) y Claude Haiku 4.5. Los nombres de los modelos, los precios y las características del producto cambian rápidamente: verifique los detalles actuales en platform.claude.com/docs antes de confiar en ellos.