Habilidades para empresas

ConstruirHabilidades

Skills para empresas

Gobernanza, revisión de seguridad, evaluación y orientación organizacional para implementar Agent Skills a escala empresarial.

Esta guía es para administradores y arquitectos empresariales que necesitan gobernar Agent Skills en toda una organización. Cubre cómo evaluar, examinar, implementar y gestionar Skills a escala. Para orientación sobre autoría, consulte las mejores prácticas. Para detalles de arquitectura, consulte la descripción general de Skills.

Revisión de seguridad y evaluación

Implementar Skills en una empresa requiere responder dos preguntas distintas:

¿Son seguros los Skills en general? Consulte la sección de consideraciones de seguridad en la descripción general para detalles de seguridad a nivel de plataforma.
¿Cómo evalúo un Skill específico? Utilice la evaluación de riesgos y la lista de verificación de revisión a continuación.

Evaluación de nivel de riesgo

Evalúe cada Skill frente a estos indicadores de riesgo antes de aprobar su implementación:

Indicador de riesgo	Qué buscar	Nivel de preocupación
Ejecución de código	Scripts en el directorio del Skill (`.py`, `.sh`, `*.js`)	Alto: los scripts se ejecutan con acceso completo al entorno
Manipulación de instrucciones	Directivas para ignorar reglas de seguridad, ocultar acciones a los usuarios o alterar el comportamiento de Claude condicionalmente	Alto: puede eludir controles de seguridad
Referencias a servidores MCP	Instrucciones que hacen referencia a herramientas MCP (`ServerName:tool_name`)	Alto: extiende el acceso más allá del propio Skill
Patrones de acceso a la red	URLs, endpoints de API, llamadas `fetch`, `curl` o `requests`	Alto: posible vector de exfiltración de datos
Credenciales codificadas	Claves de API, tokens o contraseñas en archivos o scripts del Skill	Alto: secretos expuestos en el historial de Git y la ventana de contexto
Alcance de acceso al sistema de archivos	Rutas fuera del directorio del Skill, patrones glob amplios, traversal de rutas (`../`)	Medio: puede acceder a datos no deseados
Invocaciones de herramientas	Instrucciones que dirigen a Claude a usar bash, operaciones de archivos u otras herramientas	Medio: revisar qué operaciones se realizan

Lista de verificación de revisión

Antes de implementar cualquier Skill de un tercero o colaborador interno, complete estos pasos:

Lea todo el contenido del directorio del Skill. Revise SKILL.md, todos los archivos markdown referenciados y cualquier script o recurso incluido.
Verifique que el comportamiento del script coincida con el propósito declarado. Ejecute los scripts en un entorno aislado y confirme que los resultados se alinean con la descripción del Skill.
Busque instrucciones adversariales. Busque directivas que indiquen a Claude ignorar reglas de seguridad, ocultar acciones a los usuarios, exfiltrar datos a través de respuestas o alterar el comportamiento según entradas específicas.
Verifique si hay recuperaciones de URL externas o llamadas de red. Busque en scripts e instrucciones patrones de acceso a la red (http, requests.get, urllib, curl, fetch).
Verifique que no haya credenciales codificadas. Compruebe si hay claves de API, tokens o contraseñas en los archivos del Skill. Las credenciales deben usar variables de entorno o almacenes de credenciales seguros, y nunca aparecer en el contenido del Skill.
Enumere todos los comandos bash, operaciones de archivos y referencias de herramientas. Considere el riesgo combinado cuando un Skill usa tanto herramientas de lectura de archivos como de red juntas.

Nunca implemente Skills de fuentes no confiables sin una auditoría completa. Un Skill malicioso puede dirigir a Claude a ejecutar código arbitrario, acceder a archivos sensibles o transmitir datos externamente. Trate la instalación de Skills con el mismo rigor que la instalación de software en sistemas de producción.

Evaluación de Skills antes de la implementación

Los Skills pueden degradar el rendimiento del agente si se activan incorrectamente, entran en conflicto con otros Skills o proporcionan instrucciones deficientes. Requiera evaluación antes de cualquier implementación en producción.

Qué evaluar

Establezca puertas de aprobación para estas dimensiones antes de implementar cualquier Skill:

Dimensión	Qué mide	Ejemplo de fallo
Precisión de activación	¿El Skill se activa para las consultas correctas y permanece inactivo para las no relacionadas?	El Skill se activa en cada mención de hoja de cálculo, incluso cuando el usuario solo quiere discutir datos
Comportamiento de aislamiento	¿El Skill funciona correctamente por sí solo?	El Skill hace referencia a archivos que no existen en su directorio
Coexistencia	¿Agregar este Skill degrada otros Skills?	La descripción del nuevo Skill es demasiado amplia, robando activaciones de Skills existentes
Seguimiento de instrucciones	¿Claude sigue las instrucciones del Skill con precisión?	Claude omite pasos de validación o usa bibliotecas incorrectas
Calidad de salida	¿El Skill produce resultados correctos y útiles?	Los informes generados tienen errores de formato o datos faltantes

Requisitos de evaluación

Requiera que los autores de Skills envíen suites de evaluación con 3-5 consultas representativas por Skill, cubriendo casos donde el Skill debería activarse, no debería activarse y casos límite ambiguos. Requiera pruebas en los modelos que usa su organización (Haiku, Sonnet, Opus), ya que la efectividad del Skill varía según el modelo.

Para orientación detallada sobre la construcción de evaluaciones, consulte evaluación e iteración en las mejores prácticas. Para metodología general de evaluación, consulte desarrollar casos de prueba.

Uso de evaluaciones para decisiones del ciclo de vida

Los resultados de evaluación indican cuándo actuar:

Precisión de activación en declive: Actualice la descripción o instrucciones del Skill
Conflictos de coexistencia: Consolide Skills superpuestos o reduzca las descripciones
Calidad de salida consistentemente baja: Reescriba las instrucciones o agregue pasos de validación
Fallos persistentes a través de actualizaciones: Deprecie el Skill

Gestión del ciclo de vida de Skills

Planificar
Identifique flujos de trabajo que sean repetitivos, propensos a errores o que requieran conocimiento especializado. Mapéelos a roles organizacionales y determine cuáles son candidatos para Skills.
Crear y revisar
Asegúrese de que el autor del Skill siga las mejores prácticas. Requiera una revisión de seguridad usando la lista de verificación de revisión anterior. Requiera una suite de evaluación antes de la aprobación. Establezca separación de funciones: los autores de Skills no deben ser sus propios revisores.
Probar
Requiera evaluaciones en aislamiento (Skill solo) y junto con Skills existentes (pruebas de coexistencia). Verifique la precisión de activación, la calidad de salida y la ausencia de regresiones en su conjunto activo de Skills antes de aprobar para producción.
Implementar
Cargue a través de la Skills API para acceso a todo el espacio de trabajo. Consulte Uso de Skills con la API para carga y gestión de versiones. Documente el Skill en su registro interno con propósito, propietario y versión.
Monitorear
Realice un seguimiento de los patrones de uso y recopile comentarios de los usuarios. Vuelva a ejecutar evaluaciones periódicamente para detectar deriva o regresiones a medida que evolucionan los flujos de trabajo y los modelos. Los análisis de uso no están disponibles actualmente a través de la Skills API. Implemente registro a nivel de aplicación para rastrear qué Skills se incluyen en las solicitudes.
Iterar o deprecar
Requiera que la suite de evaluación completa pase antes de promover nuevas versiones. Actualice los Skills cuando cambien los flujos de trabajo o disminuyan las puntuaciones de evaluación. Deprecie los Skills cuando las evaluaciones fallen consistentemente o el flujo de trabajo sea retirado.

Organización de Skills a escala

Límites de recuperación

Como guía general, limite el número de Skills cargados simultáneamente para mantener una precisión de recuperación confiable. Los metadatos de cada Skill (nombre y descripción) compiten por atención en el prompt del sistema. Con demasiados Skills activos, Claude puede fallar al seleccionar el Skill correcto o perder los relevantes por completo. Use su suite de evaluación para medir la precisión de recuperación a medida que agrega Skills, y deje de agregar cuando el rendimiento se degrade.

Tenga en cuenta que las solicitudes de API admiten un máximo de 8 Skills por solicitud (consulte Uso de Skills con la API). Si un rol requiere más Skills de los que admite una sola solicitud, considere consolidar Skills específicos en otros más amplios o enrutar solicitudes a diferentes conjuntos de Skills según el tipo de tarea.

Comenzar específico, consolidar después

Anime a los equipos a comenzar con Skills específicos y orientados a flujos de trabajo en lugar de Skills amplios y multipropósito. A medida que emergen patrones en su organización, consolide Skills relacionados en paquetes basados en roles.

Use evaluaciones para decidir cuándo consolidar. Fusione Skills específicos en uno más amplio solo cuando las evaluaciones del Skill consolidado confirmen un rendimiento equivalente al de los Skills individuales que reemplaza.

Ejemplo de progresión:

Inicio: formatting-sales-reports, querying-pipeline-data, updating-crm-records
Consolidación: sales-operations (cuando las evaluaciones confirmen rendimiento equivalente)

Nomenclatura y catalogación

Use convenciones de nomenclatura consistentes en toda su organización. La sección de convenciones de nomenclatura en las mejores prácticas proporciona orientación de formato.

Mantenga un registro interno para cada Skill con:

Propósito: Qué flujo de trabajo admite el Skill
Propietario: Equipo o individuo responsable del mantenimiento
Versión: Versión implementada actualmente
Dependencias: Servidores MCP, paquetes o servicios externos requeridos
Estado de evaluación: Fecha de última evaluación y resultados

Paquetes basados en roles

Agrupe Skills por rol organizacional para mantener enfocado el conjunto activo de Skills de cada usuario:

Equipo de ventas: Operaciones de CRM, informes de pipeline, generación de propuestas
Ingeniería: Revisión de código, flujos de trabajo de implementación, respuesta a incidentes
Finanzas: Generación de informes, validación de datos, preparación de auditorías

Cada paquete basado en roles debe contener solo los Skills relevantes para los flujos de trabajo diarios de ese rol.

Distribución y control de versiones

Control de código fuente

Almacene los directorios de Skills en Git para el seguimiento del historial, revisión de código mediante pull requests y capacidad de reversión. Cada directorio de Skills (que contiene SKILL.md y cualquier archivo incluido) se mapea naturalmente a una carpeta rastreada por Git.

Distribución basada en API

La Skills API proporciona distribución con alcance de espacio de trabajo. Los Skills cargados a través de la API están disponibles para todos los miembros del espacio de trabajo. Consulte Uso de Skills con la API para endpoints de carga, versionado y gestión.

Estrategia de versionado

Producción: Fije los Skills a versiones específicas. Ejecute la suite de evaluación completa antes de promover una nueva versión. Trate cada actualización como una nueva implementación que requiere revisión de seguridad completa.
Desarrollo y pruebas: Use las versiones más recientes para validar cambios antes de la promoción a producción.
Plan de reversión: Mantenga la versión anterior como respaldo. Si una nueva versión falla las evaluaciones en producción, revierta a la última versión conocida como buena de inmediato.
Verificación de integridad: Calcule sumas de verificación de los Skills revisados y verifíquelas en el momento de la implementación. Use commits firmados en su repositorio de Skills para garantizar la procedencia.

Consideraciones entre superficies

Los Skills personalizados no se sincronizan entre superficies. Los Skills cargados a la API no están disponibles en claude.ai ni en Claude Code, y viceversa. Cada superficie requiere cargas y gestión separadas.

Mantenga los archivos fuente de Skills en Git como la única fuente de verdad. Si su organización implementa Skills en múltiples superficies, implemente su propio proceso de sincronización para mantenerlos consistentes. Para detalles completos, consulte disponibilidad entre superficies.

Próximos pasos

Descripción general de Agent Skills

Arquitectura y detalles de la plataforma

Mejores prácticas

Orientación de autoría para creadores de Skills

Was this page helpful?

ConstruirHabilidades

Skills para empresas

Gobernanza, revisión de seguridad, evaluación y orientación organizacional para implementar Agent Skills a escala empresarial.

Revisión de seguridad y evaluación

Implementar Skills en una empresa requiere responder dos preguntas distintas:

¿Son seguros los Skills en general? Consulte la sección de consideraciones de seguridad en la descripción general para detalles de seguridad a nivel de plataforma.
¿Cómo evalúo un Skill específico? Utilice la evaluación de riesgos y la lista de verificación de revisión a continuación.

Evaluación de nivel de riesgo

Evalúe cada Skill frente a estos indicadores de riesgo antes de aprobar su implementación:

Indicador de riesgo	Qué buscar	Nivel de preocupación
Ejecución de código	Scripts en el directorio del Skill (`.py`, `.sh`, `*.js`)	Alto: los scripts se ejecutan con acceso completo al entorno
Manipulación de instrucciones	Directivas para ignorar reglas de seguridad, ocultar acciones a los usuarios o alterar el comportamiento de Claude condicionalmente	Alto: puede eludir controles de seguridad
Referencias a servidores MCP	Instrucciones que hacen referencia a herramientas MCP (`ServerName:tool_name`)	Alto: extiende el acceso más allá del propio Skill
Patrones de acceso a la red	URLs, endpoints de API, llamadas `fetch`, `curl` o `requests`	Alto: posible vector de exfiltración de datos
Credenciales codificadas	Claves de API, tokens o contraseñas en archivos o scripts del Skill	Alto: secretos expuestos en el historial de Git y la ventana de contexto
Alcance de acceso al sistema de archivos	Rutas fuera del directorio del Skill, patrones glob amplios, traversal de rutas (`../`)	Medio: puede acceder a datos no deseados
Invocaciones de herramientas	Instrucciones que dirigen a Claude a usar bash, operaciones de archivos u otras herramientas	Medio: revisar qué operaciones se realizan

Lista de verificación de revisión

Antes de implementar cualquier Skill de un tercero o colaborador interno, complete estos pasos:

Lea todo el contenido del directorio del Skill. Revise SKILL.md, todos los archivos markdown referenciados y cualquier script o recurso incluido.
Verifique que el comportamiento del script coincida con el propósito declarado. Ejecute los scripts en un entorno aislado y confirme que los resultados se alinean con la descripción del Skill.
Busque instrucciones adversariales. Busque directivas que indiquen a Claude ignorar reglas de seguridad, ocultar acciones a los usuarios, exfiltrar datos a través de respuestas o alterar el comportamiento según entradas específicas.
Verifique si hay recuperaciones de URL externas o llamadas de red. Busque en scripts e instrucciones patrones de acceso a la red (http, requests.get, urllib, curl, fetch).
Verifique que no haya credenciales codificadas. Compruebe si hay claves de API, tokens o contraseñas en los archivos del Skill. Las credenciales deben usar variables de entorno o almacenes de credenciales seguros, y nunca aparecer en el contenido del Skill.
Enumere todos los comandos bash, operaciones de archivos y referencias de herramientas. Considere el riesgo combinado cuando un Skill usa tanto herramientas de lectura de archivos como de red juntas.

Evaluación de Skills antes de la implementación

Qué evaluar

Establezca puertas de aprobación para estas dimensiones antes de implementar cualquier Skill:

Dimensión	Qué mide	Ejemplo de fallo
Precisión de activación	¿El Skill se activa para las consultas correctas y permanece inactivo para las no relacionadas?	El Skill se activa en cada mención de hoja de cálculo, incluso cuando el usuario solo quiere discutir datos
Comportamiento de aislamiento	¿El Skill funciona correctamente por sí solo?	El Skill hace referencia a archivos que no existen en su directorio
Coexistencia	¿Agregar este Skill degrada otros Skills?	La descripción del nuevo Skill es demasiado amplia, robando activaciones de Skills existentes
Seguimiento de instrucciones	¿Claude sigue las instrucciones del Skill con precisión?	Claude omite pasos de validación o usa bibliotecas incorrectas
Calidad de salida	¿El Skill produce resultados correctos y útiles?	Los informes generados tienen errores de formato o datos faltantes

Requisitos de evaluación

Uso de evaluaciones para decisiones del ciclo de vida

Los resultados de evaluación indican cuándo actuar:

Precisión de activación en declive: Actualice la descripción o instrucciones del Skill
Conflictos de coexistencia: Consolide Skills superpuestos o reduzca las descripciones
Calidad de salida consistentemente baja: Reescriba las instrucciones o agregue pasos de validación
Fallos persistentes a través de actualizaciones: Deprecie el Skill

Gestión del ciclo de vida de Skills

Planificar
Identifique flujos de trabajo que sean repetitivos, propensos a errores o que requieran conocimiento especializado. Mapéelos a roles organizacionales y determine cuáles son candidatos para Skills.
Crear y revisar
Asegúrese de que el autor del Skill siga las mejores prácticas. Requiera una revisión de seguridad usando la lista de verificación de revisión anterior. Requiera una suite de evaluación antes de la aprobación. Establezca separación de funciones: los autores de Skills no deben ser sus propios revisores.
Probar
Requiera evaluaciones en aislamiento (Skill solo) y junto con Skills existentes (pruebas de coexistencia). Verifique la precisión de activación, la calidad de salida y la ausencia de regresiones en su conjunto activo de Skills antes de aprobar para producción.
Implementar
Cargue a través de la Skills API para acceso a todo el espacio de trabajo. Consulte Uso de Skills con la API para carga y gestión de versiones. Documente el Skill en su registro interno con propósito, propietario y versión.
Monitorear
Realice un seguimiento de los patrones de uso y recopile comentarios de los usuarios. Vuelva a ejecutar evaluaciones periódicamente para detectar deriva o regresiones a medida que evolucionan los flujos de trabajo y los modelos. Los análisis de uso no están disponibles actualmente a través de la Skills API. Implemente registro a nivel de aplicación para rastrear qué Skills se incluyen en las solicitudes.
Iterar o deprecar
Requiera que la suite de evaluación completa pase antes de promover nuevas versiones. Actualice los Skills cuando cambien los flujos de trabajo o disminuyan las puntuaciones de evaluación. Deprecie los Skills cuando las evaluaciones fallen consistentemente o el flujo de trabajo sea retirado.

Organización de Skills a escala

Límites de recuperación

Comenzar específico, consolidar después

Ejemplo de progresión:

Inicio: formatting-sales-reports, querying-pipeline-data, updating-crm-records
Consolidación: sales-operations (cuando las evaluaciones confirmen rendimiento equivalente)

Nomenclatura y catalogación

Use convenciones de nomenclatura consistentes en toda su organización. La sección de convenciones de nomenclatura en las mejores prácticas proporciona orientación de formato.

Mantenga un registro interno para cada Skill con:

Propósito: Qué flujo de trabajo admite el Skill
Propietario: Equipo o individuo responsable del mantenimiento
Versión: Versión implementada actualmente
Dependencias: Servidores MCP, paquetes o servicios externos requeridos
Estado de evaluación: Fecha de última evaluación y resultados

Paquetes basados en roles

Agrupe Skills por rol organizacional para mantener enfocado el conjunto activo de Skills de cada usuario:

Equipo de ventas: Operaciones de CRM, informes de pipeline, generación de propuestas
Ingeniería: Revisión de código, flujos de trabajo de implementación, respuesta a incidentes
Finanzas: Generación de informes, validación de datos, preparación de auditorías

Cada paquete basado en roles debe contener solo los Skills relevantes para los flujos de trabajo diarios de ese rol.

Distribución y control de versiones

Control de código fuente

Distribución basada en API

Estrategia de versionado

Producción: Fije los Skills a versiones específicas. Ejecute la suite de evaluación completa antes de promover una nueva versión. Trate cada actualización como una nueva implementación que requiere revisión de seguridad completa.
Desarrollo y pruebas: Use las versiones más recientes para validar cambios antes de la promoción a producción.
Plan de reversión: Mantenga la versión anterior como respaldo. Si una nueva versión falla las evaluaciones en producción, revierta a la última versión conocida como buena de inmediato.
Verificación de integridad: Calcule sumas de verificación de los Skills revisados y verifíquelas en el momento de la implementación. Use commits firmados en su repositorio de Skills para garantizar la procedencia.

Consideraciones entre superficies

Próximos pasos

Descripción general de Agent Skills

Arquitectura y detalles de la plataforma

Mejores prácticas

Orientación de autoría para creadores de Skills

Was this page helpful?