¿Puede ChatGPT redactar su política del ISMS? Una prueba real

¿Puede la IA redactar sus políticas del ISMS? Sí; pero no de la forma en que la mayoría lo imagina. Un análisis basado en la práctica: qué funciona, qué falla y cómo usar la IA de forma segura en su programa de gobernanza.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy6 min de lectura
Can ChatGPT Draft Your ISMS Policy

Todo CISO y responsable de GRC ha tenido el mismo pensamiento recientemente: «¿Podría ChatGPT redactar mis políticas de ISO 27001?» La IA ya puede generar plantillas limpias, párrafos estructurados e incluso documentos completos del SGSI en cuestión de minutos. La pregunta no es ¿puede hacerlo? La pregunta es: ¿deberías confiar en ello?

La mayoría de las organizaciones están probando la IA de la manera equivocada. Lanzan un prompt a ChatGPT, «¡Escribe una Política de Control de Acceso!», y esperan magia. En cambio, obtienen:

  • texto genérico
  • controles ausentes
  • redacción poco amigable para el auditor
  • responsabilidades sobredimensionadas
  • y cero alineación con su realidad operativa

Esta es la verdad desde el campo:La IA puede perfectamente redactar las políticas de tu SGSI, pero solo si la tratas como un copiloto, no como un sustituto. La «prueba real» no consiste en saber si ChatGPT puede generar texto. Consiste en saber si el resultado resiste la evidencia, los auditores y la realidad operativa.

Analicemos qué puede (y qué no puede) hacer la IA por tu SGSI.

1. La IA es excelente en estructura; y puede ser pésima en contexto

ChatGPT domina la estructura. Puede producir de inmediato:

  • encabezados
  • cláusulas
  • definiciones
  • tablas
  • declaraciones de alcance
  • responsabilidades
  • esquemas de política

Anécdota: En una ocasión probé ChatGPT pidiéndole un conjunto completo de políticas para el SGSI. En 5 segundos, generó 14 políticas que parecían limpias y completas.

Pero:

ChatGPT no conoce:

  • tu perfil de riesgo
  • tus herramientas reales
  • lo que has implementado
  • quién es responsable de qué
  • tus excepciones
  • tu realidad en materia de evidencia

Solución: Usa la IA para generar el esqueleto, no el contenido.

2. La IA redacta políticas que dicen demasiado; y eso es peligroso

ChatGPT tiende a usar afirmaciones contundentes: «Las revisiones de acceso se realizarán mensualmente.» «Todos los incidentes se resolverán en 24 horas.» «El cifrado es obligatorio para todos los datos.»

Parece profesional. Falla la auditoría al instante.

Porque los auditores no comprueban lo que escribiste. Comprueban lo que prometiste frente a lo que demuestras.

Un caso del campo: Una empresa copió y pegó una política de acceso generada por IA que exigía revisiones mensuales. En la práctica, realizaban revisiones trimestrales. El auditor registró una no conformidad porque la organización no cumplía su propia política.

Solución: Reescribe siempre los requisitos para que se ajusten a tu realidad operativa, no a la perfección de la IA.

3. La IA sigue equivocándose con ISO 27001 (especialmente en los controles del Anexo A)

ChatGPT frecuentemente:

  • mezcla versiones (2013 frente a 2022)
  • malinterpreta controles
  • confunde la guía con los requisitos
  • inventa obligaciones que no existen
  • omite cláusulas obligatorias
  • desalinea el PDCA con la documentación

Ejemplo: Pide a ChatGPT una «Política de Seguridad con Proveedores» basada en ISO 27001. Producirá una narrativa aceptable, pero omitirá el requisito esencial:los acuerdos con proveedores deben definir las expectativas de seguridad, no solo evaluarlas.

La IA conoce las palabras, no el matiz.

Solución: Deja que la IA redacte el texto, pero valida el contenido contra el Anexo A real.

4. La IA no puede alinear las políticas con el alcance real de tu SGSI

El alcance es el corazón de tu SGSI. Y ChatGPT no puede:

  • interpretar tu estructura organizativa
  • definir tus límites
  • integrar tu inventario de activos
  • mapear tus procesos
  • reflejar tu arquitectura real
  • comprender las responsabilidades compartidas

Si le pides que redacte una política sin proporcionarle contexto, escribe para una organización ficticia.

Anécdota: Un cliente usó IA para generar una «Política de Copias de Seguridad». Hacía referencia a sistemas que no tenían y a responsabilidades que no existían.

Solución: Proporciona a la IA el alcance y el entorno reales; de lo contrario, obtendrás una política para la empresa de otro.

5. La IA puede ayudar con la coherencia; si le proporcionas tu estilo

Una gran ventaja de ChatGPT: la coherencia de tono.

Si dispones de:

  • una política existente
  • un estilo preferido
  • un lenguaje de cumplimiento
  • terminología específica
  • un estándar de redacción

La IA puede replicarlo en todo tu SGSI.

Anécdota: En una ocasión proporcionamos a ChatGPT un único «estilo de política maestra». Produjo otras seis políticas con el mismo tono, formato y estructura, ahorrando horas de edición manual. It produced six other policies with the same tone, formatting, and structure ; saving hours of manual editing.

Solución: Proporciona ejemplos antes de pedirle que genere nuevos documentos.

6. La IA es excelente en primeros borradores; pero no puede producir versiones finales listas para auditoría

ChatGPT puede darte el 80 % del texto de una política. Lo que no puede hacer es el último tramo:

  • alineación con tus procesos reales
  • validación legal
  • verificación de viabilidad técnica
  • responsabilidades interfuncionales
  • solidez ante el auditor
  • coherencia de evidencias
  • claridad operativa

Las personas siguen gestionando la gobernanza. La IA gestiona el trabajo rutinario.

Este es el equilibrio correcto.

7. La IA puede acelerar la implementación del SGSI; de forma notable

Con los prompts adecuados, la IA puede:

  • redactar tu conjunto de políticas
  • esbozar tu metodología de riesgo
  • producir borradores del SoA
  • generar contenido de formación
  • reescribir procesos técnicos en lenguaje sencillo
  • convertir notas de ingeniería en políticas
  • crear plantillas (por ejemplo, informes de incidentes, evaluaciones de proveedores)
  • resumir los requisitos de auditoría
  • comparar marcos (ISO frente a SOC frente a NIS2 frente a DORA)

Un CISO me dijo: «Lo que antes llevaba dos meses de redacción ahora se hace en una semana.»

La IA no hace madurar el SGSI. Hace que la documentación deje de ser un suplicio.

8. La prueba real: ¿puede ChatGPT enfrentarse a un auditor?

Respuesta corta: no. Todavía no. Quizás nunca.

Los auditores preguntan: «Muéstrame la evidencia que respalda esta afirmación.» ChatGPT no puede hacer eso. Solo tu entorno puede.

Los auditores comprueban:

  • trazabilidad
  • implementación
  • titularidad
  • fecha de última actualización
  • flujos de trabajo demostrados
  • registros
  • aprobaciones

La IA puede generar explicaciones, pero no evidencias.

Solución: Usa la IA para redactar. Usa personas para la validación y la prueba.

9. La fórmula que funciona: gobernanza humana + redacción con IA

Este es el modelo que realmente funciona:

  1. El ser humano define: alcance, responsabilidades, frecuencia, realidad de la evidencia.
  2. La IA redacta: estructura, lenguaje, formato, alineación.
  3. El ser humano edita: exactitud, viabilidad, alineación con el cumplimiento.
  4. La IA refina: claridad, coherencia, tono.
  5. El ser humano aprueba: gobernanza final y trazabilidad de la evidencia.

Este enfoque híbrido reduce el tiempo de documentación del SGSI entre un 50 y un 70 %, al tiempo que mejora la claridad.

10. Entonces... ¿puede ChatGPT redactar tu política del SGSI?

Sí. Pero solo si entiendes qué es la IA y qué no es.

La IA es un motor de escritura.No es un motor de gobernanza.

Puede:

  • acelerar
  • simplificar
  • estandarizar
  • inspirar
  • clarificar

No puede:

  • asumir la titularidad de controles
  • validar evidencias
  • interpretar los requisitos de ISO
  • reflejar tu realidad organizativa
  • superar una auditoría por sí sola

La IA es el mejor asistente GRC júnior que jamás tendrás; pero sigue necesitando a una persona sénior que lidere.

Reflexión final

ChatGPT no reemplazará tu SGSI. Reemplazará la lenta y tediosa fase de redacción que todos detestan.

Las organizaciones que ganan la transición hacia la IA no son las que dejan que la IA lo escriba todo. Son las que usan la IA para eliminar fricciones manteniendo una gobernanza sólida.

La IA acelera. Las personas validan. Juntas, transforman la manera en que se documenta el SGSI.

Si quieres aprender a usar la IA de forma segura y eficaz para construir o actualizar tu SGSI, con ISO 27001, NIS2, DORA, SOC 2 y más, eso es exactamente lo que enseñamos en los Cyber Academy AI for GRC & Compliance Programs. Únete a la próxima sesión y construye un SGSI moderno e inteligente que funcione.

¿Quieres recibir la próxima nota de campo en tu bandeja de entrada?

El boletín The GRC Brief. Cinco enlaces y un análisis breve, cada lunes a las 8h CET. Tres minutos de lectura.