ChatGPT può redigere la vostra policy ISMS? Un test reale

L'IA può scrivere le vostre policy ISMS? Sì; ma non nel modo in cui la maggior parte delle persone immagina. Ecco un'analisi testata sul campo di ciò che funziona, ciò che non funziona e come utilizzare l'IA in modo sicuro nel vostro programma di governance.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min di lettura
Can ChatGPT Draft Your ISMS Policy

Ogni CISO e GRC manager ha avuto di recente lo stesso pensiero: «ChatGPT potrebbe scrivere le mie policy ISO 27001?» L'AI è già in grado di generare template puliti, paragrafi strutturati e persino documenti ISMS completi in pochi minuti. La domanda non è se ci riesce. La domanda è: ci si può fidare?

La maggior parte delle organizzazioni testa l'AI nel modo sbagliato. Lanciano un prompt a ChatGPT, "Scrivi una Policy di Controllo degli Accessi!", e si aspettano la magia. Quello che ottengono è:

  • testo generico
  • controlli mancanti
  • formulazioni inadatte all'audit
  • responsabilità sopravvalutate
  • e zero allineamento alla realtà concreta

Ecco la verità dal campo:L'AI può assolutamente redigere le policy del vostro ISMS, ma solo se la trattate come un co-pilota, non come un sostituto. Il «test reale» non consiste nel verificare se ChatGPT sa generare testo. Consiste nel valutare se l'output regge a fronte di evidenze, auditor e realtà operativa.

Analizziamo cosa l'AI può (e non può) fare per il vostro ISMS.

1. L'AI eccelle nella struttura, ma può fallire sul contesto

ChatGPT è un maestro della struttura. Può produrre istantaneamente:

  • intestazioni
  • clausole
  • definizioni
  • tabelle
  • dichiarazioni di scopo
  • responsabilità
  • strutture di policy

Aneddoto: Ho testato ChatGPT chiedendogli un'intera suite di policy ISMS. In 5 secondi ha prodotto 14 policy dall'aspetto pulito e completo.

Ma:

ChatGPT non conosce:

  • il vostro profilo di rischio
  • i vostri strumenti reali
  • cosa avete effettivamente implementato
  • chi è responsabile di cosa
  • le vostre eccezioni
  • la vostra realtà documentale

Soluzione: Usate l'AI per generare lo scheletro, non la sostanza.

2. L'AI scrive policy che promettono troppo, e questo è pericoloso

ChatGPT ama le formulazioni forti: «Le revisioni degli accessi devono essere eseguite mensilmente.» «Tutti gli incidenti devono essere risolti entro 24 ore.» «La cifratura è obbligatoria per tutti i dati.»

Sembra professionale. Fallisce l'audit immediatamente.

Perché gli auditor non verificano quello che avete scritto. Verificano quello che avete promesso rispetto a quello che dimostrate.

Un caso dal campo: Un'azienda ha copiato una policy di controllo degli accessi generata dall'AI che richiedeva revisioni mensili. In realtà, eseguivano revisioni trimestrali. L'auditor ha rilevato una non conformità perché l'organizzazione non rispettava la propria policy.

Soluzione: Riscrivete sempre i requisiti in modo che rispecchino la vostra realtà operativa effettiva, non la perfezione dell'AI.

3. L'AI sbaglia ancora su ISO 27001 (soprattutto sui controlli dell'Annex A)

ChatGPT spesso:

  • mescola le versioni (2013 vs 2022)
  • interpreta erroneamente i controlli
  • confonde le linee guida con i requisiti
  • inventa obblighi inesistenti
  • omette clausole obbligatorie
  • disallinea il PDCA con la documentazione

Esempio: Chiedete a ChatGPT una «Supplier Security Policy» basata su ISO 27001. Produrrà un testo discreto, ma mancherà il requisito fondamentale: gli accordi con i fornitori devono definire le aspettative di sicurezza, non limitarsi a valutarle.

L'AI conosce le parole, non le sfumature.

Soluzione: Lasciate che l'AI rediga il testo, ma validate il contenuto rispetto al vero Annex A.

4. L'AI non può allineare le policy allo scopo effettivo del vostro ISMS

Lo scope è il cuore del vostro ISMS. E ChatGPT non può:

  • interpretare la vostra struttura organizzativa
  • definire i vostri confini
  • integrare il vostro inventario degli asset
  • mappare i vostri processi
  • riflettere la vostra architettura reale
  • comprendere le responsabilità condivise

Se gli chiedete di redigere una policy senza fornire contesto, scrive per un'organizzazione fittizia.

Aneddoto: Un cliente ha usato l'AI per generare una «Backup Policy». Faceva riferimento a sistemi che non possedevano e a responsabilità che non esistevano.

Soluzione: Fornite all'AI lo scope e l'ambiente reali, altrimenti otterrete una policy pensata per un'altra azienda.

5. L'AI può aiutare con la coerenza, se le fornite il vostro stile

Un grande vantaggio di ChatGPT: la coerenza del tono.

Se disponete di:

  • una policy esistente
  • uno stile preferito
  • un linguaggio di conformità
  • formulazioni specifiche
  • uno standard redazionale

L'AI può replicarli sull'intero ISMS.

Aneddoto: Abbiamo fornito a ChatGPT un unico «stile di policy master». Ha prodotto altre sei policy con lo stesso tono, formattazione e struttura, risparmiando ore di editing manuale. It produced six other policies with the same tone, formatting, and structure ; saving hours of manual editing.

Soluzione: Fornite esempi prima di chiederle di generare nuovi documenti.

6. L'AI è eccellente per le prime bozze, ma non può produrre versioni finali pronte per l'audit

ChatGPT può fornirvi l'80% del testo di una policy. Quello che non riesce a fare è l'ultimo miglio:

  • allineamento con i vostri processi reali
  • validazione legale
  • verifica della fattibilità tecnica
  • responsabilità interfunzionali
  • difendibilità in sede di audit
  • coerenza delle evidenze
  • chiarezza operativa

La governance resta in mano agli esseri umani. L'AI si occupa del lavoro di base.

Questo è il giusto equilibrio.

7. L'AI può accelerare l'implementazione dell'ISMS, in modo significativo

Con prompt efficaci, l'AI può:

  • redigere la vostra suite di policy
  • delineare la vostra metodologia di rischio
  • produrre bozze di SoA
  • generare contenuti formativi
  • riscrivere processi tecnici in linguaggio semplice
  • convertire note tecniche in policy
  • creare template (es. report di incidente, valutazioni dei fornitori)
  • sintetizzare i requisiti di audit
  • confrontare framework (ISO vs SOC vs NIS2 vs DORA)

Un CISO mi ha detto: «Quello che richiedeva due mesi di scrittura ora si fa in una settimana.»

L'AI non rende maturo l'ISMS. Rende la documentazione indolore.

8. Il test reale: ChatGPT può reggere di fronte a un auditor?

Risposta breve: no. Non ancora. Forse mai.

Gli auditor chiedono: «Mostratemi le evidenze a supporto di questa affermazione.» ChatGPT non può farlo. Solo il vostro ambiente può.

Gli auditor verificano:

  • tracciabilità
  • implementazione
  • ownership
  • data dell'ultimo aggiornamento
  • workflow dimostrati
  • log
  • approvazioni

L'AI può generare spiegazioni, non evidenze.

Soluzione: Usate l'AI per la redazione. Usate gli esseri umani per la validazione e la prova.

9. La formula vincente: governance umana + redazione AI

Questo è il modello che funziona davvero:

  1. L'essere umano definisce: scope, responsabilità, frequenza, realtà documentale.
  2. L'AI redige: struttura, linguaggio, formattazione, allineamento.
  3. L'essere umano rivede: accuratezza, fattibilità, allineamento alla conformità.
  4. L'AI affina: chiarezza, coerenza, tono.
  5. L'essere umano approva: governance finale e tracciabilità delle evidenze.

Questo approccio ibrido riduce i tempi di documentazione dell'ISMS del 50–70%, migliorando al contempo la chiarezza.

10. Quindi... ChatGPT può redigere le policy del vostro ISMS?

Sì. Ma solo se capite cosa è l'AI e cosa non è.

L'AI è un motore di scrittura.Non è un motore di governance.

Può:

  • accelerare
  • semplificare
  • standardizzare
  • ispirare
  • chiarire

Non può:

  • possedere i controlli
  • validare le evidenze
  • interpretare i requisiti ISO
  • riflettere la vostra realtà organizzativa
  • superare da sola un audit

L'AI è il miglior assistente GRC junior che possiate avere, ma ha ancora bisogno di un essere umano senior che la guidi.

Considerazione finale

ChatGPT non sostituirà il vostro ISMS. Sostituirà la fase di redazione lenta e dolorosa che tutti odiano.

Le organizzazioni che vincono la transizione AI non sono quelle che lasciano scrivere tutto all'AI. Sono quelle che usano l'AI per eliminare le frizioni mantenendo la governance solida.

L'AI accelera. Gli esseri umani validano. Insieme, trasformano il modo in cui viene prodotta la documentazione ISMS.

Se volete imparare come usare l'AI in modo sicuro ed efficace per costruire o aggiornare il vostro ISMS, ISO 27001, NIS2, DORA, SOC 2 e altro ancora, è esattamente quello che insegniamo all'interno dei Cyber Academy AI for GRC & Compliance Programs. Partecipate alla prossima sessione e costruite un ISMS moderno e intelligente che funziona davvero.

Vuoi la prossima nota dal campo nella tua casella di posta?

La newsletter The GRC Brief. Cinque link e un breve commento, ogni lunedì alle 8:00 CET. Tre minuti di lettura.