Todos os CISO e gestores de GRC tiveram recentemente o mesmo pensamento: “Could ChatGPT write my ISO 27001 policies?” A IA já consegue gerar modelos limpos, parágrafos estruturados e até documentos ISMS completos em minutos. A questão não é se consegue. A questão é: deve confiar nela?
A maioria das organizações está a testar a IA da forma errada. They throw a prompt at ChatGPT ; “Write an Access Control Policy!” ; and expect magic. Em vez disso, obtêm:
- texto genérico
- controlos em falta
- linguagem inadequada para auditores
- responsabilidades exageradas
- e zero alinhamento com a realidade da organização
Aqui está a verdade no terreno:A IA pode perfeitamente redigir as suas políticas ISMS; mas apenas se a tratar como co-piloto, não como substituto. The “real test” isn’t whether ChatGPT can generate text. É saber se o resultado resiste a evidências, auditores e realidade operacional.
Vamos analisar o que a IA pode (e não pode) fazer pelo seu ISMS.
1. A IA é excelente na estrutura; e pode ser péssima no contexto
O ChatGPT é um mestre na estrutura. Consegue produzir instantaneamente:
- cabeçalhos
- cláusulas
- definições
- tabelas
- declarações de âmbito
- responsabilidades
- estruturas de políticas
Anedota: Testei uma vez o ChatGPT pedindo um conjunto completo de políticas ISMS. Em 5 segundos, produziu 14 políticas com aspeto limpo e completo.
Mas:
O ChatGPT não conhece:
- o seu perfil de risco
- as suas ferramentas reais
- o que foi implementado
- quem é responsável por quê
- as suas exceções
- a sua realidade em termos de evidências
Solução: Use a IA para gerar o esqueleto, não o conteúdo.
2. A IA redige políticas que dizem demasiado; e isso é perigoso
O ChatGPT adora formulações fortes: “Access reviews shall be performed monthly.” “All incidents shall be resolved within 24 hours.” “Encryption is mandatory for all data.”
Parece profissional. Falha a auditoria imediatamente.
Porque os auditores não verificam o que escreveu. Verificam o que prometeu versus o que prova.
Um caso do terreno: Uma empresa copiou e colou uma política de acessos gerada por IA que exigia revisões mensais. Na prática, realizavam revisões trimestrais. O auditor registou uma não-conformidade porque a organização não cumpria a sua própria política.
Solução: Reformule sempre os requisitos para corresponder à sua realidade operacional real, não à perfeição da IA.
3. A IA ainda erra na ISO 27001 (especialmente nos controlos do Anexo A)
O ChatGPT frequentemente:
- mistura versões (2013 vs. 2022)
- interpreta mal os controlos
- confunde orientações com requisitos
- inventa obrigações inexistentes
- omite cláusulas obrigatórias
- desalinha o PDCA com a documentação
Exemplo: Ask ChatGPT for a “Supplier Security Policy” based on ISO 27001. Produzirá um texto razoável; mas falhará o requisito essencial: os acordos com fornecedores devem definir as expectativas de segurança, não apenas avaliá-las.
A IA conhece as palavras, não a nuance.
Solução: Deixe a IA redigir o texto, mas valide o conteúdo face ao Anexo A real.
4. A IA não consegue alinhar as políticas com o âmbito real do seu ISMS
O âmbito é o coração do seu ISMS. E o ChatGPT não consegue:
- interpretar a sua estrutura organizacional
- definir as suas fronteiras
- integrar o seu inventário de ativos
- mapear os seus processos
- refletir a sua arquitetura real
- compreender responsabilidades partilhadas
Se pedir que redija uma política sem fornecer contexto, escreverá para uma organização fictícia.
Anedota: A client used AI to generate a “Backup Policy.” O documento referenciava sistemas que não existiam e responsabilidades que não faziam sentido.
Solução: Forneça à IA o âmbito e o ambiente reais; caso contrário, obterá uma política para uma empresa que não é a sua.
5. A IA pode ajudar na consistência; se lhe fornecer a sua voz
Uma grande vantagem do ChatGPT: consistência de tom.
Se tiver:
- uma política existente
- um estilo preferido
- uma linguagem de conformidade
- formulações específicas
- um padrão de escrita
A IA consegue replicá-lo em todo o seu ISMS.
Anedota: We once fed ChatGPT a single “master policy style.” It produced six other policies with the same tone, formatting, and structure ; saving hours of manual editing.
Solução: Forneça exemplos antes de pedir que gere novos documentos.
6. A IA é excelente em primeiros rascunhos; mas não produz versões finais prontas para auditoria
O ChatGPT pode dar-lhe 80% do texto de uma política. O que não consegue fazer é a última milha:
- alinhamento com os seus processos reais
- validação jurídica
- verificação de viabilidade técnica
- responsabilidades interfuncionais
- defensabilidade em auditoria
- consistência de evidências
- clareza operacional
A governação continua a ser responsabilidade das pessoas. A IA trata do trabalho de base.
Este é o equilíbrio correto.
7. A IA pode acelerar a implementação do ISMS; de forma dramática
Com bons prompts, a IA consegue:
- redigir o conjunto de políticas
- delinear a metodologia de risco
- produzir rascunhos de SoA
- gerar conteúdo de formação
- reescrever processos técnicos em linguagem simples
- converter notas de engenheiros em políticas
- criar modelos (por exemplo, relatórios de incidentes, avaliações de fornecedores)
- resumir requisitos de auditoria
- comparar frameworks (ISO vs. SOC vs. NIS2 vs. DORA)
Um CISO disse-me: “What used to take two months of writing now takes a week.”
A IA não matura o ISMS. Torna a documentação indolor.
8. O teste real: o ChatGPT consegue lidar com um auditor?
Resposta curta: não. Ainda não. Talvez nunca.
Os auditores perguntam: “Show me the evidence behind this statement.” O ChatGPT não consegue fazer isso. Só o seu ambiente pode.
Os auditores verificam:
- rastreabilidade
- implementação
- titularidade
- data da última atualização
- fluxos de trabalho comprovados
- registos
- aprovações
A IA pode gerar explicações; mas não evidências.
Solução: Use a IA para redigir. Use pessoas para validar e comprovar.
9. A fórmula mágica: governação humana + redação por IA
Este é o modelo que realmente funciona:
- A pessoa define: âmbito, responsabilidades, frequência, realidade das evidências.
- A IA redige: estrutura, linguagem, formatação, alinhamento.
- A pessoa edita: rigor, viabilidade, alinhamento com a conformidade.
- A IA refina: clareza, consistência, tom.
- A pessoa aprova: governação final e rastreabilidade das evidências.
Esta abordagem híbrida reduz o tempo de documentação do ISMS em 50 a 70%, melhorando simultaneamente a clareza.
10. Então… o ChatGPT consegue redigir a sua política ISMS?
Sim. Mas apenas se compreender o que a IA é; e o que não é.
A IA é um motor de escrita.Não é um motor de governação.
Consegue:
- acelerar
- simplificar
- padronizar
- inspirar
- clarificar
Não consegue:
- ser titular de controlos
- validar evidências
- interpretar requisitos ISO
- refletir a realidade da sua organização
- sobreviver sozinha a uma auditoria
A IA é o melhor assistente júnior de GRC que alguma vez terá; mas continua a precisar de um profissional sénior para liderar.
Reflexão Final
O ChatGPT não vai substituir o seu ISMS. Vai substituir a fase de redação lenta e penosa que todos detestam.
As organizações que ganham a transição para a IA não são as que deixam a IA escrever tudo. São as que usam a IA para eliminar a fricção, mantendo a governação sólida.
A IA acelera. As pessoas validam. Juntas, transformam a forma como a documentação do ISMS é produzida.
Se quiser aprender a usar a IA de forma segura e eficaz para construir ou melhorar o seu ISMS; ISO 27001, NIS2, DORA, SOC 2 e muito mais; é exatamente isso que ensinamos na Cyber Academy AI for GRC & Compliance Programs. Junte-se à próxima sessão e construa um ISMS moderno e inteligente que funciona.
