O ChatGPT Consegue Redigir a Sua Política SGSI? Um Teste Real

A IA consegue redigir as suas políticas de SGSI? Sim; mas não da forma que a maioria das pessoas imagina. Uma análise testada em contexto real sobre o que funciona, o que falha e como utilizar a IA com segurança no seu programa de governação.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy6 min de leitura
Can ChatGPT Draft Your ISMS Policy

Todos os CISO e gestores de GRC tiveram recentemente o mesmo pensamento: “Could ChatGPT write my ISO 27001 policies?” A IA já consegue gerar modelos limpos, parágrafos estruturados e até documentos ISMS completos em minutos. A questão não é se consegue. A questão é: deve confiar nela?

A maioria das organizações está a testar a IA da forma errada. They throw a prompt at ChatGPT ; “Write an Access Control Policy!” ; and expect magic. Em vez disso, obtêm:

  • texto genérico
  • controlos em falta
  • linguagem inadequada para auditores
  • responsabilidades exageradas
  • e zero alinhamento com a realidade da organização

Aqui está a verdade no terreno:A IA pode perfeitamente redigir as suas políticas ISMS; mas apenas se a tratar como co-piloto, não como substituto. The “real test” isn’t whether ChatGPT can generate text. É saber se o resultado resiste a evidências, auditores e realidade operacional.

Vamos analisar o que a IA pode (e não pode) fazer pelo seu ISMS.

1. A IA é excelente na estrutura; e pode ser péssima no contexto

O ChatGPT é um mestre na estrutura. Consegue produzir instantaneamente:

  • cabeçalhos
  • cláusulas
  • definições
  • tabelas
  • declarações de âmbito
  • responsabilidades
  • estruturas de políticas

Anedota: Testei uma vez o ChatGPT pedindo um conjunto completo de políticas ISMS. Em 5 segundos, produziu 14 políticas com aspeto limpo e completo.

Mas:

O ChatGPT não conhece:

  • o seu perfil de risco
  • as suas ferramentas reais
  • o que foi implementado
  • quem é responsável por quê
  • as suas exceções
  • a sua realidade em termos de evidências

Solução: Use a IA para gerar o esqueleto, não o conteúdo.

2. A IA redige políticas que dizem demasiado; e isso é perigoso

O ChatGPT adora formulações fortes: “Access reviews shall be performed monthly.” “All incidents shall be resolved within 24 hours.” “Encryption is mandatory for all data.”

Parece profissional. Falha a auditoria imediatamente.

Porque os auditores não verificam o que escreveu. Verificam o que prometeu versus o que prova.

Um caso do terreno: Uma empresa copiou e colou uma política de acessos gerada por IA que exigia revisões mensais. Na prática, realizavam revisões trimestrais. O auditor registou uma não-conformidade porque a organização não cumpria a sua própria política.

Solução: Reformule sempre os requisitos para corresponder à sua realidade operacional real, não à perfeição da IA.

3. A IA ainda erra na ISO 27001 (especialmente nos controlos do Anexo A)

O ChatGPT frequentemente:

  • mistura versões (2013 vs. 2022)
  • interpreta mal os controlos
  • confunde orientações com requisitos
  • inventa obrigações inexistentes
  • omite cláusulas obrigatórias
  • desalinha o PDCA com a documentação

Exemplo: Ask ChatGPT for a “Supplier Security Policy” based on ISO 27001. Produzirá um texto razoável; mas falhará o requisito essencial: os acordos com fornecedores devem definir as expectativas de segurança, não apenas avaliá-las.

A IA conhece as palavras, não a nuance.

Solução: Deixe a IA redigir o texto, mas valide o conteúdo face ao Anexo A real.

4. A IA não consegue alinhar as políticas com o âmbito real do seu ISMS

O âmbito é o coração do seu ISMS. E o ChatGPT não consegue:

  • interpretar a sua estrutura organizacional
  • definir as suas fronteiras
  • integrar o seu inventário de ativos
  • mapear os seus processos
  • refletir a sua arquitetura real
  • compreender responsabilidades partilhadas

Se pedir que redija uma política sem fornecer contexto, escreverá para uma organização fictícia.

Anedota: A client used AI to generate a “Backup Policy.” O documento referenciava sistemas que não existiam e responsabilidades que não faziam sentido.

Solução: Forneça à IA o âmbito e o ambiente reais; caso contrário, obterá uma política para uma empresa que não é a sua.

5. A IA pode ajudar na consistência; se lhe fornecer a sua voz

Uma grande vantagem do ChatGPT: consistência de tom.

Se tiver:

  • uma política existente
  • um estilo preferido
  • uma linguagem de conformidade
  • formulações específicas
  • um padrão de escrita

A IA consegue replicá-lo em todo o seu ISMS.

Anedota: We once fed ChatGPT a single “master policy style.” It produced six other policies with the same tone, formatting, and structure ; saving hours of manual editing.

Solução: Forneça exemplos antes de pedir que gere novos documentos.

6. A IA é excelente em primeiros rascunhos; mas não produz versões finais prontas para auditoria

O ChatGPT pode dar-lhe 80% do texto de uma política. O que não consegue fazer é a última milha:

  • alinhamento com os seus processos reais
  • validação jurídica
  • verificação de viabilidade técnica
  • responsabilidades interfuncionais
  • defensabilidade em auditoria
  • consistência de evidências
  • clareza operacional

A governação continua a ser responsabilidade das pessoas. A IA trata do trabalho de base.

Este é o equilíbrio correto.

7. A IA pode acelerar a implementação do ISMS; de forma dramática

Com bons prompts, a IA consegue:

  • redigir o conjunto de políticas
  • delinear a metodologia de risco
  • produzir rascunhos de SoA
  • gerar conteúdo de formação
  • reescrever processos técnicos em linguagem simples
  • converter notas de engenheiros em políticas
  • criar modelos (por exemplo, relatórios de incidentes, avaliações de fornecedores)
  • resumir requisitos de auditoria
  • comparar frameworks (ISO vs. SOC vs. NIS2 vs. DORA)

Um CISO disse-me: “What used to take two months of writing now takes a week.”

A IA não matura o ISMS. Torna a documentação indolor.

8. O teste real: o ChatGPT consegue lidar com um auditor?

Resposta curta: não. Ainda não. Talvez nunca.

Os auditores perguntam: “Show me the evidence behind this statement.” O ChatGPT não consegue fazer isso. Só o seu ambiente pode.

Os auditores verificam:

  • rastreabilidade
  • implementação
  • titularidade
  • data da última atualização
  • fluxos de trabalho comprovados
  • registos
  • aprovações

A IA pode gerar explicações; mas não evidências.

Solução: Use a IA para redigir. Use pessoas para validar e comprovar.

9. A fórmula mágica: governação humana + redação por IA

Este é o modelo que realmente funciona:

  1. A pessoa define: âmbito, responsabilidades, frequência, realidade das evidências.
  2. A IA redige: estrutura, linguagem, formatação, alinhamento.
  3. A pessoa edita: rigor, viabilidade, alinhamento com a conformidade.
  4. A IA refina: clareza, consistência, tom.
  5. A pessoa aprova: governação final e rastreabilidade das evidências.

Esta abordagem híbrida reduz o tempo de documentação do ISMS em 50 a 70%, melhorando simultaneamente a clareza.

10. Então… o ChatGPT consegue redigir a sua política ISMS?

Sim. Mas apenas se compreender o que a IA é; e o que não é.

A IA é um motor de escrita.Não é um motor de governação.

Consegue:

  • acelerar
  • simplificar
  • padronizar
  • inspirar
  • clarificar

Não consegue:

  • ser titular de controlos
  • validar evidências
  • interpretar requisitos ISO
  • refletir a realidade da sua organização
  • sobreviver sozinha a uma auditoria

A IA é o melhor assistente júnior de GRC que alguma vez terá; mas continua a precisar de um profissional sénior para liderar.

Reflexão Final

O ChatGPT não vai substituir o seu ISMS. Vai substituir a fase de redação lenta e penosa que todos detestam.

As organizações que ganham a transição para a IA não são as que deixam a IA escrever tudo. São as que usam a IA para eliminar a fricção, mantendo a governação sólida.

A IA acelera. As pessoas validam. Juntas, transformam a forma como a documentação do ISMS é produzida.

Se quiser aprender a usar a IA de forma segura e eficaz para construir ou melhorar o seu ISMS; ISO 27001, NIS2, DORA, SOC 2 e muito mais; é exatamente isso que ensinamos na Cyber Academy AI for GRC & Compliance Programs. Junte-se à próxima sessão e construa um ISMS moderno e inteligente que funciona.

Quer receber a próxima nota de campo na sua caixa de entrada?

A newsletter The GRC Brief. Cinco ligações e um breve comentário, todas as segundas-feiras às 8h CET. Leitura de três minutos.