Por qué NotebookLM funciona para investigar en GRC pero falla a la hora de entregar
Los consultores GRC usan cada vez más NotebookLM para compliance. Aquí analizamos dónde ayuda, dónde se queda corto y qué cambia cuando la herramienta impone el framework en vez del consultor.
Muchos consultores GRC ya usan NotebookLM en su día a día. Sube tus normas, las políticas del cliente, tus notas del encargo — y de repente tienes una interfaz conversacional que responde preguntas ancladas en esas fuentes. Es gratis, es rápido y se siente como tener un analista junior bajo demanda.
Los problemas empiezan cuando intentas usarlo para producir los entregables reales.
Por qué los consultores eligen NotebookLM
La propuesta es real. En conversaciones con profesionales de GRC, aparecen las mismas razones:
- Investigación y familiarización. Sube la ISO 27001:2022, el conjunto de políticas existentes del cliente y el documento de alcance del encargo. Pregunta “¿qué controles del Anexo A son relevantes para su infraestructura cloud?” y obtén una respuesta fundamentada en segundos.
- Preparación de entrevistas. Antes de un taller de alcance, sube el organigrama del cliente y el diagrama de arquitectura TI. Pregunta sobre líneas de reporte, dependencias tecnológicas y exposición regulatoria. Encuentra conexiones más rápido que leyendo 40 páginas.
- Sintetizar múltiples fuentes. Sube tres versiones de un registro de riesgos y pregunta qué cambió entre ellas. NotebookLM es bueno comparando documentos que ya has subido.
Para estas tareas — comprensión lectora, síntesis, consultas rápidas — NotebookLM es genuinamente útil. El problema es que son tareas de investigación, no de producción. A los consultores se les paga por entregables, y los entregables es donde el flujo se rompe.
Cinco puntos de dolor cuando NotebookLM se encuentra con encargos GRC reales
1. Sin flujo de trabajo — cada sesión empieza de cero
Un encargo típico de ISO 27001 sigue una secuencia: perfil de organización, alcance del SGSI, análisis de brechas, evaluación de riesgos, Declaración de Aplicabilidad, generación de políticas, auditoría interna, revisión por la dirección. Cada paso depende del anterior.
NotebookLM no tiene concepto de esta secuencia. No hay etapas, no hay entregables obligatorios, no hay seguimiento de dependencias. Cada conversación es una página en blanco. Tú, el consultor, llevas la metodología del encargo en la cabeza y la impones manualmente. Si un junior de tu equipo toma el proyecto, necesita conocer el orden correcto, las preguntas correctas y los entregables correctos — o se saltará pasos y producirá trabajo incompleto.
Esta es la diferencia entre una herramienta de investigación y una plataforma de entrega. Las herramientas de investigación responden preguntas. Las plataformas de entrega codifican el proceso.
2. Sin validación — el resultado parece correcto pero nadie lo verificó
NotebookLM producirá un registro de riesgos si se lo pides. Se verá profesional. Pero nadie verificó que:
- Las puntuaciones de riesgo residual sean inferiores a las inherentes (un requisito lógico que los LLMs violan habitualmente)
- Cada activo “Confidencial” del inventario tenga una entrada de riesgo correspondiente
- Cada decisión de “Tratar” esté mapeada a al menos un control del Anexo A
- La DdA no excluya controles que contradigan el alcance de la empresa (excluir controles de desarrollo seguro cuando la empresa tiene un equipo de ingeniería de 35 personas)
- Los títulos de roles en las políticas sean consistentes entre documentos (“CISO” en uno, “Responsable de Seguridad” en otro)
- Los plazos de notificación de brechas del RGPD coincidan con la regulación real (72 horas, no las 24 horas que los LLMs a veces alucinan)
El consultor detecta estos problemas — o no. En cualquier caso, la carga de revisión recae enteramente en ti, y crece linealmente con el tamaño del conjunto documental. En un encargo de 22 políticas, eso significa leer cada documento contra todos los demás para verificar la integridad de las referencias cruzadas.
Las skills de ISO 27001 de Rakenne ejecutan 5-7 herramientas de validación por entregable. El residual_risk_validator detecta puntuaciones de riesgo imposibles. El mandatory_topic_checker verifica que cada política cubra todas las secciones requeridas. El soa_consistency_checker marca controles excluidos a pesar de existir evidencia contradictoria en el registro de riesgos. No son sugerencias — son verificaciones determinísticas que bloquean el resultado hasta que el problema se resuelve.
3. Sin consistencia entre documentos — la carga de integración es tuya
Un SGSI no es una colección de documentos. Es un sistema donde los documentos se referencian entre sí:
- El registro de riesgos referencia activos del inventario de activos
- La DdA mapea controles a riesgos y vincula cada uno a un archivo de evidencia
- Las políticas se referencian entre sí por ID de documento
- La revisión por la dirección consume entradas de monitoreo, auditoría y riesgo
- La auditoría interna verifica toda la cadena
Cuando redactas estos documentos en NotebookLM — incluso con todas las fuentes cargadas — no hay mecanismo para asegurar que se mantengan consistentes. Cambia un ID de riesgo en el registro, y la DdA sigue referenciando el anterior. Añade un nuevo activo, y el registro de riesgos no lo sabe. Cambia un título de rol en una política, y las otras once siguen usando el antiguo.
Este es el problema que consume horas de consultor: no la redacción, sino la conciliación. Te conviertes en la capa de integración, trazando hilos manualmente entre documentos y esperando no saltarte ninguno.
En Rakenne, las skills comparten un espacio de trabajo. El perfil de organización alimenta cada skill posterior. El resultado de la evaluación de riesgos está disponible automáticamente para la skill de DdA, que ejecuta suggest_soa_inclusions para arrancar la selección de controles desde los temas de riesgo identificados. El terminology_consistency_checker impone títulos de roles, nombres de organización y lenguaje normativo (“debe” vs. “debería”) consistentes en todo el conjunto de políticas. El treatment_to_policy_validator comprueba que cada decisión de tratamiento de riesgos tenga un archivo de política correspondiente — y te dice cuáles faltan.
4. Sin seguimiento de progreso — ¿dónde estamos en el encargo?
En una implementación de ISO 27001 de varios meses, los consultores necesitan responder una pregunta simple: ¿qué está hecho, qué está en curso y qué falta?
NotebookLM no puede responder esto. No sabe qué entregables existen, cuáles han sido validados o qué skills no se han iniciado aún. Tú llevas el seguimiento en una hoja de cálculo, una herramienta de gestión de proyectos o tu cabeza.
El panel de Rakenne rastrea la compleción a lo largo de todo el conjunto de skills: qué skills han producido resultado, cuántos de los 93 controles del Anexo A tienen evidencia, qué porcentaje de políticas obligatorias existen y dónde los documentos están obsoletos (última modificación hace más de 6 meses). El isms_traceability_dashboard muestra 11 verificaciones de vínculos entre documentos — alcance a riesgo, riesgo a DdA, DdA a políticas, políticas a procedimientos, y así sucesivamente — con estado verde/ámbar/rojo para cada uno.
Cuando un cliente pregunta “¿cómo vamos?”, le muestras el panel en vez de armar una actualización de estado de memoria.
5. Sin repetibilidad — tu metodología vive en tus prompts
El valor de un consultor se compone con la repetibilidad. El segundo encargo de ISO 27001 debería ser más rápido que el primero porque has refinado tu enfoque.
Con NotebookLM, tu metodología vive en los prompts que escribes. Quizá los has guardado en un documento. Pero no hay imposición — nada te impide saltarte un paso, olvidar una validación o producir entregables en el orden incorrecto. Cada encargo es tan frágil como tu disciplina en ese día particular.
Las skills de Rakenne son definiciones de flujo de trabajo versionadas. El mismo runbook de la skill aplica a cada encargo de cliente: mismas etapas, mismos pasos de validación, mismas expectativas de entregables. Cuando mejoras un flujo — añadiendo una nueva validación, refinando las instrucciones de una etapa — cada encargo futuro se beneficia. Los juniors siguen el mismo proceso que los seniors. La metodología está en la herramienta, no en la cabeza del consultor.
Donde NotebookLM aún gana
La honestidad importa. NotebookLM tiene ventajas genuinas para ciertas tareas:
| Tarea | NotebookLM | Rakenne |
|---|---|---|
| Investigación rápida contra normas subidas | Excelente — rápido, fundamentado, conversacional | Posible — puedes subir documentos de referencia y hacer preguntas libres en el chat del espacio de trabajo |
| Comparar documentos que ya tienes | Fuerte — sube múltiples versiones y pregunta sobre diferencias | Posible — sube documentos y pide al agente que los compare; funciona bien pero requiere un proyecto |
| Preparación de entrevistas y síntesis de fuentes | Muy bueno — encuentra conexiones entre materiales subidos | Posible — sube materiales del encargo y pide al agente que sintetice; misma calidad de modelo subyacente |
| Resúmenes en audio del contenido subido | Función única (resúmenes estilo podcast) | No disponible |
| Coste | Gratuito | Suscripción de pago |
| Tiempo de configuración | Cero — sube y pregunta | Requiere crear un proyecto y seleccionar skills |
Un dato importante: Rakenne usa la misma clase de modelos LLM de frontera que alimentan NotebookLM (Google Gemini). La diferencia no es la calidad del modelo — es lo que la plataforma hace alrededor del modelo. Para investigación ad-hoc, ambas herramientas te dan acceso a la misma inteligencia subyacente. La ventaja de NotebookLM es la configuración sin fricción para esas tareas: sin proyecto, sin selección de skills, solo sube y pregunta. Para cualquier cosa más allá de la investigación — entregables estructurados, validación, consistencia entre documentos — el modelo solo no es suficiente, y ahí es donde la capa de plataforma importa.
Comparación directa con un entregable real
Tomemos el entregable GRC más común: un análisis de brechas contra la ISO 27001:2022.
En NotebookLM: Sube la norma, sube las políticas existentes del cliente y pide “realiza un análisis de brechas.” Obtendrás una narrativa que identifica algunas brechas. Pero:
- No verificará sistemáticamente los 93 controles del Anexo A — cubrirá lo que considere relevante
- No puntuará la madurez en una escala consistente de 0-5 con criterios definidos por nivel
- No comprobará si los artefactos existentes del cliente cubren la información documentada obligatoria por cláusula
- No producirá una hoja de ruta de remediación ordenada por dependencia de cláusulas y riesgo de auditoría
- No generará un registro de hallazgos legible por máquina que puedas importar después
- No puede renderizar un panel mostrando progreso PDCA, frescura documental y salud de trazabilidad
Obtendrás prosa. La prosa puede ser útil. Pero no es un entregable que puedas entregar a un auditor.
En Rakenne: La skill de análisis de brechas ejecuta siete herramientas secuenciales:
mandatory_artifact_detector— busca 13+ documentos SGSI requeridos, reporta ENCONTRADO/OBSOLETO/FALTANTE por cláusulaclause_requirements_engine— valida cobertura de contenido contra las cláusulas 4-10 de la ISO 27001:2022 mediante análisis de palabras clavematurity_rating_tool— puntúa 0-5 por área de cláusula con criterios definidos y límites por indicadores negativosremediation_prioritizer— ordena correcciones por dependencia de cláusulas, severidad de riesgo de auditoría, esfuerzo y madurez actualisms_traceability_dashboard— mapea 11 vínculos entre documentos con estado de saludrender_document_health— produce un panel de frescura documentalbuild_gap_dashboard_data— genera un panel interactivo de hallazgos
El resultado es un Gap-Assessment-Report.md estructurado con hallazgos cláusula por cláusula, un gap_assessment_findings.json para consumo posterior y widgets de panel. Cada hallazgo traza a una cláusula específica. Cada acción de remediación está priorizada dentro del marco PDCA. El consultor revisa, ajusta y firma — pero la completitud estructural está garantizada por las herramientas, no por la memoria del consultor.
Qué significa esto para tu práctica
El cambio no es de “hacer el trabajo” a “no hacer el trabajo.” Es de “llevar el framework en la cabeza” a “que la herramienta imponga el framework.”
Con NotebookLM, tú eres la metodología, el validador, el verificador de referencias cruzadas y el rastreador de progreso. La herramienta te ayuda a investigar y redactar. Todo lo demás es cosa tuya.
Con Rakenne, la metodología está codificada en skills. La validación es automática. La consistencia entre documentos se impone. El progreso se rastrea. Dedicas tu tiempo a las partes que realmente requieren experiencia: juicio de alcance, alineación con stakeholders, decisiones de diseño de controles, estrategia de remediación y comunicación con el cliente.
Para un consultor independiente o una firma pequeña, esa es la diferencia entre gestionar tres encargos simultáneos de ISO 27001 y gestionar cinco — sin contratar.
Pruébalo tú mismo
La suite de skills ISO 27001 de Rakenne está disponible sin necesidad de registro. Empieza con el Perfil de Organización y el Análisis de Brechas para ver cómo funcionan las herramientas de validación y la consistencia entre documentos en un framework real.
Probar las skills de ISO 27001
Para una visión más profunda de cómo la plantilla completa de espacio de trabajo SGSI encadena las skills, consulta la guía del espacio de trabajo ISO 27001 SGSI .
Este artículo compara flujos de trabajo a marzo de 2026. NotebookLM es un producto de Google que evoluciona frecuentemente. La comparación refleja flujos de producción documental GRC — no investigación general, donde NotebookLM es genuinamente fuerte.
Pruébalo tú mismo
Abre un workspace con los skills descritos en este artículo y empieza a redactar en minutos.
Empieza Gratis — Sin Registro