Avançado Governança e Compliance
Política de segurança — estrutura, aprovação, revisão e comunicação
Política de segurança é o alicerce do programa de segurança da informação. Sem política documentada, aprovada e comunicada, controles técnicos ficam desconexos, auditorias falham e a responsabilidade fica diluída. Uma política bem construída define o “o quê” e o “por quê”; procedimentos definem o “como”.
Hierarquia de Documentos
Nível 1 — Política (alta direção aprova)
└─ Política de Segurança da Informação (PSI)
└─ Política de Privacidade e Proteção de Dados
Nível 2 — Normas (área de segurança aprova)
└─ Norma de Controle de Acesso
└─ Norma de Classificação da Informação
└─ Norma de Criptografia
└─ Norma de Gestão de Incidentes
Nível 3 — Procedimentos (operacional)
└─ Procedimento de Onboarding de Acesso
└─ Procedimento de Resposta a Incidente
└─ Runbooks e checklistsCada nível referencia o superior. Um procedimento nunca pode contradizer a política.
Estrutura de uma Política
Seções mínimas de uma Política de Segurança da Informação:
| Seção | Conteúdo |
|---|---|
| Objetivo | Por que a política existe |
| Abrangência | A quem se aplica (colaboradores, terceiros, sistemas) |
| Definições | Termos técnicos e legais usados |
| Diretrizes | Regras de alto nível (o quê é permitido/proibido) |
| Responsabilidades | Quem deve fazer o quê |
| Sanções | Consequências de descumprimento |
| Revisão | Frequência e responsável pela atualização |
| Aprovação | Assinatura e data |
Processo de Aprovação
1. Elaboração → equipe de segurança redige rascunho
2. Revisão técnica → TI, jurídico, compliance revisam
3. Revisão de negócio → áreas impactadas dão feedback
4. Aprovação → CEO ou Conselho assina (registro datado)
5. Publicação → portal interno, e-mail, treinamento
6. Aceite formal → colaboradores assinam termo ou clicam em "li e aceito"A aprovação pela alta direção é obrigatória na ISO 27001 (cláusula 5.2) e confere peso institucional à política.
Ciclo de Revisão
Políticas devem ser revisadas:
- Anualmente (mínimo, independente de mudanças)
- Após incidente relevante que evidencie lacuna na política
- Após mudança regulatória (nova lei, norma setorial)
- Após mudança significativa de negócio (fusão, novo produto, novo mercado)
Exemplo de registro de revisão:
Versão | Data | Alteração | Aprovado por
1.0 | 2024-01-10 | Criação inicial | CEO
1.1 | 2024-09-15 | Adição de seção IA | CEO
2.0 | 2025-06-01 | Revisão completa LGPD | ConselhoComunicação e Engajamento
Uma política que ninguém leu é uma política inútil. Estratégias eficazes:
- Treinamento obrigatório no onboarding e anual, com prova de conclusão
- Linguagem acessível: evite juridiquês — use exemplos do cotidiano da empresa
- Canal de dúvidas: segurança@example.com ou canal no Slack/Teams
- Cartazes e lembretes visuais em áreas de acesso crítico
- Teste de aderência: verifique se colaboradores sabem o que fazer em situações reais
Indicadores de Maturidade da Política
- % de colaboradores com treinamento concluído e aceite registrado
- Tempo médio de revisão após publicação de nova regulação
- Número de exceções à política solicitadas e aprovadas por trimestre
- Número de incidentes atribuíveis a desconhecimento de política