Gestão de Riscos: Como estruturar uma Política de Segurança da Informação de maneira coerente ao porte da sua empresa? Pode ser feita a Política Principal de Segurança da Informação juntamente com as políticas secundárias (normas)? Justifique.

Para estruturar uma Política de Segurança da Informação (PSI) coerente com o porte da empresa, o mais importante é que ela seja proporcional ao risco, à complexidade e à capacidade de execução (pessoas, orçamento, maturidade e exigências regulatórias). Um caminho prático e “enxuto” é separar em camadas (governança → diretrizes → procedimentos), garantindo que a alta direção aprove o que é estratégico e que o operacional fique flexível para evoluir.

1) Estrutura recomendada (coerente com o porte)

1. Diagnóstico rápido de contexto e risco
   • Quais dados/processos são críticos (clientes, financeiro, propriedade intelectual, saúde etc.)?
   • Quais obrigações existem (LGPD, contratos com clientes, requisitos de auditoria, setor regulado)?
   • Quais ameaças mais prováveis (phishing, ransomware, vazamento por erro humano, terceiros)?
2. Definir objetivos e escopo
   • Escopo (toda a empresa? filiais? terceiros? nuvem? BYOD?).
   • Objetivos (confidencialidade, integridade, disponibilidade, privacidade, continuidade).
3. PSI “principal” curta e diretiva (nível executivo)
   • Princípios e compromissos (ex.: conformidade, gestão de riscos, melhoria contínua).
   • Papéis e responsabilidades (diretoria, TI, segurança, RH, usuários, terceiros).
   • Diretrizes macro (classificação da informação, controle de acesso, incidentes, continuidade, uso aceitável).
   • Modelo de exceções e sanções (como pedir exceção, quem aprova, prazos, consequências).
   • Ciclo de revisão (ex.: anual ou quando houver mudança relevante).
4. Normas/políticas secundárias (nível tático) e procedimentos (nível operacional)
   • Normas detalham “como cumprir” (ex.: padrão de senha/MFA, backup, hardening, criptografia, logging).
   • Procedimentos e playbooks descrevem passo a passo (ex.: resposta a incidente, offboarding, restauração de backup).
5. Implementação mínima viável + treinamento
   • Comece pelo essencial (MFA, backup testado, inventário básico, controle de acesso, conscientização, gestão de incidentes).
   • Treine por perfil (usuário comum, gestores, TI, atendimento, financeiro).
6. Métricas e governança
   • Indicadores simples (taxa de MFA, tempo de desligamento de acessos, resultado de simulações de phishing, tempo de correção de vulnerabilidades críticas, testes de restore).

Como adaptar ao porte (exemplo de “mínimo” por maturidade)

• Pequena empresa: PSI principal de 2–5 páginas + 5–8 normas essenciais (Acesso/MFA, Backup, Uso aceitável, Dispositivos e E-mail, Incidentes, Terceiros). Procedimentos simples e objetivos.
• Média empresa: PSI principal + conjunto mais completo de normas (vulnerabilidades, patching, criptografia, logs, desenvolvimento seguro, classificação de dados, continuidade). Formalizar comitê e fluxo de exceções.
• Grande/altamente regulada: PSI principal robusta + normas por domínio (IAM, SOC/logs, gestão de chaves, SDLC, privacidade, vendor risk, continuidade) + evidências de auditoria, segregação de funções e controles formais.

2) Pode fazer a Política Principal junto com políticas secundárias (normas)? Sim, pode, especialmente em empresas pequenas ou em fase inicial de governança, desde que:

• o documento fique legível e executável (não virar um “manual gigante” que ninguém mantém);
• haja clareza de hierarquia dentro do próprio texto (o que é diretriz estratégica vs. norma técnica);
• exista um mecanismo de atualização: normas mudam com mais frequência (tecnologia/ameaças), enquanto a PSI principal deveria mudar menos.

Justificativa (por que geralmente é melhor separar, mas quando juntar faz sentido)

• Separar (melhor prática na maioria dos casos):
  • Facilita manutenção: trocar um padrão de MFA ou backup não exige reaprovar toda a PSI executiva.
  • Evita “engessar” a operação: normas podem ser versionadas e atualizadas com mais rapidez.
  • Melhora governança: a alta direção aprova princípios e responsabilidades; áreas técnicas mantêm padrões e procedimentos.
• Juntar (aceitável e às vezes recomendado):
  • Empresa pequena, poucos sistemas, baixo número de pessoas e necessidade de rapidez.
  • Quando a prioridade é criar um pacote mínimo para dar base (ex.: “PSI + Normas Essenciais” em um único documento, com seções bem delimitadas e controle de versão).

Recomendação prática

• Comece com:
  1. PSI principal (curta, diretiva, aprovada pela direção);
  2. Anexos com normas essenciais (ou documentos separados) com versionamento;
  3. Procedimentos operacionais simples.
• Se for um único documento, use estrutura clara:
  • Parte A: PSI (governança e diretrizes);
  • Parte B: Normas (requisitos técnicos e organizacionais);
  • Parte C: Procedimentos/Anexos (playbooks).

Resultado esperado de uma PSI coerente com o porte: controles que a empresa realmente consegue operar, evidências mínimas de conformidade (quando aplicável) e capacidade de melhorar continuamente sem burocracia excessiva.

Alternativa correta: (a).