Governança: Como estruturar uma Política de Segurança da Informação de maneira coerente ao porte da sua empresa? É possível elaborar a Política Principal de Segurança da Informação juntamente com as políticas secundárias (normas)? Justifique.

Para estruturar uma Política de Segurança da Informação (PSI) coerente com o porte da empresa, o caminho mais consistente é aplicar um modelo “top-down”, baseado em riscos e proporcionalidade (o que é crítico para o negócio recebe mais controles e detalhamento; o que é simples permanece simples), garantindo patrocínio da direção e clareza de responsabilidades.

Como estruturar de forma coerente ao porte (passo a passo):

1. Defina escopo e objetivos (negócio primeiro): quais unidades, processos, sistemas, dados e terceiros a PSI cobre; quais metas (confidencialidade, integridade, disponibilidade, privacidade, continuidade).
2. Mapeie requisitos e obrigações: leis e regulações aplicáveis (ex.: LGPD), exigências contratuais, requisitos de clientes, auditorias, certificações desejadas.
3. Classifique ativos e dados: crie uma classificação simples (por exemplo: Público/Interno/Confidencial/Restrito) e identifique os “ativos críticos” para o negócio.
4. Faça avaliação de riscos proporcional: para empresa pequena, pode ser um método leve (matriz impacto × probabilidade) focado nos principais processos; para empresa maior, um processo mais formal, com inventário, ameaça/vulnerabilidade, apetite a risco e tratamento.
5. Estabeleça governança e papéis: quem aprova a PSI (alta direção), quem é responsável por segurança (ou comitê), donos de ativos, times de TI, usuários, gestão de terceiros, gestão de incidentes.
6. Defina princípios e diretrizes na Política Principal: linguagem não técnica, curta e executiva (geralmente 3–10 páginas), declarando “o que” a empresa exige (ex.: controle de acesso, segregação, criptografia quando aplicável, backup, resposta a incidentes, treinamento).
7. Crie normas/padrões e procedimentos na medida certa: aqui entra o “como” fazer. Em empresa menor, pode ser um conjunto enxuto (ex.: Norma de Senhas e MFA, Norma de Backup, Norma de Acesso Remoto, Norma de Uso Aceitável). Em empresa maior, documentos mais especializados (ex.: hardening, logs/SIEM, gestão de vulnerabilidades, SDLC seguro, gestão de chaves, etc.).
8. Implemente, comunique e treine: PSI só funciona se for entendida. Faça aceite formal, campanhas curtas e treinamento por função.
9. Meça e revise: indicadores (incidentes, phishing, patches, backups testados), auditorias internas e revisão periódica (ex.: anual) ou quando houver mudanças relevantes.

É possível elaborar a Política Principal junto com as políticas secundárias (normas)? Justifique. Sim, é possível — e frequentemente é até recomendado fazer em paralelo (ou no mesmo projeto), desde que exista uma hierarquia clara:

• Política Principal (nível estratégico): define diretrizes e obrigações gerais (o “o quê” e o “por quê”), com aprovação da alta direção.
• Normas/padrões/procedimentos (nível tático/operacional): detalham requisitos mensuráveis e o modo de execução (o “como”), podendo mudar com mais frequência.

Justificativa: ao escrever a política principal, você inevitavelmente precisa garantir que ela é implementável; elaborar (ou ao menos rascunhar) as normas junto evita que a PSI vire um documento genérico, difícil de aplicar, ou desconectado da realidade técnica e do orçamento. Por outro lado, é importante manter a política principal estável e menos detalhada, para não depender de tecnologia específica e não exigir revisões constantes. Assim, você pode:

• Aprovar a PSI principal primeiro (ou com aprovação final conjunta),
• E publicar as normas em seguida, alinhadas aos controles e riscos priorizados.

Boa prática de coerência com o porte: quanto menor a empresa, mais enxuta deve ser a “pirâmide documental” (poucas normas essenciais e procedimentos simples). Quanto maior e mais regulada, maior a necessidade de normas especializadas, evidências e rastreabilidade.

confidence: 90 slug: politica-seguranca-informacao-estrutura-porte-empresa categories: ["Segurança da Informação", "Governança", "Políticas e Normas"]