Gestão de Riscos: Como estruturar uma Política de Segurança da Informação de maneira coerente ao porte da sua empresa? A Política Principal de Segurança da Informação pode ser feita juntamente com as políticas secundárias (normas)? Justifique.

Para estruturar uma Política de Segurança da Informação (PSI) coerente com o porte da empresa, o ideal é começar simples (alto nível) e ir detalhando por camadas, com profundidade proporcional a: criticidade do negócio, volume/sensibilidade dos dados, exigências legais/regulatórias e capacidade operacional (pessoas, orçamento, maturidade). Em geral, a PSI “principal” deve dizer o o quê e o por quê; as políticas secundárias/normas e procedimentos dizem o como, quem e quando.

Estrutura recomendada (proporcional ao porte):

1. Contexto e objetivos: propósito da PSI, escopo (unidades, sistemas, terceiros), alinhamento com o negócio.
2. Papéis e responsabilidades: alta direção (patrocínio), responsável por segurança (governança), TI, usuários, RH, jurídico/privacidade, fornecedores.
3. Princípios e diretrizes gerais (alto nível): confidencialidade, integridade, disponibilidade; necessidade de conhecer; mínimo privilégio; segregação de funções.
4. Gestão de riscos: como a empresa identifica/avalia/trata riscos (mesmo que de forma simplificada em empresas pequenas).
5. Controles “mínimos” obrigatórios (sem entrar em procedimento):
   • controle de acesso e senhas/MFA;
   • classificação e tratamento da informação;
   • uso aceitável de ativos (e-mail, internet, dispositivos);
   • backup e retenção;
   • atualização e correção de vulnerabilidades;
   • resposta a incidentes (com canal de reporte);
   • segurança em terceiros;
   • privacidade/LGPD quando aplicável.
6. Conformidade e auditoria: como será verificado o cumprimento e quais consequências (medidas disciplinares proporcionais).
7. Ciclo de vida da PSI: aprovação pela direção, comunicação/treinamento, revisões periódicas (ex.: anual) e gestão de exceções.

Como adequar ao porte (na prática):

• Pequena empresa: PSI curta (2–6 páginas), linguagem direta, poucos anexos essenciais (ex.: controle de acessos, backup, uso aceitável, incidentes). Procedimentos podem ser enxutos (checklists) e responsabilidade pode ser acumulada por um gestor.
• Média empresa: PSI principal + conjunto de normas por tema (acessos, endpoints, redes, nuvem, desenvolvimento, terceiros) e procedimentos operacionais (runbooks). Maior formalização de gestão de riscos e evidências.
• Grande/altamente regulada: PSI robusta, com hierarquia documental completa, métricas/indicadores, auditorias internas, gestão formal de exceções, requisitos contratuais a terceiros e integração com compliance.

A Política Principal pode ser feita juntamente com políticas secundárias (normas)? Sim, pode, especialmente em empresas menores ou em fase inicial, desde que a organização mantenha hierarquia e separação lógica dentro do documento (por seções e anexos) e controle bem versão/aprovação. Porém, a melhor prática é:

• PSI principal separada (alto nível e estável), aprovada pela alta direção;
• normas/políticas específicas e procedimentos separados, porque mudam com mais frequência (tecnologia, ferramentas, processos) e podem exigir aprovações operacionais diferentes.

Justificativa (por que separar costuma ser melhor):

• Governança: a PSI principal representa compromisso institucional; não deve ser alterada a cada ajuste técnico.
• Manutenibilidade: normas/procedimentos mudam mais; separar reduz retrabalho e risco de desatualização.
• Clareza: usuários leem a política geral; equipes técnicas seguem normas/procedimentos detalhados.
• Auditoria/compliance: fica mais fácil demonstrar controles (política → norma → procedimento → evidência).

Em resumo: estruture em camadas, começando pela PSI principal (diretrizes e responsabilidades), e desdobre em normas e procedimentos conforme a complexidade e o risco do negócio. É possível juntar em um único “pacote” documental, mas mantendo PSI principal como núcleo e normas/procedimentos como anexos ou documentos separados.

Alternativa correta: (sem alternativas).