Gestão de Riscos: Como estruturar uma Política de Segurança da Informação de maneira coerente ao porte da sua empresa? A Política Principal de Segurança da Informação pode ser feita juntamente com as políticas secundárias (normas)? Justifique.

Questão

Como estruturar uma Política de Segurança da Informação de maneira coerente ao porte da sua empresa? A Política Principal de Segurança da Informação pode ser feita juntamente com as políticas secundárias (normas)? Justifique.

Resposta92%

Para estruturar uma Política de Segurança da Informação (PSI) coerente com o porte da empresa, o ideal é começar simples (alto nível) e ir detalhando por camadas, com profundidade proporcional a: criticidade do negócio, volume/sensibilidade dos dados, exigências legais/regulatórias e capacidade operacional (pessoas, orçamento, maturidade). Em geral, a PSI “principal” deve dizer o o quê e o por quê; as políticas secundárias/normas e procedimentos dizem o como, quem e quando.

Estrutura recomendada (proporcional ao porte):

  1. Contexto e objetivos: propósito da PSI, escopo (unidades, sistemas, terceiros), alinhamento com o negócio.
  2. Papéis e responsabilidades: alta direção (patrocínio), responsável por segurança (governança), TI, usuários, RH, jurídico/privacidade, fornecedores.
  3. Princípios e diretrizes gerais (alto nível): confidencialidade, integridade, disponibilidade; necessidade de conhecer; mínimo privilégio; segregação de funções.
  4. Gestão de riscos: como a empresa identifica/avalia/trata riscos (mesmo que de forma simplificada em empresas pequenas).
  5. Controles “mínimos” obrigatórios (sem entrar em procedimento):
    • controle de acesso e senhas/MFA;
    • classificação e tratamento da informação;
    • uso aceitável de ativos (e-mail, internet, dispositivos);
    • backup e retenção;
    • atualização e correção de vulnerabilidades;
    • resposta a incidentes (com canal de reporte);
    • segurança em terceiros;
    • privacidade/LGPD quando aplicável.
  6. Conformidade e auditoria: como será verificado o cumprimento e quais consequências (medidas disciplinares proporcionais).
  7. Ciclo de vida da PSI: aprovação pela direção, comunicação/treinamento, revisões periódicas (ex.: anual) e gestão de exceções.

Como adequar ao porte (na prática):

  • Pequena empresa: PSI curta (2–6 páginas), linguagem direta, poucos anexos essenciais (ex.: controle de acessos, backup, uso aceitável, incidentes). Procedimentos podem ser enxutos (checklists) e responsabilidade pode ser acumulada por um gestor.
  • Média empresa: PSI principal + conjunto de normas por tema (acessos, endpoints, redes, nuvem, desenvolvimento, terceiros) e procedimentos operacionais (runbooks). Maior formalização de gestão de riscos e evidências.
  • Grande/altamente regulada: PSI robusta, com hierarquia documental completa, métricas/indicadores, auditorias internas, gestão formal de exceções, requisitos contratuais a terceiros e integração com compliance.

A Política Principal pode ser feita juntamente com políticas secundárias (normas)? Sim, pode, especialmente em empresas menores ou em fase inicial, desde que a organização mantenha hierarquia e separação lógica dentro do documento (por seções e anexos) e controle bem versão/aprovação. Porém, a melhor prática é:

  • PSI principal separada (alto nível e estável), aprovada pela alta direção;
  • normas/políticas específicas e procedimentos separados, porque mudam com mais frequência (tecnologia, ferramentas, processos) e podem exigir aprovações operacionais diferentes.

Justificativa (por que separar costuma ser melhor):

  • Governança: a PSI principal representa compromisso institucional; não deve ser alterada a cada ajuste técnico.
  • Manutenibilidade: normas/procedimentos mudam mais; separar reduz retrabalho e risco de desatualização.
  • Clareza: usuários leem a política geral; equipes técnicas seguem normas/procedimentos detalhados.
  • Auditoria/compliance: fica mais fácil demonstrar controles (política → norma → procedimento → evidência).

Em resumo: estruture em camadas, começando pela PSI principal (diretrizes e responsabilidades), e desdobre em normas e procedimentos conforme a complexidade e o risco do negócio. É possível juntar em um único “pacote” documental, mas mantendo PSI principal como núcleo e normas/procedimentos como anexos ou documentos separados.

Alternativa correta: (sem alternativas).

Explicação

1) Como estruturar a PSI de forma coerente ao porte da empresa (passo a passo)

Passo 1 — Entender o contexto e o risco (não o “tamanho” por si só) O porte influencia recursos e complexidade, mas o nível de rigor deve ser proporcional principalmente a:

  • criticidade do serviço (parar a operação custa quanto?),
  • sensibilidade dos dados (dados pessoais, financeiros, propriedade intelectual),
  • exigências legais/regulatórias e contratuais,
  • dependência de TI/nuvem/terceiros.

Passo 2 — Definir a hierarquia documental (camadas) Uma estrutura coerente normalmente segue esta lógica:

  • Política (PSI principal): define direção, princípios, responsabilidades e exigências gerais (o “o quê” e “por quê”).
  • Normas / Políticas secundárias: detalham requisitos por tema (o “o quê” mais específico). Ex.: Norma de Controle de Acessos, Norma de Backup, Norma de Classificação da Informação.
  • Procedimentos / Instruções / Runbooks: descrevem o como fazer, passo a passo, e evidências esperadas.
  • Registros/Evidências: logs, atas, relatórios de backup, evidências de treinamento, etc.

Passo 3 — Conteúdo mínimo da PSI principal (alto nível) A PSI principal costuma conter:

  1. objetivo e escopo;
  2. definições essenciais;
  3. papéis e responsabilidades (direção, segurança, TI, usuários, terceiros);
  4. princípios (mínimo privilégio, segregação, necessidade de conhecer);
  5. diretrizes gerais sobre acesso, ativos, classificação de informação, incidentes, continuidade, terceiros, conformidade;
  6. regras de exceção (como pedir e aprovar desvios);
  7. revisão e atualização periódica.

Passo 4 — Ajustar a profundidade pelo porte/maturidade

  • Em empresa pequena, a PSI pode ser curta e as normas podem ser poucas e pragmáticas (checklists).
  • Em empresa média, cresce a necessidade de normas temáticas e procedimentos para manter consistência.
  • Em empresa grande/regulada, a separação e rastreabilidade (política→norma→procedimento→evidência) se torna crucial.

2) A PSI principal pode ser feita junto com as normas? (com justificativa)

Pode, sim, especialmente quando:

  • a empresa é pequena e precisa de agilidade;
  • há pouco conteúdo e pouca variação técnica;
  • o objetivo é “começar” com governança mínima viável.

Mas é recomendável separar (ou ao menos separar logicamente em anexos) porque:

  • a PSI principal deve ser mais estável e aprovada pela alta direção;
  • normas e procedimentos mudam com mais frequência (ferramentas, tecnologia, processos);
  • facilita manutenção, comunicação e auditoria;
  • reduz o risco de a política ficar extensa demais e ninguém ler.

Conclusão: uma PSI coerente ao porte nasce enxuta e governável, e se expande em normas/procedimentos conforme risco e complexidade. Juntar é possível, mas com hierarquia clara; separar costuma ser melhor para manutenção e governança.

Alternativa correta: (sem alternativas).

gestao-de-riscosgovernancapoliticas-e-normasseguranca-da-informacao

Questões relacionadas

Ver últimas questões

Comece a estudar de forma inteligente hoje mesmo

Resolva questões de concursos e vestibulares com IA, gere simulados personalizados e domine os conteúdos que mais caem nas provas.

Ter acesso ilimitado

Cancele quando quiser.