Como este tema funciona na sua empresa
Pequenas empresas raro têm PSI formal; segurança é feita de forma ad-hoc ("use senha forte"). O desafio é documentar o mínimo viável sem burocratizar. Abordagem recomendada: documento de 5-10 páginas cobrindo: princípios, responsabilidades (quem é responsável por acesso, dados, incidentes), diretrizes básicas (senhas, internet, dados), assinado pela direção.
Empresas médias começam a precisar de PSI por conformidade (LGPD) ou pedido de clientes. O desafio é que múltiplos departamentos têm diferentes interpretações; PSI deve ser clara o suficiente para não deixar brechas. Abordagem recomendada: PSI corporativa em 20-30 páginas com seções: governança, classificação, acesso, uso aceitável, incidentes, conformidade; criada por Security Officer com aprovação de CFO/VP Operations/Legal.
Grandes empresas têm PSI sofisticada com múltiplas políticas derivadas (acesso, senhas, criptografia, backup, etc.). O desafio é manter coerência entre políticas e executabilidade em contextos diferentes (filial A é muito diferente de filial B). Abordagem recomendada: PSI corporativa como direcionador; políticas técnicas por domínio (infraestrutura, aplicações, dados); exceções formalizadas com RACI claro.
Política de Segurança da Informação (PSI) é documento que estabelece princípios, diretrizes, e responsabilidades para proteger informação corporativa. PSI diz "o quê" e "por quê"; políticas técnicas derivadas dizem "como". Uma PSI bem estruturada é ferramenta poderosa: traduz intenção em linguagem clara, cria base legal para disciplina, orienta investimento em controles. PSI não precisa ser documento de 200 páginas — é direcionador claro[1].
Seções obrigatórias de uma PSI
Propósito e escopo: Por que existe? Quem é obrigado a cumprir? Princípios: Confidencialidade, integridade, disponibilidade. Responsabilidades: Diretor (sponsor), CIO/CISO (liderança), gerente (implementação), funcionário (aderência). Classificação de dados: Públicos, internos, confidenciais, críticos. Cada nível tem proteção correspondente. Controle de acesso: Menor privilégio, autenticação, autorização. Uso aceitável de recursos: Computador, internet, email, dados corporativos. Resposta a incidentes: Quem notificar, como investigar. Conformidade e auditoria: Como é verificada, consequências de não cumprimento. Processo de exceção: Quando se pode desviar, quem autoriza.
PSI por porte de empresa
Pequena (5–10 páginas): Linguagem simples. Princípios e regras básicas (senhas, internet, dados). Assinado por diretor. Comunicado por email. Revisão anual. Média (20–30 páginas): Estruturada por seção. Detalhe técnico (padrões NIST, ISO). Aprovação formal (CFO, VP, Legal). Treinamento obrigatório. Revisão semestral. Grande (50+ páginas): Modular com políticas derivadas (acesso, criptografia, backup, etc.). Aprovação por comitê. Comunicação contínua (portal, vídeo, cartazes). Auditoria contínua.
Comunicação e enforcement de PSI
Uma PSI que ninguém lê não funciona. Comunicação efetiva: (1) Email inicial com PDF. (2) Treinamento (pequena: reunião 1h, grande: e-learning). (3) Assinatura de aceitar (prova de leitura). (4) Lembretes periódicos. Enforcement: violações têm consequência (advertência, restrição de acesso, desligamento conforme severidade). Sem enforcement, é ignorada.
PSI e conformidade regulatória
LGPD não exige nominalmente PSI, mas exige "medidas técnicas e organizacionais" para proteger dados pessoais. PSI é como essas medidas são formalizadas. ISO 27001 exige PSI ou equivalente (requisito A.5.1). PCI DSS exige política de segurança (requisito 12). Regulações setoriais (BACEN, ANVISA) frequentemente exigem PSI. PSI bem estruturada demonstra conformidade com múltiplas regulações simultaneamente.
Sinais de que sua empresa precisa criar ou revisar a PSI
Se você se reconhece em três ou mais cenários abaixo, a falta de uma PSI estruturada deixa a organização vulnerável a incidentes e não-conformidade.
- Não existe documento formal que defina regras de uso de computadores, internet e dados corporativos
- Funcionários não sabem a quem reportar um incidente de segurança
- Não há classificação de dados — tudo é tratado com o mesmo nível de proteção
- Violações de segurança acontecem sem consequência definida
- A empresa nunca realizou treinamento de conscientização sobre segurança da informação
- Auditores ou clientes já pediram evidência de política de segurança e a empresa não tinha o que apresentar
- Regras de senha, acesso remoto e uso de dispositivos pessoais são informais ou inexistentes
Pequena: Crie documento 5–10 páginas. Revise com gestor TI e jurídico. Publique, comunique, obtenha assinatura.
Média: Desenhe PSI 20–30 páginas com estrutura formal. Aprove em comitê. Comunique via treinamento. Revise semestralmente.
Grande: PSI corporativa + políticas técnicas derivadas. Governança formal. Auditoria regular.
Templates: ISO, NIST, fornecedores oferecem templates de PSI.
Consultoria especializada: Consultores de segurança podem desenhar PSI customizada alinhada com regulações e contexto.
Perguntas frequentes
O que deve conter uma PSI?
Propósito, princípios, responsabilidades, classificação de dados, controle de acesso, uso aceitável, incidentes, conformidade, exceções.
PSI é obrigatório por lei?
LGPD não exige nominalmente, mas exige medidas de segurança. PSI formaliza essas medidas. ISO 27001 exige. PCI DSS exige.
Como comunicar PSI?
Email + treinamento + assinatura de aceitar + lembretes periódicos. Sem comunicação, é ignorada.
Qual é a diferença entre PSI e políticas técnicas?
PSI: princípios e responsabilidades ("o quê" e "por quê"). Políticas técnicas: implementação ("como fazer" passo-a-passo). Ambas necessárias.
Como enforcer PSI?
Violações têm consequência clara (advertência até desligamento conforme severidade). Sem enforcement, é ignorada.
Como validar se PSI está sendo cumprida?
Auditoria interna, verificações pontuais, incidentes. Métricas: % funcionários treinados, % que assinaram, taxa de violações.