oHub Base TI / Desafios / Do zero / Vou implantar minha primeira política de segurança

Vou implantar minha primeira política de segurança

Documento base de uso aceitável, senhas, dispositivos, acesso a dados — versão mínima viável para empresa pequena, sem virar manual de 100 páginas.

Resposta rápida

A primeira política de segurança da informação não precisa ser longa — precisa ser clara, lida e cumprida. Comece por uma versão mínima viável de seis a dez páginas, cobrindo seis frentes: uso aceitável dos recursos, senhas e autenticação, dispositivos pessoais e corporativos, classificação e tratamento de dados, acesso e privilégios, resposta a incidente. Use linguagem de gente, não juridiquês, com exemplos práticos. Aprovação formal pela liderança máxima é o que dá peso ao documento. Divulgação não é "publicar no portal" — é treinamento curto, com aceite registrado, na admissão e a cada doze meses. Sem aprovação e sem aceite, a política não sustenta nem decisão interna nem auditoria externa.

Pequena até 50 colaboradores

Na empresa pequena, a política costuma ser redigida pelo ponto focal de TI ou pelo dono com apoio do MSP, e aprovada pelo dono ou pelo diretor executivo. Resista à tentação de copiar política de empresa grande — vira documento ignorado. Versão mínima de seis a oito páginas, com seis frentes essenciais, exemplos práticos e linguagem direta. Aceite formal na admissão pode ser feito em planilha simples, com link para o documento. Treinamento de meia hora a uma hora cobre o essencial. Em pequena, a política é menos sobre risco regulatório e mais sobre alinhar comportamento: o que faz e o que não faz com e-mail, senha, pen drive, IA, dado de cliente.

Média 51–500 colaboradores

Na empresa média, a política vira documento com governança própria — redigida por TI ou segurança com apoio do jurídico e do RH, aprovada por comitê com diretoria executiva. Costuma ter de 12 a 20 páginas e ser desdobrada em políticas específicas (uso aceitável, classificação de dados, BYOD, resposta a incidente, IA generativa). Aceite digital integrado ao onboarding e treinamento anual com registro são padrão. Indicadores de cumprimento entram na governança: percentual de colaboradores com aceite vigente, incidentes ligados a desvio de política, ações decorrentes. Sem indicadores, política vira papel; com indicadores, vira instrumento de gestão.

Grande +500 colaboradores

Na empresa grande, política é parte de framework formal de segurança (ISO 27001, NIST, equivalente), com hierarquia de documentos: política mãe aprovada pelo conselho ou comitê executivo, políticas específicas por domínio (acesso, dado, terceiros, criptografia, cloud), normas e procedimentos operacionais. Governança envolve CISO, jurídico, compliance, RH e auditoria. Aceite digital integrado a sistemas corporativos, treinamento contínuo com módulos por perfil, simulações de phishing, indicadores formais de cumprimento e ciclo de revisão anual com aprovação documentada. O risco maior é política de papel: sem ferramentas, indicadores e consequência real para descumprimento, vira documento de auditoria sem reflexo na operação.

Você está vivendo isso se…
  • Cliente, parceiro ou auditor pediu a política e a empresa não tem
  • Cada incidente revela que ninguém sabia qual era a regra
  • Colaborador novo entra sem orientação clara sobre segurança
  • Senha é compartilhada porque "todo mundo faz"
  • Dados sensíveis circulam por canal pessoal sem regra clara
  • Decisão sobre IA, cloud, pen drive depende do humor de quem responde

O que precisa entrar na primeira versão

Seis frentes cobrem o essencial da política mínima viável. Uso aceitável dos recursos: o que pode e o que não pode fazer com e-mail corporativo, internet, equipamento e tempo de trabalho. Senhas e autenticação: tamanho mínimo, fator múltiplo, gestor de senha, proibição de compartilhamento, regra para acesso administrativo. Dispositivos: equipamento corporativo, BYOD permitido ou não, exigências para o dispositivo pessoal acessar dados corporativos. Classificação e tratamento de dados: categorias (público, interno, confidencial, restrito) e o que cada uma pode e não pode. Acesso e privilégios: princípio de menor privilégio, processo para conceder e revogar, revisão periódica. Resposta a incidente: como reportar, para quem, em que prazo.

Linguagem de gente, não juridiquês

Política copiada de modelo jurídico padrão é ignorada porque ninguém entende. Escreva em linguagem clara, com exemplos práticos: "não compartilhe sua senha com colega" em vez de "é vedada a divulgação não autorizada de credenciais". Cada seção deve responder, em três frases ou menos, o que a empresa quer que aconteça e o que ela não quer. Acrescente, quando útil, lista curta do que é permitido e do que é proibido. Política que se lê em 20 minutos e se entende é política que se cumpre.

Por que aprovação formal importa

Política sem aprovação formal pela liderança máxima não sustenta decisão interna nem auditoria externa. A aprovação dá peso para o RH cobrar, para a TI revogar acesso, para o gestor recusar pedido fora da regra. O ritual de aprovação precisa estar documentado: ata, sistema corporativo de aprovação ou assinatura formal, com data e versão. Em empresa pequena, o dono ou diretor executivo aprova; em média, comitê com diretoria executiva; em grande, conselho ou comitê de segurança institucional. Sem essa formalização, qualquer descumprimento se transforma em discussão de quem disse o quê.

Como construir e implantar a primeira política em 60 a 90 dias
  1. Diagnóstico do estado atual. Que regras informais já existem, que incidentes recentes apontam lacunas, que obrigações legais ou contratuais se aplicam.
  2. Redação da versão mínima. Seis frentes em seis a dez páginas, linguagem clara, exemplos práticos, revisão por jurídico e RH.
  3. Aprovação formal pela liderança. Ata ou registro do ritual, com data, versão e responsáveis.
  4. Divulgação com treinamento curto. Sessão de 30 a 60 minutos por grupo, com material de apoio e aceite registrado por colaborador.
  5. Operacionalização. Aceite no onboarding, revisão anual, indicadores de cumprimento, canal de dúvida claro.
Erro frequente: publicar a política no portal e considerar implantada. Sem treinamento curto e sem aceite registrado por colaborador, não há prova de que a regra foi comunicada. Em incidente ou auditoria, "estava no portal" não basta.

Política viva versus política de papel

O que diferencia política viva de política de papel é o ciclo de cumprimento e revisão. Política viva tem indicadores acompanhados (percentual de colaboradores com aceite vigente, número de incidentes ligados a desvio, ações disciplinares ou educativas decorrentes), revisão anual com aprovação documentada e atualização sempre que houver mudança relevante (nova tecnologia, novo risco, novo requisito regulatório). Política de papel é publicada uma vez, esquecida, e citada só em auditoria ou em incidente. O custo das duas no início é parecido; o valor entregue é incomparavelmente diferente.

Armadilhas comuns na primeira política de segurança

Política gigante e ininteligível. Documento de cem páginas em juridiquês é ignorado. Comece com versão mínima viável que se lê em 20 minutos.

Copiar e colar política de outra empresa. Política precisa refletir o que esta empresa faz, com seus sistemas, dados e processos. Cópia genérica não cobre a realidade.

Publicar sem treinar. Subir no portal não é implantar. Sem treinamento curto e aceite, não há comunicação efetiva nem prova em incidente.

Falta de consequência. Política que ninguém faz cumprir vira ficção. Definir, com RH, gradação de medida disciplinar e educativa para desvios é parte da implantação.

Antes de publicar a política, confira:
  • Seis frentes cobertas (uso aceitável, senhas, dispositivos, dados, acesso, incidente)
  • Linguagem clara com exemplos práticos, revisada por jurídico e RH
  • Aprovação formal pela liderança documentada
  • Plano de treinamento por grupo definido
  • Mecanismo de aceite por colaborador integrado ao onboarding
  • Ciclo de revisão anual agendado
  • Canal claro para dúvida e para reporte de incidente

O que precisa entrar na primeira política de segurança da informação?

Seis frentes cobrem o essencial: uso aceitável dos recursos (e-mail, internet, equipamento), senhas e autenticação (tamanho mínimo, fator múltiplo, proibição de compartilhamento), dispositivos (corporativo e BYOD), classificação e tratamento de dados (público, interno, confidencial, restrito), acesso e privilégios (menor privilégio, revisão periódica) e resposta a incidente (como reportar, para quem, em que prazo). Versão mínima viável em seis a dez páginas costuma bastar para o primeiro ciclo.

Política precisa ter quantas páginas?

A primeira versão funciona melhor enxuta — entre seis e dez páginas em empresa pequena, 12 a 20 em média. Documento de cem páginas em juridiquês é ignorado e não sustenta nem decisão interna nem auditoria. O critério útil é "lê e entende em 20 minutos". Em empresa grande, o caminho é hierarquizar: política mãe enxuta no topo, políticas específicas por domínio mais detalhadas abaixo, normas e procedimentos operacionais como camada técnica. Profundidade segue maturidade.

Quem precisa aprovar a política de segurança?

Aprovação formal pela liderança máxima é o que dá peso ao documento. Em empresa pequena, dono ou diretor executivo aprova; em média, comitê com diretoria executiva; em grande, conselho ou comitê de segurança institucional. O ritual precisa estar documentado: ata, sistema de aprovação ou assinatura, com data e versão. Sem aprovação formal, qualquer descumprimento vira discussão de quem disse o quê, e auditor não aceita o documento como vigente.

Como divulgar a política de forma que ela seja cumprida?

Divulgação efetiva tem três componentes. Treinamento curto por grupo (30 a 60 minutos), com material de apoio e exemplos práticos. Aceite registrado por colaborador, integrado ao onboarding e atualizado a cada doze meses ou em mudança relevante. Canal claro para dúvida e para reporte de incidente. Publicar no portal sem treinar não é divulgar — é arquivar. Sem aceite, não há prova de que a regra foi comunicada, o que enfraquece a política em incidente ou auditoria.

Política precisa ter consequência para quem descumpre?

Sim. Política sem consequência vira ficção. Defina, junto com o RH, gradação de medida educativa e disciplinar para desvios — orientação para a primeira ocorrência, advertência para reincidência leve, ação mais firme para desvio grave ou doloso. A consequência precisa ser proporcional, documentada e aplicada de forma consistente. Sem isso, quem cumpre vê quem não cumpre não sofrer nada, e a regra perde força no dia a dia.
Aprofundar
Ver todos os artigos sobre Fundamentos de Cibersegurança (Cibersegurança e Proteção de Dados)