Como este tema funciona na sua empresa
Políticas são frequentemente ausentes ou apenas verbais — o sócio/diretor fala "não deixa ninguém com acesso a tudo" e pronto. Desafio: documentar regras sem burocratizar. Abordagem prática: 3-5 políticas simples (segurança, backup, acesso, mudança), comunicadas claramente, revisadas uma vez por ano. Foco: proteger dados críticos, evitar caos, documentar o mínimo essencial.
Conjunto de políticas começando a se estruturar, algumas documentadas, outras não. Desafio: cobertura completa, alinhamento entre políticas, implementação consistente entre áreas. Abordagem: matriz de políticas (catálogo claro do que existe e do que falta), propriedade clara (quem é responsável por cada uma), integração com processos de RH e compliance. Comunicação via onboarding, intranet, revisão anual.
Múltiplas políticas por domínio (segurança, acesso, desenvolvimento, fornecedores, continuidade), integradas com GRC (Governance, Risk, Compliance) e monitoradas. Desafio: evitar que políticas conflitem entre si, manter consistência em escala, implementação automatizada. Documentação formal, versionamento, ciclo de revisão estruturado, aprovação por comitê.
Política de TI é um documento que estabelece as regras, responsabilidades e expectativas para como a tecnologia deve ser usada e governada em uma organização. Diferencia-se de procedimento (o "como fazer passo a passo") e padrão (especificações técnicas). A política responde "por quê" e "o que" é obrigatório; procedimento explica "como"[1].
Política, procedimento, padrão: entender as diferenças
Três termos frequentemente confundidos. A diferenciação é crítica porque afeta como documento é escrito, aprovado e mantido.
- Política: regra de negócio — o que é obrigatório e por quê. "Dados pessoais de clientes devem ser criptografados." Aprovação: diretoria, vigência: anos, mudança: rara.
- Procedimento: passo a passo operacional — como fazer. "Para ativar criptografia no banco de dados MySQL, seguir estes passos: 1) gerar chaves, 2) alterar arquivo de config, 3) testar." Propriedade: time técnico, vigência: 1-2 anos, mudança: frequente conforme tecnologia muda.
- Padrão: especificação técnica — qual ferramenta, qual versão. "Usar algoritmo AES-256 para criptografia de dados em repouso." Propriedade: arquitetura, vigência: 6 meses a 1 ano, mudança: conforme evolução tecnológica.
Exemplo integrado: Política "Dados de clientes devem ser protegidos" ? Procedimento "Ativar criptografia no banco de dados" ? Padrão "Usar AES-256". Uma não substitui a outra; trabalham juntas.
Estrutura essencial de uma política de TI
Toda política bem estruturada tem estes componentes:
- Objetivo: por que a política existe, que problema resolve. "Proteger confidencialidade de dados de clientes contra acesso não autorizado."
- Escopo: a quem se aplica (todos? apenas TI? apenas gerentes?) e o que cobre (qual tipo de dado? qual sistema?). "Aplica-se a todos os colaboradores e fornecedores com acesso a dados pessoais."
- Definições: termos técnicos explicados. "Criptografia: transformação de dados legíveis em formato ilegível usando algoritmo." Importante para quem não é técnico entender.
- Responsabilidades: quem faz o quê. "CIO é responsável por aprovar exceções. Gerente de TI é responsável por implementação. Colaborador é responsável por seguir."
- Requisitos: as regras concretas. "Senhas devem ter mínimo 12 caracteres. Acesso deve ser revisto trimestralmente. Incidentes devem ser reportados em 1 hora."
- Conformidade: como medir cumprimento, consequências de não seguir. "Auditoria semestral via ferramenta de logs. Descumprimento: aviso verbal primeira vez, desligamento do usuário segunda vez."
- Exceções: quando a regra pode ser quebrada, quem aprova. "Exceção a senha de 12 caracteres: gerente de TI pode autorizar para sistemas legados, máximo 6 meses."
- Data de revisão: quando a política será revisada de novo. "Próxima revisão: janeiro 2025."
Políticas críticas de TI que toda empresa deve ter
Não existe política única para todas as empresas, mas existem temas que são universalmente críticos:
Política de Segurança da Informação
Cobre confidencialidade, integridade e disponibilidade de dados. Inclui criptografia, acesso, senhas, gestão de vulnerabilidades. A mais importante. Referência: ISO/IEC 27001[2].
Política de Acesso a Dados e Sistemas
Quem tem acesso a quê, como conceder, como revogar, revisão periódica. Princípio: privilégio mínimo (cada um tem apenas acesso necessário para sua função).
Política de Uso Aceitável de TI
O que colaboradores podem e não podem fazer com recursos de TI (computador, e-mail, internet). Exemplo: é proibido usar para trabalho concorrente? Copia de dados para pessoal é permitida?
Política de Gestão de Mudanças
Como mudanças em sistemas são solicitadas, avaliadas, aprovadas e implementadas. Evita que alguém mude algo crítico sem avisar ninguém. Importante para estabilidade.
Política de Continuidade de TI
Continuidade de negócio, disaster recovery, backup. Quem decide RTO/RPO, como testa plano, responsabilidades.
Política de Resposta a Incidente
Quando algo der errado (ataque, falha, vazamento), quem notifica, o que documentar, como investigar, como comunicar. Essencial para resposta rápida e organizada.
Política de Gestão de Fornecedores
Como fornecedores externo com acesso a sistemas são avaliados, contratados, monitorados. Importante em contexto de terceirização e cloud.
Política de Desenvolvimento e Aquisição
Como novos sistemas são desenvolvidos ou comprados, qual é o processo de aprovação, que critérios usar (segurança, custo, alinhamento com estratégia).
Número de políticas por porte de empresa
Começar com 3-5 políticas críticas: Segurança (senhas, acesso básico), Uso Aceitável (o que não pode fazer), Backup (dados devem estar protegidos), Mudanças (como altera algo em sistema crítico). Evitar perfeccionismo — política simples, 2-3 páginas cada uma, é melhor que perfeita nunca publicada.
Escalada para 8-10 políticas: as 5 básicas + Gestão de Fornecedores, Continuidade, Resposta a Incidente, e outras específicas da indústria. Cada política 5-10 páginas. Documentação estruturada, revisão formal anual, propriedade clara.
15+ políticas integradas em GRC. Política master + políticas específicas por domínio. Versionamento automatizado, workflow de aprovação, integração com sistema de compliance. Revisão contínua (não espera por ciclo anual).
Integração com LGPD
Lei Geral de Proteção de Dados (LGPD) obriga políticas de proteção de dados pessoais. Toda empresa que trata dados de pessoas físicas no Brasil deve ter:
- Política de proteção de dados pessoais — como dados são coletados, armazenados, protegidos, compartilhados.
- Política de direitos do titular — como pessoa solicita acesso aos seus dados, como solicita correção ou exclusão.
- Responsável de dados (Data Protection Officer ou DPO) — quem responde por conformidade.
- Registro de processamento — documentação de quem processa qual dado, para qual finalidade.
LGPD não é política de TI apenas — é política corporativa. TI participa na implementação técnica (criptografia, backup seguro, auditoria de acesso), mas business e RH também participam.
Comunicação e implementação de política
Política escrita mas não comunicada é política inútil. Colaboradores não seguem o que não sabem que existe.
Estratégia de comunicação:
- Publicar em local visível: intranet, wiki interno, sistema de GRC. Fácil de achar.
- Treinar na admissão: todo novo colaborador lê e assina entendimento de políticas principais (segurança, uso aceitável, confidencialidade).
- Reforçar periodicamente: newsletter interna, comunicado do CIO, treinamento anual de segurança.
- Contextualizar ao trabalho: "você trabalha com dados de clientes? Leia Política de Segurança da Informação."
- Tornar acessível: versão técnica completa para TI, resumo executivo para liderança, tradução para linguagem simples para operacional.
Medição de conformidade
Política sem medição é declaração de intenção. Conformidade se mede.
Exemplo de indicadores:
- Senhas: % de colaboradores com senha dentro do padrão (12+ caracteres). Alvo: 100%.
- Acesso: % de acessos revisto nos últimos 90 dias. Alvo: 100%.
- Incidentes: % de incidentes reportado em menos de 1 hora. Alvo: 100%.
- Mudanças: % de mudanças aprovadas antes de implementação. Alvo: 100%.
Medição pode ser manual (formulário) ou automatizada (ferramenta de GRC). Automatizado é melhor — remove viés, economiza tempo, fornece evidência objetiva.
Exceções à política
Toda política bem escrita tem um processo para exceção — situação excepcional que não encaixa na regra geral.
Exemplo: política diz "Proibido usar computador pessoal para trabalho." Exceção: executivo viajando urgentemente precisa usar notebook pessoal. Processo: executivo solicita exceção ao CIO (com justificativa), CIO aprova por 2 semanas, acontece a viagem, acesso é revogado.
Exceção bem gerenciada: documentada, aprovada, com prazo, revogada após. Exceção mal gerenciada: nunca é revogada, vira regra não escrita, compromete política.
Sinais de que sua empresa precisa estruturar políticas de TI
Se você se reconhece em três ou mais cenários abaixo, é hora de documentar políticas claro e implementá-las.
- Não existe documentação clara do que é permitido e proibido em TI
- Cada área segue regras diferentes — não há consistência
- Colaboradores não sabem a quem reportar quando encontram problema
- Gestão de acesso é manual, desorganizada, ou baseada em "pedir ao gerente"
- Empresa sofreu incidente de segurança e não sabe como teria evitado
- Regulação setorial (saúde, financeiro, educação) exige políticas documentadas e empresa não tem
- Colaborador saiu levando dados e não havia política clara de proteção
Caminhos para estruturar políticas de TI
Estruturação de políticas pode ser conduzida internamente ou com apoio especializado, dependendo da maturidade e dos recursos.
Viável quando há profissional de TI ou segurança com experiência e tempo disponível.
- Perfil necessário: analista de segurança, gerente de TI ou profissional com experiência em governança
- Tempo estimado: 2 a 3 meses para conjunto básico de 5 políticas documentado e comunicado
- Faz sentido quando: empresa é pequena/média, políticas não são ultra-complexas, há referência interna
- Risco principal: documentação incompleta, falta de alinhamento com regulação, manutenção negligenciada
Recomendado quando empresa precisa de conformidade documentada ou quando expertise interna é limitada.
- Tipo de fornecedor: Consultoria de Governança/Compliance, Especialista em Segurança, Plataforma de GRC com serviço de implementação
- Vantagem: avaliação de gaps, templates alinhados com marcos (ISO, COBIT), integração com compliance, treino de time
- Faz sentido quando: empresa está crescendo, sofreu incidente, regulação exige conformidade formal
- Resultado típico: em 2 a 4 meses, 8-10 políticas estruturadas, comunicadas, com processo de revisão estabelecido
Precisa de apoio para estruturar políticas de TI?
Se políticas de TI e governança são prioridade, o oHub conecta você gratuitamente a consultores especializados em compliance e governança de TI. Em menos de 3 minutos, você descreve sua necessidade e recebe propostas personalizadas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que deve conter uma política de TI?
Uma política bem estruturada contém: objetivo (por quê), escopo (a quem aplica), definições (termos explicados), responsabilidades (quem faz quê), requisitos (regras concretas), conformidade (como mede, consequências), exceções (quando quebra a regra), e data de revisão.
Qual é a diferença entre política e procedimento?
Política estabelece a regra de negócio — o "por quê" e "o que" é obrigatório. Procedimento é o passo a passo — o "como fazer". Exemplo: política diz "Senhas devem ter 12 caracteres"; procedimento explica "Para alterar sua senha, entre no portal, clique em Meu Perfil...".
Como comunicar política de TI para colaboradores?
Publicar em local visível (intranet, wiki), treinar na admissão com assinatura de entendimento, reforçar periodicamente (newsletter, comunicado), contextualizar ao trabalho ("você processa dados? Leia isto"), oferecer resumo para não-técnicos. Comunicação clara é tão importante quanto ter a política.
Como implementar política de TI sem burocratizar?
Começar com número pequeno de políticas críticas (3-5), em linguagem simples, focar em problemas reais da empresa. Automação ajuda — ferramenta de GRC implementa regras sem exigir paperwork manual. Clareza bate perfeccionismo: política simples implementada é melhor que política perfeita que fica na gaveta.
Como medir se política de TI está sendo seguida?
Defina indicadores concretos: % de senhas conforme padrão, % de acessos revisto, % de mudanças aprovadas antes de implementar. Medição pode ser manual (formulário) ou automatizada (ferramenta). Automatizado é preferível — remove viés, economiza tempo, fornece evidência clara.
O que fazer quando política não é seguida?
Consequências devem ser claras na política desde o início — aviso verbal, desligamento de acesso, aviso formal em arquivo pessoal. Aplicar consequências consistentemente é crítico — se deixar passar para alguns, política perde credibilidade. Consequência não é castigo; é reforço de que regra vale para todos.
Fontes e referências
- ISACA. COBIT 2019 Framework: Governance and Management Objectives. ISACA.
- ISO/IEC. ISO/IEC 27001:2022 — Information Security Management Systems. International Organization for Standardization.
- ISO/IEC. ISO/IEC 38500:2015 — Governance of IT for the Organization. International Organization for Standardization.