Política de Segurança da Informação na

Organização
 Política de Segurança da Informação na Organização • 2/13

Política de Segurança da Informação na Organização

Conteúdo organizado por Dallas Morais de Almeida em 2022 do livro Fundamentos
de Segurança da Informação: com base na ISO 27001 e na ISO 27002, publicado
em 2018 por Hintzbergen, J., Hintzbergen, K., Smulders, A., & Baars, H.

Objetivos de Aprendizagem
• Conhecer o contexto organizacional.
• Entender como estabelecer os princípios para implementação da política de
segurança da informação.
 Política de Segurança da Informação na Organização • 3/13

Introdução
Nos temas passados aprendemos os conceitos da segurança da informação e como
gerenciar os riscos e ameaças dentro da organização. Apesar de isso ser fundamental
para o desenvolvimento de uma política robusta de segurança da informação, a
teoria de nada vale se a empresa não conseguir implementá-la com sucesso em seus
processos.
Para que uma política de segurança da informação seja implementada eficazmente, os
gestores devem, além de ter o conhecimento dos conceitos, conseguir equilibrar as
exigências da segurança da informação com as necessidades organizacionais. Isso exige
que sejam desenvolvidos processos dinâmicos interligados e com responsabilidades
bem delimitadas.

Conhecendo a Organização

Implementar uma política de segurança da informação não é uma tarefa fácil. Todas as
empresas estão inseridas num contexto globalizado, isso significa que as organizações
devem estar atentas a tudo que acontece no mundo. Essa exigência de escala global faz
com que as empresas busquem a cada dia mais o aprimoramento de seus processos
para garantirem sua permanência no mercado. Quantas vezes nos deparamos com a
realidade de que produtos vindos do outro lado do globo podem ser comprados a
preços mais baixos dos que são fabricados em nosso próprio país? Esse é um exemplo
clássico que nos faz enxergar o poder de influência da globalização em nossos dias.
Diante dessas realidades as organizações precisam compreender plenamente onde
estão inseridas para desenvolverem estratégias eficientes.
A implantação de uma política de segurança da informação deve levar em conta todos
esses fatores e por isso, as organizações precisam estabelecer as questões internas e
externas que são realmente importantes no que diz respeito aos resultados que ela
pretende alcançar. Nesse sentido, é preciso que sejam descritas todas as situações que
de alguma forma podem atrapalhar a habilidade organizacional de manter a eficácia
de seu sistema de segurança da informação.
 Política de Segurança da Informação na Organização • 4/13

Políticas de Segurança da Informação

Não é novidade que as relações organizacionais se estabelecem cada vez mais

pelos meios digitais. Essa realidade traz diversas vantagens, como agilidade e fluidez
das informações. Apesar disso, toda essa tecnologia acarreta diversas ameaças e
vulnerabilidades, o que torna indispensável para as empresas a adoção e implementação
de uma política de segurança da informação que garanta que o manuseio das mesmas
seja correto e protegido.
Políticas de segurança da informação são desenvolvidas com o propósito de garantir
a integridade das informações organizacionais, desde o momento que as mesmas são
criadas até o momento em que são dispensadas. São nas políticas de segurança da
informação que há a definição das normas, dos princípios e das regras para que as
informações não sejam perdidas, violadas, roubadas ou adulteradas nos processos
organizacionais. Quando uma organização desenvolve e implementa uma política de
segurança da informação, a mesma está proporcionando diretrizes e suporte que
garantem a preservação das informações empresariais.
Uma política de segurança da informação deve levar em consideração os objetivos
organizacionais, as legislações e regulamentações nacionais e internacionais. A política
de segurança da informação também precisa contemplar todos que porventura
tenham algum tipo de acesso às informações da organização. Isso significa que as
empresas precisam alinhar e disponibilizar sua política de segurança da informação
tanto nos processos internos quanto nos processos internos. Colaboradores próprios
e parceiros de negócios, todos devem estar cientes e comprometidos com a política
de segurança para que haja o efetivo resultado de preservação da integridade da
informação.
Nesse sentido, a empresa precisa se comprometer com a efetiva distribuição e
conscientização de todos os envolvidos. Uma técnica muito utilizada pelas empresas
no que diz respeito a conscientização da política de segurança da informação é a
fabricação e compartilhamento de uma cartilha ou folheto, com um resumo dos
principais pontos a serem abordados. É importante, porém destacar, que além dessa
versão resumida as empresas devem providenciar um acesso fácil à versão completa.
 Política de Segurança da Informação na Organização • 5/13

Saiba Mais
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO EM 5 PASSOS
- Brasil inSeguro
Link : https://www.youtube.com/watch?v=nI1o-w4nKdc
Acesso em: 22 fev. 2022

Conscientização da Política de Segurança da Informação

As maiores dificuldades enfrentadas pelas empresas no que diz respeito à segurança

das informações são provenientes dos processos internos. Nesse sentido, ao se
estabelecer uma política de segurança da informação, os gestores devem estar cientes
de que, se não houver uma divulgação adequada e uma conscientização efetiva que
leve a equipe a se comprometer com a política, não haverá proteção eficiente da
informação.
 Política de Segurança da Informação na Organização • 6/13

Apenas disponibilizar a política de segurança da informação não é garantia de leitura,

entendimento, nem mesmo, comprometimento das partes envolvidas. Sendo assim,
é necessário o estabelecimento de um robusto processo de divulgação, que garanta
que todos sem exceção tenham acesso à política, e também o desenvolvimento de
ações que proporcionem o envolvimento e engajamento de todos.
Apesar de boa parte dos problemas à segurança da informação estarem relacionados
aos processos internos, a empresa deve ter o mesmo empenho de conscientização
para com os externos. É preciso compreender que clientes e fornecedores em certo
nível também têm acesso às informações e por isso, garantir que a informação seja
preservada é também garantir que eles também estejam comprometidos com a
política de segurança da informação.
É muito comum encontrar organizações que tenham sistemas compartilhados com
fornecedores. Essas relações compartilhadas se dão pela natureza da atividade e pela
dinâmica das operações. Na indústria automotiva, por exemplo, algumas montadoras
compartilham seus planos de produção com os fornecedores. Essa informação é
extremamente valiosa. Se o fornecedor que teve acesso a ela não estiver comprometido
com a política de segurança da informação da montadora e compartilhar a mesma
com a concorrência, poderá causar uma série de problemas.
A conscientização da política de segurança da informação deve ser estabelecida a
partir de ampla divulgação e também através do estabelecimento de requisitos legais,
e obrigações contratuais. Tanto colaboradores próprios, como clientes e fornecedores
devem estar cientes da importância de se garantir a segurança da informação. Devem
ser esclarecidos quanto aos procedimentos a serem adotados e a par de todas as
consequências resultantes da falta de compromisso com a política.

Saiba Mais
Gerenciamento da Política da Segurança da Informação – Revista TIS
Link: http://revistatis.dc.ufscar.br/index.php/revista/article/
viewFile/24/27
Acesso em: 22 fev. 2022
 Política de Segurança da Informação na Organização • 7/13

Políticas de Apoio

A política de segurança da informação é um documento que estabelece os princípios,

porém não é capaz determinar e descrever em detalhes como cada departamento ou
processo organizacional deve proceder em suas atividades específicas. Nesse caso,
diversos outros documentos de política são desenvolvidos para estabelecer a conduta
específica de cada área da empresa. É importante, porém, frisar que esses documentos
são feitos com o objetivo de fortalecer e dar apoio à política de segurança, portanto,
estão subordinados ao documento principal. Os tipos de documentos que podem
ser escritos são:
• Regulamentos: que oferecem maiores detalhes da política, tem um caráter de
obrigatoriedade e apresenta os possíveis procedimentos punitivos.
• Procedimentos: que apresentam as especificidades de cada área e como
proceder para que haja a garantia da segurança da informação.
• Diretrizes: Orientações que ajudam os envolvidos a aplicarem a política de
segurança. As diretrizes não são impositivas, mas tem o objetivo de aconselhar,
apontando quais os elementos devem ser levados em consideração na hora de
se escrever um procedimento, por exemplo.
• Normas: Documentos que estabelecem os padrões a serem adotados.

Revisando as Políticas de Segurança da Informação

As políticas de segurança da informação não são documentos a serem feitos uma só

vez e depois disso são apenas supervisionados. Ao contrário, toda política deve ser
revista e aprimorada para conseguir contemplar as constantes mudanças que ocorrem.
Realizar revisões nas políticas de segurança, não significa alterá-la sempre que algo
novo surge, as atualizações devem ser feitas de forma planejada e em casos extremos
quando houverem mudanças relevantes que exijam atenção imediata.
Nessas revisões devem ser observadas as oportunidades de melhorias e como a
gestão de segurança da informação irá proceder diante das mudanças organizacionais,
legislativas, técnicas e todas as outras que forem relevantes para o negócio da empresa.
 Política de Segurança da Informação na Organização • 8/13

Em Resumo

Nessa aula você pôde conhecer a importância de se estabelecer uma política de

segurança da informação que leva em consideração as realidades e especificidades
organizacionais. Entendeu que uma política de segurança da informação não tem
efeito se não houver conscientização e comprometimento de todos os envolvidos,
sejam eles internos ou externos.
A política de segurança da informação não é um documento acabado nem auto
suficiente, é necessário o desenvolvimento e aplicação de outros documentos que
dão suporte e apoio à política. Revisar a política de segurança da informação deve
ser uma prática planejada e constante para que as organizações possam ter segurança
de sua eficácia.
 Política de Segurança da Informação na Organização • 9/13

Na ponta da língua

Referências Bibliográficas
Alcoforado, F. (1997). Globalização. NBL Editora.
Alves, L. C. M., & Moreira, J. (2012). Gerenciamento da Política da Segurança da
Informação. Revista TIS, 1(2).
Hintzbergen, J., Hintzbergen, K., Smulders, A., & Baars, H. (2018). Fundamentos de
Segurança da Informação: com base na ISO 27001 e na ISO 27002. Brasport.
 Política de Segurança da Informação na Organização • 13/13

LIVRO DE REFERÊNCIA:

Fundamentos de Segurança da Informação: com

base na ISO 27001 e na ISO 27002
Hintzbergen, J., Hintzbergen, K., Smulders, A., & Baars,
H.
Brasport, 2018.

Imagens: Shutterstock