Existe uma sequência que vejo se repetir com frequência nas organizações. A empresa compra ferramentas de segurança. Tenta usá-las. Percebe que ninguém sabe exatamente como. Contrata consultores para ajudar. E descobre, no meio do processo, que faltava um documento que deveria ter existido desde o início.

Esse documento é a Política de Segurança da Informação. A PSI. E ao contrário do que muita gente ainda pensa, ela não é um entregável burocrático. É o alicerce de qualquer programa sério de cibersegurança.

O que é uma Política de Segurança da Informação

Uma PSI é o conjunto de diretrizes que define como a organização valoriza, protege, acessa e usa suas informações. Ela estabelece responsabilidades, critérios de classificação de dados, regras de uso aceitável e os princípios que orientam todas as decisões subsequentes sobre segurança.

A ISO 27001, norma internacional de referência em segurança da informação, coloca a política de segurança como o primeiro controle organizacional a ser implementado. Não é acidente. Sem essa base, os controles técnicos que vêm depois perdem referência e coerência entre si.

É importante distinguir o que uma PSI é do que ela não é. Ela não é um manual de TI. Não é uma lista de regras sobre o que o usuário pode ou não pode fazer com o computador. É um documento estratégico, aprovado pela alta direção, que reflete as escolhas da organização em relação às suas informações mais críticas.

Por que líderes precisam entender a PSI antes de aprovar orçamento de segurança

Porque sem uma PSI consolidada, cada decisão de segurança se torna um improviso desconectado. A organização compra um SIEM sem saber o que precisa monitorar. Implementa autenticação multifator sem definir quais sistemas são críticos o suficiente para justificar o controle. Treina usuários sem critério de priorização.

Segurança que começa pelo firewall já chegou tarde. Segurança real começa pela política. Pela decisão de quem é responsável pelo quê.

O resultado é um investimento em segurança tecnicamente presente, mas estrategicamente incoerente. Ferramentas que não se conversam. Controles que protegem o que não é prioritário e deixam exposto o que realmente importa.

O impacto financeiro de não ter uma PSI

O custo médio global de um vazamento de dados em 2024, segundo o relatório anual da IBM, foi de 4,88 milhões de dólares. No Brasil, o impacto proporcional para empresas de médio porte pode ser devastador. Uma PSI bem estruturada não elimina esse risco, mas reduz significativamente a probabilidade de ocorrência e a severidade do impacto quando o incidente acontece.

Isso porque a PSI define antecipadamente como os dados são classificados, quem pode acessá-los, por quanto tempo são retidos e como são descartados. Cada uma dessas definições reduz vetores de ataque e simplifica a resposta a incidentes.

Os sete elementos que toda PSI precisa ter

Uma política de segurança da informação eficaz não precisa ser um documento de duzentas páginas. Precisa ser clara, aprovada formalmente pela direção e conhecida pelas pessoas que precisam segui-la. Os elementos fundamentais são o escopo e os objetivos da política, a classificação das informações da organização, as responsabilidades por tipo de dado e por área, as regras de uso aceitável de recursos tecnológicos, os critérios para controle de acesso, as diretrizes para resposta a incidentes e os mecanismos de revisão e atualização periódica.

Classificação de informações: o ponto de partida real

O trabalho mais importante que antecede a escrita da PSI é o inventário e a classificação das informações. Quais dados a organização possui? Onde estão armazenados? Quem acessa? Com qual frequência? Quais seriam as consequências de um vazamento ou perda?

Esse mapeamento, feito com rigor, revela mais vulnerabilidades reais do que qualquer varredura automatizada. E fornece a base para que todos os controles subsequentes sejam proporcionais ao risco real, não ao risco imaginado.

PSI e LGPD: a relação que a maioria das empresas ainda não entendeu

A Lei Geral de Proteção de Dados estabelece obrigações de segurança para organizações que tratam dados pessoais. O artigo 46 da LGPD exige que os agentes de tratamento adotem medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. Uma PSI bem estruturada é, na prática, a evidência documental de que a organização levou essa obrigação a sério.

Organizações sem uma PSI formalizada têm dificuldade em demonstrar conformidade com a LGPD em caso de fiscalização ou incidente. Isso aumenta a exposição a multas que podem chegar a dois por cento do faturamento, limitadas a cinquenta milhões de reais por infração.

Como implementar uma PSI sem travar a operação

O maior erro na implementação de uma PSI é tentar resolver tudo de uma vez. Organizações que tentam criar uma política abrangente do zero, em um único projeto, geralmente produzem um documento que ninguém lê e que não reflete a realidade operacional.

A abordagem mais eficaz é incremental. Começar pelo inventário de informações críticas. Classificar os dados existentes em níveis de sensibilidade. Definir as responsabilidades básicas por categoria. Aprovar formalmente com a direção. Comunicar de forma clara e objetiva. E estabelecer um ciclo de revisão anual.

Uma PSI que existe e é seguida por setenta por cento das pessoas vale muito mais do que uma política perfeita que ninguém conhece.