top of page
  • Whatsapp
  • Linkedin
  • Instagram
  • Facebook
Buscar

Política de Segurança da Informação: como criar e implementar na sua empresa

  • Foto do escritor: Mainsafe
    Mainsafe
  • há 4 dias
  • 4 min de leitura
ree

Aprenda o que é uma Política de Segurança da Informação (PSI), seus principais tópicos e como implementá-la conforme a ISO 27001 e a LGPD para proteger dados e reduzir riscos.


O que é uma Política de Segurança da Informação (PSI)


A Política de Segurança da Informação (PSI) é o documento que define as diretrizes, regras e responsabilidades para proteger as informações de uma organização contra acessos indevidos, perdas, vazamentos ou uso incorreto.


Ela é o primeiro passo da governança em segurança, servindo como base para todos os controles técnicos e administrativos exigidos pelas normas ISO/IEC 27001, ISO/IEC 27701 e pela Lei Geral de Proteção de Dados (LGPD).


Em outras palavras:

a PSI traduz a cultura de segurança da empresa em práticas claras e mensuráveis.

Por que sua empresa precisa de uma PSI


Segundo a ISO 27001, toda organização deve documentar e manter políticas que orientem o uso seguro de ativos de informação. Na LGPD (art. 46), é obrigatório adotar medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.


Sem uma PSI, a empresa:


  • não tem parâmetros para responsabilizar usuários internos;

  • fica vulnerável a incidentes e sanções da ANPD;

  • perde eficiência nos controles de TI e auditoria;

  • não consegue comprovar conformidade em auditorias ISO.


Benefícios diretos da implementação:


  • Redução de riscos cibernéticos e operacionais;

  • Maior confiança de clientes, parceiros e fornecedores;

  • Conformidade com a LGPD e normas ISO;

  • Cultura organizacional orientada à proteção da informação.


Principais tópicos que uma PSI deve conter


Seção

Descrição

1. Objetivo

Define o propósito da política — proteger a confidencialidade, integridade e disponibilidade das informações.

2. Abrangência

Identifica quem deve cumprir a política (colaboradores, terceiros, prestadores, parceiros etc.).

3. Princípios

Base nos pilares CID (confidencialidade, integridade e disponibilidade).

4. Diretrizes gerais

Define como a informação deve ser usada, armazenada, transmitida e protegida.

5. Responsabilidades

Define papéis: alta direção, Comitê de Segurança, área de TI, usuários e DPO.

6. Controle de acessos e senhas

Regras de autenticação, privilégios mínimos, troca periódica de senhas e uso de MFA.

7. Uso de e-mails e internet

Limita o uso pessoal, define padrões de comunicação e monitora riscos.

8. Backup e continuidade

Define frequência de backup, local seguro e plano de recuperação de desastres (DRP).

9. Gestão de incidentes

Procedimentos para registrar, tratar e comunicar incidentes à ANPD e à direção.

10. Trabalho remoto e BYOD

Medidas para proteger dados fora do ambiente físico (VPN, senhas fortes, equipamentos homologados).

11. Terceiros e fornecedores

Requisitos de confidencialidade e acordos (DPA ou cláusulas contratuais).

12. Treinamento e conscientização

Obriga capacitação contínua dos colaboradores em segurança da informação.

13. Monitoramento e sanções

Define a forma de auditoria, monitoramento e penalidades por descumprimento.

14. Revisão e aprovação

Periodicidade de revisão (anual ou sempre que houver mudanças significativas).

Como implementar uma PSI passo a passo


Etapa

Ação

Ferramenta recomendada

1. Diagnóstico inicial

Levantar riscos e controles existentes.

DN-Auditoria (DPONOTE)

2. Definição da estrutura

Criar política conforme as normas ISO e LGPD.

Direcionamento ISO 27002

3. Aprovação pela direção

Garantir comprometimento da alta gestão.

Comitê de Segurança

4. Comunicação interna

Divulgar a política e obter ciência formal.

Treinamento ISFS / ISMP

5. Implantação dos controles

Implementar políticas de acesso, senhas, backups, logs, antivírus.

DPONOTE + TI + setor de segurança da informação

6. Monitoramento e auditoria

Acompanhar cumprimento e revisar anualmente.

DN-Auditoria / ISO 27001

7. Melhoria contínua

Atualizar conforme incidentes e novas ameaças.

Ciclo PDCA (ISO)

Política de Segurança da Informação e LGPD


A PSI é também uma evidência documental de conformidade com a LGPD.Ela demonstra que a empresa adota medidas preventivas para proteger dados pessoais, conforme os artigos:


  • Art. 6º, VII – Princípio da segurança;

  • Art. 46 – Obrigação de adotar medidas de segurança e prevenção;

  • Art. 50 – Governança e boas práticas;

  • Art. 48 – Comunicação de incidentes à ANPD e aos titulares.


Uma boa PSI deve mencionar explicitamente o tratamento de dados pessoais e sensíveis, alinhando-se com a Política de Privacidade da organização.


Exemplos de controles e boas práticas


Exemplos:


  • Senhas fortes: mínimo de 12 caracteres, validade de 60 dias e bloqueio após 5 tentativas.

  • Controle de acesso: princípio do privilégio mínimo e segregação de funções.

  • Backup: incremental diário e completo mensal.

  • Monitoramento: logs de acesso e análise de vulnerabilidades.

  • Treinamento: campanhas de conscientização e simulações de phishing.

  • Incidentes: canal de reporte imediato ao setor de TI ou Comitê de Segurança.

  • Trabalho remoto: VPN obrigatória e dispositivos homologados pela empresa.


Dica bônus – Integração com ISO e DPONOTE


A Política de Segurança da Informação deve ser o documento base do Sistema de Gestão de Segurança (SGSI) e estar integrada com:


  • ISO 27001 (Segurança da Informação);

  • ISO 27701 (privacidade);

  • LGPD (segurança e prevenção);

  • DN-Auditoria e DN-Projetos no DPONOTE, permitindo rastrear evidências, responsabilidades e auditorias internas.


Conclusão


Criar e implementar uma Política de Segurança da Informação não é apenas uma exigência legal ou norma técnica — é uma estratégia de proteção e continuidade do negócio.


Ela representa o compromisso da empresa com a proteção de dados, a transparência e a confiança de seus clientes, parceiros e colaboradores.


Como o DPONOTE e a MainSafe podem ajudar


A MainSafe atua em todas as etapas da Segurança da Informação e conformidade com a LGPD e as normas ISO, oferecendo soluções completas da implantação da Política de Segurança da Informação (PSI) à gestão contínua dos controles.


Consultoria especializada

  • Elaboração e revisão da Política de Segurança da Informação conforme ISO/IEC 27001 e 27701;

  • Implementação de controles técnicos e administrativos;

  • Auditorias internas e de conformidade LGPD;

  • Acompanhamento e sustentação de sistemas de gestão certificados.


DPONOTE – Software de Governança e Segurança


O DPONOTE centraliza todas as evidências de governança em um único ambiente, conectando:


  • Gestão de riscos e auditorias ISO e LGPD;

  • Registros de políticas, controles e treinamentos;

  • Planos de ação e monitoramento de incidentes de segurança;

  • Modelos de RoPA, RIPD e LIA integrados às políticas corporativas.


Com ele, a empresa pode documentar, revisar e monitorar sua Política de Segurança da Informação com rastreabilidade total — o que facilita inspeções, auditorias e fiscalizações da ANPD ou de organismos certificadores ISO.


Treinamentos e capacitações









Comentários

Fale Conosco

Ao clicar em enviar, declaro, de forma livre, informada e inequívoca, que autorizo o tratamento de meus dados pessoais pela Mainsafe para a finalidade de realização de contato comercial por um de seus consultores.

Em caso de dúvidas com relação a privacidade de seus dados pessoais, favor entrar em contato com nosso DPO através do e-mail: rodrigo@mainsafe.com.br

Obrigado por enviar!

Mainsafe Soluções

O  futuro do seu negócio começa com a MainSafe!

Copyright © 2019 - Mainsafe
Todos direitos reservados

(31) 9 9359-5962

Avenida Amazonas, 115 - sala 1102 - Centro - Belo Horizonte - MG

CNPJ - 33.601.650/0001-41

Enviar email clique aqui

bottom of page