Capa do Ebook gratuito Governança de Segurança da Informação na Prática (ISO 27001/27002 sem burocracia)

Governança de Segurança da Informação na Prática (ISO 27001/27002 sem burocracia)

Novo curso

19 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Políticas, padrões e procedimentos como sistema operacional de segurança

Capítulo 2

Tempo estimado de leitura: 13 minutos

+ Exercício

O que são políticas, padrões e procedimentos (e por que isso vira o “sistema operacional” da segurança)

Em segurança da informação, é comum ver controles bem escolhidos, ferramentas compradas e auditorias planejadas, mas o dia a dia continuar inconsistente: cada área faz de um jeito, decisões dependem de pessoas específicas e o risco “volta” quando alguém sai de férias ou muda de função. Políticas, padrões e procedimentos existem para resolver exatamente isso: transformar intenção em execução repetível.

Pense nesse conjunto como um sistema operacional: ele define como a organização “inicializa”, “executa” e “mantém” a segurança funcionando de forma previsível. Sem esse sistema, a segurança vira uma coleção de iniciativas isoladas. Com ele, as decisões ficam claras, os times sabem o que fazer e a organização consegue medir aderência e corrigir desvios.

De forma prática, a hierarquia costuma ser:

  • Política: define o que é obrigatório e por quê, em linguagem de negócio. É a regra-mãe, com princípios e diretrizes. Ex.: “A organização deve proteger informações conforme sua classificação e garantir acesso mínimo necessário”.
  • Padrão: traduz a política em requisitos técnicos ou de configuração, com parâmetros objetivos. Ex.: “Senhas devem ter no mínimo 14 caracteres e MFA é obrigatório para acesso remoto”.
  • Procedimento: descreve o passo a passo de como executar uma atividade para cumprir política e padrão. Ex.: “Como solicitar acesso a um sistema”, “Como revogar acesso de desligados”, “Como aplicar patch emergencial”.

Há ainda documentos complementares que ajudam a operar: diretrizes (recomendações), guias (boas práticas), runbooks (roteiros operacionais para incidentes), modelos (templates) e checklists (verificações). Eles não substituem política/padrão/procedimento, mas reduzem ambiguidade e aceleram execução.

Como esse sistema se conecta ao trabalho real (sem virar burocracia)

O objetivo não é produzir documentos “para auditoria”, e sim criar um mecanismo que:

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo
  • Padroniza decisões: reduz discussões repetidas (“pode usar pendrive?”, “qual criptografia?”) porque a resposta já está definida.
  • Reduz risco operacional: atividades críticas deixam de depender de memória ou improviso.
  • Acelera onboarding: novos colaboradores aprendem o “jeito certo” com menos tentativa e erro.
  • Facilita evidências: quando existe procedimento e registro, fica mais simples demonstrar conformidade e rastreabilidade.
  • Permite medir aderência: dá para auditar amostras, checar logs e comparar com o que foi definido.

Para não virar burocracia, a regra é: documento só existe se for usado. Se ninguém consulta, se não está integrado ao fluxo de trabalho, ou se é impossível cumprir, ele vira ruído. O “sistema operacional” de segurança precisa ser leve, encontrável e aplicável.

Exemplo prático: política vs. padrão vs. procedimento

Cenário: acesso administrativo a servidores.

  • Política: “Acesso privilegiado deve ser controlado, rastreável e concedido apenas quando necessário.”
  • Padrão: “Admins devem usar contas nominativas; é proibido compartilhar credenciais; MFA obrigatório; sessões administrativas devem ser registradas; acesso via bastion/jump server.”
  • Procedimento: “Como solicitar perfil admin temporário; como aprovar; como habilitar; como registrar ticket; como revisar logs; como revogar após X horas.”

Note que a política não fala de bastion nem de MFA; ela define o princípio. O padrão define os requisitos verificáveis. O procedimento ensina a executar.

Características de documentos que funcionam

1) Clareza e testabilidade

Uma boa política evita frases vagas como “usar senhas fortes” e prefere “senhas com no mínimo 14 caracteres e MFA obrigatório”. Sempre que possível, escreva de modo que alguém consiga responder: “isso está sendo cumprido?” com base em evidência.

2) Escopo explícito

Defina para quem e para o quê vale. Ex.: “aplica-se a colaboradores, terceiros e prestadores com acesso a dados corporativos, em dispositivos corporativos e pessoais quando usados para trabalho”. Sem escopo, surgem exceções informais.

3) Dono e ciclo de revisão

Todo documento precisa de um responsável (owner) e uma cadência de revisão (por exemplo, anual ou quando houver mudança relevante). Sem isso, o conteúdo envelhece e passa a ser ignorado.

4) Integração com processos e ferramentas

Se o procedimento diz “abrir chamado”, mas o time usa mensagens informais, a execução real não segue o texto. Ajuste o documento ao fluxo real ou ajuste o fluxo para refletir o documento. O ideal é que o procedimento aponte para o caminho mais curto e natural.

5) Exceções controladas

Exceções sempre existirão (legado, urgência, restrições técnicas). O problema é exceção virar regra. Defina um mecanismo simples: quem aprova, por quanto tempo, quais compensações e como registrar.

Estrutura mínima recomendada (templates práticos)

Template de política (enxuto)

  • Objetivo: por que existe.
  • Escopo: quem/onde se aplica.
  • Princípios e regras: obrigações de alto nível.
  • Papéis e responsabilidades: quem faz o quê (sem desenhar organograma).
  • Exceções: como solicitar e aprovar.
  • Conformidade: consequências de descumprimento (linguagem corporativa, sem ameaças).
  • Referências: padrões e procedimentos relacionados.

Template de padrão (verificável)

  • Objetivo e escopo
  • Requisitos: parâmetros, configurações, versões mínimas, algoritmos, prazos.
  • Critérios de aceitação: como validar (ex.: evidência em log, configuração, relatório).
  • Exceções: condições e compensações.

Template de procedimento (executável)

  • Quando usar: gatilhos (ex.: novo colaborador, desligamento, incidente).
  • Pré-requisitos: acessos, ferramentas, aprovações.
  • Passo a passo: numerado, com decisões (se/então).
  • Registros: o que salvar como evidência (ticket, log, checklist).
  • Tempo alvo: SLA interno quando fizer sentido.
  • Erros comuns: para reduzir retrabalho.

Passo a passo para construir o “sistema operacional” de segurança

Passo 1: Levantar os temas essenciais (sem tentar cobrir tudo)

Comece pelos temas que mais geram risco e inconsistência. Uma lista inicial comum:

  • Controle de acesso (provisionamento, revisão, desligamento)
  • Uso aceitável e trabalho remoto
  • Classificação e manuseio de informação
  • Criptografia e gestão de chaves
  • Gestão de vulnerabilidades e patches
  • Backup e restauração
  • Gestão de incidentes
  • Gestão de mudanças (mudanças em produção)
  • Segurança em endpoints (hardening, EDR, BYOD)
  • Segurança em nuvem (configuração mínima, logging)
  • Terceiros (acesso, requisitos contratuais, onboarding/offboarding)

Critério prático: escolha 5 a 8 temas para o primeiro ciclo, priorizando onde há mais incidentes, auditorias recorrentes, dados sensíveis ou dependência de pessoas específicas.

Passo 2: Definir a hierarquia e o mapa de documentos

Crie um mapa simples: para cada tema, qual política existe, quais padrões a suportam e quais procedimentos operacionais são necessários. Exemplo:

  • Tema: Controle de acesso
    • Política: Política de Controle de Acesso
    • Padrões: MFA; Senhas; Privilégios; Acesso remoto
    • Procedimentos: Solicitar acesso; Aprovar; Revisão trimestral; Revogar no desligamento

Esse mapa evita duplicidade e ajuda a manter consistência entre documentos.

Passo 3: Escrever políticas com linguagem de negócio e poucas regras

Política não é manual técnico. Limite a 1–3 páginas quando possível. Foque em obrigações e princípios. Exemplo de regras bem escritas:

  • “A organização deve manter inventário de ativos de informação relevantes para o negócio.”
  • “Acesso a dados sensíveis deve ser concedido por necessidade e revisado periodicamente.”
  • “Incidentes de segurança devem ser reportados imediatamente pelos canais definidos.”

Evite: “todos devem seguir boas práticas”, “deve-se ter cuidado”, “sempre que possível”. Se precisar de flexibilidade, use mecanismo de exceção, não ambiguidade.

Passo 4: Criar padrões com parâmetros objetivos (e alinhados à capacidade real)

Padrões precisam ser auditáveis e implementáveis. Antes de publicar, valide com quem opera (infra, cloud, dev, service desk). Exemplos de requisitos objetivos:

  • Logging: “Sistemas críticos devem enviar logs para repositório central; retenção mínima de 180 dias; sincronização NTP obrigatória.”
  • Criptografia: “Dados em trânsito devem usar TLS 1.2+; chaves devem ser rotacionadas a cada 12 meses ou em caso de suspeita.”
  • Vulnerabilidades: “Correções críticas devem ser aplicadas em até 15 dias; altas em até 30 dias, salvo exceção aprovada.”

Se a organização hoje não consegue cumprir um prazo, não publique um padrão “ideal” inalcançável. Ajuste para um patamar realista e crie um plano de evolução (isso pode ficar em backlog, não necessariamente no padrão).

Passo 5: Transformar atividades recorrentes em procedimentos curtos e com evidência

Procedimentos devem ser escritos para quem executa. Use passos numerados e inclua o que registrar. Exemplo de procedimento enxuto: revogação de acesso por desligamento.

Procedimento: Revogação de acessos (desligamento) - versão 1.0 1) Receber notificação de desligamento via RH (ticket obrigatório). 2) Identificar usuário e data/hora efetiva do desligamento. 3) Até a hora efetiva: a) Desabilitar conta no diretório corporativo. b) Revogar sessões ativas e tokens. c) Remover de grupos privilegiados. 4) Em até 24h: a) Revogar acessos em sistemas críticos (lista anexa). b) Recolher/invalidar credenciais físicas (se aplicável). 5) Registrar evidências no ticket: prints/IDs de ações, horário, responsável. 6) Se houver exceção (ex.: transição), abrir solicitação de exceção com prazo e aprovador.

Note que o procedimento inclui evidência (ticket, IDs, horário). Isso reduz discussões e facilita auditoria.

Passo 6: Definir mecanismo de exceção e “compensações”

Exceção é um processo, não um favor. Um modelo simples de exceção:

  • O que será exceção (qual requisito não será atendido)
  • Por quê (justificativa técnica/negócio)
  • Risco (impacto e probabilidade, mesmo que qualitativo)
  • Compensações (controles alternativos: monitoramento extra, restrição de rede, prazo menor)
  • Prazo (data de expiração obrigatória)
  • Aprovadores (dono do sistema + segurança; em casos críticos, liderança)

Exemplo: um sistema legado não suporta TLS 1.2. Compensações possíveis: isolar em rede, permitir apenas IPs específicos, monitorar tráfego, plano de substituição com data.

Passo 7: Publicar onde as pessoas realmente encontram

Se o repositório é difícil de acessar, ninguém usa. Regras práticas:

  • Um local único e oficial (wiki corporativa, repositório de documentos, portal interno).
  • URLs estáveis e busca fácil.
  • Versão e data visíveis.
  • Documentos relacionados linkados (política aponta para padrões; padrões apontam para procedimentos).

Para procedimentos operacionais, vale manter também versões “coladas” no fluxo (ex.: link no catálogo de serviços, link no formulário de solicitação, link no runbook do time).

Passo 8: Treinar por cenário e por função (microtreinos)

Em vez de treinamento genérico, use cenários do dia a dia:

  • Service desk: “como validar identidade antes de resetar senha”
  • Gestores: “como aprovar acesso e revisar permissões”
  • DevOps: “padrão de logging e retenção; como habilitar”
  • Usuários finais: “classificação e compartilhamento seguro”

O objetivo é reduzir erro operacional e aumentar aderência. Treino curto, repetível e ligado ao procedimento.

Passo 9: Medir aderência com checagens simples

Sem métricas, o sistema operacional vira papel. Exemplos de checagens práticas:

  • Amostra mensal de tickets de acesso: houve aprovação? justificativa? prazo? revogação?
  • Relatório de MFA: % de contas com MFA habilitado por tipo de acesso.
  • Patch compliance: % dentro do prazo por criticidade.
  • Backups: testes de restauração executados e registrados.

Essas medições alimentam ajustes nos padrões/procedimentos e ajudam a identificar gargalos (ex.: falta de automação, falta de dono, ferramenta inadequada).

Como evitar armadilhas comuns

Armadilha 1: Política detalhista demais

Quando a política vira manual técnico, ela envelhece rápido e cria conflito com padrões. Deixe detalhes em padrões e procedimentos. Política deve sobreviver a mudanças de tecnologia.

Armadilha 2: Padrões impossíveis de cumprir

Se o padrão exige algo que a organização não consegue implementar, ele cria não conformidade permanente. Ajuste para um nível mínimo viável e evolua com revisões.

Armadilha 3: Procedimentos longos e sem decisão

Procedimento com 10 páginas raramente é seguido. Prefira passos curtos, com “se/então”, e anexe detalhes técnicos como referência (ex.: comandos) quando necessário.

Armadilha 4: Falta de evidência

Se o procedimento não diz o que registrar, cada pessoa registra de um jeito ou não registra. Inclua sempre “Registros/Evidências” e padronize (ticket, checklist, log).

Armadilha 5: Exceções informais

Exceção por e-mail ou mensagem vira brecha permanente. Centralize exceções, defina expiração e cobre compensações.

Exemplos de conjuntos de documentos por tema (prontos para adaptar)

1) Classificação e manuseio de informação

  • Política: define níveis (ex.: Público, Interno, Confidencial, Restrito) e obrigações gerais.
  • Padrões: rotulagem em documentos; armazenamento permitido por nível; compartilhamento externo; retenção e descarte.
  • Procedimentos: como classificar um documento; como solicitar compartilhamento externo; como descartar mídia com segurança.

Exemplo prático: um padrão pode definir que “Restrito” só pode ser armazenado em repositórios corporativos com MFA e criptografia, e é proibido enviar por e-mail sem criptografia.

2) Gestão de vulnerabilidades e patches

  • Política: obriga varreduras periódicas e correção conforme criticidade.
  • Padrões: janelas de patch; SLAs por severidade; exceções; requisitos mínimos de hardening.
  • Procedimentos: como interpretar relatório; como priorizar; como aplicar patch; como validar e registrar; como tratar falso positivo.

Inclua no procedimento um passo de validação pós-patch (serviço subiu? monitoramento ok?) e o registro do change/ticket.

3) Acesso remoto e trabalho híbrido

  • Política: define que acesso remoto deve ser protegido e autorizado.
  • Padrões: VPN/ZTNA; MFA; postura do dispositivo (antivírus/EDR, disco criptografado); bloqueio de tela; proibição de redes inseguras sem túnel.
  • Procedimentos: como solicitar acesso remoto; como configurar; como revogar; como tratar perda de dispositivo.

Checklist de qualidade antes de publicar um documento

  • Está claro quem é o público-alvo?
  • O texto tem requisitos testáveis (especialmente nos padrões)?
  • Existe procedimento para as atividades que mais geram erro?
  • Há um owner e uma data de revisão?
  • O documento aponta para registros/evidências?
  • Exceções têm fluxo, aprovadores e expiração?
  • O conteúdo reflete o que é possível executar hoje?
  • Está fácil de encontrar e com links para documentos relacionados?

Mini-biblioteca inicial (enxuta) para começar em 30 dias

Uma forma prática de iniciar é montar um conjunto mínimo que cubra o essencial e gere tração:

  • Políticas (3): Controle de Acesso; Classificação/Manuseio; Gestão de Incidentes.
  • Padrões (6–10): MFA e autenticação; Senhas; Privilégios; Logging e retenção; Patches e vulnerabilidades; Backup e restauração; Criptografia; Acesso remoto; Hardening básico; Terceiros (requisitos mínimos).
  • Procedimentos (8–12): Solicitar acesso; Aprovar acesso; Revisão periódica; Offboarding; Reset de senha com verificação; Patch emergencial; Teste de restauração; Registro e triagem de incidente; Comunicação de incidente; Solicitar exceção; Onboarding de terceiro; Revogação de acesso de terceiro.

O foco é cobrir fluxos que acontecem toda semana (acessos, desligamentos, incidentes, patches). Isso faz o “sistema operacional” entrar em funcionamento rapidamente e cria base para expandir com segurança.

Agora responda o exercício sobre o conteúdo:

Qual opção descreve corretamente a função de política, padrão e procedimento na hierarquia de governança de segurança da informação?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Política estabelece o que é obrigatório e o porquê; padrão transforma isso em requisitos técnicos objetivos e auditáveis; procedimento descreve como executar a atividade para cumprir política e padrão de forma repetível.

Próximo capitúlo

Papéis, responsabilidades e modelo de decisão em segurança da informação

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store