Política de segurança da informação: guia prático com ISO 27001 e ITIL

O que é uma política de segurança da informação

A política não é um manual técnico nem um conjunto de procedimentos detalhados. É o documento de enquadramento que justifica a razão de ser do programa de segurança, define as responsabilidades ao nível da gestão e estabelece as expectativas que se aplicam a todos: colaboradores, gestores, prestadores de serviços e utilizadores externos.

Sem uma política aprovada pela gestão de topo, as iniciativas de segurança ficam sem autoridade formal. As equipas de TI podem implementar controlos técnicos excelentes, mas sem o respaldo de um documento aprovado ao mais alto nível, é difícil exigir o cumprimento por parte de outros departamentos, justificar investimentos ou demonstrar conformidade regulatória.

O papel no ITIL 4: Information Security Management

No ITIL 4, a Information Security Management é uma prática da cadeia de valor dos serviços que tem como objectivo proteger a informação necessária para as organizações conduzirem os seus negócios. A política de segurança da informação é o documento fundacional desta prática: define o âmbito, os princípios orientadores e as responsabilidades que as restantes actividades e procedimentos de segurança devem respeitar.

A prática articula-se com a gestão de riscos de TI, que fornece a avaliação de riscos que justifica as decisões da política, e com a resposta a incidentes de segurança, que define o que fazer quando a política não é suficiente para prevenir um incidente.

Política vs. norma vs. procedimento vs. orientação

A hierarquia documental de segurança tem quatro níveis, cada um com um propósito distinto:

• Política: intenção e princípios de alto nível, aprovada pela gestão de topo, muda raramente. Exemplo: "Todos os acessos a sistemas críticos requerem autenticação forte."
• Norma (standard): define requisitos específicos e mensuráveis para implementar a política. Exemplo: "A autenticação forte é definida como MFA com TOTP ou chave de segurança física."
• Procedimento: instruções passo a passo para executar uma tarefa. Exemplo: "Procedimento de configuração de MFA no sistema X."
• Orientação (guideline): recomendações não obrigatórias que complementam os procedimentos. Exemplo: "Orientações para escolha de aplicações TOTP aprovadas."

A confusão entre estes níveis é comum e resulta em políticas demasiado técnicas e difíceis de manter, ou em procedimentos tão genéricos que não conseguem guiar a acção. A política deve poder ser lida e compreendida por qualquer colaborador, independentemente do nível técnico.

Estrutura de uma política de segurança

Uma política de segurança da informação bem estruturada cobre quatro dimensões fundamentais: o âmbito (a quem e ao quê se aplica), os objectivos (o que pretende alcançar), os princípios (os valores que orientam as decisões), e as responsabilidades (quem responde pelo quê).

Âmbito

O âmbito define claramente quem e o quê está abrangido pela política. Uma definição imprecisa cria lacunas: prestadores de serviços externos com acesso a sistemas internos que se consideram fora do âmbito, ou sistemas em cloud que ficam sem enquadramento porque a política foi escrita quando a infraestrutura era toda on-premise.

Um âmbito bem definido inclui: todas as pessoas com acesso a informação ou sistemas da organização (colaboradores, prestadores, parceiros), todos os tipos de informação tratada (independentemente do suporte: digital, papel, verbal), e todos os sistemas e infraestruturas que processam ou armazenam essa informação.

Objectivos

Os objectivos traduzem a intenção de alto nível em metas concretas. Uma boa política inclui objectivos como:

• Proteger a informação contra acesso, divulgação, alteração ou destruição não autorizados
• Garantir a continuidade operacional e a disponibilidade dos sistemas críticos
• Cumprir as obrigações legais e regulatórias aplicáveis (RGPD, NIS2, requisitos sectoriais)
• Gerir os riscos de segurança de forma proporcional ao impacto potencial
• Promover uma cultura de segurança em toda a organização

Princípios

Os princípios são as regras de alto nível que orientam todas as decisões de segurança. Exemplos de princípios que devem constar numa política sólida:

• Mínimo privilégio: os acessos são concedidos apenas na medida necessária para o desempenho das funções
• Necessidade de saber: a informação confidencial é partilhada apenas com quem tem necessidade de acesso para desempenhar as suas funções
• Defesa em profundidade: a segurança não depende de um único controlo, mas de múltiplas camadas complementares
• Responsabilidade individual: cada utilizador é responsável pela segurança dos activos a que acede
• Melhoria contínua: os controlos de segurança são avaliados e melhorados regularmente com base nos riscos identificados

Responsabilidades

Esta é frequentemente a secção mais subdesenvolvida nas políticas de segurança, com consequências directas na eficácia do programa. A política deve definir explicitamente as responsabilidades de:

• Gestão de topo: aprovação da política, atribuição de recursos, demonstração de compromisso visible
• CISO / responsável de segurança: desenvolvimento e manutenção da política, supervisão da implementação, reporte à gestão
• Responsáveis de activos de informação: classificação da informação sob a sua responsabilidade, aplicação dos controlos adequados
• Departamento de TI: implementação e manutenção dos controlos técnicos, gestão dos sistemas de acordo com a política
• Todos os colaboradores: cumprimento da política, reporte de incidentes de segurança, participação em formação obrigatória
• Prestadores e parceiros externos: cumprimento dos requisitos de segurança aplicáveis, comunicação de incidentes que afectem a organização

Componentes essenciais da política

Para além da estrutura de base, uma política de segurança abrangente deve cobrir os seguintes domínios. Cada um pode ser tratado directamente na política principal ou remeter para políticas específicas (um modelo de política-mãe com políticas-filha).

Além destes domínios centrais, uma política abrangente deve cobrir também: segurança no desenvolvimento de software, gestão de fornecedores e cadeia de abastecimento, segurança em cloud, gestão de vulnerabilidades, criptografia, e formação e consciencialização em segurança.

Alinhamento com ISO 27001

A ISO 27001 é a norma internacional para Sistemas de Gestão de Segurança da Informação (SGSI). A política de segurança da informação é explicitamente requerida pela cláusula 5.2 da norma, como uma das primeiras responsabilidades da gestão de topo.

O que exige a ISO 27001 à política

A cláusula 5.2 da ISO 27001:2022 estabelece que a gestão de topo deve estabelecer uma política de segurança da informação que:

• Seja adequada ao propósito da organização
• Inclua objectivos de segurança da informação ou forneça o enquadramento para o seu estabelecimento
• Inclua um compromisso de satisfazer os requisitos aplicáveis relacionados com a segurança da informação
• Inclua um compromisso de melhoria contínua do SGSI

Adicionalmente, a norma requer que a política seja disponibilizada como informação documentada, comunicada a toda a organização, e disponibilizada às partes interessadas relevantes.

A política como documento vivo do SGSI

No contexto do SGSI segundo a ISO 27001, a política de segurança da informação não está isolada. Relaciona-se directamente com:

• Contexto da organização (cláusula 4): a política deve reflectir os factores internos e externos relevantes para a segurança da informação identificados na análise de contexto
• Avaliação de riscos (cláusula 6): a política define a apetência ao risco da organização, que orienta o processo de avaliação e tratamento de riscos. A gestão de riscos de TI implementa este processo
• Controlos do Anexo A: os 93 controlos do Anexo A da ISO 27001:2022 (agrupados em 4 temas: organizacionais, pessoas, físicos e tecnológicos) são a implementação prática do que a política estabelece em termos de princípios
• Avaliação de desempenho (cláusula 9): a política define os objectivos face aos quais o desempenho é avaliado nas auditorias internas e revisões pela gestão

Estrutura de políticas num SGSI ISO 27001

Muitas organizações adoptam uma estrutura de políticas em dois níveis para a ISO 27001:

• Política de segurança da informação (documento-mãe): define os princípios, responsabilidades e compromissos de alto nível. Aprovada pela gestão de topo, relativamente estável.
• Políticas temáticas (documentos-filha): cobrem domínios específicos como controlo de acessos, criptografia, segurança física, desenvolvimento seguro, gestão de incidentes, etc. Mais detalhadas e actualizadas com maior frequência.

Esta estrutura facilita a manutenção: a política-mãe muda raramente, enquanto as políticas temáticas podem ser actualizadas quando há mudanças tecnológicas ou regulatórias sem necessitar de reaprovação completa ao nível da gestão de topo.

Requisitos NIS2 para políticas de segurança

A Directiva NIS2 (Network and Information Security Directive 2), transposta para o direito português, estabelece obrigações de cibersegurança para um conjunto alargado de entidades essenciais e importantes. A política de segurança da informação é explicitamente mencionada como requisito.

Artigo 21, medida 1: políticas de segurança

O Art. 21 da NIS2 exige que as entidades abrangidas implementem medidas técnicas, operacionais e organizativas adequadas e proporcionais para gerir os riscos para a segurança dos sistemas de redes e de informação. A primeira das medidas listadas (alínea a) é:

"Políticas de segurança dos sistemas de informação e de análise dos riscos"

Esta exigência significa que as organizações abrangidas pelo NIS2 devem ter políticas documentadas, aprovadas e implementadas para a segurança dos seus sistemas e redes. Não é suficiente ter práticas de segurança não documentadas, por mais robustas que sejam tecnicamente.

Quem está abrangido pelo NIS2

O NIS2 expandiu significativamente o âmbito do NIS original. As organizações abrangidas incluem entidades nos sectores de:

• Entidades essenciais: energia, transportes, banca, infraestruturas de mercados financeiros, saúde, água potável e residual, infraestruturas digitais, gestão de serviços TIC, espaço, administração pública
• Entidades importantes: serviços postais e de courier, gestão de resíduos, fabricação de produtos críticos (medicamentos, dispositivos médicos, químicos, alimentos), prestadores de serviços digitais, investigação

Em geral, as obrigações aplicam-se a organizações com mais de 50 colaboradores ou volume de negócios superior a 10 milhões de euros nos sectores referidos, mas existem excepções para infraestruturas críticas independentemente da dimensão.

O que a política deve cobrir para conformidade NIS2

Para cumprimento do NIS2, a política de segurança deve enquadrar as restantes medidas do Art. 21, que incluem:

• Gestão de incidentes (análise, resposta e recuperação)
• Continuidade das actividades e gestão de crises
• Segurança da cadeia de abastecimento
• Segurança na aquisição, desenvolvimento e manutenção de sistemas
• Avaliação da eficácia das medidas de gestão do risco
• Higiene informática e formação em cibersegurança
• Criptografia e, se adequado, encriptação
• Segurança dos recursos humanos, controlo de acessos e gestão de activos
• Autenticação multi-factor e comunicações seguras

A política deve ser suficientemente abrangente para demonstrar que a organização tem um enquadramento formal para todas estas áreas, mesmo que o detalhe esteja em políticas e procedimentos específicos.

RGPD e segurança da informação

O RGPD (Regulamento Geral sobre a Protecção de Dados) não exige explicitamente uma política de segurança da informação com esse nome, mas exige, no Artigo 32, que os responsáveis pelo tratamento e subcontratantes implementem medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco.

Artigo 32: medidas técnicas e organizativas

O Art. 32 do RGPD lista, de forma não exaustiva, medidas que podem ser adequadas:

• Pseudonimização e cifragem dos dados pessoais
• Capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento
• Capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais em tempo útil após um incidente
• Processo de avaliação regular da eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento

A política de segurança da informação é precisamente uma das "medidas organizativas" exigidas pelo Art. 32. Organizações que processam dados pessoais em larga escala ou que tratam categorias especiais de dados devem ter políticas documentadas que demonstrem a sua abordagem à segurança desses dados.

A intersecção entre segurança e privacidade

A segurança da informação e a protecção de dados pessoais têm objectivos complementares mas distintos. A segurança da informação protege todos os activos de informação da organização; a protecção de dados foca-se especificamente nos dados pessoais e nos direitos dos titulares.

Na prática, a política de segurança da informação deve fazer referência explícita ao RGPD e aos requisitos de protecção de dados, e articula-se com a política de privacidade e protecção de dados da organização. Em muitas organizações, os dois documentos são desenvolvidos em conjunto pelo CISO e pelo DPO (Data Protection Officer), para garantir coerência.

Violações de dados e o papel da política

Em caso de violação de dados pessoais, o Art. 33 do RGPD exige notificação à autoridade de controlo (CNPD em Portugal) no prazo de 72 horas. A existência de uma política de segurança documentada e implementada é um factor que as autoridades de supervisão consideram ao avaliar se a organização adoptou medidas adequadas e ao calcular eventuais coimas. Uma política bem implementada não previne sanções em caso de violação, mas demonstra boa fé e diligência razoável.

Como implementar: passos práticos

A implementação de uma política de segurança da informação segue uma sequência lógica que começa antes de escrever uma única linha do documento. O erro mais comum é começar pela escrita sem ter feito o trabalho de base.

A governança de TI fornece o enquadramento de tomada de decisão e supervisão que suporta o ciclo de vida da política de segurança. Sem estruturas de governança adequadas, a revisão e manutenção da política tende a ser negligenciada após a aprovação inicial.

Erros comuns na implementação

A maioria dos problemas com políticas de segurança não são técnicos: são organizacionais, de comunicação ou de manutenção. Os erros seguintes são observados repetidamente em organizações de diferentes dimensões e sectores.

Política genérica copiada sem adaptação

Utilizar um template genérico disponível online ou retirado de outra organização sem adaptação ao contexto próprio produz um documento que pode impressionar em papel mas que não reflecte a realidade da organização. Uma política que menciona controlos ou sistemas que a organização não usa, ou que omite riscos específicos do seu sector, perde credibilidade e não orienta as decisões reais.

Aprovação sem compromisso real

A assinatura de um documento pela gestão de topo é necessária mas não suficiente. Quando a gestão aprova a política mas depois ignora as suas implicações (ex: solicita que as regras sejam contornadas por conveniência, não participa em formação, não atribui recursos para implementação), envia uma mensagem clara a toda a organização: a política é apenas um exercício de conformidade formal, não um compromisso real.

Requisitos não executáveis

Uma política que exige requisitos impossíveis de cumprir no contexto real da organização gera incumprimento generalizado e eventual abandono prático do documento. Se a política exige passwords de 20 caracteres mudadas mensalmente e os sistemas legacy não suportam passwords tão longas, ou se o requisito de MFA não tem orçamento para ser implementado, o resultado é a política ser ignorada mesmo por quem quer cumprir.

Ausência de consequências para incumprimento

A política deve ser clara sobre as consequências do incumprimento: desde advertência disciplinar até cessação de contrato, dependendo da gravidade. Sem consequências definidas e aplicadas de forma consistente, a política é percepcionada como opcional. A aplicação das consequências deve ser proporcional, consistente e documentada para evitar percepções de tratamento arbitrário.

Política desactualizada

Uma política aprovada em 2020 e nunca revista é frequentemente desadequada à realidade de 2026: o trabalho remoto generalizou-se, a cloud tornou-se central, surgiram novos requisitos regulatórios (NIS2), as ameaças evoluíram. Manter uma política desactualizada pode ser mais perigoso do que não ter política, porque cria uma falsa sensação de conformidade.

Silos entre segurança e privacidade

Em muitas organizações, as equipas de segurança da informação e de protecção de dados (RGPD) trabalham separadamente, desenvolvendo políticas com requisitos inconsistentes ou até contraditórios. A articulação entre CISO e DPO na elaboração e revisão das políticas evita este problema e produz um enquadramento coerente.

Métricas e revisão da política

Uma política de segurança deve poder ser avaliada: não apenas quanto à sua existência, mas quanto à sua efectividade na prática. Métricas bem definidas permitem demonstrar à gestão o valor do programa de segurança e identificar áreas de melhoria antes que se traduzam em incidentes.

Métricas de cobertura e conformidade

• Taxa de confirmação de leitura da política: percentagem de colaboradores que confirmaram ter lido e compreendido a política (alvo: 100%, monitorizado por departamento)
• Taxa de conclusão de formação obrigatória: percentagem de colaboradores que completaram a formação anual de segurança dentro do prazo
• Cobertura de revisão de acessos: percentagem de acessos a sistemas críticos revistos e validados no último ciclo trimestral
• Conformidade com política de passwords: medida através de auditorias técnicas e ferramentas de gestão de identidade

Métricas de eficácia dos controlos

• Número e severidade de incidentes de segurança: tendência ao longo do tempo, classificados por tipo e origem
• Tempo médio de detecção de incidentes (MTTD): quanto tempo decorre entre o início do incidente e a sua detecção
• Tempo médio de resposta (MTTR): desde a detecção até à contenção e resolução
• Resultados de testes de phishing simulado: percentagem de colaboradores que clicaram em links de phishing simulado, com tendência de melhoria após formação
• Vulnerabilidades identificadas e tempo de remediação: por criticidade, com SLA definido na política

O processo de revisão anual

A revisão anual da política não é apenas uma actualização de datas. Deve responder a perguntas concretas:

• Houve incidentes de segurança que revelaram lacunas na política? O que deve ser ajustado?
• Mudaram as obrigações legais ou regulatórias? A política reflecte as exigências actuais do RGPD, NIS2 e outras normas aplicáveis?
• Mudou a infraestrutura tecnológica de forma relevante? A política cobre os novos sistemas, serviços cloud ou modalidades de trabalho?
• Mudou o perfil de risco da organização? Novos produtos, mercados, ou tipos de dados processados?
• As métricas de conformidade mostram problemas sistémicos que a política deve endereçar mais explicitamente?

Os resultados da revisão devem ser documentados e apresentados à gestão de topo. Mesmo que o texto da política não mude significativamente, o registo do processo de revisão é evidência de conformidade para auditorias ISO 27001 e para demonstrar cumprimento do NIS2.