Field notes

Como Escrever Políticas que as Pessoas Realmente Seguem

Because “In accordance with applicable legal requirements…” is not how humans talk. Therefore, not your policies should not include this.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min de leitura
How to Write Policies People Actually Follow

(Because “In accordance with applicable legal requirements…” is not how humans talk.)

Já viu isto centenas de vezes.A Política de Segurança da Informaçãoque vive no SharePoint e ninguém abre desde 2019.A Política de Utilização Aceitável que começa com “It is strictly forbidden…” e termina com um suspiro.O PDF de 12 páginas que o faz passar na auditoria mas não significa nada para as pessoas que devia orientar.

Sejamos honestos: a maioria das políticas falha não porque as pessoas não se importam, mas porque foram escritas para auditores, não para humanos.

Se o seu objetivo é que as pessoas realmente sigam uma política, e não apenas a reconheçam uma vez por ano, eis como corrigir isso.

1. Lembre-se Por Que Existem as Políticas

Uma política não é um artefacto de conformidade. É uma bússola de decisão.

Existe para garantir que as pessoas agem de forma consistente quando ninguém está a ver.

Quando começa um projeto de política com a frase:

“We need this for ISO,”

já perdeu.

A mentalidade certa é:

“We need this so people stop guessing what’s expected.”

Essa pequena mudança (de focado no auditor para focado no comportamento) muda tudo na forma como escreve, estrutura e mantém as suas políticas.

2. Pare de Escrever para o Auditor

Se a sua primeira frase inclui “in accordance with applicable legal, regulatory, and contractual obligations,” parabéns: acabou de fazer com que toda a gente parasse de ler.

Isso não é clareza, é camuflagem.

Escreva como explicaria a um novo colega no primeiro dia.

  • Use frases curtas.
  • Use verbos ativos.
  • Say “you” or “we,” not “the user” or “the organization.”

Exemplo:

❌ Todos os colaboradores são obrigados a garantir a salvaguarda de informação sensível em conformidade com as obrigações internas e externas.
✅ Proteja os dados sensíveis. Não os partilhe fora da empresa sem aprovação.

Vê? Continua em conformidade. Mas agora parece uma pessoa a falar com outra pessoa.

3. Conheça a Diferença: Política ≠ Procedimento ≠ Processo

Esta confusão arruína metade de todos os projetos de documentação.

Eis a distinção:

NívelFinalidadeExemploPolíticaDefines the rule (the “what”)“All information must be classified before storage.”ProcedimentoExplica como aplicá-la“Use the company’s 4-level classification model.”ProcessoDescreve o fluxo operacional“System automatically tags files by classification level.”

Pare de enfiar procedimentos dentro das políticas.

As políticas dizem-lhe o que fazer, não como clicar no botão.

4. Atribua Responsabilidade ou Veja a Política Morrer

Cada política precisa de um nome associado, alguém responsável por mantê-la viva.

Caso contrário, irá decompor-se lentamente numa pasta partilhada até a próxima auditoria ISO a desenterrar.

Governação mínima viável:

  • Responsável pela Política – mantém o conteúdo atualizado.
  • Aprovador – valida e assina.
  • Frequência de Revisão – geralmente anual, ou sempre que algo muda.

Se uma política não tem um responsável, é um zombie. Existe, mas não está viva.

5. Mantenha-a Curta (Mesmo Curta)

Se a sua Política de Segurança da Informação tem 12 páginas, não é uma política, é um ensaio.

Aponte para uma página por tema.

E em nome da clareza: nada de voz passiva, nada de preenchimento, nada de linguagem jurídica.

Exemplo rápido de reescrita:

❌ “The organization reserves the right to monitor employee internet usage as deemed appropriate.”
✅ “We monitor network activity to keep systems safe. Don’t use corporate internet for personal stuff.”

Uma linha. Clara, transparente, defensável.

6. Dê-lhe um Lugar (e Visibilidade)

As políticas morrem em PDFs.

Dê-lhes vida:

  • Publique-as na intranet.
  • Inclua-as no processo de integração de novos colaboradores.
  • Transforme as regras-chave em infográficos ou publicações no Teams.
  • Faça um pequeno questionário uma vez por ano.

Não se trata de campanhas de sensibilização, trata-se de repetição e visibilidade.

As pessoas não podem seguir o que nunca veem.

7. Utilize o Modelo de Política com 6 Elementos

Esta é a estrutura que usamos em formação e em projetos reais.

Cada boa política deve incluir:

  1. Finalidade – Por que existe.
  2. Âmbito – A quem e ao quê se aplica.
  3. Princípios / Regras – O que deve ser feito.
  4. Responsabilidades – Quem faz o quê.
  5. Exceções / Aplicação – Como tratar os desvios.
  6. Referências – Procedimentos, normas ou orientações associadas.

É tudo.

Sem preâmbulos, sem jargão. Apenas um documento limpo, auditável e legível.

👉 Se o seu modelo de política não inclui esses seis elementos, comece de novo.

8. Torne-a Humana

Se quer que as pessoas sigam as políticas, precisam de se reconhecer nelas.

Use a linguagem delas.

Mostre empatia.

And remember: “tone of voice” is also governance.

Pode ser sério sem ser robótico.

Pode estar em conformidade sem ser aborrecido.

Porque, em última análise, a conformidade não é sobre documentos; é sobre pessoas que fazem a coisa certa quando ninguém está a ver.

9. Guia Rápido de Redação de Políticas

✅ Faça❌ Não FaçaEscreva para humanosEscreva para auditoresMantenha abaixo de 1 páginaCopie e cole texto do ISOUse verbos, não substantivosHide behind “appropriate measures”Atribua responsabilidadeLeave it to “the organization”Reveja todos os anosDeixe apodrecer até à próxima auditoria

10. A Cultura Supera a Conformidade

Pode ter a melhor política do mundo; se os líderes a ignorarem, toda a gente fará o mesmo.

As políticas não impõem a cultura; refletem-na.

Por isso, antes de publicar a sua próxima política, faça a si próprio uma pergunta:

“Would I personally follow this?”

If the answer is “not really,” rewrite it.

Se a sua política precisa de um polícia para funcionar, não é uma política, é uma ameaça.

👇 Conclusão

Escrever políticas que as pessoas realmente seguem não é uma questão de criatividade; é uma questão de clareza, responsabilidade e respeito pelo leitor.

A boa notícia? Pode aprender a estrutura, o tom e o formato que funciona.

É exatamente isso que ensinamos em:

E sim, incluímos um Conjunto de Modelos de Políticas que usamos em projetos reais de consultoria.

👉 Contacte a equipa e junte-se à próxima turma em direto

Quer receber a próxima nota de campo na sua caixa de entrada?

A newsletter The GRC Brief. Cinco ligações e um breve comentário, todas as segundas-feiras às 8h CET. Leitura de três minutos.