(Because “In accordance with applicable legal requirements…” is not how humans talk.)
Já viu isto centenas de vezes.A Política de Segurança da Informaçãoque vive no SharePoint e ninguém abre desde 2019.A Política de Utilização Aceitável que começa com “It is strictly forbidden…” e termina com um suspiro.O PDF de 12 páginas que o faz passar na auditoria mas não significa nada para as pessoas que devia orientar.
Sejamos honestos: a maioria das políticas falha não porque as pessoas não se importam, mas porque foram escritas para auditores, não para humanos.
Se o seu objetivo é que as pessoas realmente sigam uma política, e não apenas a reconheçam uma vez por ano, eis como corrigir isso.
1. Lembre-se Por Que Existem as Políticas
Uma política não é um artefacto de conformidade. É uma bússola de decisão.
Existe para garantir que as pessoas agem de forma consistente quando ninguém está a ver.
Quando começa um projeto de política com a frase:
“We need this for ISO,”
já perdeu.
A mentalidade certa é:
“We need this so people stop guessing what’s expected.”
Essa pequena mudança (de focado no auditor para focado no comportamento) muda tudo na forma como escreve, estrutura e mantém as suas políticas.
2. Pare de Escrever para o Auditor
Se a sua primeira frase inclui “in accordance with applicable legal, regulatory, and contractual obligations,” parabéns: acabou de fazer com que toda a gente parasse de ler.
Isso não é clareza, é camuflagem.
Escreva como explicaria a um novo colega no primeiro dia.
- Use frases curtas.
- Use verbos ativos.
- Say “you” or “we,” not “the user” or “the organization.”
Exemplo:
❌ Todos os colaboradores são obrigados a garantir a salvaguarda de informação sensível em conformidade com as obrigações internas e externas.
✅ Proteja os dados sensíveis. Não os partilhe fora da empresa sem aprovação.
Vê? Continua em conformidade. Mas agora parece uma pessoa a falar com outra pessoa.
3. Conheça a Diferença: Política ≠ Procedimento ≠ Processo
Esta confusão arruína metade de todos os projetos de documentação.
Eis a distinção:
NívelFinalidadeExemploPolíticaDefines the rule (the “what”)“All information must be classified before storage.”ProcedimentoExplica como aplicá-la“Use the company’s 4-level classification model.”ProcessoDescreve o fluxo operacional“System automatically tags files by classification level.”
Pare de enfiar procedimentos dentro das políticas.
As políticas dizem-lhe o que fazer, não como clicar no botão.
4. Atribua Responsabilidade ou Veja a Política Morrer
Cada política precisa de um nome associado, alguém responsável por mantê-la viva.
Caso contrário, irá decompor-se lentamente numa pasta partilhada até a próxima auditoria ISO a desenterrar.
Governação mínima viável:
- Responsável pela Política – mantém o conteúdo atualizado.
- Aprovador – valida e assina.
- Frequência de Revisão – geralmente anual, ou sempre que algo muda.
Se uma política não tem um responsável, é um zombie. Existe, mas não está viva.
5. Mantenha-a Curta (Mesmo Curta)
Se a sua Política de Segurança da Informação tem 12 páginas, não é uma política, é um ensaio.
Aponte para uma página por tema.
E em nome da clareza: nada de voz passiva, nada de preenchimento, nada de linguagem jurídica.
Exemplo rápido de reescrita:
❌ “The organization reserves the right to monitor employee internet usage as deemed appropriate.”
✅ “We monitor network activity to keep systems safe. Don’t use corporate internet for personal stuff.”
Uma linha. Clara, transparente, defensável.
6. Dê-lhe um Lugar (e Visibilidade)
As políticas morrem em PDFs.
Dê-lhes vida:
- Publique-as na intranet.
- Inclua-as no processo de integração de novos colaboradores.
- Transforme as regras-chave em infográficos ou publicações no Teams.
- Faça um pequeno questionário uma vez por ano.
Não se trata de campanhas de sensibilização, trata-se de repetição e visibilidade.
As pessoas não podem seguir o que nunca veem.
7. Utilize o Modelo de Política com 6 Elementos
Esta é a estrutura que usamos em formação e em projetos reais.
Cada boa política deve incluir:
- Finalidade – Por que existe.
- Âmbito – A quem e ao quê se aplica.
- Princípios / Regras – O que deve ser feito.
- Responsabilidades – Quem faz o quê.
- Exceções / Aplicação – Como tratar os desvios.
- Referências – Procedimentos, normas ou orientações associadas.
É tudo.
Sem preâmbulos, sem jargão. Apenas um documento limpo, auditável e legível.
👉 Se o seu modelo de política não inclui esses seis elementos, comece de novo.
8. Torne-a Humana
Se quer que as pessoas sigam as políticas, precisam de se reconhecer nelas.
Use a linguagem delas.
Mostre empatia.
And remember: “tone of voice” is also governance.
Pode ser sério sem ser robótico.
Pode estar em conformidade sem ser aborrecido.
Porque, em última análise, a conformidade não é sobre documentos; é sobre pessoas que fazem a coisa certa quando ninguém está a ver.
9. Guia Rápido de Redação de Políticas
✅ Faça❌ Não FaçaEscreva para humanosEscreva para auditoresMantenha abaixo de 1 páginaCopie e cole texto do ISOUse verbos, não substantivosHide behind “appropriate measures”Atribua responsabilidadeLeave it to “the organization”Reveja todos os anosDeixe apodrecer até à próxima auditoria
10. A Cultura Supera a Conformidade
Pode ter a melhor política do mundo; se os líderes a ignorarem, toda a gente fará o mesmo.
As políticas não impõem a cultura; refletem-na.
Por isso, antes de publicar a sua próxima política, faça a si próprio uma pergunta:
“Would I personally follow this?”
If the answer is “not really,” rewrite it.
Se a sua política precisa de um polícia para funcionar, não é uma política, é uma ameaça.
👇 Conclusão
Escrever políticas que as pessoas realmente seguem não é uma questão de criatividade; é uma questão de clareza, responsabilidade e respeito pelo leitor.
A boa notícia? Pode aprender a estrutura, o tom e o formato que funciona.
É exatamente isso que ensinamos em:
E sim, incluímos um Conjunto de Modelos de Políticas que usamos em projetos reais de consultoria.
