Investimentos em ferramentas, projetos iniciados e abandonados, iniciativas sobrepostas, equipes sem prioridade clara — é o que acontece quando uma organização cuida da segurança da informação sem um plano diretor. O PDSI é o documento que muda isso: define onde a organização está, onde precisa chegar e o caminho para chegar lá — com prioridades aprovadas pela liderança, recursos alocados e responsáveis definidos.
Quem conduz o projeto
Controles técnicos sem estratégia protegem o que está na frente — não o que é crítico. O PDSI é o instrumento que garante que cada investimento em segurança da informação seja deliberado, priorizado e alinhado com os objetivos do negócio.
Uma avaliação de riscos identifica o que está exposto. O PDSI vai além: define o que a organização vai fazer a respeito, em qual ordem, com qual recurso e em qual prazo. É a diferença entre ter um mapa e ter um itinerário.
Liderança que aprova um PDSI sabe exatamente o que está sendo construído em segurança da informação, por que cada iniciativa foi priorizada e qual é o nível de risco residual aceito. Isso é governança real — não aprovação de orçamento às cegas.
Com o PDSI aprovado, o CISO para de disputar orçamento com argumentos de ameaça e começa a executar um plano sancionado pela liderança. Cada investimento tem justificativa documentada no plano — o que elimina o desgaste de justificar cada iniciativa individualmente.
O PDSI não é elaborado no vácuo técnico — parte dos objetivos de negócio, das obrigações regulatórias e do apetite a risco da organização. Uma empresa em expansão tem prioridades diferentes de uma empresa em consolidação. Uma fintech em homologação tem urgências diferentes de uma indústria estabelecida.
O PDSI é o documento estratégico que antecede e orienta a implantação de sistemas de gestão ISO 27001, 22301, 27701 e 42001. Organizações que chegam à certificação com um PDSI claro implantam com mais eficiência e constroem sistemas de gestão mais robustos.
Um PDSI bem estruturado inclui indicadores de progresso e marcos de entrega — o que permite à liderança acompanhar a evolução da maturidade de segurança ao longo do tempo e ao CISO prestar contas com objetividade. Sem isso, segurança da informação é sempre uma promessa, nunca um resultado mensurável.
Conduzimos o diagnóstico, a avaliação de riscos e a construção do PDSI — com toda a documentação e os relatórios executivos. Para os controles técnicos que compõem o roadmap do plano, orientamos a equipe de TI do cliente na execução e, quando necessário, elaboramos as RFPs para contratação de soluções.
O PDSI não é um documento produzido em isolamento — é construído em diálogo com a liderança e com as equipes técnicas, e sua efetividade depende de ser aprovado e internalizado pela organização, não apenas arquivado.
Avaliação do estado atual da segurança da informação na organização — políticas existentes, controles implantados, processos operacionais, estrutura de governança e histórico de incidentes. A avaliação é conduzida frente a um framework de referência — NIST CSF 2.0 ou CIS Controls — e produz um perfil de maturidade por domínio que serve de linha de base para todo o plano.
NIST CSF 2.0 · CIS Controls · Linha de baseIdentificação dos riscos mais relevantes para os objetivos de negócio da organização — com avaliação de probabilidade e impacto em linguagem executiva. Análise do contexto: objetivos estratégicos, obrigações regulatórias, dependências críticas de TI, apetite a risco da liderança e eventos relevantes do setor. O plano só faz sentido se partir da realidade do negócio, não de um template genérico.
ISO 27005 · Contexto de negócio · Apetite a riscoComparação entre a maturidade atual e o nível de maturidade-alvo definido com a liderança — identificando as lacunas mais críticas e as iniciativas com maior potencial de redução de risco por esforço investido. A análise considera também obrigações regulatórias pendentes, exigências de clientes e parceiros e tendências do setor.
Gap analysis · Maturidade-alvo · PriorizaçãoDefinição das iniciativas que compõem o PDSI — organizadas em horizontes de curto (até 12 meses), médio (12 a 24 meses) e longo prazo (24 a 36 meses). Cada iniciativa tem objetivo claro, justificativa de risco, responsável, estimativa de esforço e indicadores de conclusão. O roadmap é construído para ser executável — não uma lista de desejos, mas um plano com recursos e prazos realistas.
Roadmap · Horizontes · Iniciativas priorizadasDefinição da estrutura de governança que suportará a execução do PDSI — papéis, responsabilidades, comitês e fluxos de reporte. Estabelecimento dos indicadores de progresso e de maturidade que permitirão à liderança acompanhar a evolução sem precisar mergulhar nos detalhes técnicos. A governança transforma o PDSI de documento em programa.
Governança · KPIs · Reporte para a liderançaApresentação do PDSI completo para CEO, Board e alta liderança — com relatório executivo, roadmap visual e sessão estruturada de deliberação. O objetivo não é apenas apresentar: é obter a aprovação formal que dá ao plano autoridade organizacional e garante que os recursos necessários serão alocados. Um PDSI não aprovado pela liderança é apenas um documento técnico.
Aprovação formal · Autoridade organizacional · LançamentoO PDSI é o serviço certo para organizações que já entendem a importância da segurança da informação mas ainda não têm clareza sobre onde estão, onde precisam chegar e como chegar lá de forma estruturada.
Empresas que cresceram e precisam agora de uma estrutura formal — onde o PDSI define o ponto de partida correto, evita desperdício de recursos em iniciativas fora de prioridade e garante que os primeiros investimentos sejam os de maior impacto.
Quando a organização tem projetos de segurança em andamento em diferentes áreas, ferramentas compradas sem integração e equipes trabalhando em paralelo sem coordenação — o PDSI unifica essas iniciativas em um programa coerente com direção clara.
Board e CEO que querem entender e aprovar a estratégia de segurança da informação — não apenas receber relatórios técnicos. O PDSI é o instrumento que torna a governança de segurança possível no nível executivo.
Empresas migrando para nuvem, adotando IA, expandindo canais digitais ou integrando operações — onde a velocidade da transformação tecnológica criou uma lacuna de segurança que precisa ser endereçada de forma estratégica, não apenas reativa.
Empresas em setores com obrigações regulatórias de segurança — financeiro, saúde, energia, telecomunicações — onde o PDSI serve tanto como instrumento de gestão quanto como evidência de que a organização tem um programa estruturado de segurança da informação.
Um PDSI elaborado há mais de dois anos provavelmente não reflete mais a realidade do negócio, do ambiente de ameaças ou do cenário regulatório. A revisão do PDSI é tão importante quanto sua elaboração inicial — e frequentemente mais rápida.
O PDSI exige a combinação mais difícil de encontrar em consultoria: profundidade técnica para diagnosticar riscos reais, visão de negócio para alinhar com a estratégia da organização e capacidade de comunicação para obter aprovação da liderança.
A IT SECURE tem histórico real de elaboração de Planos Diretores de Segurança da Informação em infraestrutura crítica de energia, serviços financeiros, saúde e outros setores — com relatórios executivos apresentados a conselhos e diretorias. Não é o primeiro PDSI que elaboramos.
O relatório executivo do PDSI fala em impacto de negócio, risco residual e decisões requeridas — linguagem do Board e do CEO. O relatório técnico fala em controles, vulnerabilidades e iniciativas — linguagem do CISO e do CIO. Entregamos os dois, porque um PDSI aprovado pela liderança sem suporte técnico detalhado não se executa.
A maioria dos PDSIs fracassa não na elaboração, mas na execução — porque foi construído com nível de abstração alto demais ou com iniciativas inviáveis para a realidade da organização. Cada iniciativa do nosso roadmap tem responsável, prazo e esforço estimado — porque um plano sem essas informações não é executável.
Não entregamos o documento e saímos. Facilitamos a apresentação para a liderança, estruturamos a sessão de deliberação e apoiamos a obtenção da aprovação formal — que é o momento mais crítico e mais frequentemente negligenciado no processo de elaboração de um PDSI.
Carlos Bernardo (CISSP, MBA GRC) e Rafael Batista (CDPSE, MSc FGV) conduzem cada etapa do projeto — as entrevistas de diagnóstico, a avaliação de riscos, a construção do roadmap e a apresentação para a liderança. A expertise que elabora o plano é a mesma que o apresenta ao Board.
Não vendemos tecnologia e não somos parceiros de fabricantes. O roadmap do PDSI é orientado pelos riscos reais da organização — não pelos produtos que teríamos interesse em recomendar. Quando uma iniciativa exige tecnologia específica, indicamos opções de mercado sem preferência comercial.
Em conformidade com o Código de Ética ISC2, preservamos a confidencialidade dos clientes.
Fale diretamente com nossos sócios. A conversa inicial é sem custo e sem compromisso — e já nos permite entender o momento da sua organização e o escopo mais adequado para o PDSI.