====== Política de Segurança da Informação (PSI) ====== **Versão:** 1.0 (Rascunho) \\ **Data de Vigência:** [Inserir Data] \\ **Responsável:** [Comitê de TI / Chefia do Departamento] ===== 1. Objetivo ===== Estabelecer diretrizes e normas para garantir a **Confidencialidade**, **Integridade**, **Disponibilidade** e **Autenticidade** dos ativos de informação do Departamento de Ciência da Computação (DCC) da UFMG, protegendo dados de pesquisa, informações acadêmicas e infraestrutura contra ameaças internas e externas. ===== 2. Escopo ===== Esta política aplica-se a todos os **usuários** que utilizam recursos computacionais do DCC, incluindo: * Professores e Pesquisadores; * Funcionários técnico-administrativos; * Alunos (Graduação e Pós-graduação); * Estagiários, bolsistas e terceirizados; * Visitantes com acesso à rede (física ou Wi-Fi). ===== 3. Princípios Fundamentais ===== * **Legalidade:** Conformidade com as leis brasileiras (especialmente a LGPD - Lei nº 13.709/2018) e os estatutos da UFMG. * **Liberdade Acadêmica com Responsabilidade:** O incentivo à pesquisa não isenta o usuário da responsabilidade sobre a segurança dos dados e recursos. * **Segregação de Funções:** O acesso é concedido com base na necessidade mínima para o desempenho das funções (//Need-to-know//). ===== 4. Diretrizes Específicas ===== ==== 4.1. Controle de Acesso e Identidade ==== * **Credenciais:** As credenciais (login e senha) de acesso aos sistemas (ex: Moodle, Intranet, Login de Rede) são pessoais e intransferíveis. O compartilhamento de senhas é **estritamente proibido**. * **Senhas Fortes:** Exige-se o uso de senhas complexas e a troca periódica (recomenda-se a cada 6 ou 12 meses). * **MFA (Autenticação Multifator):** Onde disponível, o uso de MFA é obrigatório para contas com privilégios administrativos (root/admin) e recomendado para docentes e staff. * **Revogação:** O acesso de alunos e colaboradores desligados deve ser revogado ou expirado automaticamente ao fim do vínculo com a UFMG. ==== 4.2. Uso Aceitável dos Recursos (AUP) ==== * **Finalidade:** Os recursos (servidores, laboratórios, rede) destinam-se a atividades de ensino, pesquisa e administração. * **Proibições:** É vetado o uso da infraestrutura do DCC para: * Mineração de criptomoedas (exceto se for objeto de pesquisa devidamente documentado e autorizado); * Hospedagem de conteúdo pirata, pornográfico ou ilegal; * Ataques cibernéticos a terceiros (exceto em laboratórios de segurança isolados/sandbox); * Atividades comerciais privadas sem vínculo com a universidade. ==== 4.3. Segurança de Redes e Conectividade ==== * **Rede Acadêmica vs. Administrativa:** Deve haver segmentação lógica (VLANs) separando redes de laboratórios de pesquisa, redes administrativas e redes de visitantes/alunos. * **Acesso Remoto (VPN/SSH):** O acesso remoto a servidores críticos deve ser feito exclusivamente via canais criptografados (VPN ou SSH com chave pública). O uso de Telnet ou FTP não criptografado é proibido. * **Wi-Fi:** O acesso via rede sem fio deve priorizar a rede //eduroam//. Redes Wi-Fi "piratas" (roteadores pessoais ligados à rede cabeada) são proibidas sem autorização do suporte técnico. ==== 4.4. Proteção de Dados e LGPD ==== * **Classificação da Informação:** * //Pública:// Dados institucionais gerais (ex: grades horárias). * //Interna:// Comunicações departamentais. * //Confidencial:// Dados pessoais (RH, notas de alunos não publicadas), dados de pesquisa sensíveis ou sob embargo de patente. * **Privacidade:** O DCC respeita a privacidade dos usuários, mas reserva-se o direito de auditar logs de acesso em caso de suspeita de incidente de segurança ou violação legal, mediante aprovação da Chefia ou autoridade competente. ==== 4.5. Segurança Física e Laboratórios ==== * **Acesso Físico:** O acesso a salas de servidores (Data Center) é restrito à equipe de TI autorizada. * **Laboratórios:** Equipamentos de laboratórios não devem ser retirados do DCC sem autorização formal. * **Bloqueio de Tela:** Recomenda-se o bloqueio de estação de trabalho sempre que o usuário se ausentar da mesa. ==== 4.6. Atualização e Vulnerabilidades ==== * **Gestão de Patches:** Servidores e estações de trabalho sob gestão do departamento devem manter sistemas operacionais e softwares atualizados. * **Servidores de Pesquisa:** Professores responsáveis por servidores "autogeridos" (dentro de laboratórios) assumem a responsabilidade pela aplicação de patches de segurança. Servidores comprometidos poderão ser desconectados da rede preventivamente pela equipe de TI. ===== 5. Gestão de Incidentes ===== * Todo incidente de segurança (vazamento de dados, infecção por malware, ataque de negação de serviço, roubo de equipamento) deve ser reportado imediatamente ao **Setor de Suporte/TI**. * E-mail para notificação: [[mailto:crc@dcc.ufmg.br|crc@dcc.ufmg.br]] ===== 6. Penalidades ===== A violação desta política sujeita o infrator a sanções administrativas (advertência, suspensão de acesso aos recursos) e disciplinares, conforme o Regimento Geral da UFMG, sem prejuízo das responsabilidades civis e penais cabíveis. ---- ===== Termo de Ciência (Opcional) ===== //Declaro que li e compreendi a Política de Segurança da Informação do DCC/UFMG e comprometo-me a cumpri-la.//