Política de Segurança da Informação (PSI)

Versão: 1.0 (Rascunho)
Data de Vigência: [Inserir Data]
Responsável: [Comitê de TI / Chefia do Departamento]

Estabelecer diretrizes e normas para garantir a Confidencialidade, Integridade, Disponibilidade e Autenticidade dos ativos de informação do Departamento de Ciência da Computação (DCC) da UFMG, protegendo dados de pesquisa, informações acadêmicas e infraestrutura contra ameaças internas e externas.

Esta política aplica-se a todos os usuários que utilizam recursos computacionais do DCC, incluindo:

• Professores e Pesquisadores;
• Funcionários técnico-administrativos;
• Alunos (Graduação e Pós-graduação);
• Estagiários, bolsistas e terceirizados;
• Visitantes com acesso à rede (física ou Wi-Fi).

• Legalidade: Conformidade com as leis brasileiras (especialmente a LGPD - Lei nº 13.709/2018) e os estatutos da UFMG.
• Liberdade Acadêmica com Responsabilidade: O incentivo à pesquisa não isenta o usuário da responsabilidade sobre a segurança dos dados e recursos.
• Segregação de Funções: O acesso é concedido com base na necessidade mínima para o desempenho das funções (Need-to-know).

• Credenciais: As credenciais (login e senha) de acesso aos sistemas (ex: Moodle, Intranet, Login de Rede) são pessoais e intransferíveis. O compartilhamento de senhas é estritamente proibido.
• Senhas Fortes: Exige-se o uso de senhas complexas e a troca periódica (recomenda-se a cada 6 ou 12 meses).
• MFA (Autenticação Multifator): Onde disponível, o uso de MFA é obrigatório para contas com privilégios administrativos (root/admin) e recomendado para docentes e staff.
• Revogação: O acesso de alunos e colaboradores desligados deve ser revogado ou expirado automaticamente ao fim do vínculo com a UFMG.

• Finalidade: Os recursos (servidores, laboratórios, rede) destinam-se a atividades de ensino, pesquisa e administração.
• Proibições: É vetado o uso da infraestrutura do DCC para:
  • Mineração de criptomoedas (exceto se for objeto de pesquisa devidamente documentado e autorizado);
  • Hospedagem de conteúdo pirata, pornográfico ou ilegal;
  • Ataques cibernéticos a terceiros (exceto em laboratórios de segurança isolados/sandbox);
  • Atividades comerciais privadas sem vínculo com a universidade.

• Rede Acadêmica vs. Administrativa: Deve haver segmentação lógica (VLANs) separando redes de laboratórios de pesquisa, redes administrativas e redes de visitantes/alunos.
• Acesso Remoto (VPN/SSH): O acesso remoto a servidores críticos deve ser feito exclusivamente via canais criptografados (VPN ou SSH com chave pública). O uso de Telnet ou FTP não criptografado é proibido.
• Wi-Fi: O acesso via rede sem fio deve priorizar a rede eduroam. Redes Wi-Fi “piratas” (roteadores pessoais ligados à rede cabeada) são proibidas sem autorização do suporte técnico.

• Classificação da Informação:
  • Pública: Dados institucionais gerais (ex: grades horárias).
  • Interna: Comunicações departamentais.
  • Confidencial: Dados pessoais (RH, notas de alunos não publicadas), dados de pesquisa sensíveis ou sob embargo de patente.
• Privacidade: O DCC respeita a privacidade dos usuários, mas reserva-se o direito de auditar logs de acesso em caso de suspeita de incidente de segurança ou violação legal, mediante aprovação da Chefia ou autoridade competente.

• Acesso Físico: O acesso a salas de servidores (Data Center) é restrito à equipe de TI autorizada.
• Laboratórios: Equipamentos de laboratórios não devem ser retirados do DCC sem autorização formal.
• Bloqueio de Tela: Recomenda-se o bloqueio de estação de trabalho sempre que o usuário se ausentar da mesa.

• Gestão de Patches: Servidores e estações de trabalho sob gestão do departamento devem manter sistemas operacionais e softwares atualizados.
• Servidores de Pesquisa: Professores responsáveis por servidores “autogeridos” (dentro de laboratórios) assumem a responsabilidade pela aplicação de patches de segurança. Servidores comprometidos poderão ser desconectados da rede preventivamente pela equipe de TI.

• Todo incidente de segurança (vazamento de dados, infecção por malware, ataque de negação de serviço, roubo de equipamento) deve ser reportado imediatamente ao Setor de Suporte/TI.
• E-mail para notificação: crc@dcc.ufmg.br

A violação desta política sujeita o infrator a sanções administrativas (advertência, suspensão de acesso aos recursos) e disciplinares, conforme o Regimento Geral da UFMG, sem prejuízo das responsabilidades civis e penais cabíveis.

Declaro que li e compreendi a Política de Segurança da Informação do DCC/UFMG e comprometo-me a cumpri-la.