A segurança da informação lida com a proteção dos dados que circulam em um ambiente e dos sistemas que o compõem. Por meio da adoção de controles, políticas e procedimentos, ela garante a continuidade dos serviços e dos sistemas e ajuda a enfrentar ataques e a evitar o uso indevido das informações armazenadas. No caso da UFMG, ela deve proteger as informações dos estudantes, professores, servidores e de todas as pessoas que mantenham alguma relação com a instituição.

A Política de Segurança da Informação (Posin) da UFMG foi aprovada pelo Comitê de Governança Digital (CGD) da Universidade em setembro do ano passado. Sua criação atende a uma demanda do governo federal e vai ao encontro da Lei Geral de Proteção de Dados (LGPD), que regula as atividades de tratamento de dados pessoais dos cidadãos brasileiros.

A diretriz orienta a segurança da informação na Universidade, de acordo com as necessidades da instituição e conforme as leis, normas técnicas e regulamentações federais. O documento estabelece a finalidade, os conceitos, os princípios, a estrutura, as diretrizes gerais, as competências e as responsabilidades da UFMG, assim como direcionar a sua complementação normativa. Além disso, a Política estabelece regras que devem ser observadas por todos os membros da comunidade acadêmica no uso de seus sistemas.

Formalização
O diretor da Divisão de Processos e Segurança da Diretoria de Tecnologia da Informação (DTI), Sadallo Andere Neto, que trabalhou na elaboração da política, comenta que a UFMG já contava com processos internos que visavam à proteção de seus dados, a despeito da nova exigência do governo federal de que todos os órgãos implementem uma política de segurança da informação.

"Existe uma política nacional que visa garantir a segurança e a defesa cibernética das instituições públicas. Cabe aos órgãos da administração pública federal estabelecer suas ações para o atendimento às normas. A política que criamos formaliza ações de segurança que já existiam e serve de subsídio para ampliar a proteção das informações que estão sob a tutela da UFMG", explica.

O diretor de Tecnologia da Informação, Dorgival Olavo Guedes Neto, afirma que a Política de Segurança da Informação é um documento que detalha como a Universidade trata os dados dos seus públicos. "Toda instituição que gera informação deve ter um cuidado especial com a sua proteção. A Posin mostra como devemos cuidar dos dados que estão sob a nossa responsabilidade. Os órgãos públicos costumam ser alvo de ataques de hackers, então é muito importante que tenhamos métodos de proteção”, afirma Dorgival, que é professor do Departamento de Ciência da Computação (DCC) do Instituto de Ciências Exatas (Icex) da UFMG.

Dados sensíveis
Sadallo destaca que a Posin é essencial para a prevenção de ataques cibernéticos, de invasões ao sistema e da prática de ransomware, que é o sequestro de dados por hackers. "Vivemos uma época em que a informação é capitalizada. A UFMG lida com dados sensíveis, e muitas informações que perpassam a trajetória acadêmica das pessoas estão documentadas aqui. Por isso, precisamos garantir que esses dados não serão acessados e usados por pessoas mal-intencionadas ou que queiram transformá-los em capital.”

O professor Dorgival usa um exemplo hipotético da UFMG para corroborar a ideia de que as informações se tornaram ativos valiosos no mundo digital e, por isso, devem estar protegidas. "Imagine uma lista com o endereço de e-mail de todos os estudantes da Universidade. Para uma empresa de marketing, isso é um ativo valioso, pois ela pode usar essas informações em campanhas publicitárias. A Política de Segurança da Informação da UFMG define ações que devem ser tomadas para proteger esse tipo de informação tanto pela Universidade quanto pelos membros da sua comunidade. Por isso, deve ser conhecida por todos aqueles que, em algum momento, se relacionam com a UFMG", conclui.

Principais diretrizes

A nova Política, aprovada pelo Comitê de Governança Digital da UFMG, reúne diretrizes sobre as informações geradas no âmbito da Instituição. Conheça algumas delas:

– A UFMG deverá classificar a informação tratada no âmbito da instituição. O tratamento de toda e qualquer informação deve garantir os níveis de proteção adequados conforme sua classificação e as regras estabelecidas pela Política;
– A Universidade deve implementar os controles necessários para impedir perdas, danos, furto ou comprometimento de ativos e interrupção das operações, além de prevenir o acesso físico não autorizado, danos e interferências nas informações e em seus recursos de processamento da organização;
–  A UFMG deve regulamentar, planejar e realizar a gestão de incidentes em segurança da informação com o objetivo de implantar processos, disponibilizar recursos e executar ações de prevenção, tratamento e resposta a qualquer evento relacionado à segurança. Além disso, os incidentes de segurança da informação devem ser comunicados à Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (Etir);
– Controles adequados devem ser adotados para assegurar que os recursos humanos e partes externas estejam em conformidade com suas atribuições e cumpram com as suas responsabilidades pela segurança da informação. Cabe à UFMG implementar os controles adequados para proteger os interesses da instituição em caso de mudança ou encerramento da contratação de recursos humanos e externos;
– Os recursos operacionais e de comunicações, tais como e-mail, acesso à internet, mídias sociais, computação em nuvem, entre outros, devem ser destinados, exclusivamente, a fins diretos e complementares às atividades administrativas e acadêmicas da instituição;
–  A Universidade deve regulamentar, planejar, implantar e gerenciar controles físicos e lógicos adequados para restringir o acesso à informação e aos recursos de processamento da informação às pessoas e entidades devidamente autorizadas, como forma de prevenção de incidentes de segurança;
– A UFMG também deve gerar as condições necessárias para a realização de auditoria e avaliação de conformidade nos aspectos de segurança da informação, de acordo com a legislação vigente e as diretrizes institucionais.

Acesse a Política de Segurança da Informação da UFMG: