SEI/UFLA - 0530545 - Resolução Normativa

UNIVERSIDADE FEDERAL DE LAVRAS
Comitê Interno de Governança (CIGOV/REITORIA)
Trevo Rotatório Professor Edmir Sá Santos , Campus Universitário - https://ufla.br
Lavras/MG, CEP 37203-202

Dispõe sobre a Política de Segurança da Informação e Comunicações da Universidade Federal de Lavras.

O Comitê Interno de Governança da Universidade Federal de Lavras no uso das atribuições legais e regimentais e tendo em vista o que foi deliberado em sua reunião no dia 16 de junho de 2025,

Aprovar a Política de Segurança da Informação e Comunicações da Universidade Federal de Lavras, nos termos desta Resolução.

Documento assinado eletronicamente por JACKSON ANTONIO BARBOSA, Reitor(a), em Exercício, em 16/07/2025, às 09:35, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site https://sei.ufla.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 0530545 e o código CRC DD343FA4.

Art. 1º. Fica instituída a Política de Segurança da Informação e Comunicações (POSIC) da Universidade Federal de Lavras (UFLA), com a finalidade de estabelecer princípios, diretrizes, responsabilidades e competências para a gestão da segurança da informação.

Art. 2º. Esta Política de Segurança da Informação aplica-se a todas as unidades organizacionais da UFLA, e deverá ser observada por todos os usuários de informação, seja servidor ou equiparado, empregado, prestador de serviços ou pessoa habilitada pela administração, por meio da assinatura de Termo de Responsabilidade, para acessar os ativos de informação sob responsabilidade da UFLA.

Parágrafo único: Esta política se aplica em todas as instalações físicas administradas ou utilizadas pela UFLA e entidades subsidiárias.

I - estabelecer princípios, diretrizes, responsabilidades e práticas a fim de proteger ativos de informação e conhecimentos gerados ou recebidos;

II - estabelecer orientações gerais de segurança da informação e, desta forma, contribuir para a gestão eficiente dos riscos, limitando-os a níveis aceitáveis, bem como preservar os princípios da disponibilidade, integridade, confiabilidade e autenticidade das informações;

III - estabelecer competências e responsabilidades quanto à segurança da informação;

IV - nortear a elaboração das normas necessárias à efetiva implementação da segurança da informação;

V - promover o alinhamento das ações de segurança da informação com as estratégias de planejamento organizacional da UFLA;

VI - A UFLA considera toda informação tratada pela Instituição como ativo estratégico para suas atividades de ensino, pesquisa, extensão e inovação;

VII - fortalecer a cultura organizacional de proteção da informação, reduzir riscos e assegurar respostas eficazes a incidentes com ativos de informação, em conformidade com os princípios de transparência, eficiência e legalidade da Administração Pública Federal.

Art. 4º. Para os efeitos desta Portaria e de suas regulamentações, aplicam-se os termos do Glossário de Segurança da Informação, aprovado pela Portaria GSI/PR nº 93, de 18 de outubro de 2021.

Art. 5º. As ações de segurança da informação da UFLA são norteadas pelos princípios constitucionais e administrativos que norteiam a Administração Pública Federal, bem como pelos seguintes princípios:

I - disponibilidade, integridade, confidencialidade e autenticidade das informações;

II - continuidade dos processos e serviços essenciais para o funcionamento da UFLA;

IV - respeito ao acesso à informação, à proteção de dados pessoais e à proteção da privacidade;

VI - responsabilidade do usuário de informação pelos atos que comprometam a segurança dos ativos de informação;

VII - alinhamento estratégico da Política de Segurança da Informação com o planejamento estratégico da UFLA, assim como demais normas específicas de segurança da informação da Administração Pública Federal;

VIII - conformidade das normas e das ações de segurança da informação com a legislação regulamentos aplicáveis; e

IX - educação e comunicação como alicerces fundamentais para o fomento da cultura e segurança da informação;

X - implementação de tecnologias e conceitos emergentes que possam favorecer a garantia dos princípios da segurança da informação, tais como privacy by design, privacy by default, internet das coisas, autenticação multifator, zero trust, microsegmentação de redes, inteligênica artificial.

Art. 6º. Estas diretrizes constituem os principais pilares da gestão de segurança da informação norteando a elaboração de políticas, planos e normas complementares no âmbito da UFLA e objetivam a garantia dos princípios básicos de segurança da informação estabelecidos nesta Política.

Art. 7º. As normas, procedimentos, manuais e metodologias de segurança da informação da UFLA devem considerar, como referência, além dos normativos vigentes, as melhores práticas de segurança da informação.

I - considerar, prioritariamente, os objetivos estratégicos, os planos institucionais, a estrutura e a finalidade da UFLA;

II - ser tratadas de forma integrada, respeitando as especificidades e a autonomia das unidades da UFLA;

III - ser adotadas proporcionalmente aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação;

V - promover a conscientização e capacitação contínua dos usuários quanto às boas práticas de segurança da informação;

VI - estar alinhadas às diretrizes da Política Nacional de Segurança da Informação e às normas de governança digital aplicáveis à Administração Pública Federal;

VII - contemplar medidas para resposta, tratamento e recuperação em caso de incidentes de segurança da informação;

VIII - considerar requisitos de acessibilidade, inclusão digital e proteção de dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD).

Art. 9º. O investimento necessário em medidas de segurança da informação deve ser dimensionado segundo o valor do ativo a ser protegido e de acordo com o risco de potenciais prejuízos à UFLA.

Art. 10. Toda e qualquer informação gerada, custodiada, manipulada, utilizada ou armazenada na UFLA compõe o seu rol de ativos de informação e deve ser protegida conforme normas em vigor.

Parágrafo único. As informações citadas no caput, que tramitam pelo ambiente computacional da UFLA, são passíveis de monitoramento e auditoria pela área de segurança da Informação e/ou área de auditoria, respeitados os limites legais.

Art. 11. Pessoas e sistemas devem ter o menor privilégio e o mínimo acesso aos recursos necessários para realizar uma dada tarefa.

Parágrafo único. É condição para acesso aos recursos de tecnologia da informação da UFLA a assinatura, preferencialmente eletrônica, de Termo de Responsabilidade indicando a ciência aos termos desta Política, as responsabilidades e os compromissos em decorrência deste acesso, bem como as penalidades cabíveis pela inobservância das regras previstas nas normas de segurança da informação da UFLA.

Art. 12. A Política de Segurança da Informação e suas atualizações, bem como normas específicas de segurança da informação da UFLA, devem ser divulgadas amplamente a todos os Usuários de Informação, a fim de promover sua observância, seu conhecimento, bem como a formação da cultura de segurança da informação.

§ 1º Os Usuários de Informação devem ser continuamente capacitados nos procedimentos de segurança e no uso correto dos ativos de informação quando da realização de suas atribuições, de modo a minimizar possíveis riscos à segurança da informação.

§ 2º As ações de capacitação previstas no § 1º devem ser conduzidas de modo a possibilitar o compartilhamento de materiais educacionais sobre segurança da informação.

Art. 13. Todos os contratos de prestação de serviços firmados pela UFLA conterão cláusula específica sobre a obrigatoriedade de atendimento a esta Política de Segurança da Informação, bem como suas normas decorrentes.

VII - Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos (ETIR);

Art. 15. Compete à Direção Executiva fornecer os recursos necessários para assegurar o desenvolvimento e a implementação da Gestão de Segurança da Informação da UFLA, bem como com o tratamento das ações e decisões de segurança da informação em um nível de relevância e prioridade adequados.

Art. 16. Compete à Reitoria, ao CIGOV, à Unidade de Gestão de Pessoas, ao Gestor de Segurança da Informação, ao Gestor de Segurança da Informação e à Auditoria-Interna assegurar a efetiva implementação desta POSIC, promovendo a capacitação contínua dos usuários e fomentando uma cultura organizacional voltada à proteção da informação.

I - Assegurar a plena observância e cumprimento das diretrizes estabelecidas na POSIC em todos os níveis institucionais;

II - Promover ações permanentes de capacitação, sensibilização e educação dos usuários, visando ao desenvolvimento de competências e boas práticas em segurança da informação;

III - Estimular uma cultura organizacional orientada à proteção dos ativos de informação, à prevenção de incidentes e à conscientização sobre riscos cibernéticos;

IV - Integrar as diretrizes de segurança da informação aos processos institucionais, fortalecendo a resiliência organizacional, a governança e a conformidade com normas e regulamentos aplicáveis.

I - formalizar e aprovar a Política de Segurança da Informação da UFLA, bem como suas alterações e atualizações.

III - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;

IV - participar da elaboração da POSIC e das normas internas de segurança da informação;

V - propor alterações à POSIC e às normas internas de segurança da informação;

Parágrafo único. A composição, estrutura, recursos e funcionamento do CIGOV será definido em ato administrativo próprio emitido pela UFLA, de acordo com a legislação vigente.

II - coordenar a elaboração da POSIC e das normas internas de segurança da informação do órgão, observadas a legislação vigente e as melhores práticas sobre o tema;

IV - estimular ações de capacitação e de profissionalização de recursos humanos em temas relacionados à segurança da informação;

V - promover a divulgação da política e das normas internas de segurança da informação do órgão a todos os servidores, usuários e prestadores de serviços que trabalham na UFLA;

VI - incentivar estudos de novas tecnologias, e seus eventuais impactos relacionados à segurança da informação;

IX - verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação;

X - acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação;

XI - manter contato direto com o Gabinete de Segurança Institucional da Presidência da República em assuntos relativos à segurança da informação;

Parágrafo único. O Gestor de Segurança da Informação da UFLA será designado em ato administrativo próprio, de acordo com a legislação vigente.

Art. 19. Compete ao Gestor de Tecnologia da Informação e Comunicação, dentre outras atribuições dispostas na legislação vigente, em especial ao disposto na Portaria SGD/ME no 778, de 4 de abril de 2019:

I - planejar, implementar, monitorar e aperfeiçoar continuamente os controles de segurança e privacidade da informação em soluções de Tecnologia da Informação e Comunicações (TIC), considerando os riscos associados e a criticidade dos ativos envolvidos;

II - gerenciar os ativos de TIC, assegurando que estejam alinhados às diretrizes de segurança e ao Plano Diretor de TIC (PDTIC) da Instituição;

III - considerar a cadeia de suprimentos das soluções adotadas, avaliando riscos relacionados a terceiros e fornecedores, incluindo aspectos contratuais de segurança;

IV - promover a integração entre os sistemas e as políticas de segurança, assegurando a compatibilidade com os controles técnicos e administrativos exigidos pela legislação;

V - colaborar com o Gestor de Segurança da Informação, com o Encarregado de Dados (DPO), a Auditoria Interna e demais órgãos de controle, para garantir a conformidade das soluções tecnológicas com os marcos legais e normativos aplicáveis;

VI - adotar medidas de prevenção, detecção, resposta e recuperação diante de incidentes que envolvam ativos de TIC, contribuindo para a continuidade das operações e mitigação de impactos.

Art. 20. Compete ao DPO, dentre outras atribuições dispostas na legislação vigente, em especial ao disposto na Lei no 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - LGPD) e demais normativos e orientações emitidas pela Autoridade Nacional de Proteção de Dados (ANPD), conduzir o diagnóstico de privacidade, bem como orientar, no que couber, os gestores proprietários dos ativos de informação, responsáveis pelo planejamento, implementação e melhoria contínua dos controles de privacidade em ativos de informação que realizem o tratamento de dados pessoais ou dados pessoais sensíveis.

Art. 21. Compete ao Responsável pela Unidade de Controle Interno, ou Auditoria Interna, dentre outras atribuições dispostas na legislação vigente, apoiar, supervisionar e monitorar as atividades desenvolvidas pela primeira linha de defesa prevista pela Instrução Normativa CGU no 3, de 9 de junho de 2017.

I - facilitar, coordenar e executar as atividades de prevenção, tratamento e resposta a incidentes cibernéticos na UFLA;

VII - promover a cooperação com outras equipes, e participar de fóruns e redes relativas à segurança da informação;

Parágrafo único. A composição, estrutura, recursos e funcionamento da ETIR serão definidos em ato administrativo próprio emitido pela Reitoria, de acordo com a
legislação vigente.

Art. 23. Compete aos Usuários de Informação conhecer, cumprir e fazer cumprir esta Política e às demais normas específicas de segurança da informação da UFLA.

§ 1º Todos os Usuários de Informação são responsáveis pela segurança dos ativos de informação que estejam sob sua guarda, posse ou uso;

§ 2º Os usuários devem zelar pelo uso ético e responsável dos recursos de tecnologia da informação, abstendo-se de práticas que comprometam a integridade, a confidencialidade ou a disponibilidade das informações institucionais;

§ 3º É dever dos usuários comunicar imediatamente qualquer suspeita de incidente de segurança da informação aos canais oficiais da DGTI ou ao responsável pela segurança da informação;

§ 4º Os usuários devem manter sigilo sobre as informações classificadas ou sensíveis a que tiverem acesso no exercício de suas atividades, mesmo após o término do vínculo com a UFLA;

§ 5º A participação em ações de capacitação, orientação e campanhas de conscientização sobre segurança da informação promovidas pela UFLA é considerada parte das responsabilidades dos usuários;

§ 6º O acesso de usuários a ativos de informação poderá ser revogado, total ou parcialmente, sempre que a área de segurança da informação, a gestão de TIC ou a área de negócio identificar qualquer risco incompatível com o perfil de acesso concedido ou pendência de desenvolvimento de habilidades em segurança da informação.

Art. 24. A POSIC e demais normativos decorrentes desta Política integram o arcabouço normativo da Gestão de Segurança da Informação.

Art. 25. A Gestão da Segurança da Informação é constituída, no mínimo, pelos seguintes processos:

I - tratamento da informação: classificação, rotulagem, armazenamento, processamento, transmissão e descarte adequado das informações institucionais;

II - segurança física e do ambiente: proteção de instalações, equipamentos e sistemas contra acessos físicos não autorizados, danos ou interferências;

III - gestão de incidentes de segurança da informação: identificação, registro, análise, resposta e tratamento de incidentes que comprometam a segurança da informação;

IV - gestão de ativos: inventário, atribuição de responsabilidades e proteção dos ativos de informação, incluindo hardware, software, dados e pessoas;

V - gestão do uso dos recursos de TIC: controle e monitoramento do uso de e-mail institucional, internet, mídias sociais, serviços em nuvem e demais recursos tecnológicos;

VI - controle de acessos: definição, atribuição, monitoramento e revogação de privilégios de acesso a sistemas e informações com base em princípios de mínimo privilégio e necessidade de conhecimento;

VII - gestão de riscos: identificação, análise, avaliação e tratamento de riscos relacionados à segurança da informação, com base em critérios definidos pela instituição;

VIII - gestão da continuidade de negócios: planejamento, implementação e manutenção de medidas que assegurem a continuidade das operações críticas em caso de incidentes;

IX - auditoria e conformidade: verificação periódica do cumprimento das políticas, normas e controles de segurança, bem como da conformidade com a legislação vigente e normas internas.

§ 1º O CIGOV poderá definir outros processos de Gestão de Segurança da Informação, desde que alinhados aos princípios e às diretrizes desta Política e destinados à implementação de ações de segurança da informação.

§ 2º Para cada um dos processos que constituem a Gestão de Segurança da Informação, deve ser observada a pertinência de elaboração de políticas, normas, procedimentos, orientações ou manuais que disciplinem ou facilitem o seu entendimento em conformidade com a legislação vigente e boas práticas de segurança de informação.

Art. 26. As políticas, normas, procedimentos, orientações ou manuais de que trata o §2º do art. 24 devem, no mínimo, abordar aspectos relacionados:

I - a conformidade regulatória, assegurando o cumprimento das diretrizes da LGPD e demais normativos e orientações emitidas pela ANPD;

II - a classificação da informação, considerando seu nível de confidencialidade, integridade, disponibilidade e criticidade, a fim de determinar os controles de segurança adequados;

III - proteção de dados, visando prevenir acessos não autorizados, bem como situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

IV - o uso aceitável da informação e de mídias de armazenamento, estabelecendo diretrizes claras para sua utilização;

V - a movimentação de ativos de informação (entrada e saída) nas instalações da organização;

VII - os controles de acesso, fundamentados no princípio do menor privilégio e na segregação de funções, trilhas de auditoria, rastreamento e verificação de acessos;

VIII - a gestão de incidentes de segurança, compreendendo as etapas de identificação, contenção, erradicação, recuperação e as atividades após incidente;

IX - os critérios para a comunicação de incidentes aos titulares de dados pessoais e à ANPD;

X - o Plano de Gestão de Incidentes de Segurança, considerando diferentes cenários e a sua integração com a gestão de crises;

a) proteção e classificação dos ativos conforme sua criticidade para a UFLA;

b) manutenção de inventário detalhado de ativos (tipo, localização, proprietário/custodiante e status de segurança);

c) uso aceitável dos ativos, proibindo seu uso para fins particulares de seus responsáveis;

e) monitoramento de ativos, em conformidade com os princípios legais de Segurança da Informação e Privacidade;

f) investigação de sua operação e uso em caso de indícios de violação de segurança e/ou privacidade, ou uso ilícito de ativos de informação institucionais.

XII - a utilização adequada dos recursos operacionais e de comunicação disponibilizados pela UFLA, exclusivamente para fins profissionais e institucionais, em conformidade com os princípios éticos e profissionais da Universidade, vedando-se comportamentos antiéticos, discriminatórios, ofensivos ou que possam comprometer a imagem e a reputação da Instituição;

XIII - os procedimentos para o uso de e-mail, incluindo o envio de informações confidenciais, a instalação de software anti programas maliciosos (antivírus) e a abertura de anexos de e-mail;

XIV - o acesso e uso da internet, bem como o download de arquivos, vedando-se o acesso a sites inadequados e a instalação de softwares não autorizados;

XV - o uso de mídias sociais, incluindo diretrizes para a divulgação de informações, o uso de contas pessoais para fins profissionais e a interação com terceiros;

XVI - o uso da computação em nuvem, abrangendo a seleção de provedores (nuvem privada e pública), a segurança dos dados e a conformidade com as leis e regulamentos aplicáveis;

XVII - as políticas e procedimentos para o controle de acesso, tais como o uso de Múltiplo Fator de Autenticação (MFA), controles de autorização, baseados no princípio do menor privilégio, controles de segregação de funções, trilhas de auditoria, rastreamento, acompanhamento, controle e verificação de acessos para os ativos de informação, desligamento ou afastamento de colaboradores e parceiros que utilizam ou operam os ativos de informação da UFLA;

b) adoção de metodologia estruturada para identificar e documentar riscos (descrição, origem, impacto potencial e probabilidade de ocorrência);

d) tratamento dos riscos, por meio da implementação de controles de segurança ou aceitação.

XIX - a Gestão de Continuidade de Negócios, incluindo o Plano de Continuidade para assegurar a continuidade das atividades da UFLA em caso de incidente de segurança da informação, e a realização de testes e exercícios periódicos para garantir sua eficácia;

XX - a Gestão de Mudanças nos ativos de informação, respaldada por relatórios de avaliação e tratamento de risco, com a designação de papeis e responsabilidades para a avaliação, aprovação e implementação de mudanças, e a criação de um processo formal para solicitação e documentação de mudanças;

XXI - a auditoria e conformidade da organização, abordando o Plano de Verificação de Conformidade, que considere as unidades abrangidas, os aspectos para verificação da conformidade, as ações e atividades a serem realizadas, os documentos necessários para a fundamentação da verificação de conformidade e as responsabilidades e o Relatório de Avaliação de Conformidade, que considere o detalhamento das ações e das atividades com identificação do responsável, o parecer de conformidade e as recomendações.

§ 1º As unidades organizacionais da UFLA devem realizar periodicamente auditorias internas de sua segurança da informação para assegurar a conformidade com esta Política e com outros requisitos de segurança da informação aplicáveis.

§ 2º Todas as ações realizadas pelas unidades da UFLA que envolvem a segurança da informação devem estar em conformidade com as leis e regulamentos aplicáveis a esta temática.

§ 3º As atividades, produtos e serviços desenvolvidos na UFLA devem estar em conformidade com os requisitos de privacidade e proteção de dados pessoais constantes de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes.

Art. 27. É vedada a utilização dos recursos de tecnologia da informação disponibilizados pela UFLA para acesso, guarda e divulgação de material incompatível com ambiente do serviço, que viole direitos autorais ou que infrinja a legislação vigente.

Art. 28. São vedados o uso e a instalação de recursos de tecnologia da informação que não tenham sido homologados ou adquiridos pela UFLA, incluindo hardware, software, aplicativos e serviços em nuvem.

Art. 29. É vedada a divulgação a terceiros de mecanismos de identificação, autenticação e autorização baseados em conta e senha ou certificação digital, de uso pessoal e intransferível, que são fornecidos aos usuários.

Art. 30. É vedada a exploração de eventuais vulnerabilidades, as quais devem ser comunicadas às instâncias superiores assim que identificadas. A não comunicação ou a exploração indevida de vulnerabilidades será considerada uma violação grave desta política e sujeitará o infrator às sanções disciplinares e legais cabíveis.

Art. 31. As unidades organizacionais da UFLA devem promover ações de treinamento e conscientização para que os seus colaboradores entendam suas responsabilidades e procedimentos voltados à segurança da informação e à proteção de dados.

Parágrafo único. A conscientização, a capacitação e a sensibilização em segurança da informação devem ser adequadas aos papeis e responsabilidades dos colaboradores.

Art. 32. As denúncias de violação a esta Política podem ser comunicadas ao Gestor de Segurança da Informação e feitas através dos seguintes canais:

Art. 33. O cumprimento desta Política, bem como dos normativos que a complementam devem ser avaliados pela UFLA periodicamente por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de segurança da informação e da garantia de cláusula de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.

Art. 34. A não observância do disposto nesta Política, bem como em seus instrumentos normativos correlatos, sujeita o infrator à aplicação de sanções administrativas conforme a legislação vigente, sem prejuízo das responsabilidades penal e civil, assegurados sempre aos envolvidos o contraditório e a ampla defesa.

Art. 35. Esta Política será revisada periodicamente, pelo menos a cada quatro anos, ou com mais frequência se necessário, para refletir as mudanças no ambiente da UFLA, nos riscos à segurança da informação e nas melhores práticas de segurança da informação.

Art. 36. Os casos omissos e as dúvidas sobre a POSIC e seus documentos devem ser submetidos ao CIGOV.

Art. 37. A UFLA reserva-se o direito de monitorar e auditar o uso dos recursos de tecnologia da informação, incluindo redes, sistemas, dispositivos e dados, para garantir a conformidade com esta política, a legislação vigente e a proteção dos ativos da instituição. O monitoramento será realizado de forma ética e transparente, respeitando a privacidade dos usuários, mas sem comprometer a eficácia das ações de segurança.

Art.38. A presente política passa a vigorar a partir da data de sua publicação, revogando-se as disposições em contrário.