Órgãos públicos de TI não estão protegidos contra ciberataques, alerta TCU

O Tribunal de Contas da União concluiu, após auditoria de SI, que o Sistema de Administração dos Recursos de Tecnologia da Informação deve melhorar aplicações de cibersegurança

Compartilhar:

O Tribunal de Contas da União (TCU) realizou auditoria operacional para verificar se os controles de cibersegurança e de segurança da informação implementados pelas organizações do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) estão de acordo com as boas práticas. A análise constatou que as organizações do Sisp estão aquém do esperado no que se refere à implementação de medidas de segurança cibernética.

 

Não há, ainda, evidência de que alguma das integrantes do Sisp alcance a totalidade do grupo de implementação IG1 do guia Controles CIS, que fundamenta os controles da categoria segurança cibernética. Das 229 organizações que responderam ao ciclo 1 ou 2, nenhuma delas implementa as 56 medidas de segurança do guia de controles, somente 14 implementam mais de 70% e apenas duas organizações implementam mais de 90%. Em consequência, as organizações do Sisp não estão protegidas contra os ataques cibernéticos mais comuns.

 

Já com relação ao nível de maturidade em segurança da informação do PPSI, a auditoria constatou que nenhuma organização do Sisp estaria no nível “Aprimorado” e apenas 6% estariam no nível “Em aprimoramento”, sendo quea maioria das organizações, 69%, estariam nos dois níveis mais baixos: Inicial (31%) e Básico (38%).

 

O baixo índice encontrado, segundo o Tribunal, é devido àfalta de previsão normativa de responsabilidade da alta administração das organizações pela gestão dos riscos cibernéticos decorrentes da não implementação das medidas de segurança.

 

A fiscalização abordou os seguintes aspectos: a) a autoavaliação dos controles (AAC) de cibersegurança e de segurança da informação dos ciclos 1 e 2 coletados pela Secretaria de Governo Digital (SGD) nas organizações do Sisp no âmbito do Programa de Privacidade e de Segurança da Informação (PPSI); b) ações de diagnóstico, acompanhamento e apoio da SGD/MGI dos ciclos 1 e 2 de AAC; e c) o PPSI, composto pela Portaria SGD/MGI 852/2023 e pelo seu framework.

 

O TCU recomendou à Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos (MGI) que aperfeiçoe o PPSI, além de emitir uma série de recomendações a cada uma das organizações do Sisp.

 

O framework do PPSI, utilizado para medir a maturidade das organizações, tem foco na avaliação e gestão do grau de proteção dos sistemas no ambiente de privacidade e cibernético. Os mecanismos para medir este grau são constituídos pelos índices de maturidade em privacidade e segurança da informação do órgão, que o subsidiam na implementação e monitoramento dos controles e medidas de privacidade e segurança cibernética.

 

Entre os benefícios que o TCU espera alcançar em decorrência da fiscalização, está oaumento do número de controles de cibersegurança implementados pelas organizações do Sisp, com consequente redução dos riscos de ataques cibernéticos ao nível aceitável para as políticas públicas que elas executam.

 

O relator do processo é o ministro Augusto Nardes. A unidade técnica do TCU responsável pela fiscalização foi a Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI), que integra a Secretaria de Controle Externo de Governança, Inovação e Transformação Digital do Estado (SecexEstado).

 

Conteúdos Relacionados

Security Report | Overview

Golpes em plataformas de hospedagem miram roubo de dados bancários

A ESET identificou o Telekopye, um kit de ferramentas que opera como um bot do Telegram entre golpistas, visando plataformas...
Security Report | Overview

Ramsomware à prova de Quantum Computing deve chegar em 2025, alerta estudo

Fraudes financeiras em smartphones e ransomware avançado devem ser os maiores desafios para as empresas no próximo ano
Security Report | Overview

Pesquisa alerta para malwares fraudadores em devices Android e iOS brasileiros

ISH Tecnologia revela que softwares maliciosos são capazes de monitorar atividades online e coletar dados sensíveis...
Security Report | Overview

Black Friday: Mais de 100 páginas falsas são criadas por dia para aplicar golpes

Especialistas indicam que a taxa de geração de sites maliciosos pode triplicar até a chegada do dia de promoções, marcado...