Órgãos públicos de TI não estão protegidos contra ciberataques, alerta TCU

O Tribunal de Contas da União concluiu, após auditoria de SI, que o Sistema de Administração dos Recursos de Tecnologia da Informação deve melhorar aplicações de cibersegurança

Compartilhar:

O Tribunal de Contas da União (TCU) realizou auditoria operacional para verificar se os controles de cibersegurança e de segurança da informação implementados pelas organizações do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) estão de acordo com as boas práticas. A análise constatou que as organizações do Sisp estão aquém do esperado no que se refere à implementação de medidas de segurança cibernética.

 

Não há, ainda, evidência de que alguma das integrantes do Sisp alcance a totalidade do grupo de implementação IG1 do guia Controles CIS, que fundamenta os controles da categoria segurança cibernética. Das 229 organizações que responderam ao ciclo 1 ou 2, nenhuma delas implementa as 56 medidas de segurança do guia de controles, somente 14 implementam mais de 70% e apenas duas organizações implementam mais de 90%. Em consequência, as organizações do Sisp não estão protegidas contra os ataques cibernéticos mais comuns.

 

Já com relação ao nível de maturidade em segurança da informação do PPSI, a auditoria constatou que nenhuma organização do Sisp estaria no nível “Aprimorado” e apenas 6% estariam no nível “Em aprimoramento”, sendo quea maioria das organizações, 69%, estariam nos dois níveis mais baixos: Inicial (31%) e Básico (38%).

 

O baixo índice encontrado, segundo o Tribunal, é devido àfalta de previsão normativa de responsabilidade da alta administração das organizações pela gestão dos riscos cibernéticos decorrentes da não implementação das medidas de segurança.

 

A fiscalização abordou os seguintes aspectos: a) a autoavaliação dos controles (AAC) de cibersegurança e de segurança da informação dos ciclos 1 e 2 coletados pela Secretaria de Governo Digital (SGD) nas organizações do Sisp no âmbito do Programa de Privacidade e de Segurança da Informação (PPSI); b) ações de diagnóstico, acompanhamento e apoio da SGD/MGI dos ciclos 1 e 2 de AAC; e c) o PPSI, composto pela Portaria SGD/MGI 852/2023 e pelo seu framework.

 

O TCU recomendou à Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos (MGI) que aperfeiçoe o PPSI, além de emitir uma série de recomendações a cada uma das organizações do Sisp.

 

O framework do PPSI, utilizado para medir a maturidade das organizações, tem foco na avaliação e gestão do grau de proteção dos sistemas no ambiente de privacidade e cibernético. Os mecanismos para medir este grau são constituídos pelos índices de maturidade em privacidade e segurança da informação do órgão, que o subsidiam na implementação e monitoramento dos controles e medidas de privacidade e segurança cibernética.

 

Entre os benefícios que o TCU espera alcançar em decorrência da fiscalização, está oaumento do número de controles de cibersegurança implementados pelas organizações do Sisp, com consequente redução dos riscos de ataques cibernéticos ao nível aceitável para as políticas públicas que elas executam.

 

O relator do processo é o ministro Augusto Nardes. A unidade técnica do TCU responsável pela fiscalização foi a Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI), que integra a Secretaria de Controle Externo de Governança, Inovação e Transformação Digital do Estado (SecexEstado).

 

Conteúdos Relacionados

Security Report | Overview

Gartner anuncia principais previsões de Segurança e Tecnologia para 2025

De acordo com a consultoria, o grande foco do setor será a consolidação dos agentes IA, que devem responder por...
Security Report | Overview

Brasil é o maior alvo de ataques em sistemas Linux da América Latina

Com mais de mil ataques por dia, roteadores D-Link são o principal alvo. Os incidentes envolvendo esse sistema operacional cresceram...
Security Report | Overview

Infostealers se destacam entre as maiores ameaças em outubro, diz relatório

A nova edição do índice de ameaças da Check Point Software evidencia uma tendência preocupante no cenário da cibersegurança: a...
Security Report | Overview

FBI conduz cooperação internacional para combater crimes cibernéticos no Brasil

O agente oficial do FBI, Marco Gonzalez, traz perspectivas e insights das investigações realizadas no país a respeito de golpes...