Aracaju (SE), 21 de novembro de 2024
POR: TCU
Fonte: TCU
Em: 11/11/2024
Pub.: 12 de novembro de 2024

Organizações públicas de tecnologia da informação não estão protegidas contra ataques cibernéticos

TCU conclui que Sistema de Administração dos Recursos de Tecnologia da Informação deve melhorar aplicações de cibersegurança

 

Logo TCU

 

RESUMO

- O TCU fez auditoria operacional para verificar se os controles de cibersegurança e de segurança da informação implementados pelas organizações do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) estão de acordo com as melhores práticas.
- De 229 organizações, nenhuma implementa as 56 medidas de segurança do guia de controles, somente 14 implementam mais de 70% e apenas duas organizações implementam mais de 90%.
- Em consequência, as organizações do Sisp não estão protegidas contra os ataques cibernéticos mais comuns.

O Tribunal de Contas da União (TCU) realizou auditoria operacional para verificar se os controles de cibersegurança e de segurança da informação implementados pelas organizações do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) estão de acordo com as boas práticas.

A fiscalização abordou os seguintes aspectos: a) a autoavaliação dos controles (AAC) de cibersegurança e de segurança da informação dos ciclos 1 e 2 coletados pela Secretaria de Governo Digital (SGD) nas organizações do Sisp no âmbito do Programa de Privacidade e de Segurança da Informação (PPSI); b) ações de diagnóstico, acompanhamento e apoio da SGD/MGI dos ciclos 1 e 2 de AAC; e c) o PPSI, composto pela Portaria SGD/MGI 852/2023 e pelo seu framework.

O framework do PPSI, utilizado para medir a maturidade das organizações, tem foco na avaliação e gestão do grau de proteção dos sistemas no ambiente de privacidade e cibernético. Os mecanismos para medir este grau são constituídos pelos índices de maturidade em privacidade e segurança da informação do órgão, que o subsidiam na implementação e monitoramento dos controles e medidas de privacidade e segurança cibernética.

A auditoria constatou que as organizações do Sisp estão aquém do esperado no que se refere à implementação de medidas de segurança cibernética. Não há, ainda, evidência de que alguma das organizações integrantes do Sisp alcance a totalidade do grupo de implementação IG1 do guia Controles CIS, que fundamenta os controles da categoria segurança cibernética.

Das 229 organizações que responderam ao ciclo 1 ou 2, nenhuma delas implementa as 56 medidas de segurança do guia de controles, somente 14 implementam mais de 70% e apenas duas organizações implementam mais de 90%. Em consequência, as organizações do Sisp não estão protegidas contra os ataques cibernéticos mais comuns.

Já com relação ao nível de maturidade em segurança da informação do PPSI, a auditoria constatou que nenhuma organização do Sisp estaria no nível “Aprimorado” e apenas 6% estariam no nível “Em aprimoramento”, sendo que a maioria das organizações, 69%, estariam nos dois níveis mais baixos: Inicial (31%) e Básico (38%).

O baixo índice encontrado, segundo o Tribunal, é devido à falta de previsão normativa de responsabilidade da alta administração das organizações pela gestão dos riscos cibernéticos decorrentes da não implementação das medidas de segurança.

Entre os benefícios que o TCU espera alcançar em decorrência da fiscalização, está o aumento do número de controles de cibersegurança implementados pelas organizações do Sisp, com consequente redução dos riscos de ataques cibernéticos ao nível aceitável para as políticas públicas que elas executam.

O TCU recomendou à Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos (MGI) que aperfeiçoe o PPSI, além de emitir uma série de recomendações a cada uma das organizações do Sisp.

O relator do processo é o ministro Augusto Nardes. A unidade técnica do TCU responsável pela fiscalização foi a Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI), que integra a Secretaria de Controle Externo de Governança, Inovação e Transformação Digital do Estado (SecexEstado).


Tenha o Click Sergipe na palma da sua mão! Clique AQUI e confira as últimas notícias publicadas.

WhatsApp

Entre e receba as notícias do dia

Entrar no Canal

Matérias em destaque

Click Sergipe - O mundo num só Click

Apresentação