Organizações públicas de tecnologia da informação não estão protegidas contra ataques cibernéticos
TCU conclui que Sistema de Administração dos Recursos de Tecnologia da Informação deve melhorar aplicações de cibersegurança
RESUMO
- O TCU fez auditoria operacional para verificar se os controles de cibersegurança e de segurança da informação implementados pelas organizações do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) estão de acordo com as melhores práticas.
- De 229 organizações, nenhuma implementa as 56 medidas de segurança do guia de controles, somente 14 implementam mais de 70% e apenas duas organizações implementam mais de 90%.
- Em consequência, as organizações do Sisp não estão protegidas contra os ataques cibernéticos mais comuns.
O Tribunal de Contas da União (TCU) realizou auditoria operacional para verificar se os controles de cibersegurança e de segurança da informação implementados pelas organizações do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) estão de acordo com as boas práticas.
A fiscalização abordou os seguintes aspectos: a) a autoavaliação dos controles (AAC) de cibersegurança e de segurança da informação dos ciclos 1 e 2 coletados pela Secretaria de Governo Digital (SGD) nas organizações do Sisp no âmbito do Programa de Privacidade e de Segurança da Informação (PPSI); b) ações de diagnóstico, acompanhamento e apoio da SGD/MGI dos ciclos 1 e 2 de AAC; e c) o PPSI, composto pela Portaria SGD/MGI 852/2023 e pelo seu framework.
O framework do PPSI, utilizado para medir a maturidade das organizações, tem foco na avaliação e gestão do grau de proteção dos sistemas no ambiente de privacidade e cibernético. Os mecanismos para medir este grau são constituídos pelos índices de maturidade em privacidade e segurança da informação do órgão, que o subsidiam na implementação e monitoramento dos controles e medidas de privacidade e segurança cibernética.
A auditoria constatou que as organizações do Sisp estão aquém do esperado no que se refere à implementação de medidas de segurança cibernética. Não há, ainda, evidência de que alguma das organizações integrantes do Sisp alcance a totalidade do grupo de implementação IG1 do guia Controles CIS, que fundamenta os controles da categoria segurança cibernética.
Das 229 organizações que responderam ao ciclo 1 ou 2, nenhuma delas implementa as 56 medidas de segurança do guia de controles, somente 14 implementam mais de 70% e apenas duas organizações implementam mais de 90%. Em consequência, as organizações do Sisp não estão protegidas contra os ataques cibernéticos mais comuns.
Já com relação ao nível de maturidade em segurança da informação do PPSI, a auditoria constatou que nenhuma organização do Sisp estaria no nível “Aprimorado” e apenas 6% estariam no nível “Em aprimoramento”, sendo que a maioria das organizações, 69%, estariam nos dois níveis mais baixos: Inicial (31%) e Básico (38%).
O baixo índice encontrado, segundo o Tribunal, é devido à falta de previsão normativa de responsabilidade da alta administração das organizações pela gestão dos riscos cibernéticos decorrentes da não implementação das medidas de segurança.
Entre os benefícios que o TCU espera alcançar em decorrência da fiscalização, está o aumento do número de controles de cibersegurança implementados pelas organizações do Sisp, com consequente redução dos riscos de ataques cibernéticos ao nível aceitável para as políticas públicas que elas executam.
O TCU recomendou à Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos (MGI) que aperfeiçoe o PPSI, além de emitir uma série de recomendações a cada uma das organizações do Sisp.
O relator do processo é o ministro Augusto Nardes. A unidade técnica do TCU responsável pela fiscalização foi a Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI), que integra a Secretaria de Controle Externo de Governança, Inovação e Transformação Digital do Estado (SecexEstado).
