Fiscalização de tecnologia da informação

Conteúdo

Introdução

É notória a dependência que as organizações atuais têm dos sistemas informatizados. Cresce a quantidade e a complexidade de sistemas computacionais que controlam os mais variados tipos de operações e o próprio fluxo de informações nas organizações. Com efeito, a Administração Pública brasileira, reflexo da própria sociedade, está cada vez mais adotando o computador como ferramenta indissociável na busca da excelência na produção de bens e na prestação de serviços. Grande parte dos órgãos e entidades sob a jurisdição do Tribunal já utiliza maciçamente a tecnologia da informação para automatizar sua operação, registrar, processar, manter e apresentar informações.

"A evolução da tecnologia da informação vem provocando sensíveis alterações no funcionamento do Estado, sob diferentes aspectos, como: a capacitação profissional; o armazenamento, tratamento e disseminação de dados e informações; o relacionamento entre a sociedade e o Estado e entre órgãos públicos. Verifica-se crescente inserção de dados em redes de informação, cujo acesso cresce dia-a-dia. Iniciativas do Governo Federal, tais como e-gov, sistemas integrados de administração financeira e de pessoal, sistema de compras pela Internet, entre outras, fortalecem a certeza de que essa tendência tende a se ampliar."

A informatização crescente reclama especial atenção das organizações, uma vez que a utilização da tecnologia da informação para manipulação e armazenamento de dados introduz novos riscos e aumenta a fragilidade de algumas atividades. Assim, torna-se essencial a atenção dos gestores públicos para as questões relacionadas à segurança da tecnologia da informação e à qualidade dos sistemas informatizados disponíveis ao público.

Dada a importância estratégica da área de Tecnologia da Informação - TI, a expressiva materialidade tanto das aquisições relacionadas à tecnologia da informação quanto dos recursos geridos por meio de sistemas informatizados no Governo Federal, e o uso cada vez mais crescente da tecnologia da informação para manipulação e armazenamento de dados da Administração Pública Federal, introduzindo novos riscos e aumentando a fragilidade de algumas atividades, o Tribunal de Contas da União conta com a Secretaria de Fiscalização de Tecnologia da Informação - Sefti, como unidade especializada na área.

Essa secretaria especializada, criada em agosto de 2006 para fiscalizar a gestão e o uso de recursos de TI na Administração Pública Federal, conduz trabalhos específicos em Fiscalização de Tecnologia da Informação e serve de suporte às demais Secretarias do Tribunal, atuando, sempre que solicitada, em uma estrutura matricial de fiscalização. Além disso, elabora e dissemina metodologias, manuais, notas técnicas e procedimentos para planejamento e execução de fiscalizações de tecnologia da informação, visando maior qualidade dos trabalhos de fiscalização nessa área. A SEFTI também realiza ações sistematizadas de relacionamento, divulgação e troca de conhecimentos com a sociedade, o Congresso Nacional e os Gestores Públicos por meio do Diálogo Público de TI.

Suas três Divisões de Governança de Tecnologia  da Informação possuem a atribuição  de coordenação e realização de fiscalizações da governança de TI, nos sistemas informatizados da Administração Pública, nas iniciativas de governo eletrônico e na gestão dos recursos de tecnologia da informação,  bem como  a missão de coordenação e realização de fiscalizações em editais de licitação, em contratos e em processos de aquisições diretas.

Evolução histórica da fiscalização de Tecnologia da Informação no TCU

No princípio da década de 1990, foram realizadas as primeiras auditorias de sistemas e desenvolvidos os primeiros estudos para elaboração de técnicas e procedimentos especializados no TCU. Assim, foram elaborados os Procedimentos de Auditoria de Sistemas, ao final de 1992, revisados em 1998, e executadas auditorias nos sistemas de arrecadação federal, no Sistema do Banco Central e no Sistema de Administração de Recursos Humanos. Ao longo dessa década, foi elaborado o Manual de Auditoria de Sistemas, em 1998, e realizadas importantes auditorias no Sistema de Seguridade Social, no Sistema de Comércio Exterior, no ambiente de informática da Empresa Brasileira de Pesquisa Agropecuária, no Sistema de Administração Financeira, nos Sistemas da Previdência Social, nos planos para evitar danos devido ao Bug do Ano 2000 e nos sistemas do Patrimônio da União, já no ano de 2000.

Em paralelo a esses trabalhos, o TCU desenvolveu curso para treinamento e aperfeiçoamento do corpo técnico do Tribunal na área de Auditoria da Tecnologia da Informação. Para tanto, foi traduzido, do idioma inglês, e adaptado à realidade e às necessidades brasileiras, um curso de auditoria da tecnologia da informação da International Organization of Supreme Audit Institutions – Intosai, elaborado pelo National Audit Office – NAO do Reino Unido. É importante salientar que foram realizadas cinco edições anuais e internacionais desse curso (1998 a 2002) e outras tantas para platéias mais específicas. Os cursos internacionais contaram com o apoio da Organização Latino-Americana e do Caribe das Entidades de Fiscalização Superior – Olacefs e da Comunidade dos Países de Língua Portuguesa – CPLP e treinaram mais de 40 auditores de 18 países. Nesses cursos foram treinados outros 40 auditores de órgãos e entidades públicas da Administração Pública Federal e de Tribunais de Contas dos Estados brasileiros e Distrito Federal. Mais de 15% de todos os auditores do Tribunal (cerca de 150 AUFC) receberam esse treinamento, seja no curso de formação ou em cursos de especialização.

A partir de 2001, o TCU realizou auditorias nos sistemas da Previdência Social, no Sistema de Administração de Pessoal, na Delegacia de Administração do Ministério da Fazenda em São Paulo, nos sistemas de processamento das loterias de prognósticos da Caixa Econômica Federal, no Centro Tecnológico de Informática do Ministério da Saúde. Levou a cabo, ainda, a publicação da Cartilha de Boas Práticas em Segurança da Informação e importante levantamento sobre a aquisição de bens e serviços de informática com inexigibilidade de licitação na Administração Pública Federal, o que ensejou na realização de Fiscalização de Origem Centralizada. Foram ainda realizadas importantes auditorias nas bases de dados de benefícios e de arrecadação da Previdência Social, no Sistema de Cobrança Administrativa da Previdência Social, no Sistema Financeiro da Caixa Econômica Federal, na Coordenação-Geral de Informática do Ministério do Trabalho e Emprego, no Sistema Nacional de Integração de Informações em Justiça e Segurança Pública, e avaliação do Programa Governo Eletrônico.

Em seus acórdãos e decisões mais recentes, relativos a auditorias de segurança de informações, o Tribunal tem mencionado, consistentemente, a norma NBR ISO/IEC 27002:2005, da Associação Brasileira de Normas Técnicas - ABNT, a qual trata de técnicas de segurança em Tecnologia da Informação, e funciona como um código de prática para a gestão da segurança da informação. Essa norma foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados, pela Comissão de Estudo de Segurança Física em Instalações de Informática, bem como o COBIT, que destina-se a prover um modelo de boas práticas para governança de TI.

A norma ISO/IEC 17799, equivalente à norma brasileira, é amplamente reconhecida e utilizada por Entidades Fiscalizadoras Superiores, órgãos de governo, empresas públicas e privadas nacionais e internacionais atentas ao tema Segurança da Informação. Os objetivos definidos nessa norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação, desde políticas de segurança da informação, controle de acesso, a gestão de ativos, de incidentes de segurança, de continuidade de negócios, entre outros. Tais aspectos têm sido avaliados pelas auditorias conduzidas pela Secretaria de Fiscalização de Tecnologia da Informação – Sefti na área de Segurança de Informação, como parte das avaliações de governança de TI nos órgãos sob o controle externo do TCU.

Em outra área e atuação, o Tribunal vem aumentando o controle nas aquisições em Tecnologia da Informação por parte dos seus jurisdicionados. A busca pelo alinhamento das aquisições com o planejamento estratégico dos órgãos e entidades e a estruturação dos seus setores de TI são o foco da atuação desta Corte, haja visto o número crescente de decisões do TCU que sinalizam para a falta de maturidade dos processos de tecnologia da informação nestes entes.