Fiscalização de Segurança da Informação e Cibersegurança

Página em construção: a versão inicial estará disponível em 05/12/2024, data do primeiro Workshop PROTEGE-TI Online. Mas você pode acompanhar os incrementos visitando aqui.

O que você vai encontrar nesta pagina:

Cibersegurança na Lista de Alto Risco do TCU (LAR)

O que é o PROTEGE-TI?

PTO - PROTEGE-TI online

Recursos para gestores e auditores

Sobre a Dasi

Cibersegurança na Lista de Alto Risco do TCU (LAR)

Cibersegurança é atuamente o 4º maior risco global....

Soberania digital ...

O que é a lista de alto risco?

Breve descrição do tema

Veja a ficha síntese do "Tema 28 - Segurança da Informação e Cibernética" no documento da LAR.

Decisões que deram suporte ao tema na LAR 2024:

• Acórdão YYYY/2024-TCU-Plenário (Relator Min Benjamim Zymler), no TC 010.387/2024-2
• Acórdão YYYY/2024-TCU-Plenário (Relator Min Augusto Nardes), no TC 010.390/2024-3

Voltar ao início

O que é o PROTEGE-TI?

PROTEGE-TI é o nome da estratégia anual de Controle Externo do Tribunal de Contas da União, executada pela AudTI.

PROTEGE-TI 2023 - Riscos e Controles Técnicos 

F01: Configurações em serviços Web, e-mail e DNS

Objetivo da fiscalização:

Promover a melhoria na gestão de riscos de segurança da informação no contexto dos serviços de hospedagem web, e-mail e resolução de nomes em organizações públicas federais, estaduais e municipais.

Deliberação:

•  Acórdão 523/2024-TCU-Plenário (Relator Min. Aroldo Cedraz), no TC 017.413/2023-0. 

F02: Vetor de Ataque Phishing

Objetivo da fiscalização:

Promover a melhoria da gestão de riscos no contexto do vetor de ataque phishing, por meio da avaliação dos controles administrativos, técnicos e de conscientização existentes nas organizações fiscalizadas em relação às boas práticas.

Deliberações:

• Acórdão 2.079/2024-TCU-Plenário (Relator Min. Aroldo Cedraz), no TC 019.227/2023-0 (sigiloso)
• Acórdão 2.080/2024-TCU-Plenário (Relator Min. Aroldo Cedraz), no TC 019.228/2023-6 (sigiloso)
• Acórdão 2.081/2024-TCU-Plenário (Relator Min. Aroldo Cedraz), no TC 019.229/2023-2 (sigiloso)

F04: Active Directory

Objetivo da fiscalização:

Promover a melhoria na gestão de riscos de segurança da informação dos órgãos auditados no contexto dos Serviços de Domínio do Active Directory (AD-DS) da Microsoft, por meio da avaliação dos controles administrativos e técnicos existentes nas organizações fiscalizadas em relação às boas práticas:

Deliberações:

• Ainda não aprecidado, TC 039.230/2023-6 (sigiloso)
• Ainda não aprecidado, TC 039.231/2023-2 (sigiloso)
• Ainda não aprecidado, TC 039.233/2023-5 (sigiloso)

F05: Gestão de Incidentes

Objetivo da fiscalização:

Promover melhorias no processo de Gestão de Incidentes de Segurança da Informação por meio da avaliação dos controles administrativos e técnicos existentes nas organizações fiscalizadas em relação às boas práticas.

Deliberações:

• Ainda não aprecidado, TC 039.955/2023-0 (sigiloso)
• Ainda não aprecidado, TC 039.956/2023-7 (sigiloso)

F06: Gestão de Cópias de Segurança (Backup)

Objetivo da fiscalização:

Promover melhorias no processo de Gestão de Cópias de Segurança (Backup) por meio da avaliação dos controles administrativos e técnicos existentes nas organizações fiscalizadas em relação às boas práticas.

Deliberações:

• Ainda não aprecidado, TC 040.034/2023-2 (sigiloso)
• Ainda não aprecidado, TC 040.039/2023-4 (sigiloso)

PROTEGE-TI 2024 (em andamento) - Lista de Alto Risco, Riscos e Controles Técnicos

G01: Política Nacional de Cibersegurrança (LAR)

Objetivo da fiscalização:

Avaliar em que medida a Política Nacional de Cibersegurança está de acordo com as boas práticas, em especial comparada ao previsto no Referencial de Controle de Políticas Públicas do TCU

Deliberação:

• Ainda não apreciado, TC 010.387/2024-2.

G02: Controles Críticos nas organizações do Sisp (LAR)

Objetivo da fiscalização:

Avaliar em que medida os controles de cibersegurança e de segurança da informação implementados pelas organizações do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) estão de acordo com as boas práticas, em especial comparada ao previsto no Framework de Privacidade e Segurança da Informação – PPSI (Portaria-SGD/MGI 852/2023)

Deliberações:

• Ainda não apreciado, TC 010.390/2024-3.

F03: Gestão de Identidades e de Autenticação

Objetivo da fiscalização:

Promover a melhoria nos processos de gestão de identidades do Siafi, por meio da avaliação de controles técnicos e administrativos existentes em relação às boas práticas.

Deliberações:

• Fiscalização em execução, TC 024.560/2024-3 (sigiloso)

F07: Gestão de vulbnerabilidades

Objetivo da fiscalização:

Promover a melhoria da gestão de riscos no processo de Gestão de Vulnerabilidades da organização auditada, por meio da avaliação dos controles administrativos e técnicos existentes em relação às boas práticas.

Deliberações:

• Fiscalização em execução, TC 021.877/2024-6 (sigiloso)
• Fiscalização em execução, TC 024.560/2024-3 (sigiloso)

Voltar ao início

PTO - PROTEGE-TI Online

1. O que é PROTEGE-TI online?
2. Como se inscrever no workshop?
3. Vou ganhar certificado de participação ou de conclusão?
4. Quanto tempo tenho para realizar as atividades?
5. Quando será o próximo PTO?

O cronograma previsto até o momento é o seguinte:

• 05/12/2024 - PTO-01 : WEB, DNS e EMAIL: os seus estão de portas abertas?
• 06/02/2025 - PTO-02 : Phishing: Treine seus usuários, ou eles serão fisgados!
• 13/03/2025 - PTO-03 : Cibersegurança na Lista de Alto Risco
• 03/04/2025 - PTO-04 : Phishing: você já caiu em um hoje?

Voltar ao início

Recursos para gestores e auditores

Aqui teremos recursos como guias, QACIs, scripts, Notas técnicas etc. que podem ser usados por gestores e auditorieas. Gestores.... Auditores ....

Configurações em serviços Web, e-mail e DNS

• Matriz de Riscos e Controles para Serviços de hospedagem Web, e-mail e DNS
• Ferramenta top.nic
• Assista o Workshop PTO-01 

Vetor de Ataque Phishing

• QACIs
• Assista o Workshop PTO-02 
• Assista o Workshop PTO-04 

Active Directory

• QACIs
• Assista o Workshop PTO-05
• Assista o Workshop PTO-06