Fiscalização de tecnologia da informação
Cinco controles de segurança cibernética para ontem
Acompanhamento de controles críticos de segurança cibernética das organizações públicas federais
O processo de transformação digital das organizações públicas, ao mesmo tempo em que disponibiliza aos cidadãos cada vez mais serviços digitalizados, acessíveis por meio de aplicativos e/ou de sítios na Internet, torna essas organizações progressivamente mais dependentes de soluções de tecnologia da informação (TI), em especial de ferramentas de software, bases de dados e sistemas informatizados. Aliada a essa dependência tecnológica, a pandemia da Covid-19 forçou as organizações a expandirem rapidamente o regime de trabalho remoto. Consequentemente, aumentou a quantidade de acessos externos às suas redes e disparou, no mundo inteiro, o número de incidentes relacionados a ataques cibernéticos e códigos maliciosos (malware). Os casos de ransomware (“sequestro” de dados), por exemplo, aumentaram 90% de 2020 para 2021. No setor de finanças, os ataques cibernéticos cresceram 300%.
Esse cenário em que, por falhas na respectiva gestão da segurança da informação (SegInfo) ou pela implementação insuficiente de controles de segurança cibernética (SegCiber), as organizações públicas estão expostas a riscos gradativamente maiores foi registrado no Acórdão 4.035/2020-TCU-Plenário (TC 001.873/2020-2; Rel. Min. Vital do Rêgo), cujo relatório propôs uma estratégia, publicada recentemente, para orientar e guiar o TCU no processo de “acompanhar e induzir a boa gestão de SegInfo/SegCiber no âmbito da APF”. Tal estratégia prevê fiscalização do tipo “acompanhamento”, com vistas a obter dados e avaliar a adoção, pelas organizações públicas federais, de controles críticos para a gestão de SegCiber, cuja realização foi aprovada por meio do Acórdão 1.109/2021-TCU-Plenário (TC 036.620/2020-3, auditoria de backup/restore dos órgãos e entidades da APF). O Relator também será o Ministro Vital do Rêgo.
O método utilizado será o de autoavaliação de controles internos (do inglês Control Self-Assessment – CSA), no qual disponibiliza-se um questionário para que os gestores preencham as respostas que melhor reflitam a situação atual das respectivas organizações com relação a diversos controles e medidas de segurança. Se considerarem necessário, os auditores poderão solicitar a complementação das respostas com o envio das evidências correspondentes. Os relatórios de feedback serão gerados e devolvidos automaticamente aos gestores assim que as respostas forem submetidas na plataforma de pesquisa, com ganhos para auditores e auditados, que poderão planejar de imediato a evolução dos seus controles.
O acompanhamento está previsto para ser realizado ao longo de sete ciclos, ao final dos quais terão sido avaliadas todas as 153 medidas de segurança constantes dos dezoito controles críticos de SegCiber da versão 8 do framework do Center for Internet Security (CIS). Neste primeiro ciclo, serão verificados os seguintes controles:
1) Inventário e controle de ativos corporativos;
2) Inventário e controle de ativos de software;
7) Gestão contínua de vulnerabilidades;
14) Conscientização sobre segurança e treinamento de competências;
17) Gestão de respostas a incidentes.
A fiscalização também prevê a construção progressiva de um painel que permitirá visualizar o panorama geral – atual e evolutivo – do conjunto das organizações em termos de SegCiber e, também, de forma correlacionada com os resultados de outras avaliações realizadas pelo Tribunal, a exemplo do levantamento integrado de governança (TC 006.695/2020-5).
Com isso, espera-se conscientizar os gestores das áreas de SegInfo acerca dos riscos aos quais as organizações estão sujeitas em virtude dos cada vez mais frequentes incidentes e ataques cibernéticos, induzindo, assim, que implementem um conjunto adequado de controles e medidas para endereçá-los.
Eventuais dúvidas sobre essa fiscalização ou sobre o questionário a ser aplicado poderão ser enviadas à equipe de auditores pelo e-mail: segciber@tcu.gov.br.
A partir desta página, estão disponíveis:
- CIS_Controls_v8_Guide (em PDF, licenciado sob uma Licença Pública Internacional Creative Commons Atribuição-Não Comercial-SemDerivações 4.0);
- CIS_Controls_v8_Portuguese_v21.08 (em PDF, licenciado sob uma Licença Pública Internacional Creative Commons Atribuição-Não Comercial-SemDerivações 4.0);
- Questionário completo do acompanhamento (em PDF);
- Link que explica a metodologia CSA (autoavaliação de controles);
- Link para o “Glossário de Segurança da Informação” (Portaria GSI/PR 93/2021);
- Link para o sítio do Center for Internet Security (CIS), cujo framework (versão 8) inspirou a elaboração do questionário deste acompanhamento;
- Matriz de Riscos e Controles para serviços de hospedagem Web, e-mail e DNS (em PDF).