Prezado usuário, este portal não é compatível com o navegador Internet Explorer ou outros navegadores antigos.

Recomenda-se o uso de versões atualizadas dos navegadores Google Chrome, Microsoft Edge ou Mozilla Firefox.

Fiscalização de tecnologia da informação

Auditoria para avaliar os procedimentos de backup e restore das organizações públicas federais

À medida que avançam as tecnologias da informação (TI), os processos de negócio das organizações dependem cada vez mais de bases de dados e de sistemas de informação. Assim, manter controles internos efetivos sobre os procedimentos de backup tornou-se fundamental para assegurar a continuidade do negócio e a consequente prestação de serviços públicos por parte dos órgãos e entidades da Administração Pública Federal (APF).

Nesse contexto, o Tribunal de Contas da União iniciou auditoria, sob a relatoria do Ministro Vital do Rêgo, para avaliar se os procedimentos de backup e restore das organizações da APF são suficientes e adequados para garantir a continuidade dos serviços prestados.

Esta auditoria está sendo executada no âmbito de parceria entre a Secretaria de Fiscalização de Tecnologia da Informação (Sefti) e outras doze unidades técnicas da Segecex (SecexAdministração, SecexAgroAmbiental, SecexDefesa, SecexEducação, SecexEstataisRJ, SecexFinanças, SecexSaúde, SecexTrabalho, SeinfraPetróleo, SeinfraPortoFerrovia, SeinfraRodoviaAviação, SeinfraUrbana).

O método utilizado é denominado autoavaliação de controles internos (do inglês Control Self-Assessment – CSA), no qual disponibiliza-se um questionário para que os gestores preencham as respostas que melhor reflitam a situação atual das respectivas organizações com relação a seus controles de backup/restore, anexando-se as evidências correspondentes. Cada organização deve receber um link e uma chave de acesso única para responder o questionário online, que ficará disponível até 6/11/2020. Após o preenchimento do questionário, os auditores analisarão qualitativamente as evidências fornecidas e elaborarão relatórios de feedback, os quais serão, futuramente, encaminhados às organizações auditadas.

Ao final, essa metodologia (CSA) permitirá que os gestores e as unidades de auditoria interna das organizações continuem se autoavaliando ao longo dos próximos anos e, assim, possam conduzir o aperfeiçoamento de suas políticas e procedimentos de backup/restore, com a implantação dos planos e controles necessários.

Eventuais dúvidas acerca desta fiscalização ou do respectivo questionário podem ser enviadas à equipe de auditoria pelo e-mail: auditoria.backup@tcu.gov.br .

 

A partir desta página, estão disponíveis:

Alerta Especial CTIR Gov 6-2020 - Nova campanha de ataques de Ransomware (08/11/2020, 20h - em PDF);

- Questionário completo da auditoria (em PDF);

- Checklists para verificação de política e plano de backup (em PDF);

- Link que explica a metodologia CSA (autoavaliação de controles);

- Link para o “Glossário de Segurança da Informação” (Portaria GSI/PR 93/2019);

- Link para o sítio do Center for Internet Security (CIS), cujo framework inspirou a elaboração do questionário desta auditoria (versão 7, controle nº 10 – Data Recovery Capabilities);

Exemplo de política de backup atualizada recentemente.