RESUMO:

• O Tribunal de Contas da União analisou a macroestrutura de governança e gestão de segurança da informação e de segurança cibernética no âmbito federal.
• “Não obstante a notável evolução dos últimos anos, a macroestrutura de governança e gestão de segurança da informação e de segurança cibernética, apesar de atuante, não se mostra plenamente adequada”, explicou o ministro-relator Vital do Rêgo.
• O TCU concedeu prazo ao Conselho do Programa de Parcerias de Investimentos para que encaminhe os estudos que subsidiaram suas decisões favoráveis à inclusão do Serpro e da Dataprev no Programa Nacional de Desestatização.
• O GSI/PR identificou, em 2019, após triagem de 25 mil notificações, a ocorrência de quase 11 mil incidentes de segurança da informação nas redes do governo brasileiro.

O Tribunal de Contas da União (TCU) realizou, sob a relatoria do ministro Vital do Rêgo, levantamento com o objetivo de conhecer a macroestrutura de governança e gestão de segurança da informação e de segurança cibernética na Administração Pública Federal (APF), incluindo aspectos referentes a legislação, políticas, normativos, atores, papéis e responsabilidades atinentes a essas áreas.

“Com a evolução tecnológica e o aumento da digitalização dos serviços públicos, as vulnerabilidades e as falhas de segurança da informação em sistemas relevantes podem afetar significativamente o Estado e os cidadãos”, alertou o ministro-relator Vital do Rêgo.

“Recentes notícias na imprensa colocaram novamente em evidência a temática. Foram informados ataques cibernéticos, orquestrados em novembro, que paralisaram completamente o Superior Tribunal de Justiça (STJ), além de atingirem outros órgãos públicos, como Ministério da Saúde, Conselho Nacional de Justiça (CNJ) e Governo do Distrito Federal (GDF), representando riscos críticos aos seus dados e processos de trabalho, bem como às respectivas autoridades, servidores e colaboradores”, observou o ministro do TCU.

O cenário encontrado pelo levantamento do TCU mostrou que, em maior ou menor medida, os órgãos governamentais denominados estruturantes estão plenamente cientes da importância de se elevar a maturidade geral da administração em segurança da informação e segurança cibernética.

A Estratégia de Governança Digital da Administração Pública Federal 2016-2019 apontou que a necessidade de se mitigarem as vulnerabilidades de segurança nos sistemas de informação governamentais está entre os principais desafios a serem enfrentados para aprimorar a efetividade das ações de governança digital.

O Gabinete de Segurança Institucional da Presidência da República (GSI/PR) identificou, por exemplo, em 2019, após a triagem de cerca de 25 mil notificações, a ocorrência de quase 11 mil incidentes de segurança da informação nas redes do governo brasileiro.

“Não obstante a notável evolução dos últimos anos, o levantamento mostrou que a macroestrutura nacional de governança e gestão de segurança da informação (SegInfo) e de segurança cibernética (SegCiber), apesar de atuante, não se mostra plenamente adequada, dados, por exemplo, os alcances limitados da atuação do seu principal órgão (GSI/PR) e da regência do atual arcabouço normativo, que não alcançam a administração pública como um todo, mas apenas o Poder Executivo federal”, ponderou o ministro do TCU Vital do Rêgo.

“Relativamente aos riscos e vulnerabilidades, o cenário encontrado merece atenção, especialmente quanto à real capacidade da administração para responder e tratar incidentes de segurança da informação e ataques cibernéticos, por parte de cada órgão individualmente e da rede de tratamento e resposta a incidentes em redes computacionais”, complementou o ministro-relator.

Deliberações

A Corte de Contas concedeu prazo de 15 dias ao Conselho do Programa de Parcerias de Investimentos da Presidência da República (PPI) para que encaminhe os estudos e pareceres técnicos que subsidiaram suas tomadas de decisão consignadas nas Resoluções 90/2019 e 91/2019.

A Resolução 90/2019 é aquela que opinou favoravelmente à qualificação do Serviço Federal de Processamento de Dados (Serpro) no Programa de Parcerias de Investimentos (PPI) e sua inclusão no Programa Nacional de Desestatização (PND).

Já a Resolução 91/2019 opina favoravelmente à qualificação da Empresa de Tecnologia e Informações da Previdência (Dataprev) no Programa de Parcerias de Investimentos (PPI) e sua inclusão no Programa Nacional de Desestatização (PND). Ambas as Resoluções se submetem à deliberação do Presidente da República.

O TCU autorizou, observada eventual reserva quanto a questões específicas, a ampla divulgação às informações e aos produtos do seu relatório de levantamento, a fim de alavancar os esforços de adoção de boas práticas e de cumprimento de normas de segurança da informação e de segurança cibernética pelos órgãos da APF.

Saiba mais

Segundo a Secretaria de Governo Digital do Ministério da Economia, a digitalização abrange cerca de 54% dos serviços públicos. Ao todo, 1.834 serviços podem ser acessados pelos cidadãos sem sair de casa, por meio de portais disponibilizados para a sociedade.

De acordo com a pesquisa TIC Domicílios 2019, realizada pelo Centro Regional para o Desenvolvimento de Estudos sobre a Sociedade da Informação (Cetic.br), vinculado ao Comitê Gestor da Internet no Brasil, três em cada quatro (75%) brasileiros acessam a internet, o que equivale a 134 milhões de pessoas. No entanto, cerca de 70 milhões de brasileiros têm acesso precário à internet ou não têm nenhum tipo de acesso.

Estratégia de Fiscalização do TCU em Segurança da Informação e Segurança Cibernética 2020-2023

Serviço

Leia a íntegra da decisão: Acórdão 4035/2020 – Plenário

Processo: TC 001.873/2020-2

Sessão extraordinária: 08/12/2020

Secom – ED/pn

Atendimento ao cidadão - e-mail: ouvidoria@tcu.gov.br

Atendimento à imprensa - e-mail: imprensa@tcu.gov.br