RESUMO

• O TCU fez auditoria operacional para verificar se os controles de cibersegurança e de segurança da informação implementados pelas organizações do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) estão de acordo com as melhores práticas.
• De 229 organizações, nenhuma implementa as 56 medidas de segurança do guia de controles, somente 14 implementam mais de 70% e apenas duas organizações implementam mais de 90%.
• Em consequência, as organizações do Sisp não estão protegidas contra os ataques cibernéticos mais comuns.

O Tribunal de Contas da União (TCU) realizou auditoria operacional para verificar se os controles de cibersegurança e de segurança da informação implementados pelas organizações do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) estão de acordo com as boas práticas.

A fiscalização abordou os seguintes aspectos: a) a autoavaliação dos controles (AAC) de cibersegurança e de segurança da informação dos ciclos 1 e 2 coletados pela Secretaria de Governo Digital (SGD) nas organizações do Sisp no âmbito do Programa de Privacidade e de Segurança da Informação (PPSI); b) ações de diagnóstico, acompanhamento e apoio da SGD/MGI dos ciclos 1 e 2 de AAC; e c) o PPSI, composto pela Portaria SGD/MGI 852/2023 e pelo seu framework.

O framework do PPSI, utilizado para medir a maturidade das organizações, tem foco na avaliação e gestão do grau de proteção dos sistemas no ambiente de privacidade e cibernético. Os mecanismos para medir este grau são constituídos pelos índices de maturidade em privacidade e segurança da informação do órgão, que o subsidiam na implementação e monitoramento dos controles e medidas de privacidade e segurança cibernética.

A auditoria constatou que as organizações do Sisp estão aquém do esperado no que se refere à implementação de medidas de segurança cibernética. Não há, ainda, evidência de que alguma das organizações integrantes do Sisp alcance a totalidade do grupo de implementação IG1 do guia Controles CIS, que fundamenta os controles da categoria segurança cibernética.

Das 229 organizações que responderam ao ciclo 1 ou 2, nenhuma delas implementa as 56 medidas de segurança do guia de controles, somente 14 implementam mais de 70% e apenas duas organizações implementam mais de 90%. Em consequência, as organizações do Sisp não estão protegidas contra os ataques cibernéticos mais comuns.

Já com relação ao nível de maturidade em segurança da informação do PPSI, a auditoria constatou que nenhuma organização do Sisp estaria no nível “Aprimorado” e apenas 6% estariam no nível “Em aprimoramento”, sendo que a maioria das organizações, 69%, estariam nos dois níveis mais baixos: Inicial (31%) e Básico (38%).

O baixo índice encontrado, segundo o Tribunal, é devido à falta de previsão normativa de responsabilidade da alta administração das organizações pela gestão dos riscos cibernéticos decorrentes da não implementação das medidas de segurança.

Entre os benefícios que o TCU espera alcançar em decorrência da fiscalização, está o aumento do número de controles de cibersegurança implementados pelas organizações do Sisp, com consequente redução dos riscos de ataques cibernéticos ao nível aceitável para as políticas públicas que elas executam.

Para reduzir os riscos de ataques a um nível aceitável, o TCU recomendou que cada uma das 254 organizações do Sisp adotem medidas para implementar controles de segurança cibernética considerando as políticas públicas que conduz, e que a gestão de riscos de ataques cibernéticos seja liderado explicitamente pela alta administração de cada organização.

O relator do processo é o ministro Augusto Nardes. A unidade técnica do TCU responsável pela fiscalização foi a Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI), que integra a Secretaria de Controle Externo de Governança, Inovação e Transformação Digital do Estado (SecexEstado).