Prezado usuário, este portal não é compatível com o navegador Internet Explorer ou outros navegadores antigos.

Recomenda-se o uso de versões atualizadas dos navegadores Google Chrome, Microsoft Edge ou Mozilla Firefox.

Imprensa

TCU verifica política de backup em 422 organizações federais

Auditoria do Tribunal de Contas da União, relatada pelo ministro Vital do Rêgo, apontou a necessidade de que sejam formuladas políticas de backup e restore em cerca de metade das instituições auditadas
Por Secom TCU
21/05/2021

Categorias

  • Administração
  • Ciência e Tecnologia

O Tribunal de Contas da União (TCU) realizou, sob a relatoria do ministro Vital do Rêgo, auditoria com vistas a avaliar a efetividade dos procedimentos de backup das organizações públicas federais. De outubro de 2020 a abril de 2021, avaliou-se a efetividade dos procedimentos de backup de 422 instituições.

“Os riscos decorrentes de falhas na gestão da segurança da informação são de toda ordem e podem representar desde problemas relacionados à integridade de dados públicos e pessoais, passando pelo vazamento de informações sigilosas, confidenciais e pessoais, bem como podendo provocar impactos econômicos negativos em caso de indisponibilidade de serviços ou falhas em sistemas e bases de dados”, explicou o ministro-relator.

“Assim, a presente fiscalização teve por objetivo verificar a capacidade das organizações públicas federais de executar com consistência procedimentos de cópias de segurança (backups) e de recuperação de dados (restore), em especial sobre bases de dados e sistemas críticos”, detalhou o ministro do TCU Vital do Rêgo.

Achados de auditoria

O primeiro achado refere-se à inexistência de política de geração de cópias de segurança (backup e restore) aprovada formalmente na organização. Apesar de se tratar de um controle básico, metade das organizações respondentes (208 de 410: 50,7%) ainda não possuem tal documento. Das 202 que o elaboraram, quase metade (98 de 202: 48,5%) ainda não formalizaram essa política.

“A inexistência de política de backup leva à indefinição em relação ao escopo dos dados (bases de dados, sistemas de arquivos...) que deverão ser copiados, periodicidade (diária, semanal, mensal), quantidades de cópias, locais de armazenamento, tempos de retenção e outros requisitos que podem representar riscos à segurança da informação”, pontuou o ministro-relator do processo.

“O segundo achado é positivo e diz respeito à regularidade de realização do procedimento de cópias. As cópias de segurança (backups) da principal base de dados da organização são realizadas de forma regular e automática”, informou o ministro Vital do Rêgo.

Das organizações consultadas que afirmaram tratar diretamente alguma base de dados (376 organizações), 99,2% (373 organizações) executam backups completos dessa base com periodicidade. Sendo que 45,9% (171 de 373) fazem cópias diariamente ou mais de uma vez por dia. A execução periódica de cópias diminui o risco de perda de dados, uma vez que permite a recuperação dos dados em caso de falhas.

O terceiro achado, também considerado positivo, constatou que cópias de segurança (backups) integrais do principal sistema da organização são realizadas regularmente. De acordo com o que se apurou, de 372 organizações que afirmaram hospedar sistemas em servidores ou máquinas próprios, mais de 75% realizam esses backups diariamente, sendo que 84,4% realizam pelo menos semanalmente.

“Contudo, cumpre-me destacar uma informação negativa existente no relato desse achado, 33 organizações públicas (8,9% do total) informaram que não realizam backup de seu principal sistema, colocando-se em situação de total vulnerabilidade a falhas e ataques, o que é simplesmente inconcebível”, alertou o ministro-relator Vital do Rêgo.

Deliberação

O TCU recomendou ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR), ao Conselho Nacional de Justiça (CNJ) e ao Conselho Nacional do Ministério Público (CNMP) que editem normativos para, cada um no seu âmbito, orientar os gestores e regulamentar a obrigatoriedade de que aprovem formalmente e mantenham atualizadas políticas gerais e planos específicos de backup.

Contexto

O ano de 2020, sob os efeitos da Covid-19, também ficou conhecido pela aceleração da revolução digital. Os riscos à saúde pública e as restrições de contato e de convívio social que se impuseram catalisaram esse processo, consolidando o mundo digital como palco central de significativas mudanças comportamentais”, contextualizou o ministro-relator Vital do Rêgo.

“A administração pública que, por sua vez, já vinha passando por sucessiva digitalização dos serviços públicos, viu-se, repentinamente, sob a necessidade de incorporar em larga escala novas rotinas e procedimentos para manter-se funcionando”, observou o membro do TCU.

“Com efeito, a segurança das informações e o fortalecimento da segurança cibernética, que já eram temas extremamente relevantes para a preservação dos serviços públicos, ganhou novo relevo após as mudanças econômicas e sociais trazidas pela pandemia”, ponderou o ministro da Corte de Contas.

O Superior Tribunal de Justiça (STJ) considerou ter sofrido “o pior ataque cibernético já empreendido contra uma instituição pública brasileira, em termos de dimensão e complexidade”. As atividades criminosas também causaram indisponibilidade de serviços de tecnologia da informação (TI) no Conselho Nacional de Justiça (CNJ), Controladoria-Geral da União (CGU), Ministério da Saúde (MS), Governo do Distrito Federal (GDF), entre outros.

De acordo com informações do portal do governo digital brasileiro, o Gov.br, o número de serviços digitais oferecidos pelo governo saltou de 737 em 2017 para 2.424 serviços em 2020, sendo que 62% dessa quantia eram considerados pelo governo como totalmente digitais. Desde então o número não parou de crescer.  Atualmente, o portal do governo divulga que estão disponíveis on-line 3.909 serviços de 190 órgãos da administração pública. 

 

Serviço

Leia a íntegra da decisão: Acórdão 1.109/2021 – Plenário

Processo: TC 036.620/2020-3

Sessão: 12/5/2021

Secom – ED/va

Atendimento ao cidadão - e-mail: ouvidoria@tcu.gov.br

Atendimento à imprensa - e-mail: imprensa@tcu.gov.br

 

Acompanhe o TCU pelo Twitter e pelo Facebook. Para reclamações sobre uso irregular de recursos públicos federais, entre em contato com a Ouvidoria do TCU, clique aqui ou ligue para 0800-6442300