Fiscalização de Segurança da Informação e Cibersegurança

Workshop Online: Protege TI

Workshop Protege TI.png

Sua organização implementa protocolos modernos para os serviços web, email e DNS? Convidamos você, que é profissional de TI, para dialogar com auditores do TCU sobre o tema e conhecer o guia publicado recentemente pelo Tribunal.

Promovido pelo Instituto Serzedello Corrêa, em parceria com a AudTI, o evento ocorrerá na tarde do dia 5 de dezembro de 2024 na modalidade à distância.

Já viu um ataque man-in-the-middle? E um DNS poisoning? Ou ainda um e-mail spoofing?

Se sua organização não configura corretamente alguns protocolos básicos, ela pode conhecer um deles... e tem grande probabilidade de não ser agradável para as equipes de TI...

O TCU fez uma avaliação em cerca de 14 mil URLs de organizações públicas: de todos os poderes, de todas as esferas de governo. O resultado não foi uma foto bonita de ver.

Mas o TCU não “vive” só de apontar problemas. Se o problema é do Brasil, então é nosso também. Daí o motivo de o Tribunal ter publicado um guia para apoiar os gestores nas decisões e procedimentos para melhorar seus controles onde entender que é necessário.

Neste workshop a equipe da Dasi vai dialogar com você sobre os riscos decorrentes da não implementação desses protocolos modernos, apresentar os resultados da avaliação das 14 mil URLs, ouvir suas principais dificuldades para atuar na redução dos riscos de segurança da informação de sua organização e lançar oficialmente um guia para apoiá-lo no caminho da redução dos riscos.

Mas porque o evento é um workshop? Porque você vai executar atividades durante o evento que serão os primeiros passos para percorrer o caminho da melhoria.

Palestrantes: Equipe da Diretoria de Avaliação de Segurança da Informação (Dasi/AudTI/SecexEstado) do Tribunal de Contas da União

Material do workshop:

Ficha síntese da auditoria (resumo) Matriz de riscos e controles para serviços de hospedagem web, e-mail e DNSApresentação do eventoLink direto para o vídeo no YouTube

O que é o PROTEGE-TI?

PROTEGE-TI é o nome da estratégia anual de Controle Externo do Tribunal de Contas da União, executada pela AudTI.

PROTEGE-TI 2023 - Riscos e Controles Técnicos

F01: Configurações em serviços Web, e-mail e DNS

Objetivo da fiscalização:

Promover a melhoria na gestão de riscos de segurança da informação no contexto dos serviços de hospedagem web, e-mail e resolução de nomes em organizações públicas federais, estaduais e municipais.

Deliberação:

Acórdão 523/2024-TCU-Plenário (Relator Min. Aroldo Cedraz), no TC 017.413/2023-0.

F02: Vetor de Ataque Phishing

Objetivo da fiscalização:

Promover a melhoria da gestão de riscos no contexto do vetor de ataque phishing, por meio da avaliação dos controles administrativos, técnicos e de conscientização existentes nas organizações fiscalizadas em relação às boas práticas.

Deliberações:

Acórdão 2.079/2024-TCU-Plenário (Relator Min. Aroldo Cedraz), no TC 019.227/2023-0 (sigiloso)

Acórdão 2.080/2024-TCU-Plenário (Relator Min. Aroldo Cedraz), no TC 019.228/2023-6 (sigiloso)

Acórdão 2.081/2024-TCU-Plenário (Relator Min. Aroldo Cedraz), no TC 019.229/2023-2 (sigiloso)

F04: Active Directory

Objetivo da fiscalização:

Promover a melhoria na gestão de riscos de segurança da informação dos órgãos auditados no contexto dos Serviços de Domínio do Active Directory (AD-DS) da Microsoft, por meio da avaliação dos controles administrativos e técnicos existentes nas organizações fiscalizadas em relação às boas práticas:

Deliberações:

Ainda não aprecidado, TC 039.230/2023-6 (sigiloso)

Ainda não aprecidado, TC 039.231/2023-2 (sigiloso)

Ainda não aprecidado, TC 039.233/2023-5 (sigiloso)

F05: Gestão de Incidentes

Objetivo da fiscalização:

Promover melhorias no processo de Gestão de Incidentes de Segurança da Informação por meio da avaliação dos controles administrativos e técnicos existentes nas organizações fiscalizadas em relação às boas práticas.

Deliberações:

Ainda não aprecidado, TC 039.955/2023-0 (sigiloso)

Ainda não aprecidado, TC 039.956/2023-7 (sigiloso)

F06: Gestão de Cópias de Segurança (Backup)

Objetivo da fiscalização:

Promover melhorias no processo de Gestão de Cópias de Segurança (Backup) por meio da avaliação dos controles administrativos e técnicos existentes nas organizações fiscalizadas em relação às boas práticas.

Deliberações:

Ainda não aprecidado, TC 040.034/2023-2 (sigiloso)

Ainda não aprecidado, TC 040.039/2023-4 (sigiloso)

PROTEGE-TI 2024 (em andamento) - Lista de Alto Risco, Riscos e Controles Técnicos

G01: Política Nacional de Cibersegurrança (LAR)

Objetivo da fiscalização:

Avaliar em que medida a Política Nacional de Cibersegurança está de acordo com as boas práticas, em especial comparada ao previsto no Referencial de Controle de Políticas Públicas do TCU

Deliberação:

Ainda não apreciado, TC 010.387/2024-2.

G02: Controles Críticos nas organizações do Sisp (LAR)

Objetivo da fiscalização:

Avaliar em que medida os controles de cibersegurança e de segurança da informação implementados pelas organizações do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) estão de acordo com as boas práticas, em especial comparada ao previsto no Framework de Privacidade e Segurança da Informação – PPSI (Portaria-SGD/MGI 852/2023)

Deliberações:

Ainda não apreciado, TC 010.390/2024-3.

F03: Gestão de Identidades e de Autenticação

Objetivo da fiscalização:

Promover a melhoria nos processos de gestão de identidades do Siafi, por meio da avaliação de controles técnicos e administrativos existentes em relação às boas práticas.

Deliberações:

Fiscalização em execução, TC 024.560/2024-3 (sigiloso)

F07: Gestão de vulbnerabilidades

Objetivo da fiscalização:

Promover a melhoria da gestão de riscos no processo de Gestão de Vulnerabilidades da organização auditada, por meio da avaliação dos controles administrativos e técnicos existentes em relação às boas práticas.

Deliberações:

Fiscalização em execução, TC 021.877/2024-6 (sigiloso)

Fiscalização em execução, TC 024.560/2024-3 (sigiloso)

PTO - PROTEGE-TI Online

O que é PROTEGE-TI online?

Como se inscrever no workshop?

Vou ganhar certificado de participação ou de conclusão?

Quanto tempo tenho para realizar as atividades?

Quando será o próximo PTO?


Cronograma previsto:

05/12/2024 - PTO-01 : WEB, DNS e EMAIL: os seus estão de portas abertas?

06/02/2025 - PTO-02 : Phishing: Treine seus usuários, ou eles serão fisgados!

13/03/2025 - PTO-03 : Cibersegurança na Lista de Alto Risco

03/04/2025 - PTO-04 : Phishing: você já caiu em um hoje?

Recursos para gestores e auditores

Aqui teremos recursos como guias, QACIs, scripts, Notas técnicas etc. que podem ser usados por gestores e auditorias.

Configurações em serviços Web, e-mail e DNS

  • Matriz de Riscos e Controles para Serviços de hospedagem Web, e-mail e DNS
  • Ferramenta top.nic
  • Assista o Workshop PTO-01

Sobre a Dasi

Para contribuir com a garantia da soberania digital do Brasil, o TCU ampliou a Auditoria Especializada em Fiscalização de Tecnologia da Informação (AudTI) criando a Diretoria de Avaliação de Segurança da Informação (Dasi).

Para enfrentar o desafio de contribuir para o fortalecimento da resiliência cibernética, a Dasi atua seguindo princípios de algumas doutrinas e métodos: Pensamento exponencial, Método ágil, Design Thinking e Segurança Ofensiva.

O Propósito Transformador Massivo (PTM) da Dasi é "Tornar seguro o ambiente digital sob a governabilidade do Brasil"