O que é o PROTEGE-TI?
PROTEGE-TI é o nome da estratégia anual de Controle Externo do Tribunal de Contas da União, executada pela AudTI.
PROTEGE-TI 2023 - Riscos e Controles Técnicos
F01: Configurações em serviços Web, e-mail e DNS
Objetivo da fiscalização:
Promover a melhoria na gestão de riscos de segurança da informação no contexto dos serviços de hospedagem web, e-mail e resolução de nomes em organizações públicas federais, estaduais e municipais.
Deliberação:
Acórdão 523/2024-TCU-Plenário (Relator Min. Aroldo Cedraz), no TC 017.413/2023-0.
F02: Vetor de Ataque Phishing
Objetivo da fiscalização:
Promover a melhoria da gestão de riscos no contexto do vetor de ataque phishing, por meio da avaliação dos controles administrativos, técnicos e de conscientização existentes nas organizações fiscalizadas em relação às boas práticas.
Deliberações:
Acórdão 2.079/2024-TCU-Plenário (Relator Min. Aroldo Cedraz), no TC 019.227/2023-0 (sigiloso)
Acórdão 2.080/2024-TCU-Plenário (Relator Min. Aroldo Cedraz), no TC 019.228/2023-6 (sigiloso)
Acórdão 2.081/2024-TCU-Plenário (Relator Min. Aroldo Cedraz), no TC 019.229/2023-2 (sigiloso)
F04: Active Directory
Objetivo da fiscalização:
Promover a melhoria na gestão de riscos de segurança da informação dos órgãos auditados no contexto dos Serviços de Domínio do Active Directory (AD-DS) da Microsoft, por meio da avaliação dos controles administrativos e técnicos existentes nas organizações fiscalizadas em relação às boas práticas:
Deliberações:
Ainda não aprecidado, TC 039.230/2023-6 (sigiloso)
Ainda não aprecidado, TC 039.231/2023-2 (sigiloso)
Ainda não aprecidado, TC 039.233/2023-5 (sigiloso)
F05: Gestão de Incidentes
Objetivo da fiscalização:
Promover melhorias no processo de Gestão de Incidentes de Segurança da Informação por meio da avaliação dos controles administrativos e técnicos existentes nas organizações fiscalizadas em relação às boas práticas.
Deliberações:
Ainda não aprecidado, TC 039.955/2023-0 (sigiloso)
Ainda não aprecidado, TC 039.956/2023-7 (sigiloso)
F06: Gestão de Cópias de Segurança (Backup)
Objetivo da fiscalização:
Promover melhorias no processo de Gestão de Cópias de Segurança (Backup) por meio da avaliação dos controles administrativos e técnicos existentes nas organizações fiscalizadas em relação às boas práticas.
Deliberações:
Ainda não aprecidado, TC 040.034/2023-2 (sigiloso)
Ainda não aprecidado, TC 040.039/2023-4 (sigiloso)
PROTEGE-TI 2024 (em andamento) - Lista de Alto Risco, Riscos e Controles Técnicos
G01: Política Nacional de Cibersegurrança (LAR)
Objetivo da fiscalização:
Avaliar em que medida a Política Nacional de Cibersegurança está de acordo com as boas práticas, em especial comparada ao previsto no Referencial de Controle de Políticas Públicas do TCU
Deliberação:
Ainda não apreciado, TC 010.387/2024-2.
G02: Controles Críticos nas organizações do Sisp (LAR)
Objetivo da fiscalização:
Avaliar em que medida os controles de cibersegurança e de segurança da informação implementados pelas organizações do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) estão de acordo com as boas práticas, em especial comparada ao previsto no Framework de Privacidade e Segurança da Informação – PPSI (Portaria-SGD/MGI 852/2023)
Deliberações:
Ainda não apreciado, TC 010.390/2024-3.
F03: Gestão de Identidades e de Autenticação
Objetivo da fiscalização:
Promover a melhoria nos processos de gestão de identidades do Siafi, por meio da avaliação de controles técnicos e administrativos existentes em relação às boas práticas.
Deliberações:
Fiscalização em execução, TC 024.560/2024-3 (sigiloso)
F07: Gestão de vulbnerabilidades
Objetivo da fiscalização:
Promover a melhoria da gestão de riscos no processo de Gestão de Vulnerabilidades da organização auditada, por meio da avaliação dos controles administrativos e técnicos existentes em relação às boas práticas.
Deliberações:
Fiscalização em execução, TC 021.877/2024-6 (sigiloso)
Fiscalização em execução, TC 024.560/2024-3 (sigiloso)