Segurança da Informação e Cibersegurança atualização

Apresentação

O Tribunal de Contas da União (TCU) trabalha para garantir a segurança no mundo digital e proteger as informações importantes do Brasil. Por meio de ações modernas e estratégias inovadoras, o TCU identifica problemas, avalia riscos e sugere melhorias para tornar os sistemas e dados do país mais seguros. Esse trabalho ajuda a fortalecer a proteção digital e a criar um ambiente tecnológico mais confiável para todos os brasileiros.

Segurança da informação na Lista de Alto Risco do TCU

O tema Segurança da informação e segurança cibernética fazem parte da Lista de Alto Risco (LAR), que é uma ferramenta estratégica que consolida a avaliação do TCU sobre 29 áreas críticas da administração pública, que apresentam riscos significativos, capazes de comprometer a qualidade dos serviços prestados ao cidadão e a efetividade das políticas públicas.

Saiba mais aqui.

Decisões que deram suporte ao tema na LAR 2024:

Fiscalizações

Configurações em serviços Web, e-mail e DNS

Objetivo da fiscalização:

Promover a melhoria na gestão de riscos de segurança da informação no contexto dos serviços de hospedagem web, e-mail e resolução de nomes em organizações públicas federais, estaduais e municipais.

Processos no TCU:

TC 017.413/2023-0

Acórdão 523/2024-TCU-Plenário (Relator Min. Aroldo Cedraz)

Vetor de Ataque Phishing

Objetivo da fiscalização:

Promover a melhoria da gestão de riscos no contexto do vetor de ataque phishing, por meio da avaliação dos controles administrativos, técnicos e de conscientização existentes nas organizações fiscalizadas em relação às boas práticas.

Processos no TCU:

TC 019.227/2023-0 (sigiloso)

Acórdão 2.079/2024-TCU-Plenário (Relator Min. Aroldo Cedraz)

TC 019.228/2023-6 (sigiloso)

Acórdão 2.080/2024-TCU-Plenário (Relator Min. Aroldo Cedraz)

TC 019.229/2023-2 (sigiloso)

Acórdão 2.081/2024-TCU-Plenário (Relator Min. Aroldo Cedraz)

Active Directory

Objetivo da fiscalização:

Promover a melhoria na gestão de riscos de segurança da informação dos órgãos auditados no contexto dos Serviços de Domínio do Active Directory (AD-DS) da Microsoft, por meio da avaliação dos controles administrativos e técnicos existentes nas organizações fiscalizadas em relação às boas práticas:

Processos no TCU:

TC 039.230/2023-6 (sigiloso)

Acórdão 750/2025-TCU-Plenário (Relator Min. Aroldo Cedraz)

TC 039.231/2023-2 (sigiloso)

Acórdão 751/2025-TCU-Plenário (Relator Min. Aroldo Cedraz)

TC 039.233/2023-5 (sigiloso)

Acórdão 752/2025-TCU-Plenário (Relator Min. Aroldo Cedraz)

Gestão de Incidentes

Objetivo da fiscalização:

Promover melhorias no processo de Gestão de Incidentes de Segurança da Informação por meio da avaliação dos controles administrativos e técnicos existentes nas organizações fiscalizadas em relação às boas práticas.

Processos no TCU:

TC 039.955/2023-0 (sigiloso)

Acórdão 509/2025-TCU-Plenário (Relator Min. Aroldo Cedraz)

TC 039.956/2023-7 (sigiloso)

Acórdão 510/2025-TCU-Plenário (Relator Min. Aroldo Cedraz)

Gestão de Cópias de Segurança (Backup)

Objetivo da fiscalização:

Promover melhorias no processo de Gestão de Cópias de Segurança (Backup) por meio da avaliação dos controles administrativos e técnicos existentes nas organizações fiscalizadas em relação às boas práticas.

Processos no TCU:

TC 040.034/2023-2 (sigiloso)

Acórdão 639/2025-TCU-Plenário (Relator Min. Aroldo Cedraz)

TC 040.039/2023-4 (sigiloso)

Acórdão 537/2025-TCU-Plenário (Relator Min. Aroldo Cedraz)

Política Nacional de Cibersegurança

Objetivo da fiscalização:

Avaliar em que medida a Política Nacional de Cibersegurança está de acordo com as boas práticas, em especial comparada ao previsto no Referencial de Controle de Políticas Públicas do TCU

Processos no TCU:

TC 010.387/2024-2.

Controles Críticos nas organizações do Sisp

Objetivo da fiscalização:

Avaliar em que medida os controles de cibersegurança e de segurança da informação implementados pelas organizações do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) estão de acordo com as boas práticas, em especial comparada ao previsto no Framework de Privacidade e Segurança da Informação – PPSI (Portaria-SGD/MGI 852/2023)

Processos no TCU:

TC 010.390/2024-3

Acórdão 2387/2024-TCU-Plenário (Relator Min. Augusto Nardes

Gestão de Identidades e de Autenticação

Objetivo da fiscalização:

Promover a melhoria nos processos de gestão de identidades do Siafi, por meio da avaliação de controles técnicos e administrativos existentes em relação às boas práticas.

Processos no TCU:

TC 024.560/2024-3 (sigiloso)

Gestão de vulnerabilidades

Objetivo da fiscalização:

Promover a melhoria da gestão de riscos no processo de Gestão de Vulnerabilidades da organização auditada, por meio da avaliação dos controles administrativos e técnicos existentes em relação às boas práticas.

Processos no TCU:

TC 024.149/2024-1 (sigiloso)

TC 024.134/2024-4 (sigiloso)

Eventos

PROTEGE-TI Online

O PROTEGE-TI Online (PTO) é um programa de workshops criado pelo Tribunal de Contas da União (TCU) para compartilhar o conhecimento e as iniciativas da instituição em segurança da informação. Por meio de controles técnicos práticos, o PTO capacita gestores públicos a otimizar a gestão de riscos e fortalecer a segurança de suas organizações.

05/12/2024 - PTO-01: WEB, DNS e EMAIL: os seus estão de portas abertas?

02: Contratações de SI: o que você não pode negligenciar

14/08/2025 - PTO-03: Gestão de Incidentes: prepare-se para qualquer cenário

04/09/2025 - PTO-04: Active Directory: por onde o Ransomware acontece

06/11/2025 - PTO-05: Backup: sua última linha de defesa