Menu

Segurança da informação e segurança cibernética

Infográfico com o resumo da ficha

O que o TCU encontrou

O Tribunal de Contas da União (TCU) constatou, em 2020, que a macroestrutura nacional responsável pela governança e gestão de Segurança da Informação e de Segurança Cibernética, apesar de atuante, não é adequada. O principal órgão responsável pela estrutura – o Gabinete de Segurança Institucional da Presidência da República (GSI/PR) – e arcabouço normativo vigente, em especial os decretos que orientam a atuação, não alcançam a Administração Pública como um todo, limitando-se, apenas, ao Poder Executivo federal.

Existe, portanto, carência de estrutura (órgão ou entidade) com autoridade ampla; atos normativos que regulem os temas em todo o território nacional, incluindo os setores público e privado; investimentos em segurança da informação e segurança cibernética, áreas de importância estratégica para o país.

Relativamente aos riscos e às vulnerabilidades em segurança da informação e segurança cibernética, o cenário atual merece atenção, especialmente quanto à real capacidade da Administração Pública federal de responder e tratar incidentes de segurança, tanto por parte de cada organização, individualmente, quanto por parte da rede formada pelas equipes de tratamento de incidentes e resposta a eles em redes computacionais – Equipes de Tratamento de Incidentes de Redes (ETIRs).

Em relação à defesa cibernética, o Comando de Defesa Cibernética (ComDCiber) do Exército Brasileiro, órgão central do Sistema Militar de Defesa Cibernética, tem sido bastante atuante, mas o investimento na área está aquém da sua importância estratégica para o país.

Em fiscalização iniciada em 2020, que avalia a suficiência e adequabilidade dos procedimentos de backup e restore de bases de dados e sistemas críticos de organizações da Administração Pública federal, o TCU constatou que:

  • 74,6% das organizações (306 de 410) não possuem política de backup aprovada formalmente – documento básico, negociado entre as áreas de negócio ("donas" dos dados/sistemas) e a TI da organização, com vistas a disciplinar questões e procedimentos relacionados à execução das cópias de segurança (backups);
  • 71,2% das organizações que hospedam seus sistemas em servidores/máquinas próprios (265 de 372) não possuem plano de backup específico para seu principal sistema;
  • 66% das organizações que afirmam realizar backups (254 de 385), apesar de implementarem mecanismos de controle de acesso físico ao local de armazenamento desses arquivos, não os armazenam criptografados, o que acarreta risco de vazamento de dados da organização, podendo causar enormes prejuízos, sobretudo se envolver informações sensíveis e/ou sigilosas; e
  • 60,2% das organizações (247 de 410) não mantêm suas cópias em, ao menos, um destino não acessível remotamente, o que acarreta risco de que, em ataque cibernético, os próprios arquivos dos backups acabem sendo corrompidos, excluídos e/ou criptografados pelo atacante ou malware, tornando igualmente sem efeito o processo de backup/restore da organização.

Em 2021, ao avaliar as práticas de segurança da informação no âmbito do perfil de governança e gestão de TI, o TCU também verificou que mais de 80% das organizações estão nos estágios iniciais de capacidade em gestão de continuidade institucional e de continuidade de serviços de TI. E, pior, a gestão de continuidade institucional está no estágio de capacidade inexpressivo em 62% das organizações e a de continuidade de serviços de TI é inexpressiva em 46% das organizações avaliadas.

Por que é considerado alto risco para a Administração federal

O processo de transformação digital da Administração, ao mesmo tempo em que disponibilizou e otimizou acesso a serviços públicos, tornou o governo e a sociedade brasileira mais dependentes de soluções tecnológicas, baseadas em infraestrutura de TI. Como consequência, aumentou, também, a quantidade de incidentes de segurança da informação e ataques cibernéticos. Segundo o portal do governo digital brasileiro, em 2021, 73,1% dos serviços públicos prestados pelo governo federal já eram totalmente digitais, o que corresponde a 3.598 serviços. Considerando os parcialmente digitais, esse percentual chega a 86,7%. Esses números por si só mostram a dimensão dos riscos e o prejuízo que falhas de segurança e indisponibilidade de serviços podem acarretar.

Como exemplos recentes de incidentes, destacamos a indisponibilidade do Conecta-SUS, que impediu milhões de brasileiros de gerarem o passaporte de vacinação; e do sistema da Caixa, quando do pagamento do auxílio emergencial, o que gerou prejuízo para milhões de brasileiros. Ainda em 2021, o Superior Tribunal de Justiça (STJ) considerou ter sofrido “o pior ataque cibernético já empreendido contra uma instituição pública brasileira, em termos de dimensão e complexidade”. No mesmo período, as práticas criminosas também provocaram a indisponibilidade de serviços no Conselho Nacional de Justiça (CNJ), na Controladoria-Geral da União (CGU), no Ministério da Saúde (MS) e no Governo do Distrito Federal (GDF).

O que precisa ser feito

Nesse ínterim, devem ser adotadas medidas básicas que garantam a continuidade de processos de negócio e prestação de serviços, em casos de incidente de segurança da informação. Podemos citar a existência e implementação de políticas gerais e planos de continuidade, bem como manutenção de controles internos efetivos, como os relacionados à implementação de procedimentos de backup.

Por esse motivo, o TCU sinalizou ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR), ao Conselho Nacional de Justiça (CNJ) e ao Conselho Nacional do Ministério Público (CNMP) a necessidade de edição de normativos, cada um no seu âmbito, para orientar os gestores e regulamentar a obrigatoriedade de que aprovem formalmente e mantenham atualizadas políticas gerais e planos específicos de backup.

Internamente, o TCU também aprovou estratégia de segurança da informação e cibernética. Foi prevista realização de ações e iniciativas específicas, incluindo acompanhamento ágil de controles críticos de segurança cibernética, para conscientizar os órgãos quanto à importância dessas questões e melhorar o panorama da Administração Pública federal nessas áreas. A partir da execução, pretende-se fomentar cultura de segurança da informação nos órgãos e nas entidades da Administração Pública federal e contribuir para que mantenham processos bem definidos de governança e gestão de segurança da informação e cibernética. O objetivo é minimizar riscos e possíveis impactos de ataques e incidentes.

Decisões recentes

Acórdãos 4.035/2020 e 1.109/2021, todos do Plenário do TCU.

Top