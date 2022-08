Brasil Tribunal de Contas da União alerta para situação de alto risco na segurança cibernética do setor público federal

Por Redação O Sul | 22 de agosto de 2022

Fiscalização realizada pelo tribunal identificou falhas e vulnerabilidades devido à ausência de mecanismos de controle na maioria das repartições. (Foto: TJ-BA)

Uma cartilha publicada pelo Tribunal de Contas da União (TCU) alerta os gestores públicos sobre a situação de alto risco na segurança cibernética dos órgãos públicos federais.

No documento, o TCU relembrou incidentes cibernéticos ocorridos em algumas organizações federais, como no Ministério da Saúde, em dezembro de 2021. O ataque hacker prejudicou serviços como emissão do Certificado Nacional de Vacinação contra a Covid e a atualização dos dados sobre a pandemia.

A cartilha foi elaborada com base em uma fiscalização realizada pelo TCU em 377 organizações públicas federais. O estudo constatou que a maioria das repartições está em um nível ainda inicial de maturidade quanto a controles de segurança da informação e de segurança cibernética, o que aumenta os riscos de ameaças e ataques cibernéticos.

“As respostas fornecidas pelos gestores ao questionário de autoavaliação indicam uma situação de alto risco para a segurança cibernética do setor público federal. A fiscalização identificou vários pontos de atenção em relação à implementação dos controles avaliados”, diz o tribunal na cartilha.

Segundo o TCU, o objetivo da cartilha é conscientizar os gestores públicos e induzir a implementação das ações necessárias para mitigar os riscos de ataques e incidentes cibernéticos, que “podem prejudicar significativamente o governo e os cidadãos e impactar negativamente no processo de transformação digital do país”.

A auditoria foi feita entre agosto de 2021 e março de 2022, e é apenas a primeira de sete ciclos previstos para o acompanhamento de controles críticos de segurança cibernética das organizações públicas federais.

Vulnerabilidades

Entre as principais vulnerabilidades e falhas encontradas nesta primeira fase, estão:

– 55,7% não tratam adequadamente hardwares (equipamentos, como computadores, celulares, etc.) não autorizados pela administração do órgão, não os impedindo de se conectarem em suas redes;

– 44,8% não tratam os softwares (programas e aplicativos) não autorizados, não os impedindo de serem executados em seus dispositivos;

– 56,2% não mantêm um processo de avaliação e monitoramento dos hardwares e softwares, com vistas a eliminar, mitigar e/ou corrigir vulnerabilidades;

– 46,7% não mantêm um processo de correção de vulnerabilidades;

– 57,8% não mantêm um programa contínuo de treinamento em segurança aos funcionários;

– 47,2% não mantêm informações de contato para reporte de incidentes;

– 52,5% não mantêm um processo para recebimento de notificações de incidentes.

Recomendações

As falhas e irregularidades identificadas resultaram numa cartilha com cinco ações de segurança cibernética que precisam ser implementadas com urgência pelos órgãos federais que ainda não possuem.

Inventário e controle de equipamentos corporativos de TI: registrar, acompanhar e corrigir todos os equipamentos corporativos de tecnologia da informação, como computadores, notebooks, dispositivos móveis e dispositivos de rede, conectados fisicamente, virtualmente ou remotamente à infraestrutura de TI do órgão, incluindo aqueles em ambientes de nuvem, com o objetivo de conhecer com precisão todos os ativos de hardware da organização que precisam ser monitorados e protegidos;

Inventário e controle de softwares: registrar, acompanhar e corrigir todo software (sistemas operacionais e aplicativos) utilizado, de modo que softwares autorizados possam ser instalados e executados e softwares não autorizados possam ser detectados e tenham a instalação/execução impedida;

Gestão contínua de vulnerabilidades: desenvolver plano para avaliar, acompanhar e corrigir continuamente vulnerabilidades em todos os ativos na infraestrutura de TI da organização;

Conscientização sobre segurança e treinamento: estabelecer e manter programa contínuo e permanente de conscientização e treinamento, para que os colaboradores tenham conhecimentos adequados em segurança da informação e cibernética;

Gestão de respostas a incidentes: estabelecer programa contínuo e permanente para melhorar a capacidade de identificar potenciais ameaças e ataques, evitar que se espalhem e recuperar rapidamente dados e sistemas eventualmente corrompidos.

