O documento descreve a atuação do Tribunal de Contas da União (TCU) no controle da segurança da informação no âmbito do governo federal. O TCU realiza auditorias de sistemas, bases de dados e políticas de segurança da informação para melhorar a proteção dos ativos digitais governamentais e prevenir fraudes. Entre os desafios atuais, está o desenvolvimento de ferramentas para avaliação automatizada de riscos de TI nas instituições públicas.
1. A atuação do TCU no
controle da segurança da
informação no âmbito do
Governo Federal
2. Agenda
1. As responsabilidades do Estado e a segurança da
informação
2. O TCU e suas competências
3. O ambiente de TI no Governo Federal
4. Política de Segurança da Informação no Governo
Federal
5. Os grandes ativos de informação
6. A atuação do TCU
7. Normas e Padrões Utilizados pelo TCU
8. Principais auditorias realizadas
9. Resultados alcançados
10. Desafios atuais
Tribunal de Contas da União
3. 1. As responsabilidade do Estado e a seg. da informação
•O Estado impõe aos cidadãos
determinadas condutas que envolvem
segurança da informação
• O Estado tem responsabilidades maiores
do que as demais organizações que
compõem a sociedade
Tribunal de Contas da União
4. 1. As responsabilidade do Estado e a seg. da informação
Fatos recentes envolvendo o Estado
• Entrega da declaração de IR (2006)
- Falhas nos sistemas da Previdência Social
(2005)
- Gravação de conteúdo de depoimento na
CPI da Câmara dos Deputados (2006)
Tribunal de Contas da União
5. 2. O TCU e suas competências
Competências: (Art. 71, Inciso IV, CF/88)
• ............
• IV- realizar, por iniciativa própria, da Câmara
dos Deputados, do Senado Federal, de Comissão
técnica ou de inquérito, inspeções e auditorias de
natureza contábil, financeira, orçamentária,
operacional e patrimonial, nas unidades
administrativas dos Poderes Legislativo, Executivo
e Judiciário, e demais entidades referidas no inciso
II;
Tribunal de Contas da União
6. 2. O TCU e suas competências
• Negócio: Controle externo da administração
pública e da gestão dos recursos públicos
federais.
• Missão: Assegurar a efetiva e regular
gestão dos recursos públicos, em beneficio
da sociedade.
• Visão: Ser instituição de excelência no
controle e contribuir para o aperfeiçoamento
da administração pública.
Tribunal de Contas da União
7. 3. Ambiente de TI no Governo Federal
- Ambientes tecnológicos diversificados
- Órgãos em estágios diferentes no uso da tecnologia
- Ausência de uma política de segurança da
informação efetiva para todos os entes
- Pouca educação em segurança da informação
- Excessiva terceirização de TI com perda da
inteligência de negócio
Tribunal de Contas da União
8. 4. Política de Seg. da Informação no Gov. Federal
• Decreto 3.505/2000 (Política de Seg. da Informação)
• Decreto 5.408/2005 (Altera Regimento Interno do GSI)
Art. 4º
......
”XIV - implementar, com a assessoria do Comitê Gestor de
Segurança da Informação - CGSI e em articulação com os demais
órgãos e entidades, a Política de Segurança da Informação da
Administração Pública Federal; e (Incluído pelo Decreto nº 5.408,
de 2005) .
Tribunal de Contas da União
9. 5. Grandes ativos de informação do Governo Federal
Bases de dados
- Cadastro Nacional de Informações Sociais - CNIS
- Cadastro Nacional de Empregados e Desempregados - CAGED
- Cadastros de Pessoas Físicas e Jurídica – CPF e CNPJ
- Cadastro de Benefícios da Previdência Social
- Cadastro de Contribuintes da Previdência Social
- Cadastro do FGTS
- Cadastro de Eleitores
Sistemas
- Sistema Integrado de Administração Financeira – Siafi
- Sistema de Administração de Pessoal - Siape
Tribunal de Contas da União
10. 6. Formas de Atuação do TCU
Auditoria em TI
• Auditoria de controles de segurança em TI -
(NBR ISO/IEC 17799:2005 e COBIT)
- Auditoria de bases de dados (integridade)
- Auditoria de aplicativos (sistemas específicos)
- Avaliação de Governo Eletrônico
Orientação
- Mediante publicações
(Cartilha Boas Práticas em Segurança da Informação)
Tribunal de Contas da União
11. 7. Normas e Padrões Utilizados pelo TCU
• NBR ISO/IEC 17799 – Código de Práticas para a Gestão da
Segurança da Informação
• COBIT – Control Objectives for Information and Related
Technology – ISACA
• Standadrs, Guidelines e Procedures –ISACA
• Decreto 3.505/2000 (PSI)
Tribunal de Contas da União
12. 8. Principais Auditorias Realizadas
• Bug do Ano 2000
• Auditoria geral de controles em TI na Dataprev
• Sistema de Pagamento de Pessoal Civil – SIAPE
• Base de Dados de Pagamento de Benefícios da
Previdência Social
• Base de dados de arrecadação de receitas da Previdência
Social
• Auditoria geral de controles no Min. Trabalho
Tribunal de Contas da União
13. 8. Principais Auditorias Realizadas
• Auditoria no programa Governo Eletrônico
• Sistema de Administração Financeira do
Governo Federal - SIAFI
• Auditoria no Sistema Nacional de Transplantes
de Órgãos e Tecidos
• Sistema de Cobrança Administrativa da
Previdência Social
Tribunal de Contas da União
14. 9. Resultados Alcançados
• Melhoria da segurança dos sistemas e bases de
dados auditadas
• Diminuição de gastos com a descoberta de e
prevenção de fraudes
• Cria condições necessárias à implementação e/ou
melhoria da política de segurança da informação
nas instituições
Tribunal de Contas da União
15. 10. Desafios Atuais
- Utilização de ferramentas informatizada para a avaliação
de riscos em TI que permita:
- Captação de dados de forma automatizada
- Análise desses dados para estabelecer a Matriz de Riscos
- Poder, mesmo sem realizar a auditoria, informar à instituição que
ela poderá estar aceitando ou incorrendo em riscos acima do
aceitável
- Atuar de forma a contribuir para a implementação de uma
Política de Segurança da Informação na administração
pública federal, especialmente nos órgãos da
administração direta, autarquias e fundações públicas
Tribunal de Contas da União
16. Contatos
OBRIGADO!
• e-mail: danieldp@tcu.gov.br
• Diretoria de ATI - ADFIS (61) 3316 7312
• Sítio TCU: http://www.tcu.gov.br
Tribunal de Contas da União