Logo Security Data

TCU analisa segurança cibernética de instituições federais.

O Tribunal de Contas da União (TCU) realizou, sob a relatoria do ministro Vital do Rêgo, acompanhamento para avaliar a maturidade das organizações federais quanto à implementação de controles críticos de segurança da informação e segurança cibernética. “A segurança da informação (SegInfo) e a segurança cibernética (SegCiber) têm ao longo dos anos ganhado relevância nos cenários estratégicos institucionais e nacionais devido à crescente digitalização de entidades e da sociedade como um todo”, delineou o ministro-relator.

A fiscalização do TCU apurou que o Brasil ocupou a 8ª posição do mundo em número de ataques a dispositivos da internet das coisas (IOT) no período de abril a junho de 2021 e o 5º lugar em ataques de sequestro de dados em meados de 2021. Em 2020 ocorreram 41 bilhões de tentativas de ataques cibernéticos na América Latina, sendo 8,4 bilhões no Brasil.

“No âmbito da administração pública, esse cenário é de extrema preocupação, conforme se observou no episódio do ‘apagão de dados’ do Ministério da Saúde ocorrido em plena pandemia mundial da Covid-19, afetando de maneira central o monitoramento dos casos”, destacou o ministro do TCU Vital do Rêgo.

O que o TCU encontrou

O diagnóstico da Corte de Contas apontou que ativos não autorizados não estão sendo tratados pelos respectivos entes. São considerados como ativos corporativos de tecnologia da informação os equipamentos de usuários finais, tais como computadores portáveis e dispositivos móveis.

“A presença de ativos não autorizados é um risco em potencial, pois invasores podem se valer da presença desse tipo de hardware/software para perpetrar ataques, ampliando-se o universo de possíveis riscos aos quais permanece exposta a organização”, alertou o ministro-relator do Tribunal de Contas da União, Vital do Rêgo.

Outro exemplo de achado na auditoria do TCU são as deficiências nos processos de gestão e de correção de vulnerabilidades. Nesse caso, a maioria (57%) das organizações ainda não estabeleceu um processo de gestão de vulnerabilidades. Tal controle é considerado crítico porque grande parte dos ataques diz respeito à pesquisa por vulnerabilidades que possam ser exploradas com sucesso.

Ponto negativo é que o processo de gestão de resposta a incidentes de segurança é deficiente. Menos da metade (47,5%) dos entes fiscalizados mantém um processo adequado para recebimento de notificação de incidentes. Foram apontadas ainda a conscientização e treinamento deficientes no que tange aos riscos e às boas práticas de SegCiber.

O acórdão do Plenário do Tribunal determinou ainda a abertura de processo de fiscalização em separado para avaliar especificamente o Ministério da Saúde, tendo em vista o incidente cibernético que causou a interrupção de serviços essenciais à população no âmbito da pasta governamental, em dezembro de 2021.

Share on whatsapp
WhatsApp
Share on facebook
Facebook
Share on linkedin
LinkedIn

Nossas
Soluções

Sua empresa conectada e segura com segurança de alta performance

Somos comprometidos em entregar o máximo de resultados para nossos clientes