Voltar para o Portal

Arquivo de Notícias2021 | 2022

Economia

TCU alerta para situação de alto risco na segurança cibernética do setor público federal

O Primeiro Portal

Tribunal de Contas da União (TCU) publicou na semana passada uma cartilha alertando os gestores públicos sobre a situação de alto risco na segurança cibernética dos órgãos públicos federais.

No documento, o TCU relembrou incidentes cibernéticos ocorridos em algumas organizações federais, como no Ministério da Saúdeem dezembro de 2021. O ataque hacker prejudicou serviços como emissão do Certificado Nacional de Vacinação contra a Covid e a atualização dos dados sobre a pandemia.

A cartilha foi elaborada com base em uma fiscalização realizada pelo TCU em 377 organizações públicas federais. O estudo constatou que a maioria das repartições está em um nível ainda inicial de maturidade quanto a controles de segurança da informação e de segurança cibernética, o que aumenta os riscos de ameaças e ataques cibernéticos.

“As respostas fornecidas pelos gestores ao questionário de autoavaliação indicam uma situação de alto risco para a segurança cibernética do setor público federal. A fiscalização identificou vários pontos de atenção em relação à implementação dos controles avaliados”, diz o tribunal na cartilha.

Segundo o TCU, o objetivo da cartilha é conscientizar os gestores públicos e induzir a implementação das ações necessárias para mitigar os riscos de ataques e incidentes cibernéticos, que “podem prejudicar significativamente o governo e os cidadãos e impactar negativamente no processo de transformação digital do país”.

A auditoria foi feita entre agosto de 2021 e março de 2022, e é apenas a primeira de sete ciclos previstos para o acompanhamento de controles críticos de segurança cibernética das organizações públicas federais.

Entre as principais vulnerabilidades e falhas encontradas nesta primeira fase, estão:

  • 55,7% não tratam adequadamente hardwares (equipamentos, como computadores, celulares, etc.) não autorizados pela administração do órgão, não os impedindo de se conectarem em suas redes;
  • 44,8% não tratam os softwares (programas e aplicativos) não autorizados, não os impedindo de serem executados em seus dispositivos;
  • 56,2% não mantêm um processo de avaliação e monitoramento dos hardwares e softwares, com vistas a eliminar, mitigar e/ou corrigir vulnerabilidades;
  • 46,7% não mantêm um processo de correção de vulnerabilidades;
  • 57,8% não mantêm um programa contínuo de treinamento em segurança aos funcionários;
  • 47,2% não mantêm informações de contato para reporte de incidentes;
  • 52,5% não mantêm um processo para recebimento de notificações de incidentes.

Recomendações urgentes

As falhas e irregularidades identificadas resultaram numa cartilha com cinco ações de segurança cibernética que precisam ser implementadas com urgência pelos órgãos federais que ainda não possuem.

  • Inventário e controle de equipamentos corporativos de TI: registrar, acompanhar e corrigir todos os equipamentos corporativos de tecnologia da informação, como computadores, notebooks, dispositivos móveis e dispositivos de rede, conectados fisicamente, virtualmente ou remotamente à infraestrutura de TI do órgão, incluindo aqueles em ambientes de nuvem, com o objetivo de conhecer com precisão todos os ativos de hardware da organização que precisam ser monitorados e protegidos;
  • Inventário e controle de softwares: registrar, acompanhar e corrigir todo software (sistemas operacionais e aplicativos) utilizado, de modo que softwares autorizados possam ser instalados e executados e softwares não autorizados possam ser detectados e tenham a instalação/execução impedida;
  • Gestão contínua de vulnerabilidades: desenvolver plano para avaliar, acompanhar e corrigir continuamente vulnerabilidades em todos os ativos na infraestrutura de TI da organização;
  • Conscientização sobre segurança e treinamento: estabelecer e manter programa contínuo e permanente de conscientização e treinamento, para que os colaboradores tenham conhecimentos adequados em segurança da informação e cibernética; e
  • Gestão de respostas a incidentes: estabelecer programa contínuo e permanente para melhorar a capacidade de identificar potenciais ameaças e ataques, evitar que se espalhem e recuperar rapidamente dados e sistemas eventualmente corrompidos.

*G1

Previous article
Dólar fecha a R$ 5,16 e vale mais do que euro
Next article
Balança comercial tem superávit de US$ 358,1 milhões na 3ª semana de agosto

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Copyright © 2023 | Arquivo OPP | O Primeiro Portal | Dev. Maneschy.com