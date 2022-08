Acompanhamento feito pelo Tribunal de Contas da União (TCU) verificou que menos da metade (44,3%) das organizações públicas investe em cibersegurança. Sob a relatoria do ministro Vital do Rêgo, a entidade avaliou a maturidade das organizações federais quanto à implementação de controles críticos de segurança da informação e segurança cibernética.

PUBLICIDADE

“No âmbito da administração pública, esse cenário é de extrema preocupação, conforme se observou no episódio do ‘apagão de dados’ do Ministério da Saúde ocorrido em plena pandemia mundial da Covid-19, afetando de maneira central o monitoramento dos casos”, destaca o ministro Vital do Rêgo, em conteúdo enviado á imprensa.

A fiscalização do TCU sobre cibersegurança apurou que o Brasil ocupou a 8ª posição do mundo em número de ataques a dispositivos da internet das coisas (IOT) no período de abril a junho de 2021, e o 5º lugar em ataques de sequestro de dados em meados de 2021. Em 2020 ocorreram 41 bilhões de tentativas de ataques cibernéticos na América Latina, sendo 8,4 bilhões no Brasil.

O diagnóstico da Corte de Contas apontou que ativos não autorizados não estão sendo tratados pelos respectivos entes. São considerados como ativos corporativos de tecnologia da informação os equipamentos de usuários finais, tais como computadores portáveis e dispositivos móveis.

Cerca de nove em cada dez (88,1%) organizações possuem algum inventário desses ativos corporativos, mas apenas 44,3% delas realiza algum tratamento sobre ativos não autorizados, efetivamente corrigindo-os ou removendo-os da rede.

Deficiências

Outro exemplo de achado na auditoria do TCU são as deficiências nos processos de gestão e de correção de vulnerabilidades. Nesse caso, a maioria (57%) das organizações ainda não estabeleceu um processo de gestão de vulnerabilidades. Tal controle é considerado crítico porque grande parte dos ataques diz respeito à pesquisa por vulnerabilidades que possam ser exploradas com sucesso.

Um dado positivo é que a gestão automatizada de correções de sistemas operacionais está sendo executada. Segundo verificou a fiscalização do TCU, 77,2% das organizações executam a gestão automatizada de correções em sistemas operacionais, atuando para detectar e corrigir as vulnerabilidades no sistema operativo antes que possam ser exploradas pelos invasores.

Por outro lado, o processo de gestão de resposta a incidentes de segurança é deficiente. Menos da metade (47,5%) dos entes fiscalizados mantém um processo adequado para recebimento de notificação de incidentes. Foram apontadas ainda conscientização e treinamento deficientes no que tange aos riscos e às boas práticas de segurança cibernética. Perguntas também foram feitas sobre a atualização (ou não) do processo de gestão de vulnerabilidades.

O acórdão do Plenário do Tribunal determinou ainda a abertura de processo de fiscalização em separado para avaliar especificamente o Ministério da Saúde, justamente devido ao incidente cibernético que causou a interrupção de serviços essenciais à população no âmbito da pasta governamental, em dezembro de 2021.

A unidade técnica do TCU responsável pela fiscalização foi a Secretaria de Fiscalização de Tecnologia da Informação (Sefti).

PUBLICIDADE