palestra daniel dias1

��

A atuação do TCU no controle da segurança da informação no âmbito do Governo Federal

��

��

AgendaAgenda

Tribunal de Contas da UniãoTribunal de Contas da União

1. As responsabilidades do Estado e a segurança da informação

2. O TCU e suas competências3. O ambiente de TI no Governo Federal4. Política de Segurança da Informação no Governo

Federal5. Os grandes ativos de informação 6. A atuação do TCU7. Normas e Padrões Utilizados pelo TCU8. Principais auditorias realizadas9. Resultados alcançados10. Desafios atuais

1. As responsabilidade do Estado1. As responsabilidade do Estado e a seg. da informae a seg. da informaççãoão


• O Estado impõe aos cidadãos determinadas condutas que envolvem segurança da informação

• O Estado tem responsabilidades maiores do que as demais organizações que compõem a sociedade

1. As responsabilidade do Estado e a seg. da informa1. As responsabilidade do Estado e a seg. da informaççãoão


Fatos recentes envolvendo o Estado• Entrega da declaração de IR (2006)- Falhas nos sistemas da Previdência Social

(2005)- Gravação de conteúdo de depoimento na

CPI da Câmara dos Deputados (2006)

2.2. OO TCU e suas competências TCU e suas competências

Competências: (Art. 71, Inciso IV, CF/88)• ............• IV- realizar, por iniciativa própria, da Câmara

dos Deputados, do Senado Federal, de Comissão técnica ou de inquérito, inspeções e auditorias de natureza contábil, financeira, orçamentária, operacional e patrimonial, nas unidades administrativas dos Poderes Legislativo, Executivo e Judiciário, e demais entidades referidas no inciso II;


2.2. O TCU e suas competências O TCU e suas competências


• Negócio: Controle externo da administração pública e da gestão dos recursos públicos federais.

• Missão: Assegurar a efetiva e regular gestão dos recursos públicos, em beneficio da sociedade.

• Visão: Ser instituição de excelência no controle e contribuir para o aperfeiçoamento da administração pública.

3.3. Ambiente de TI no Governo Federal- Ambientes tecnológicos diversificados- Órgãos em estágios diferentes no uso da tecnologia- Ausência de uma política de segurança da

informação efetiva para todos os entes- Pouca educação em segurança da informação- Excessiva terceirização de TI com perda da

inteligência de negócio


4. Política de Seg. da Informação no Gov. Federal

• Decreto 3.505/2000 (Política de Seg. da Informação)

• Decreto 5.408/2005 (Altera Regimento Interno do GSI)

Art. 4º

......

”XIV - implementar, com a assessoria do Comitê Gestor de Segurança da Informação - CGSI e em articulação com os demais órgãos e entidades, a Política de Segurança da Informação da Administração Pública Federal; e (Incluído pelo Decreto nº 5.408, de 2005) .


5.5. Grandes ativos de informação do Governo Federal

Bases de dados- Cadastro Nacional de Informações Sociais - CNIS- Cadastro Nacional de Empregados e Desempregados - CAGED- Cadastros de Pessoas Físicas e Jurídica – CPF e CNPJ- Cadastro de Benefícios da Previdência Social

- Cadastro de Contribuintes da Previdência Social- Cadastro do FGTS- Cadastro de Eleitores

Sistemas- Sistema Integrado de Administração Financeira – Siafi

- Sistema de Administração de Pessoal - SiapeTribunal de Contas da UniãoTribunal de Contas da União

6. 6. Formas de AtuaFormas de Atuaçção do TCUão do TCUAuditoria em TI• Auditoria de controles de segurança em TI -

(NBR ISO/IEC 17799:2005 e COBIT)

- Auditoria de bases de dados (integridade)- Auditoria de aplicativos (sistemas específicos)- Avaliação de Governo EletrônicoOrientação- Mediante publicações(Cartilha Boas Práticas em Segurança da Informação)


7. Normas e Padrões Utilizados pelo TCU7. Normas e Padrões Utilizados pelo TCU

• NBR ISO/IEC 17799 – Código de Práticas para a Gestão da Segurança da Informação

• COBIT – Control Objectives for Information and RelatedTechnology – ISACA

• Standadrs, Guidelines e Procedures –ISACA

• Decreto 3.505/2000 (PSI)


8. Principais Auditorias Realizadas8. Principais Auditorias Realizadas

• Bug do Ano 2000

• Auditoria geral de controles em TI na Dataprev

• Sistema de Pagamento de Pessoal Civil – SIAPE

• Base de Dados de Pagamento de Benefícios da Previdência Social

• Base de dados de arrecadação de receitas da Previdência Social

• Auditoria geral de controles no Min. Trabalho


8. Principais Auditorias Realizadas8. Principais Auditorias Realizadas

• Auditoria no programa Governo Eletrônico

• Sistema de Administração Financeira do Governo Federal - SIAFI

• Auditoria no Sistema Nacional de Transplantes de Órgãos e Tecidos

• Sistema de Cobrança Administrativa da Previdência Social


9. Resultados Alcan9. Resultados Alcanççadosados

• Melhoria da segurança dos sistemas e bases de dados auditadas

• Diminuição de gastos com a descoberta de e prevenção de fraudes

• Cria condições necessárias à implementação e/ou melhoria da política de segurança da informação nas instituições


10. Desafios Atuais10. Desafios Atuais- Utilização de ferramentas informatizada para a avaliação

de riscos em TI que permita:

- Captação de dados de forma automatizada

- Análise desses dados para estabelecer a Matriz de Riscos

- Poder, mesmo sem realizar a auditoria, informar à instituição que ela poderá estar aceitando ou incorrendo em riscos acima do aceitável

- Atuar de forma a contribuir para a implementação de uma Política de Segurança da Informação na administração pública federal, especialmente nos órgãos da administração direta, autarquias e fundações públicas


ContatosOBRIGADO!

• e-mail: [email protected]

• Diretoria de ATI - ADFIS (61) 3316 7312

• Sítio TCU: http://www.tcu.gov.br
