palestra daniel dias1
TRANSCRIPT
���������� ��������� ���������� ���������
A atuação do TCU no controle da segurança da informação no âmbito do Governo Federal
����������������������� �
����������������
AgendaAgenda
Tribunal de Contas da UniãoTribunal de Contas da União
1. As responsabilidades do Estado e a segurança da informação
2. O TCU e suas competências3. O ambiente de TI no Governo Federal4. Política de Segurança da Informação no Governo
Federal5. Os grandes ativos de informação 6. A atuação do TCU7. Normas e Padrões Utilizados pelo TCU8. Principais auditorias realizadas9. Resultados alcançados10. Desafios atuais
1. As responsabilidade do Estado1. As responsabilidade do Estado e a seg. da informae a seg. da informaççãoão
Tribunal de Contas da UniãoTribunal de Contas da União
• O Estado impõe aos cidadãos determinadas condutas que envolvem segurança da informação
• O Estado tem responsabilidades maiores do que as demais organizações que compõem a sociedade
1. As responsabilidade do Estado e a seg. da informa1. As responsabilidade do Estado e a seg. da informaççãoão
Tribunal de Contas da UniãoTribunal de Contas da União
Fatos recentes envolvendo o Estado• Entrega da declaração de IR (2006)- Falhas nos sistemas da Previdência Social
(2005)- Gravação de conteúdo de depoimento na
CPI da Câmara dos Deputados (2006)
2.2. OO TCU e suas competências TCU e suas competências
Competências: (Art. 71, Inciso IV, CF/88)• ............• IV- realizar, por iniciativa própria, da Câmara
dos Deputados, do Senado Federal, de Comissão técnica ou de inquérito, inspeções e auditorias de natureza contábil, financeira, orçamentária, operacional e patrimonial, nas unidades administrativas dos Poderes Legislativo, Executivo e Judiciário, e demais entidades referidas no inciso II;
Tribunal de Contas da UniãoTribunal de Contas da União
2.2. O TCU e suas competências O TCU e suas competências
Tribunal de Contas da UniãoTribunal de Contas da União
• Negócio: Controle externo da administração pública e da gestão dos recursos públicos federais.
• Missão: Assegurar a efetiva e regular gestão dos recursos públicos, em beneficio da sociedade.
• Visão: Ser instituição de excelência no controle e contribuir para o aperfeiçoamento da administração pública.
3.3. Ambiente de TI no Governo Federal- Ambientes tecnológicos diversificados- Órgãos em estágios diferentes no uso da tecnologia- Ausência de uma política de segurança da
informação efetiva para todos os entes- Pouca educação em segurança da informação- Excessiva terceirização de TI com perda da
inteligência de negócio
Tribunal de Contas da UniãoTribunal de Contas da União
4. Política de Seg. da Informação no Gov. Federal
• Decreto 3.505/2000 (Política de Seg. da Informação)
• Decreto 5.408/2005 (Altera Regimento Interno do GSI)
Art. 4º
......
”XIV - implementar, com a assessoria do Comitê Gestor de Segurança da Informação - CGSI e em articulação com os demais órgãos e entidades, a Política de Segurança da Informação da Administração Pública Federal; e (Incluído pelo Decreto nº 5.408, de 2005) .
Tribunal de Contas da UniãoTribunal de Contas da União
5.5. Grandes ativos de informação do Governo Federal
Bases de dados- Cadastro Nacional de Informações Sociais - CNIS- Cadastro Nacional de Empregados e Desempregados - CAGED- Cadastros de Pessoas Físicas e Jurídica – CPF e CNPJ- Cadastro de Benefícios da Previdência Social
- Cadastro de Contribuintes da Previdência Social- Cadastro do FGTS- Cadastro de Eleitores
Sistemas- Sistema Integrado de Administração Financeira – Siafi
- Sistema de Administração de Pessoal - SiapeTribunal de Contas da UniãoTribunal de Contas da União
6. 6. Formas de AtuaFormas de Atuaçção do TCUão do TCUAuditoria em TI• Auditoria de controles de segurança em TI -
(NBR ISO/IEC 17799:2005 e COBIT)
- Auditoria de bases de dados (integridade)- Auditoria de aplicativos (sistemas específicos)- Avaliação de Governo EletrônicoOrientação- Mediante publicações(Cartilha Boas Práticas em Segurança da Informação)
Tribunal de Contas da UniãoTribunal de Contas da União
7. Normas e Padrões Utilizados pelo TCU7. Normas e Padrões Utilizados pelo TCU
• NBR ISO/IEC 17799 – Código de Práticas para a Gestão da Segurança da Informação
• COBIT – Control Objectives for Information and RelatedTechnology – ISACA
• Standadrs, Guidelines e Procedures –ISACA
• Decreto 3.505/2000 (PSI)
Tribunal de Contas da UniãoTribunal de Contas da União
8. Principais Auditorias Realizadas8. Principais Auditorias Realizadas
• Bug do Ano 2000
• Auditoria geral de controles em TI na Dataprev
• Sistema de Pagamento de Pessoal Civil – SIAPE
• Base de Dados de Pagamento de Benefícios da Previdência Social
• Base de dados de arrecadação de receitas da Previdência Social
• Auditoria geral de controles no Min. Trabalho
Tribunal de Contas da UniãoTribunal de Contas da União
8. Principais Auditorias Realizadas8. Principais Auditorias Realizadas
• Auditoria no programa Governo Eletrônico
• Sistema de Administração Financeira do Governo Federal - SIAFI
• Auditoria no Sistema Nacional de Transplantes de Órgãos e Tecidos
• Sistema de Cobrança Administrativa da Previdência Social
Tribunal de Contas da UniãoTribunal de Contas da União
9. Resultados Alcan9. Resultados Alcanççadosados
• Melhoria da segurança dos sistemas e bases de dados auditadas
• Diminuição de gastos com a descoberta de e prevenção de fraudes
• Cria condições necessárias à implementação e/ou melhoria da política de segurança da informação nas instituições
Tribunal de Contas da UniãoTribunal de Contas da União
10. Desafios Atuais10. Desafios Atuais- Utilização de ferramentas informatizada para a avaliação
de riscos em TI que permita:
- Captação de dados de forma automatizada
- Análise desses dados para estabelecer a Matriz de Riscos
- Poder, mesmo sem realizar a auditoria, informar à instituição que ela poderá estar aceitando ou incorrendo em riscos acima do aceitável
- Atuar de forma a contribuir para a implementação de uma Política de Segurança da Informação na administração pública federal, especialmente nos órgãos da administração direta, autarquias e fundações públicas
Tribunal de Contas da UniãoTribunal de Contas da União
ContatosOBRIGADO!
• e-mail: [email protected]
• Diretoria de ATI - ADFIS (61) 3316 7312
• Sítio TCU: http://www.tcu.gov.br
Tribunal de Contas da UniãoTribunal de Contas da União