TCU: Administração Federal piora o desempenho em Segurança da Informação

O Tribunal de Contas da União acaba de concluir um segundo levantamento sobre a situação da governança de Tecnologia da Informação (TI) na Administração Pública Federal. E constatou que desde 2007, quando o TCU começou a acompanhar o setor de TI, houve pouca mudança ou melhora na situação desta área. Em alguns casos, como na questão da Segurança da Informação, a secretaria do TCU detectou uma piora no desempenho da atividade pelos órgãos federais e empresas estatais.

O Tribunal procurou ouvir 315 intituições, mas somente 265 responderam a pesquisa, que abrange universidades federais, tribunais federais, agências reguladoras, fundações, autarquias, secretarias, departamentos, empresas públicas, sociedades anônimas, ministérios e outros órgãos da Administração Federal Direta. Os nomes dessas instituições são preservados pelo TCU.

A secretaria de Fiscalização de TI do Tribunal de Contas da União até tentou amenizar o problema, alegando que essa percepção de piora no desempenho da Segurança da Informação pode estar ocorrendo devido à uma avaliação mais criteriosa pelos próprios órgãos federais e estatais das necessidades que têm de implementar políticas nesta direção.

“Inicialmente, admite-se por prudência que a piora em parte dos indicadores pode não refletir uma efetiva deterioração da situação da segurança da informação na APF, mas uma possível melhora na compreensão, por parte dos respondentes, dos conceitos questionados. Infere-se que essa melhor compreensão tenha resultado em avaliações mais rigorosas no presente levantamento”, alegam os técnicos do TCU.

Mas eles admitem que o quadro geral na Administração Pública Federal é ruim, apesar do próprio tribunal ter investigado o problema em 2007 e “soado o alarme” num Acórdão (nº 1.603/2008-TCU Plenário), no qual exigia providências aos gestores públicos para melhoria das condições de segurança.

“Se em 2007 havia o entendimento de que a maior parte das instituições estava exposta a riscos diversos e não mapeados, hoje, além de a Administração estar exposta aos mesmos riscos, não está agindo para saneá-los com a agilidade que o caso requer”, afirmam os técnicos da Secretaria de Fiscalização de TI.

Inventário e classificação

Para o TCU, o problema é mais grave ainda, porque se constatou que de 2007 a 2010, a falta de uma política de Segurança da Informação não decorreu apenas da ausência de soluções técnicas desenvolvidas para a proteção dos sistemas que rodam na Administração Pública Federal. A maior falha estaria na incompetência dos órgãos federais e empresas estatais de avaliarem quais os principais riscos a que as suas informações críticas estariam sujeitas e que tipo de tratamento deveriam ter dado para garantir a proteção desses dados.

Num universo de 315 instituições da Administração Pública Federal pesquisadas – sendo que somente 265 unidades responderam aos questionamentos do TCU – ficou comprovado que apenas 25% informaram que inventariaram as informações contidas em seus bancos de dados. Mas só 11% fizeram algum tipo de classificação desta informação. “Sem inventariar e classificar a informação adequadamente não há como saber que informações são críticas e devem ser protegidas”, explica o TCU.

Ainda como consequência financeira, essas instituições da Administração Pública Federal, podem estar gastando mais que o necessário, para tentar proteger a integridade, a confidencialidade e a disponibilidade, de informações que podem não ser críticas para a instituição.

“O mínimo esperado é que se empreenda uma análise de riscos (menos de 20% o fazem segundo os dados coletados) e que, a partir daí, se busque uma estratégia adequada à realidade de cada instituição. Mesmo que a decisão tomada a partir do conhecimento de determinado risco seja aceitá-lo, é necessário que esse risco seja conhecido e suas consequências estimadas”, criticam os técnicos do Tribunal de Contas da União.

Em seu voto ao plenário do Tribunal de Contas da União, o ministro e relator do processo, Aroldo Cedraz, destacou que o impacto da tecnologia da informação na Administração Pública Federal decorre de seu papel crítico no apoio à execução de políticas, programas e projetos de governo, bem como do expressivo valor de recursos a ela alocados, que corresponderam a cerca de R$ 12,5 bilhões no orçamento da União de 2010.

Criticou o fato das instituições terem feito muito pouco no setor de Tecnologia da Informação, apesar do tribunal ter alertado para os problemas constantes nesta área em seu primeiro levantamente de governança realizado em 2007. “Em tese, tal intervalo de tempo seria suficiente para implantação ao menos parcial das providências recomendadas e para detecção, nesta oportunidade, das medidas adotadas”, afirmou.

Para Aroldo Cedraz, nenhum dos indicadores relativos à segurança da informação, que envolve confidencialidade, integridade e disponibilidade da informação, apresentou avanço substancial.

O Plenário do TCU aprovou o relatório e determinou que a Secretaria de Fiscalização de Tecnologia da Informação passe a realizar avaliações periódicas das atividades empreendidas pelos órgãos federais e empresas estatais no tocante à melhoria das condições de governança em TI e de Segurança da Informação.
Fonte: Convergência Digital

Anúncios