TCU alerta administração pública federal sobre segurança cibernética
Luciano Rocha
TCU alerta administração pública federal sobre segurança cibernética

O Tribunal de Contas da União (TCU) lançou uma cartilha na semana passada para alertar a administração pública federal sobre o risco de falhas e ataques cibernéticos nos sistemas do governo.

No documento, institulado "Cinco controles de segurança cibernética para ontem", o órgão lembra que o Brasil foi o quinto país do mundo com maior incidência de ataques de  ransomware ("sequestro" de dados). Os ataques dispararam em 2020 e aumentaram 90% em 2021.

A cartilha foi elaborada com base em uma fiscalização realizada pelo TCU entre agosto de 2021 e março de 2022 em 377 organizações públicas federais. Os resultados indicaram uma situação de alto risco para a segurança cibernética do setor público federal.

A fiscalização identificou vários pontos de atenção em relação à implementação dos controles avaliados, dentre os quais se destacam:

  • 55,7% das organizações não tratam adequadamente os ativos de  hardware não autorizados, não os impedindo de se conectarem em suas redes; e 44,8% não tratam os softwares não autorizados, não os impedindo de serem executados em seus dispositivos;
  • 56,2% não mantém um processo de avaliação e monitoramento dos ativos de hardware e software , com vistas a eliminar, mitigar ou corrigir vulnerabilidades, bem como aprimorar configurações, controles e táticas de defesa; e 46,7% não mantêm um processo de correção de vulnerabilidades atuando para detectá-las e corrigi-las antes que possam ser exploradas por atacantes;
  • 57,8% não mantém um programa contínuo de treinamento em segurança com vistas a mostrar aos colaboradores os riscos e ameaças aos quais os ativos e dados da organização estão sujeitos e a como agir para evitá-los ou mitigá-los;
  • 47,2% ainda não mantém informações de contato para reporte de incidentes; e 52,5% ainda não mantém um processo para recebimento de notificações de incidentes.

O TCU ainda relembrou incidentes cibernéticos ocorridos em algumas organizações públicas federais, especialmente no Ministério da Saúde, em dezembro de 2021. O ataque prejudicou serviços como a emissão do Certificado Nacional de Vacinação contra a Covid-19 e a atualização de dados sobre a pandemia.

Recomendações

Na cartilha, o Tribunal de Contas da União recomenda 5 de 18 controles relacionados à segurança cibernética criados pela Center for Internet Security (CIS). São eles:

  • Controle 1 – Inventário e controle de ativos corporativos: identificar e impedir a utilização de ativos de TI não autorizados/gerenciados como vetores de ataques cibernéticos;
  • Controle 2 – Inventário e controle de ativos de software: identificar e impedir a utilização de softwares não autorizados/gerenciados como vetores de ataques cibernéticos;
  • Controle 7 – Gestão contínua de vulnerabilidades: evitar a exploração de vulnerabilidades conhecidas nos ativos corporativos de TI;
  • Controle 14 – Conscientização sobre segurança e treinamento de competências: reduzir a possibilidade de incidentes e ataques derivados do comportamento humano – engenharia social;
  • Controle 17 – Gestão de respostas a incidentes: melhorar a capacidade de identificar potenciais ameaças e ataques, evitar que se espalhem e recuperar rapidamente dados e sistemas eventualmente corrompidos.


    Mais Recentes

      Comentários

      Clique aqui e deixe seu comentário!