Início » Blogs » Blog de » Segurança da informação: Informações sigilosas de órgãos públicos são vulneráveis

Segurança da informação: Informações sigilosas de órgãos públicos são vulneráveis

PorAnônimo- Postado em 02 novembro 2009

Informações reservadas e sigilosas de 5 em cada 10 órgãos da administração pública federal estão vulneráveis ao acesso de pessoas não autorizadas. E um percentual ainda maior de órgãos públicos não segue padrões internacionais contra interrupção dos serviços e perda de dados.
Essas são conclusões de um levantamento realizado pelo TCU (Tribunal de Contas da União) sobre a governança de tecnologia da informação numa amostra de 255 órgãos e entidades, como ministérios, autarquias, empresas estatais e agências reguladoras. A pesquisa também envolveu os Poderes Judiciário e Legislativo.
O TCU identificou gastos de pelo menos R$ 6 bilhões por ano da União com a compra de serviços e equipamentos de informática, mas a cifra pode alcançar R$ 15 bilhões em 2008, segundo levantamento de uma empresa de consultoria. Isso significa quase uma vez e meio o gasto do Bolsa Família.
Apesar do alto custo, a eficiência é considerada baixa. A auditoria do TCU também mostra que 88% dos órgãos não têm planejamento para casos de perda de dados decorrente de desastres ou sabotagens. Segundo o relatório, há risco de perda de dados, "inclusive históricos", além de vulnerabilidade a fraudes e paralisação de funções essenciais de governo.
"Ao considerar os efeitos da perda de informações como as relacionadas à vida, à saúde, à segurança e à história dos cidadãos brasileiros, não é aceitável correr riscos elevados que possam comprometer a própria finalidade das instituições governamentais", resume o relatório aprovado no plenário do TCU na quarta-feira.
De acordo com o relatório, a situação é "crítica" no que se refere à segurança da informação. Com a falta de controle de acesso em quase metade dos órgãos consultados, há risco, segundo o relatório, de "divulgação não autorizada de informação sigilosa ou reservada".
O tribunal não divulgou oficialmente a lista de órgãos consultados, nem quais deles admitiram falhas nos questionários distribuídos pelo tribunal. Segundo a Folha apurou, entre áreas consideradas mais problemáticas estão a rede Infoseg, da Secretaria Nacional de Segurança Pública, a folha de pagamentos de funcionários da União e a Infraero, estatal que administra aeroportos.
As conclusões da auditoria do TCU levaram em conta respostas dadas por órgãos como a Presidência da República, comandos do Exército e da Aeronáutica e a Petrobras.
"Não dá para falar em governança de tecnologia da informação, mas em desgovernança. A situação preocupa demais. Eu me sinto sentado em um barril de pólvora, prestes a explodir", disse o secretário de Fiscalização e Tecnologia de Informação do TCU, Cláudio Castello Branco, que citou o apagão da Telefônica, em São Paulo, no início de julho, como exemplo de vulnerabilidade dos sistemas.
Outra constatação do relatório é que 80% do setor público não classifica as informações, ou seja, não hierarquiza o acesso a elas de acordo com seu grau de confidencialidade.
Segundo os técnicos do TCU, cujas análises foram respaldadas por dois especialistas em segurança da informação consultados pela Folha, a ausência do procedimento em 4 de cada 5 órgãos federais analisados dificulta a responsabilização de funcionários que acessam informações reservadas sem autorização.
Cópia do relatório foi encaminhada para o GSI (Gabinete de Segurança Institucional) da Presidência da República, recomendando que o órgão estabelecesse normas às demais entidades da administração federal para que adaptassem suas políticas e procedimentos de segurança da informação.
O GSI informou à Folha que já tomou conhecimento das constatações da Secretaria de Fiscalização de Tecnologia de Informação do TCU e que, no último dia 13 de junho, publicou uma instrução normativa estabelecendo orientações a serem implementadas pelos órgãos ligados direta e indiretamente à administração pública federal.

Fonte: http://www1.folha.uol.com.br/folha/brasil/ult96u442878.shtml

Comentário

O bom desenho da infraestrutura computacional e processos de tecnologia é de extrema importância para o controle dos acesso aos ativos de informação.
Todas as mudanças nos perfis de acesso dos colaboradores devem ser documentadas e estes registros devem ficar disponíveis para futuras consultas e auditorias.
A área de segurança da informação deve garantir o cumprimento dos prazos e controles para validação e concessão dos acessos.
A política de segurança da informação deve ser divulgada e de fácil acesso pelos colaboradores. Workshops e treinamentos são boas maneiras de divulgá-la e orientar os usuários de como a área de segurança da informação está trabalhando para proteger os ativos de informação das empresas e governos, as quais são as responsabilidades dos colaboradores dentro deste ecossistema

  • Blog de
  • Se logue para poder enviar comentários
  • 726 leituras
  • Compartilhar
  • Versão para impressão
  • Send by email
  • Versão PDF
Tags