Dica do Prof. Marlon Borba
O Tribunal de Contas da União (TCU) constatou, em 2020, que a macroestrutura nacional responsável pela governança e gestão de Segurança da Informação e de Segurança Cibernética, apesar de atuante, não é adequada. O principal órgão responsável pela estrutura – o Gabinete de Segurança Institucional da Presidência da República (GSI/PR) – e arcabouço normativo vigente, em especial os decretos que orientam a atuação, não alcançam a Administração Pública como um todo, limitando-se, apenas, ao Poder Executivo federal.
Existe, portanto, carência de estrutura (órgão ou entidade) com autoridade ampla; atos normativos que regulem os temas em todo o território nacional, incluindo os setores público e privado; investimentos em segurança da informação e segurança cibernética, áreas de importância estratégica para o país.
Relativamente aos riscos e às vulnerabilidades em segurança da informação e segurança cibernética, o cenário atual merece atenção, especialmente quanto à real capacidade da Administração Pública federal de responder e tratar incidentes de segurança, tanto por parte de cada organização, individualmente, quanto por parte da rede formada pelas equipes de tratamento de incidentes e resposta a eles em redes computacionais – Equipes de Tratamento de Incidentes de Redes (ETIRs).
Em relação à defesa cibernética, o Comando de Defesa Cibernética (ComDCiber) do Exército Brasileiro, órgão central do Sistema Militar de Defesa Cibernética, tem sido bastante atuante, mas o investimento na área está aquém da sua importância estratégica para o país.
Em fiscalização iniciada em 2020, que avalia a suficiência e adequabilidade dos procedimentos de backup e restore de bases de dados e sistemas críticos de organizações da Administração Pública federal, o TCU constatou que:
74,6% das organizações (306 de 410) não possuem política de backup aprovada formalmente – documento básico, negociado entre as áreas de negócio (“donas” dos dados/sistemas) e a TI da organização, com vistas a disciplinar questões e procedimentos relacionados à execução das cópias de segurança (backups);
71,2% das organizações que hospedam seus sistemas em servidores/máquinas próprios (265 de 372) não possuem plano de backup específico para seu principal sistema;
66% das organizações que afirmam realizar backups (254 de 385), apesar de implementarem mecanismos de controle de acesso físico ao local de armazenamento desses arquivos, não os armazenam criptografados, o que acarreta risco de vazamento de dados da organização, podendo causar enormes prejuízos, sobretudo se envolver informações sensíveis e/ou sigilosas; e
60,2% das organizações (247 de 410) não mantêm suas cópias em, ao menos, um destino não acessível remotamente, o que acarreta risco de que, em ataque cibernético, os próprios arquivos dos backups acabem sendo corrompidos, excluídos e/ou criptografados pelo atacante ou malware, tornando igualmente sem efeito o processo de backup/restore da organização.
Em 2021, ao avaliar as práticas de segurança da informação no âmbito do perfil de governança e gestão de TI, o TCU também verificou que mais de 80% das organizações estão nos estágios iniciais de capacidade em gestão de continuidade institucional e de continuidade de serviços de TI. E, pior, a gestão de continuidade institucional está no estágio de capacidade inexpressivo em 62% das organizações e a de continuidade de serviços de TI é inexpressiva em 46% das organizações avaliadas.