São muitos os benefícios advindos da transformação digital nos governos, como a facilitação do acesso à informação e a celeridade a processos burocráticos. Ciente disto, o Tribunal de Contas da União (TCU) alerta os gestores públicos quanto à necessidade de adoção concomitante e persistente de melhores práticas para mitigação de riscos nos contextos de vulnerabilidades e de falhas em Segurança de Informação (SegInfo) e em Segurança Cibernética (SegCiber). O alerta advém da preocupação face a ameaças e ataques digitais, que podem afetar as mais variadas esferas da sociedade.

Ministro Vital do Rêgo

Para combater esse cenário de exposição das organizações a riscos crescentes, o TCU disponibilizou a publicação “Cinco controles de segurança cibernética para ontem“. O documento destaca cinco vertentes críticas que a administração pública federal precisa implementar com urgência.

O material parte do acompanhamento TC 036.301/2021-3, de relatoria do ministro Vital do Rêgo, para induzir a adoção pelas organizações públicas federais, de controles críticos de SegCiber e aborda o primeiro ciclo de acompanhamento do TCU sobre a segurança cibernética das organizações públicas federais no período de 2021 a 2022.

Organizações carecem de Maturidade Cibernética

O diagnóstico do TCU verificou que a maioria das organizações públicas federais se encontram em um nível ainda inicial de maturidade quanto a esses controles. Face a este resultado preocupante, objetivo da publicação é conscientizar os gestores públicos e induzir a implementação de controles e medidas de segurança necessários para mitigar os riscos de ataques e incidentes decorrentes de vulnerabilidades e falhas de SegInfo e de SegCiber.

A referência de boas práticas de SegCiber utilizada no acompanhamento é a versão 8 do framework do Center for Internet Security (CIS), organização independente e sem fins lucrativos que recomenda um total de 18 controles críticos de SegCiber, os quais formam um conjunto de ações de defesa de alta prioridade contra ataques cibernéticos mais pervasivos. São ações consideradas imprescindíveis e urgentes para toda organização que busca melhorar a própria SegCiber.

No primeiro ciclo de acompanhamento, foram avaliados cinco controles, com as seguintes finalidades:

  • Controle 1 – Inventário e controle de ativos corporativos:
    identificar e impedir a utilização de ativos de TI não autorizados/gerenciados como vetores de ataques cibernéticos.
  • Controle 2 – Inventário e controle de ativos de software:
    identificar e impedir a utilização de softwares não autorizados/gerenciados como vetores de ataques cibernéticos.
  • Controle 7 – Gestão contínua de vulnerabilidades:
    evitar a exploração de vulnerabilidades conhecidas nos ativos corporativos de TI.
  • Controle 14 – Conscientização sobre segurança e treinamento de competências:
    reduzir a possibilidade de incidentes e ataques derivados do comportamento humano – engenharia social.
  • Controle 17 – Gestão de respostas a incidentes:
    melhorar a capacidade de identificar potenciais ameaças e ataques, evitar que se espalhem e recuperar rapidamente dados e sistemas eventualmente corrompidos.

Os interessados podem baixar gratuitamente a publicação no site do TCU clicando AQUI.

Artigos RelacionadosMais deste Autor

Deixe seu comentário

Por favor inclua seu comentário
Digite seu nome aqui