O Tribunal de Contas da União (TCU) realizou auditoria operacional na Secretaria do Tesouro Nacional (STN) com o objetivo de avaliar os controles gerais de gestão da segurança da informação da dívida pública federal, bem como testar os principais controles de entrada, processamento e saída de dados dos aplicativos utilizados no Sistema Integrado da Dívida Pública (SID).
A auditoria, cuja relatoria ficou a cargo do ministro José Múcio, teve seu foco em aspectos relacionados à boa governança de TI, como segurança da informação e gestão de continuidade de negócios, para aperfeiçoar o controle da dívida pública.
O levantamento identificou falhas nos controles gerais e no processo de gerenciamento de riscos, e constatou que ainda não foi feita a implantação integral do SID no órgão, o que pode contribuir para um maior desconhecimento das ameaças e dos respectivos impactos relacionados à segurança da informação.
Entre as falhas, está a ausência de designação formal, pela STN, do gestor de segurança da informação. O comitê de segurança da informação, responsável pela indicação do gestor, foi criado recentemente e ainda não começou a atuar de forma efetiva, o que pode comprometer a política de Segurança da Informação do órgão.
Quanto ao gerenciamento de riscos de TI, o TCU constatou inexistência do Plano de Continuidade de Negócios (PCN). Além disso, consta no relatório que os processos de trabalho das coordenações que gerem a dívida pública ainda estão sendo revistos a fim de elaborar o PCN.
Dessa forma, o TCU fez determinações e recomendações à Secretaria do Tesouro Nacional, que deverá, entre outras medidas, apresentar um plano de ação para a implantação completa do SID. A secretaria também deverá elaborar um plano de ação com medidas efetivas para reforçar seus controles gerais de TI, de forma a seguir as melhores práticas internacionais referentes à área, especialmente quanto à implantação da política de segurança da informação, da política de controle de acesso, do gerenciamento de riscos, do PCN e do gerenciamento de incidentes.
