Acórdão:
VISTOS, relatados e discutidos estes autos de Relatório de Auditoria realizada
pela Secretaria Adjunta de Fiscalização na Coordenação-Geral de Informática do Ministério do Trabalho e Emprego - CGI/MTE, no período de 08 a 30/06/
2005, em cumprimento ao Plano Semestral de Auditorias aprovado pelo
Acórdão n. 2.113/2004 - TCU - Plenário, com o objetivo de avaliar os
aspectos de segurança atinentes à área de Tecnologia da Informação daquele
Ministério.
ACORDAM os Ministros do Tribunal de Contas da União, reunidos em
Sessão Plenária, ante as razões expostas pelo Relator, em:
9.1. determinar à Secretaria Executiva do Ministério do Trabalho e Emprego
que:
9.1.1. estabeleça institucionalmente as atribuições relativas à segurança da
informação, conforme preceituam os itens 4.1.1, 4.1.2 e 4.1.3 da NBR
ISO/IEC 17779 e o item PO4.6 do Cobit (item 2.1 do relatório de auditoria);
9.1.2. defina uma Política de Segurança da Informação, nos termos das
orientações contidas no item 3 da NBR ISO/IEC 17799, que estabeleça os
princípios norteadores da gestão da segurança da informação no Ministério
e que esteja integrada à visão, à missão, ao negócio e às metas institucionais,
observando a regulamentação ou as recomendações porventura feitas pelo
Comitê Gestor de Segurança da Informação instituído pelo Decreto n. 3.505/
2000 e pelo Gabinete de Segurança Institucional da Presidência da República,
conforme Decreto n. 5.408, de 1º/04/2005 (item 2.1 do relatório de
auditoria);
9.1.3. defina uma Política de Controle de Acesso aos ativos de informação
(item 2.1 do relatório de auditoria) que contenha, no mínimo:
9.1.3.1. regras de concessão, de controle e de direitos de acesso para cada
usuário e/ou grupo de usuários de recursos computacionais de Tecnologia
da Informação - TI, conforme preceitua o item 9.1.1 da (item 2.10 do relatório de auditoria);
9.1.3.2. responsabilidades dos gestores de negócios sobre os seus sistemas,
bem como a obrigação deles e dos gerentes da rede MTE fazerem a revisão
periódica, com intervalos de tempo previamente definidos, dos direitos de
acesso dos usuários, conforme prevêem os itens 9.2.1, incisos h e i, e 9.2.4
da NBR ISO/IEC (item 2.13 do relatório de auditoria);
9.1.3.3. obrigatoriedade de usuários de recursos de TI e gestores de negócios
assinarem termos de compromisso nos quais estejam discriminados os direitos de acesso, os compromissos assumidos e suas responsabilidades e as sanções em caso de violação das políticas e dos procedimentos de segurança
organizacional, a teor do que prescreve o item 9.2.1 da NBR ISO/IEC 17799
(item 2.14 do relatório de auditoria);
9.1.3.4. identificação dos responsáveis pela guarda dos termos de compromisso assinados, além do tempo mínimo de armazenamento desses documentos, conforme propõem os itens 6.1.4 e 6.3.5 da NBR ISO/IEC 17799 (item 2.14 do relatório de auditoria);
9.1.3.5. requisitos mínimos de qualidade de senhas, descritos pelo item 9.3.1 da NBR ISO/IEC 17799 (item 2.16 do relatório de auditoria);
9.1.3.6. procedimentos de troca periódica de senhas, não permitindo reutilização das últimas, conforme prevê o item 9.5.4 da NBR ISO/IEC 17799 (item 2.16 do relatório de auditoria);
9.1.3.7. procedimentos de bloqueio de contas de usuários após longos períodos de não utilização ou de várias tentativas de acesso sem sucesso (item 2.16);
9.1.4. crie critérios de classificação das informações a fim de que possam ter
tratamento diferenciado conforme seu grau de importância, criticidade e
sensibilidade, a teor do disposto pelo item 5 da NBR ISO/IEC 17799 (item 2.1
do relatório de auditoria);
9.1.5. estabeleça e divulgue uma metodologia para desenvolvimento de sistemas (novos e legados), indique seus artefatos e produtos e detalhe seus requisitos mínimos, conforme preconiza o item PO 11.5 do Cobit (item 2.3 do relatório de auditoria); entre outros objetivos, essa metodologia deve regulamentar o desenvolvimento e a manutenção de sistemas pelas outras coordenações e unidades descentralizadas do Ministério, de modo a assegurar níveis mínimos de padronização e segurança dos mesmos (item 2.8 do relatório de auditoria);
9.1.6. crie mecanismos para que as políticas e normas se tornem conhecidas,
acessíveis e observadas por todos os servidores e prestadores de serviços do
Ministério (item 2.1);
9.1.7. informe seus usuários quanto à necessidade de bloquearem suas
estações de trabalho quando delas se afastarem e de não compartilharem
suas senhas de acesso, conforme prevê o item 9.3.2 da NBR ISO/IEC 17799
(item 2.15 do relatório de auditoria);
9.1.8. informe seus usuários quanto à necessidade de criarem senhas que
satisfaçam aos requisitos mínimos definidos na Política de Controle de Acesso que vier a ser estabelecida e quanto à importância da qualidade e segurança das senhas (item 2.16 do relatório de auditoria);
9.1.9. defina, em conjunto com as demais Secretarias do Ministério, um Plano
Estratégico para a área de Tecnologia da Informação - TI, que propicie a
alocação dos recursos conforme as necessidades e prioridades do negócio,
conforme prevê ao item PO 1.1 do Cobit, e que observe a determinação
contida no item 9.1.1 do Acórdão TCU n. 2.094/2004 - TCU - Plenário
(item 2.2 do relatório de auditoria);
9.1.10. não interfira na gestão de recursos humanos de empresas contratadas,
abstendo-se de participar da seleção de pessoal terceirizado e/ou indicar
nominalmente profissionais, conforme entendimento contido no item 9.3.7
do Acórdão n. 1.558/2003 - TCU - Plenário (item 2.6 do relatório de
auditoria);
9.1.11. observe as determinações contidas nos itens 9.3.1, 9.3.2 e 9.3.3 do
Acórdão TCU n. 667/2005 - TCU - Plenário (item 2.7 do relatório de
auditoria);
9.1.12. no caso de adotar o modelo de locação de mão-de-obra, defina
claramente nos editais de licitação, bem como nos contratos (item 2.6 do
relatório de auditoria):
9.1.12.1. a qualificação técnica necessária para assumir cada posto de serviço;
9.1.12.2. os documentos que servirão para comprovar a qualificação exigida;
9.1.12.3. a guarda desses documentos, deixando-os disponíveis aos órgãos
de controle;
9.1.12.4. critérios de aferição de desempenho;
9.1.12.5. motivos que justifiquem a substituição de profissionais e como ela
deve ser realizada;
9.1.13. inclua os seguintes requisitos de segurança em contratos de
prestação de serviços e locação de mão-de-obra em Tecnologia da
Informação que vierem a ser celebrados a partir da presente data, em
atenção aos itens 4.2.2 e 4.3.1 da NBR ISO/IEC 17799 (item 2.7 do
relatório de auditoria):
9.1.13.1. obrigatoriedade de aderência à Política de Segurança da
Informação, à Política de Controle de Acesso, à Metodologia de
Desenvolvimento de Sistemas e às outras normas de segurança da
informação vigentes no Ministério;
9.1.13.2. Acordo de Nível de Serviço, negociado entre os grupos de
usuários e o fornecedor dos serviços, com o objetivo de estabelecer um
entendimento comum da natureza dos serviços propostos e critérios de
medição de desempenho, que deverá conter, no mínimo, os seguintes
elementos: participantes do acordo; descrição clara dos serviços e
funcionalidades disponíveis, para contratos de prestação de serviços;
descrição clara dos perfis profissionais desejados, para contratos de
locação de mão-de-obra; funções e responsabilidades; níveis de serviços
desejados em termos de disponibilidade, prazos, desempenho, segurança,
quantidade, qualidade e outros; indicadores de níveis de serviços;
responsável pela medição dos serviços; ações a serem tomadas quando
da ocorrência de problemas de mau desempenho (ações corretivas,
penalidades financeiras e outras);
9.1.13.3. definição clara acerca da propriedade dos dados entregues
pela Administração Pública a empresas contratadas, coletados por essas
empresas em nome da Administração Pública ou produzidos por
programas de computadores decorrentes de contratos de prestação de
serviços;
9.1.13.4. definição acerca dos direitos de propriedade de programas,
de acordo com a Lei n. 9.609/1998, de documentação técnica e forma
de acesso a eles; se o contrato dispuser que programas e documentação
técnica não pertencem à Administração Pública, o projeto básico deve
apresentar a justificativa de tal escolha; caso contrário, o contrato deve
estabelecer de que forma e em que prazo se dará o acesso aos mesmos,
inclusive na ocorrência de fatos imprevisíveis ou de força maior; recomendase que se estabeleça, como data limite para entrega de programas fontes e documentação, a data de homologação dos mesmos;
9.1.13.5. obrigatoriedade de manter sigilo sobre o conteúdo de programas
de computadores (fontes e executáveis), documentação e bases de dados;
deve ser estabelecido um período durante o qual subsistirão as obrigações
de manter sigilo;
9.1.13.6. obrigatoriedade de assinatura de Termo de Compromisso ou
Acordo de Confidencialidade por parte dos prestadores de serviços,
contendo declarações que permitam aferir que os mesmos tomaram ciência
das normas de segurança vigentes no órgão;
9.1.13.7. garantia do direito de auditar, por parte da contratada e dos
órgãos de controle, e forma de exercício deste direito;
9.1.14. o acesso ao ambiente de produção por técnicos da CGI seja feito
de forma controlada pelos gestores dos sistemas (item 2.11);
9.1.15. aprimore os controles de acesso físico aos computadores e
equipamentos considerados críticos (item 2.18);
9.1.16. na contratação de licenças de uso de software Microsoft, observe
as determinações contidas no Acórdão n. 1.521/2003 - TCU - Plenário
(item 3.1);
9.1.17. adote providências no sentido de dotar a Coordenação-Geral de
Informática - CGI/MTE dos meios necessários para realizar, de forma
independente, o planejamento, a especificação, a supervisão e o controle
da execução dos serviços de informática terceirizados, preferencialmente
mediante o preenchimento de cargos ou, enquanto não for reestruturada a
coordenadoria de informática do Ministério, mediante a contratação de
empresa especializada especificamente para esse fim, distinta e
independente das empresas prestadoras dos demais serviços;
9.2. determinar à Secretaria Executiva do Ministério do Trabalho e Emprego,
em conjunto com a Secretaria de Políticas Públicas de Emprego, que (item
2.9):
9.2.1. envie a este Tribunal, no prazo de 90 (noventa) dias, o cronograma
do processo de migração das bases de dados e sistemas Caged e Seguro-
Desemprego, detalhando todas as etapas componentes da estratégia de
migração escolhida;
9.2.2. seja qual for a estratégia escolhida para efetuar a migração supracitada,
considere a necessidade de absorver definitivamente e documentar o
conhecimento do negócio e a tecnologia adotada e, ainda, a possibilidade
de implementar melhorias nos processos envolvidos;
9.2.3. identifique os recursos de TI necessários para absorção da tecnologia
dos sistemas supracitados e promova as ações que lhes couberem e forem
necessárias para que ela se concretize;
9.3. recomendar à Secretaria Executiva do Ministério do Trabalho e
Emprego que:
9.3.1. crie um comitê que envolva pessoas de áreas diversas do Ministério,
com poder de decisão em relação aos investimentos em TI, e que se
responsabilize por alinhar essa área aos objetivos de negócios, identificando
as necessidades de recursos atuais e futuras e estabelecendo prioridades
quanto aos investimentos (item 2.2);
9.3.2. estude a proposta de alteração do Decreto n. 5.063, de 03/05/
2004, com relação à reformulação da área de TI do Ministério, avaliando:
9.3.2.1. o atual posicionamento hierárquico de sua Coordenação-Geral
de Informática - CGI dentro do organograma do Ministério, a fim de se
certificar da sua compatibilidade com as funções desempenhadas pela
mesma; e
9.3.2.2. a estrutura informal adotada no âmbito da CGI e a conveniência
de modificar a atual estrutura definida no Regimento Interno da Secretaria
Executiva de forma que contemple as necessidades da CGI (item 2.5);
9.3.3. à vista da competência estabelecida no artigo 24, inciso VI, do seu
Regimento Interno, nomeie a Coordenação-Geral de Informática para a
co-gerência técnica dos contratos relativos à área de Tecnologia da
Informação vigentes e que vierem a ser celebrados (item 2.8);
9.4. determinar à Coordenação-Geral de Informática do Ministério do
Trabalho e Emprego que:
9.4.1. implemente os procedimentos informatizados necessários no
sentido de ajudar a garantir a observância das políticas e normas que
venham a ser instituídas pelo Ministério, como a Política de Segurança
da Informação, a Política de Controle de Acesso e a Metodologia
para Desenvolvimento de Sistemas (itens 2.1 e 2.16);
9.4.2. crie e defina mecanismos de gerenciamento que garantam a
guarda e recuperação das versões atualizadas da documentação de
sistemas pelo setor responsável (item 2.4);
9.4.3. envide esforços para que os sistemas que possuem baixa ou
nenhuma documentação sejam documentados de acordo com os
requisitos mínimos estabelecidos pela Metodologia de Desenvolvimento
de Sistemas que vier a ser elaborada na forma do subitem 9.1.5 supra
(item 2.4);
9.4.4. adote cláusulas contratuais para assegurar que a documentação
técnica, programas fontes e dados de sistemas regidos por contratos
de prestação de serviços estejam acessíveis ao Ministério (item 2.8);
9.4.5. reveja a política de acesso do perfil administrador dos sistemas
para que lhe sejam retirados (item 2.11):
9.4.5.1. o poder de criação de novos perfis e cadastro de usuários,
centralizando essas funções e responsabilidades nos gestores de
negócio;
9.4.5.2. o acesso irrestrito e permanente aos sistemas de produção;
9.4.6. estude a possibilidade de implantação de procedimentos de
segurança que bloqueiem as estações de trabalho e/ou sistemas após
determinado período de não-utilização (item 2.15);
9.4.7. estude a possibilidade e a viabilidade de implantação de
procedimentos que impeçam o estabelecimento de várias sessões
simultâneas para um mesmo identificador de usuário, inclusive quanto
a sistemas processados por terceiros (item 2.15);
9.4.8. não assuma responsabilidades inerentes às áreas de negócio,
como a inserção, alteração e exclusão de informações em bases de
dados (item 2.17);
9.4.9. evite executar procedimentos que envolvam alterações de
informações diretamente na base de dados de produção, devendo as
situações de exceção, depois de devidamente identificadas, ser
implementadas dentro das funcionalidades dos respectivos sistemas,
tornando-as disponíveis para serem utilizadas de forma segura pelos usuários
desses sistemas (item 2.17);
9.4.10. altere o sistema de gerência de acessos para que nele sejam
acrescentadas trilhas de auditoria para permitir futuras investigações de
concessão e revogação de acesso de usuários aos sistemas do MTE,
contendo, entre outras, informações sobre as datas e os responsáveis por
essas concessões e revogações (item 2.12);
9.4.11. crie procedimentos automatizados (preferencialmente um sistema)
que permitam o acompanhamento detalhado das demandas de TI feitas
pelas outras áreas do Ministério (item 2.20);
9.5. determinar à Coordenação-Geral de Informática do Ministério do
Trabalho e Emprego, em articulação com a Secretaria de Inspeção do
Trabalho, que (item 2.19):
9.5.1. retire do sistema CPMR a possibilidade de exclusão física de
processos; o processo pode ser excluído desde que todas as suas
informações, inclusive as da exclusão, continuem registradas no sistema;
9.5.2. implemente rotinas que mantenham o registro de eventos relevantes
do sistema CPMR; esses registros devem conter, no mínimo, o autor, a
data e a descrição do evento;
9.6. determinar ao Ministério do Trabalho e Emprego e ao Ministério do
Planejamento, Orçamento e Gestão que avaliem a situação de terceirização
de pessoal na área de Tecnologia da Informação do MTE e envidem
esforços no sentido de diminuir o nível de terceirização, principalmente
para ocupar cargos estratégicos com pessoal de carreira dentro da
Administração Pública (item 2.6);
9.7. determinar à Controladoria Geral da União - CGU que se manifeste,
nas contas da Secretaria Executiva do Ministério do Trabalho e Emprego
referentes ao exercício de 2005, quanto ao cumprimento do Termo de
Ajuste firmado com a Datamec/Unisys, especificamente quanto à migração
dos dados, sistemas e respectiva documentação, atualmente armazenados
e processados na prestadora de serviços, para o ambiente do MTE;
9.8. determinar à 5ª Secex que efetue o acompanhamento da
implementação do Termo de Ajuste referido do subitem anterior, com base
nas informações requeridas à Secretaria Executiva do MTE na forma do
subitem 9.2.1 precedente e outras medidas que considerar pertinentes,
valendo-se do auxílio da Adfis, caso necessário;
9.9. dar conhecimento do inteiro teor deste Acórdão, bem como do
Relatório e da Proposta de Deliberação que o fundamentam, ao Ministro
do Trabalho e Emprego, ao Coordenador-Geral de Informática do MTE,
ao Gabinete de Segurança Institucional - GSI da Presidência da República,
à Comissão de Trabalho, de Administração e Serviço Público - CTASP e
à Comissão de Ciência e Tecnologia, Comunicação e Informática - CCTCI,
ambas da Câmara dos Deputados e à Controladoria Geral da União -
CGU;
9.10. restituir o processo à Adfis, para arquivamento.
10. Ata nº 46/2005 - Plenário
11. Data da Sessão: 23/11/2005 - Ordinária
12. Especificação do quórum:
12.1. Ministros presentes: Adylson Motta (Presidente), Valmir Campelo,
Walton Alencar Rodrigues, Guilherme Palmeira, Ubiratan Aguiar, Benjamin
Zymler e Augusto Nardes.
12.2. Auditores convocados: Lincoln Magalhães da Rocha e Marcos
Bemquerer Costa (Relator).
ADYLSON MOTTA
Presidente
MARCOS BEMQUERER COSTA
Relator
Nenhum comentário:
Postar um comentário