Bom Dia LGPD

TCU divulga auditoria com base no PPSI (e consequentemente no CIS CSC e NIST CSF)

#bomdialgpd


O Tribunal de Contas da União é um órgão regulador pioneiro na avaliação de segurança da informação, este ano realizou mais uma auditoria em órgãos do Governo Federal (link no comentário), e divulgou o resultado com o seguinte resumo:


  • "O TCU fez auditoria operacional para verificar se os controles de cibersegurança e de segurança da informação implementados pelas organizações do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) estão de acordo com as melhores práticas.
  • De 229 organizações, nenhuma implementa as 56 medidas de segurança do guia de controles, somente 14 implementam mais de 70% e apenas duas organizações implementam mais de 90%.
  • Em consequência, as organizações do Sisp não estão protegidas contra os ataques cibernéticos mais comuns."


A avaliação traz diversas iniciativas que merecem reflexão, uma delas é quanto ao baixo uso de múltiplos fatores de autenticação (MFA):


Um ponto que considero positivo nesta avaliação é que o TCU, em seu relatório detalhado e com várias referências técnicas, utilizou como referências o framework PPSI (Programa de Privacidade e Segurança da Informação) do Ministério da Gestão e Inovação (link no comentário), e o CIS CSC.


Por sua vez, o PPSI, uma ótima iniciativa, adota como referência os frameworks do NIST CSF e CIS CSC (respectivamente em suas versões 1.1 e 8, uma sugestão de melhoria é atualizar para as versões 2 e 8.1). (ontem o amigo Jairo Willian Pereira comentou sobre isso no artigo sobre mapeamento CIS x NIST)


A convergência entre frameworks (no caso TCU + MGI + NIST + CIS) é uma ótima iniciativa para fortalecer uma linguagem comum e a segurança sistêmica. O TCU que este ano também realizou uma auditoria de conformidade com a LGPD, e tem diversas iniciativas e conteúdos em segurança e proteção de dados, vale conhecer por exemplo o documento "Cinco controles de segurança cibernética para ontem", com link no comentário.


O documento do TCU, além de seu objetivo de auditoria e regulação também é uma ótima fonte técnica para empresas que desejem avaliar seu nível de conformidade e maturidade.


Ilustração gerada por IA. Prompt GPT4o. Favor desenhar uma imagem de um profissional com roupas formais de trabalho verificando uma placa de circuito impresso com uma poderosa lupa.


Obrigado,


Aquele abraço,


FNery.


Comentários:


TCU Organizações públicas de tecnologia da informação não estão protegidas contra ataques cibernéticos https://portal.tcu.gov.br/imprensa/noticias/organizacoes-publicas-de-tecnologia-da-informacao-nao-estao-protegidas-contra-ataques-ciberneticos.htm


CIS lança Mapa CIS CSC 8.1 vs NIST CSF 2.0https://www.linkedin.com/pulse/cis-lan%C3%A7a-mapa-csc-81-vs-nist-csf-20-fernando-nery-3kdtf/

(Art 42 .. 44, 52 .. 54) Responsabilidade e Sanções
(Art 50) Boas Práticas e Governança
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato