O Tribunal de Contas da União (TCU) realizou auditoria operacional na Secretaria do Tesouro Nacional (STN) com o objetivo de avaliar os controles gerais de gestão da segurança da informação da dívida pública federal, bem como testar os principais controles de entrada, processamento e saída de dados dos aplicativos utilizados no Sistema Integrado da Dívida Pública (SID).
A auditoria, de relatoria do ministro José Múcio, teve seu foco em aspectos relacionados à boa governança de TI, como Segurança da Informação e Gestão de Continuidade de Negócios, para aperfeiçoar o controle da dívida pública.
O levantamento identificou falhas nos controles gerais e no processo de gerenciamento de riscos, e constatou que ainda não foi feita a implantação integral do Sistema Integrado da Dívida Pública no órgão, o que pode contribuir para um maior desconhecimento das ameaças e dos respectivos impactos relacionados à segurança da informação.
Entre as falhas, está a ausência de designação formal, pela STN, do Gestor de Segurança da Informação. O comitê de segurança da informação, responsável pela indicação do gestor de segurança da informação, foi criado recentemente e ainda não começou a atuar de forma efetiva, o que pode comprometer a política de Segurança da Informação do órgão.
Quanto ao gerenciamento de riscos de TI, o TCU constatou inexistência do Plano de Continuidade de Negócios (PCN). Além disso, consta no relatório que os processos de trabalho das coordenações que gerem a dívida pública ainda estão sendo revistos a fim de elaborar o PCN.
Dessa forma, o TCU exarou determinações e recomendações à Secretaria do Tesouro Nacional, que deverá, entre outras medidas, apresentar um plano de ação para a implantação completa do Sistema Integrado da Dívida Pública.
A secretaria também deverá elaborar um plano de ação com medidas efetivas para reforçar seus controles gerais de TI, de forma a seguir as melhores práticas internacionais referentes à área, especialmente quanto à implantação da Política de Segurança da Informação, da Política de Controle de Acesso, do Gerenciamento de Riscos, do Plano de Continuidade de Negócios e do Gerenciamento de Incidentes.