1 Auditoria no Sistema Nacional de Integração de Informações em Justiça e Segurança Pública (Infoseg) Renato Braga, CISA Novembro de 2008
2 Objetivo Apresentar a auditoria realizada pelo TCU no sistema Infoseg e os principais resultados da avaliação realizada.
3 Agenda Por que o TCU está auditando sistemas e dados? Descrição do sistema Infoseg Origem, objetivo e critérios da auditoria Método e técnicas Planejamento da auditoria Resultados obtidos Maiores desafios
Referencial estratégico do TCU 4
5 Agenda Por que o TCU está auditando sistemas e dados? Descrição do sistema Infoseg Origem, objetivo e critérios da auditoria Método e técnicas Planejamento da auditoria Resultados obtidos Maiores desafios
Infoseg Sistema Nacional de Integração de Informações em Justiça e Segurança Pública 6 Integração das informações dos órgãos de segurança pública, justiça e fiscalização da União, dos Estados e do Distrito Federal. (Ilustração cedida pela Senasp/MJ)
7 Finalidade do Infoseg Disponibilização dessas informações para os agentes públicos federais, estaduais, distritais e municipais cadastrados no sistema por meio... da Internet (páginas Web); do telefone celular (mensagem SMS); da Intranet (via Web Services);...
8 Módulos de consulta Indivíduos Armas Índice Nacional (IN) de inquéritos, processos, mandados de prisão, registro de armas,... Consultas detalhadas. Consulta à base do Sistema Sinarm - Sistema Nacional de Armas - mantido pelo Departamento de Polícia Federal. Veículos Consulta à base do Sistema Renavam - Registro Nacional de Veículos Automotores - mantido pelo Denatran. Condutores Consulta à base do Sistema Renach - Registro Nacional de Carteiras de Habilitação - mantido pelo Denatran.
9 Arquitetura do Infoseg (Ilustração cedida pela Senasp/MJ)
10 Ambientes heterogêneos 2 3 4 5 6
11 Reflexão: Qual o potencial desse sistema para agregar valor ao negócio segurança pública? Vamos lembrar da consulta via Web Services...
12 Agenda Por que o TCU está auditando sistemas e dados? Descrição do sistema Infoseg Origem, objetivo e critérios da auditoria Método e técnicas Planejamento da auditoria Resultados obtidos Maiores desafios
13 Origem da auditoria Auditoria operacional do TCU no SUSP - Sistema Único de Segurança Pública - indicou problemas na implantação do Infoseg Acórdão n.º 724/2005 - TCU Plenário Mas já no início do planejamento identificamos que o sistema estava implantado em todos (menos um) estados!
14 Objetivo da auditoria Avaliar aspectos relacionados com a segurança e a consistência das informações gerenciadas pelo sistema Infoseg. Segurança no sistema de segurança?
15 Critérios de auditoria Finalidade do sistema Dispositivos legais NBR/ISO/IEC 17799:2005 Cobit
16 Agenda Por que o TCU está auditando sistemas e dados? Descrição do sistema Infoseg Origem, objetivo e critérios da auditoria Método e técnicas Planejamento da auditoria Resultados obtidos Maiores desafios
17 Auditoria de conformidade Matriz de Planejamento Matriz de Procedimentos Matriz de Achados Matriz de Responsabilização Guia de auditoria de conformidade do TCU
18 Automação: Sistema Fiscalis
19
20 Técnicas utilizadas Análise documental Entrevistas presenciais Entrevistas virtuais (questionário eletrônico) Análise de dados (TAAC) Inspeção Observação
21 Agenda Por que o TCU está auditando sistemas e dados? Descrição do sistema Infoseg Origem, objetivo e critérios da auditoria Método e técnicas Planejamento da auditoria Resultados obtidos Maiores desafios
22 Questões de auditoria Q.1. As informações do Índice Nacional - IN - refletem as informações das bases de dados dos agentes de segurança pública? Q.2. As Políticas de Segurança da Informação estabelecidas pelo MJ contribuem para uma boa gestão de segurança da informação na rede Infoseg? Q.3. O perímetro de segurança e os controles de acesso físico garantem a segurança das instalações?
23 Questões de auditoria Q.4. A gerência do Infoseg possui gestão de controle de acesso para a rede Infoseg que dificulte o uso indevido das informações? Q.5. A estrutura de Recursos Humanos da área de TI é satisfatória para atendimento das necessidades de TI do Infoseg? Q.6. Os contratos de prestação de serviços contemplam requisitos de segurança? Q.7. Os contratos de locação de mão-de-obra contemplam requisitos de segurança?
24 Questões de auditoria Q.8. A Senasp detém o conhecimento e controle técnico do Infoseg? Q.9. Há um Plano de Continuidade do Negócio - PCN - compatível com as necessidades operacionais do Infoseg? Q.10. A usabilidade do sistema pelo usuário (manual, help online, helpdesk) é satisfatória?
25 Q.10. Usabilidade 3.717 usuários responderam o questionário
Q.1. Consistência das informações - Principais Riscos 26 Indivíduo consta do IN e não consta da base estadual. Indivíduo consta da base estadual e não consta do IN. Indivíduo consta do IN e da base estadual, mas as informações estão inconsistentes. Ferramenta TAAC
27 Arquivos Índice Nacional (IN) base de indivíduos possuía 16 milhões de registros. Foram realizados cruzamentos do IN com as bases de 6 entes que alimentam o Infoseg.
28 Agenda Por que o TCU está auditando sistemas e dados? Descrição do sistema Infoseg Origem, objetivo e critérios da auditoria Método e técnicas Planejamento da auditoria Resultados obtidos Maiores desafios
29 Resultados obtidos Praticamente todos os possíveis achados se confirmaram Relatório completo no site do TCU http://www.tcu.gov.br Acórdão nº 71/2007 TCU Plenário Sumário executivo do trabalho no site da Sefti/TCU http://www.tcu.gov.br/fiscalizacaoti
30 Principais resultados Em todos os entes visitados, a equipe de auditoria constatou inconsistências entre as informações constantes das bases dos entes e da base do Índice Nacional - IN -, conforme evidenciado nos Ofícios de Requisição...
31 Principais resultados (cont.) Considerando a existência de inconsistência nas informações sobre mandados de prisão em aberto, as notificações supra foram encaminhadas tanto ao Secretário Nacional de Segurança Pública quanto ao interlocutor do ente visitado (normalmente o coordenadoradministrativo do Infoseg) de forma a permitir maior agilidade nas eventuais correções.
32 Principais resultados (cont.) Registre-se que todos os entes visitados já realizaram, pelo menos uma vez, a operação de recarga da base, quando foi solicitado à Senasp que excluísse todos os registros daquele ente, para que pudessem ser incluídas informações consistentes.
33 Principais resultados (cont.) As inconsistências encontradas evidenciam controles de processamento insuficientes (item 12.2.2, da NBR ISO/IEC 17799:2005), e podemos dividi-las em três grupos: registros constantes do IN sem correspondência nas bases do ente; registros constantes das bases do ente sem correspondência no IN; registros constantes das bases do ente e do IN, porém com conteúdos divergentes
34 Principais resultados Recursos humanos Equipe composta por 12 funcionários de 2 empresas contratadas (alocação de mão-de-obra) e 1 servidor público temporário Sistema desenvolvido, mantido e operado na Senasp/MJ, sem supervisão do setor de TI do MJ
35 Principais resultados Foram identificadas boas práticas... Utilização de padrões abertos (XML) permitiu superar as dificuldades detectadas durante a auditoria operacional que deu origem a este trabalho o que resultou na implantação do sistema Havia uma boa gestão dos contratos com a prestadora de serviços de link de comunicação
36 Agenda Por que o TCU está auditando sistemas e dados? Descrição do sistema Infoseg Origem, objetivo e critérios da auditoria Método e técnicas Planejamento da auditoria Resultados obtidos Maiores desafios
37 Maiores desafios Por conta da especificidade do Infoseg Segurança Pública e o Princípio Federativo da Constituição Federal Regra de negócio não-uniforme
38 Maiores desafios Por conta da legislação brasileira Critérios para auditoria de gestão da segurança da informação não constam explicitamente da legislação brasileira Jurisdição do TCU
39 Maiores desafios Por conta da distribuição do sistema Diversidade de tecnologias Segurança no todo depende da segurança nas partes Governança no todo depende da governança nas partes
40 Objetivo Apresentar a auditoria realizada pelo TCU no sistema Infoseg e os principais resultados da avaliação realizada.
41 Equipe de auditoria Harley Alves Ferreira integrante Carlos Renato Araujo Braga coordenador Roberta Ribeiro de Queiroz Martins supervisora
42 Grato pela atenção. Renato Braga, CISA Missão da Sefti: Assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública em benefício da sociedade. http://www.tcu.gov.br/fiscalizacaoti sefti@tcu.gov.br