O presidente em exercício do TCE, conselheiro Cezar Miola, determinou a realização de inspeção especial no Sistema de Consultas Integradas da Secretaria de Segurança Pública. Os trabalhos devem ter início já na primeira semana do mês de outubro. O procedimento, direcionado à área de sistemas informatizados, abrangerá aspectos operacionais, podendo concluir pela apresentação de propostas voltadas à otimização de rotinas e procedimentos que resguardem, ainda mais, o sigilo e o uso adequado das informações nele contidas.
Técnicos do TCE já vinham preparando a realização de inspeções nos diversos bancos de dados do Estado, com vistas à aferição da inviolabilidade e integridade dos sistemas e de seus registros, quando foi noticiado o acesso indevido, por um servidor da Brigada Militar, do Sistema de Consultas.
O conselheiro Miola destaca que inspeções com esses mesmos objetivos na área de tecnologia da informação deverão começar ainda este ano, abrangendo diversos outros órgãos do Estado.
Principais aspectos a serem examinados nas inspeções especiais:
1. Auditoria de Segurança de Sistemas:
1.1. Controle de acesso
- senhas: identificação individual e verificação da ocorrência de compartilhamento indevido de senhas;
- hierarquias de autorização: critérios e controles;
- rotinas de ativação e desativação de privilégios;
- estudos de aprimoramento de identificação para a concessão de senhas com privilégios especiais de acesso.
1.2. Rastreabilidade
- confiabilidade dos registros (logs) de acessos: vulnerabilidades à destruição ou alteração por parte de quem realizou as operações;
- granularidade da informação: como identificar o que realmente foi feito;
- temporalidade do armazenamento dos dados dos logs;
- avaliação de rotinas de monitoramento dos logs.
1.3. Segurança do sistema
- segurança física;
- acesso físico;
- cópias de segurança;
- redundância;
- qualidade das instalações e medição;
- planos de contingência;
- segurança lógica;
- atualização dos ambientes e vulnerabilidades a ataques externos;
- criptografia dos dados em cada ambiente (produção, redundância, backups).
1.4. Conformidade do sistema às normas ABNT de segurança da informação
2. Análise de caso especifico
2.1. Identificação da cadeia (formal ou informal) de autorizações e passagem de senhas
2.2. Localização de padrões de consulta massiva
2.3. Identificação do tipo de informação obtida, bem como da época de obtenção
2.4. Legalidade dos acessos (competência, finalidade e motivação)
2.5. Identificação de rastros de dispersão da informação
3. Auditoria de Sistemas – aspectos gerais
3.1. Qualidade dos dados
3.2. Controles gerais (projeto, desenvolvimento, alterações, etc.)
3.3. Controles de aplicativos (qualidade das entradas, conferências do processamento e qualidade das saídas)
3.4. Testes
4. Levantamento de apontamentos de auditorias, processos administrativos e denúncias.
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário