Relatório de auditoria operacional: governança em Tecnologia da Informação da Secretaria de Estado de Fazenda de Mato Grosso - 2017

Governança de Tecnologia da Informação da Secretaria de Estado de Fazenda de Mato Grosso – 2017 TCE-MT | Relatório de Auditoria Operacional 23 5.2 Deficiências nos processos de segurança da informação Diante da não sensibilização da alta administração acerca da importância do tema para a organização, de falhas de governança de TI na implementação de processos específicos de segurança da informação e da ausência de responsáveis, formalmente instituídos, por esses processos, constatou-se que há deficiências nos processos de segurança da informação na Sefaz-MT. Tais falhas podem ocasionar problemas na avaliação das políticas de segurança da informação e no risco de acesso indevido, alteração ou perda de informações fiscais. Quanto às outras perguntas do questionário eletrô- nico, a Sefaz-MT respondeu que “não adota” Comitê de Segurança da Informação, não há gestor de segurança da informação formalmente instituído e inexiste política de cópias de segurança ( backup). O Comitê de Segurança da Informação e Comunica- ções constitui-se de um grupo de pessoas com a respon- sabilidade de assessorar a implementação das ações de segurança da informação e comunicações no âmbito do órgão ou entidade 23 .Tem o papel de auxiliar na implementa- ção das ações de segurança da informação e comunicações além de propor soluções específicas e normas internas. Por sua vez, o Gestor de Segurança da Informação e Comunicações é responsável pelas ações de segurança da informação e comunicações no âmbito do órgão ou enti- dade 24 . Dentre suas responsabilidades estão: promoção da cultura de segurança da informação e comunicações, acom- panhamento das investigações e das avaliações dos danos 23 Presidência da República. Gabinete de Segurança Institucional. Departamento de Segurança da Informação e Comunicações. Gestão de Continuidade de Negócios em Segurança da Informação e Comunicações. Norma Complementar 06/IN01/ DSIC/GSI/PR, pág. 2. 24 Presidência da República. Gabinete de Segurança Institucional. Departamento de Segurança da Informação e Comunicações. Gestão de Continuidade de Negócios em Segurança da Informação e Comunicações. Norma Complementar 06/IN01/ DSIC/GSI/PR, pág. 2. A informação é um ativo primordial para qualquer or- ganização. A Sefaz-MT tem como dever funcional a guarda de informações fiscais resguardadas por sigilo. Alterações ou perdas dessas informações podem causar prejuízos na arrecadação, gerando obstáculos à implementação de po- líticas públicas. Quanto à existência de uma política de segurança da informação formalmente instituída como norma de cumpri- mento obrigatório e de uma política de controle de acesso à informação, a Sefaz-MT afirmou, em questionário eletrô- nico, que “adota integralmente” as práticas. Entretanto, após analisar os documentos solicitados por e-mail para comprovar as respostas ao questionário (resposta por e-mail datado de 28/07/2017), observou-se que as políticas apresentadas eram normas gerais estadu- ais (Resoluções 03/2010, 08/2010, 09/2011 e 011/2011 do Conselho Superior do Sistema Estadual de Informação e Tecnologia da Informação). A única norma elaborada pela Sefaz-MT foi a Portaria nº 128/2005 que estabelece normas de segurança a serem observadas para liberação de acesso aos sistemas informa- tizados. No entanto, é específica para a Secretaria Adjunta da Receita Pública (Sarp), não alcançando todos os setores da organização. Pelo exposto, concluiu-se que a Sefaz-MT “ não adota ” os tópicos analisados.