TCU: Governo falha na gestão de riscos e se expõe aos ataques cibernéticos
O Tribunal de Contas da União avaliou a governança da transformação digital no Executivo federal e apontou que a maioria das metas caminha no prazo, com ajustes quando há falta de pessoal de TI. O principal achado, no entanto, é que falta incorporar na prática as medidas de gestão de riscos necessárias diante do fomento ao maior acesso a serviços por meio digital.
“Os exames efetuados não deixaram dúvidas de que o tema merece maior atenção. Segundo narrou a unidade técnica, na amostra de PTD [Planos de Transformação Digital] enviadas pela própria Secretaria de Governo Digital do Ministério da Economia, a maioria absoluta não apresentava evidências de que estaria sendo realizada a gestão de riscos”, destaca o relator, Vital do Rego.
“Ao não realizar de maneira mais apropriada a gestão dos riscos existentes, a transformação digital pode implicar sujeição a vários eventos de risco, como a inefetividade da própria transformação, a ocorrência de problemas de funcionamento no serviço transformado ou mesmo uma maior exposição às consequências de ataques cibernéticos”, emendou o ministro do TCU.
Como dito, a auditoria indicou que o planejamento e o monitoramento das estratégias de transformação digital têm sido satisfatórios. A partir da Estratégia de Governo Digital 2020-2022, 18 objetivos foram estabelecidos, desdobrando-se em 58 iniciativas. Segundo a SGD, 85% a 90% de entregas realizadas no prazo.
“As entregas intempestivas decorrem, em sua maioria, da falta de pessoal de TI para priorizar e executar a transformação digital que envolvam sistemas próprios. Por sua vez, os serviços transformados com a utilização da plataforma oferecida pela SGD/ME (Plataforma de Cidadania Digital) normalmente são entregues no prazo.”
O ponto de atenção, portanto, é mesmo a segurança. Para o TCU, “tal fato decorre da conhecida baixa maturidade em gestão de riscos existente em grande parte das organizações públicas, situação que vem sendo revelada sucessivamente pelo Tribunal por meio de seus levantamentos ao longo de anos”. A conclusão, no porém, é de que não adianta mais uma norma sobre o assunto.
“Não será a edição de mais um normativo que irá assegurar a adoção da prática, sendo necessário reforçar e divulgar boas práticas, promover treinamentos, checklists, entre outros instrumentos, que incentivem os responsáveis a tomar ciência, identificar e bem gerir os riscos existentes”, completou o relator.
Uma questão de fundo adicional levantada pelo TCU é a necessidade de o governo federal envidar esforços para a ampliação da conectividade no país, parte inseparável de qualquer estratégia de transformação digital. Mas o Acórdão centra fogo na gestão de riscos e faz recomendações ao governo:
1) estabeleça um modelo padrão de gestão de riscos para ser usado pelos órgãos do Sisp nos esforços de transformação digital dos seus serviços públicos, que estabeleça, pelo menos, as atividades de identificação, avaliação, tratamento e monitoramento dos riscos referentes à transformação digital dos serviços públicos, bem como a necessidade da definição das responsabilidades pela mitigação de riscos, a exemplo do disposto na IN – SGD/ME 1/2019 e na IN – Seges 5/2017;
2) promova a identificação dos principais riscos comuns aos quais os esforços de transformação digital comumente estão expostos, inclusive os riscos de ataque cibernético, por meio de interação com o Gabinete de Segurança Institucional da Presidência da República, e os comunique às organizações públicas que promovam iniciativas de transformação digital e induza que esses riscos sejam avaliados em cada plano de transformação digital a ser aprovado;
3) promova ações de capacitação e de conscientização sobre gestão de riscos junto aos servidores da Secretaria Especial de Modernização do Estado da Secretaria-Geral da Presidência da República e da Secretaria de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia envolvidos na execução e na governança da transformação digital, bem como aos servidores dos órgãos que disponham de planos de transformação digital em curso ou planejados, com o objetivo de estabelecer cultura de gestão de riscos no âmbito da transformação digital;
4) recomendar à Casa Civil da Presidência da República (…) que intensifique as ações para promover a educação digital dos cidadãos e para aprimorar a infraestrutura de telecomunicações de forma a reduzir os impactos decorrentes do aumento da desigualdade digital e a favorecer maior aproveitamento da digitalização dos serviços públicos, consoante os objetivos expressos na Estratégia Brasileira para a Transformação Digital.”