Upload
others
View
16
Download
0
Embed Size (px)
Citation preview
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
1
AUDITORIA INTEGRADA
RELATOacuteRIO PREacuteVIO DE AUDITORIA
Processo nordm 409318-e
Avaliaccedilatildeo dos recursos de TIC empregados no suporte ao aprendizado
dos alunos da rede puacuteblica de ensino e dos mecanismos de seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar
Brasiacutelia 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
2
Resumo Executivo
A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
Cabe destacar que o uso da TIC pode contribuir no processo de
ensino-aprendizagem razatildeo pela qual a SEEDF deve assegurar os recursos
necessaacuterios de apoio educacional ao processo de informatizaccedilatildeo das escolas (link de
dados laboratoacuterios computadores softwares educativos suporte teacutecnico e sistemas
informatizados de apoio escolar)
Nesse sentido foram realizadas visitas in loco agraves escolas puacuteblicas do
DF de forma a verificar o uso de recursos de TIC disponibilizados bem como a
infraestrutura instalada
Aleacutem disso a execuccedilatildeo dos Contratos nos 192013 (fornecimento de
circuito de dados) 632011 e 232017 (Telefonia) e 062016 (suporte teacutecnico) foi
verificada bem como no que concerne agraves praacuteticas de seguranccedila da informaccedilatildeo
adotadas pela SEEDF o sistema i-Educar (software de gestatildeo escolar) e o SIGEP
(software de gestatildeo de pessoas com a finalidade de auxiliar nas accedilotildees de gestatildeo dos
profissionais da educaccedilatildeo nos acircmbitos das unidades escolares e administrativas da
SEEDF) foram avaliados
O que o Tribunal buscou avaliar
A fiscalizaccedilatildeo teve como objetivo geral verificar a regularidade da
execuccedilatildeo contratual dos principais fornecedores de TIC os recursos de TIC
empregados no suporte ao aprendizado do aluno e a integridade confidencialidade e
disponibilidade das informaccedilotildees dos sistemas de gestatildeo escolar Para alcanccedilar esse
objetivo foram propostas 03 questotildees de auditoria
1 Os contratos que envolvem TIC satildeo executados em conformidade
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
3
com a legislaccedilatildeo
2 O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares
e satildeo utilizados regularmente pelos alunos
3 As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
O que o Tribunal encontrou
Os trabalhos desenvolvidos resultaram nos seguintes achados
1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas
unidades educacionais - Natildeo houve o fiel cumprimento do contrato entre as partes
ocasionando o corte dos serviccedilos pela contratada por falta de pagamento
2 - Elevado iacutendice de atendimento presencial relativo agrave execuccedilatildeo do Contrato
nordm 062016 ndash a ausecircncia de monitoramento dos serviccedilos prestados natildeo permite
identificar as razotildees do elevado nuacutemero de ocorrecircncias de escalonamento de
atendimento para o niacutevel presencial
3 - Parque de computadores dos laboratoacuterios de informaacutetica obsoleto - a falta
de renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de informaacutetica das
escolas puacuteblicas do DF compromete a utilizaccedilatildeo do laboratoacuterio e o uso de novas
tecnologias pelo aluno no processo ensino-aprendizagem
4 - Baixa velocidade do link de acesso agrave Internet disponibilizado nos laboratoacuterios
de informaacutetica das unidades escolares puacuteblicas do DF ndash A velocidade meacutedia de
acesso agrave Internet disponibilizada de 1 Mbps1 nos laboratoacuterios de informaacutetica natildeo
permite o uso dos computadores pelos alunos de forma eficiente
5 - Baixo niacutevel de maturidade na implementaccedilatildeo de gestatildeo de seguranccedila da
informaccedilatildeo - a falta de gestatildeo de seguranccedila da informaccedilatildeo compromete a
confidencialidade integridade e disponibilidade das informaccedilotildees
6 - Capacidade insuficiente de a SEEDF atender agraves demandas do sistema i-
Educar ndash o excesso de demandas acumuladas demonstra que a SEEDF possui
1 Taxa de transferecircncia (em megabit por segundo ndash Mbps) usualmente utilizada para medir a velocidade da Internet
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
4
limitaccedilotildees para realizar a manutenccedilatildeo do sistema i-Educar
Quais foram as proposiccedilotildees formuladas pela equipe de auditoria
Entre as proposiccedilotildees formuladas registram-se
a) recomendar agrave Secretaria de Estado de Educaccedilatildeo do DF ndash
SEEDF que
a1) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilo) de forma a evitar o escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL
ndash gestatildeo de incidentes e COBIT DS8
a2) estabeleccedila mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados nos termos do art 20
da IN 042014-SLTIMPOG
a3) adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de
forma a fomentar o uso dos recursos tecnoloacutegicos para
melhoria do fluxo escolar e da aprendizagem (metaestrateacutegia
712 do PNE) intensificando por exemplo o uso de recursos
do Proinfo e celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para
cessatildeo de equipamentos
a4) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09)
b) determinar agrave Secretaria de Estado de Educaccedilatildeo do DF ndash SEEDF
que
b1) implemente accedilotildees de contingecircncia eficazes e a meacutedio
prazo realize processo licitatoacuterio com a finalidade de prover o
acesso agrave Internet para utilizaccedilatildeo dos sistemas de apoio escolar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
5
considerando a ineficiecircncia do PDAF como opccedilatildeo de
contingecircncia nos termos do inciso VII da IN SLTI nordm 042014
b2) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b3) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos sistemas criacuteticos de
forma a assegurar niacuteveis de risco aceitaacuteveis nos termos das
normas ABNT ISO 27001 e ABNT ISO 27005
b4) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
b5) elabore e faccedila uso de termo que cientifiquem os usuaacuterios
dos sistemas de suas responsabilidades e obrigaccedilotildees e
indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
b6) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila do
COBIT 50)
b7) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e SIGEP com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma a padronizar a gestatildeo administrativa de
pessoal operando com a gestatildeo de acesso de sistemas aos
servidores da SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
6
Quais os benefiacutecios esperados com a atuaccedilatildeo do Tribunal
Espera-se com a adoccedilatildeo das medidas propostas pelo Tribunal
impulsionar a gestatildeo de tecnologia da informaccedilatildeo e comunicaccedilatildeo da SEEDF a fim de
que as seguintes condiccedilotildees sejam satisfeitas
a) garantir a disponibilidade de acesso agrave Internet para uso dos
sistemas de apoio escolar pelas unidades escolares
b) melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk e
economia de recursos puacuteblicos
c) utilizaccedilatildeo plena do laboratoacuterio de informaacutetica das unidades
escolares com a ampliaccedilatildeo da velocidade meacutedia de acesso agrave
Internet e a renovaccedilatildeo do parque de computadores
d) estiacutemulo ao aluno com o uso de novas tecnologias no processo
ensino-aprendizagem
e) diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
f) atendimento tempestivo das demandas do sistema i-Educar
g) melhoria da gestatildeo de seguranccedila da informaccedilatildeo de recursos de
pessoas e de projetos educacionais pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
7
Sumaacuterio
1 Introduccedilatildeo 8 11 Apresentaccedilatildeo 8
12 Identificaccedilatildeo do Objeto 8 13 Contextualizaccedilatildeo 8 131 Fiscalizaccedilotildees Anteriores 10 14 Objetivos 10
141 Objetivo Geral 10
142 Objetivos Especiacuteficos 11
15 Escopo 11
16 Montante Fiscalizado 11
17 Metodologia 12 18 Criteacuterios de auditoria 12 19 Avaliaccedilatildeo de Controle Interno 13
2 Resultados da Auditoria 15 21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em conformidade
com a legislaccedilatildeo e com as boas praacuteticas de TI 15
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades educacionais 15
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo do Contrato nordm 062016 19
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo utilizados regularmente pelos alunos 25
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica obsoleto 25
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF 32
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis 37
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo 37
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do Sistema i-Educar 54
3 Conclusatildeo 57
4 Proposiccedilotildees 58
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
8
1 Introduccedilatildeo
11 Apresentaccedilatildeo
1 Trata-se de Auditoria Integrada realizada na Secretaria de Estado de
Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018
2 A execuccedilatildeo da presente auditoria compreendeu o periacuteodo de 26 de
abril a 25 junho de 2018
12 Identificaccedilatildeo do Objeto
3 A presente auditoria tem como objeto os principais recursos de
tecnologia da informaccedilatildeo e comunicaccedilatildeo - TIC (ativos serviccedilos e sistemas de
informaccedilatildeo) disponibilizados pela SEEDF no suporte ao ensino educacional do DF a
seguranccedila da informaccedilatildeo dos sistemas de gestatildeo escolar e de apoio educacional e a
execuccedilatildeo dos principais contratos de TIC da Secretaria de Estado de Educaccedilatildeo do
Distrito Federal ndash SEEDF
13 Contextualizaccedilatildeo
4 A tecnologia da informaccedilatildeo (TI) estaacute se tornando um instrumento de
intenso uso pela sociedade e pode contribuir como ferramenta de apoio agraves atividades
de ensino
5 A Lei de Diretrizes e Bases da Educaccedilatildeo Nacional (LDB) Lei nordm
939496 estabeleceu como dever do Estado a progressiva extensatildeo da
obrigatoriedade do Ensino Meacutedio De acordo com a nova LDB o Ensino Meacutedio sendo
parte da educaccedilatildeo escolar ldquodeveraacute vincular-se ao mundo do trabalho e agrave praacutetica
socialrdquo (Art1ordm sect2ordm da Lei nordm 939496) Dessa forma a perspectiva legal eacute de integrar
duas dimensotildees diferenciadas a do conhecimento e a da praacutetica
6 Nesse diapasatildeo o papel da TI na educaccedilatildeo passa necessariamente
da utilizaccedilatildeo baacutesica de recursos tecnoloacutegicos (internet planilhas eletrocircnicas editores
de textos) por estudantes do ensino baacutesico fundamental e meacutedio ateacute a funccedilatildeo da
informaacutetica no auxiacutelio agrave pesquisa e agrave produccedilatildeo de novos conhecimentos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
9
7 Segundo estudos2 as condiccedilotildees de infraestrutura e de equipamentos
de apoio didaacutetico satildeo fatores importantes para a melhoria da aprendizagem sendo
inclusive objeto de diagnoacutestico perioacutedico realizado pelo Censo Escolar coordenado
pelo Ministeacuterio da Educaccedilatildeo ndash MEC
8 Destaca-se que o uso da TI pode contribuir para incrementar a
aprendizagem notadamente quando aliada agrave disponibilizaccedilatildeo de laboratoacuterio de
informaacutetica para o estudante
9 A tecnologia da informaccedilatildeo integrada agrave proposta pedagoacutegica estaacute
contemplada na estrateacutegia 712 tecnologias educacionais3 do Plano Nacional de
Educaccedilatildeo (PNE4) Essa estrateacutegia preconiza o uso dos recursos tecnoloacutegicos para
melhoria do fluxo escolar e da aprendizagem para a Educaccedilatildeo Infantil Ensino
Fundamental e Meacutedio
10 No acircmbito federal foi criado o ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo por meio da PortariaMEC nordm 522 de 090497 com a
finalidade de disseminar o uso pedagoacutegico das tecnologias de informaacutetica e
telecomunicaccedilotildees nas escolas puacuteblicas de ensino fundamental e meacutedio pertencentes
agraves redes estadual e municipal
11 O programa leva agraves escolas puacuteblicas computadores recursos digitais
e conteuacutedos educacionais Em contrapartida estados Distrito Federal e municiacutepios
devem garantir a estrutura adequada para receber os laboratoacuterios e capacitar os
educadores para uso das maacutequinas e tecnologias
12 Aleacutem disso o FNDE ndash Fundo Nacional de Desenvolvimento da
Educaccedilatildeo por meio do Programa Banda Larga nas Escolas (PBLE5) prevecirc o
2 Arquivo associado ao processo (TI_na_Educacao_01pdf e TI_na_Educacao02pdf) ou DA_PT_19 e DA_PT_20
3 httpwwwobservatoriodopneorgbrmetas-pne7-aprendizado-adequado-fluxo-adequadoestrategias7-12-tecnologias-educacionais (Acesso em 12092018)
4 O PNE - Plano Nacional de Educaccedilatildeo Lei nordm 130052014 determina diretrizes metas e estrateacutegias para a poliacutetica educacional dos proacuteximos dez anos
5 PBLE - Programa Banda Larga nas Escolas (PBLE) foi lanccedilado em 4 de abril de 2008 pelo governo federal por meio do Decreto 6424 que altera o Plano Geral de Metas para a Universalizaccedilatildeo do Serviccedilo Telefocircnico Fixo Comutado Prestado no Regime Puacuteblico (PGMU) Fazem parte do programa as operadoras Telefocircnica CTBC Sercomtel e OiBrt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
10
atendimentoacesso agrave Internet para as escolas puacuteblicas urbanas considerando as
informaccedilotildees do censo da educaccedilatildeo baacutesica
13 No caso em tela a SEEDF deve assegurar os recursos necessaacuterios
de apoio educacional ao processo de informatizaccedilatildeo das escolas (acesso agrave internet
equipamentos softwares educativos suporte teacutecnico e sistemas informatizados de
apoio escolar)
14 Cabe registrar o uso do sistema i-Educar6 na gestatildeo escolar do DF
desde 2014 tornando necessaacuterio que a SEEDF assegure a confidencialidade
integridade e disponibilidade das informaccedilotildees geradas pelo sistema
15 Desta forma torna-se fundamental o aperfeiccediloamento do uso das
tecnologias da informaccedilatildeo tanto no processo educacional por parte dos alunos quanto
no processo de gestatildeo por parte da SEEDF
131 Fiscalizaccedilotildees Anteriores
16 Fiscalizaccedilotildees anteriores apontam para a necessidade de melhoria no
processo de manutenccedilatildeo e desenvolvimento de softwares utilizados no apoio da
gestatildeo educacional a exemplo de recomendaccedilotildees preteacuteritas desta Corte no acircmbito
dos processos nos 11302014 (Gestatildeo de profissionais de magisteacuterio) 89202015
(Programa de alimentaccedilatildeo escolar) 1432013 (Accedilotildees governamentais no Ensino
Meacutedio) e 886615 (Efetivaccedilatildeo de Matriacutecula)
14 Objetivos
141 Objetivo Geral
17 Verificar a regularidade da execuccedilatildeo contratual dos principais
fornecedores de TIC os recursos de TIC empregados no suporte ao aprendizado do
aluno e a integridade confidencialidade e disponibilidade das informaccedilotildees dos
sistemas de gestatildeo escolar
6 A principal finalidade do software eacute informatizar a gestatildeo das informaccedilotildees educacionais contribuindo
com a racionalizaccedilatildeo do trabalho No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema para escrituraccedilatildeo acadecircmica em todas as unidades escolares
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
11
142 Objetivos Especiacuteficos
18 Em funccedilatildeo do objetivo geral da Auditoria foram definidas as seguintes
questotildees
Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
Questatildeo 2 - O uso dos recursos de TIC para fins educacionais
foram suficientemente disponibilizados pela SEEDF agraves unidades
escolares e satildeo utilizados regularmente pelos alunos
Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo
escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis
15 Escopo
19 Foram analisados os seguintes contratos que envolvem TIC com
vigecircncia no exerciacutecio de 2017 para verificaccedilatildeo da regularidade da execuccedilatildeo
Tabela 1 Contrataccedilatildeo de TIC pela SEEDF
Empresas
Fornecedor
ServiccedilosContratos Valor Pago (R$)
OI SA Telefonia Contratos nordms 632011 e 232017 108634494
OI SA Circuito de Dados MPLS Contrato nordm 192013 132000000
STEFANINI SA Desenvolvimento e Manutenccedilatildeo de TI Contrato nordm 062016
201148802
Fonte SIGGO
20 Ainda foram avaliados os sistemas de informaccedilatildeo de apoio agrave gestatildeo
escolar da Secretaria de Estado de Educaccedilatildeo do DF (i-Educar SIGEP) no tocante agrave
disponibilidade integridade e confidencialidade das informaccedilotildees bem como os
recursos de TIC empregados na aprendizagem do aluno a exemplo de computadores
internet softwares entre outros
16 Montante Fiscalizado7
21 No uacuteltimo exerciacutecio (2017) considerando as maiores despesas com
7 Tendo em conta a inexistecircncia de Programa de Trabalho especiacutefico natildeo consta do montante examinado os gastos com gestatildeo dos recursos de TIC empregados no suporte ao aprendizado tampouco com a Seguranccedila da Informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
12
empresas prestadoras de serviccedilos de tecnologia da informaccedilatildeo foi empenhado o
montante de R$ 709636553 (sete milhotildees noventa e seis mil trezentos e sessenta
e cinco reais e cinquenta e trecircs centavos) conforme demonstrativo abaixo
Tabela 2 Anaacutelise da Extensatildeo dos Testes de Auditoria
Fonte SIGGO
17 Metodologia
22 Os procedimentos e teacutecnicas utilizadas na execuccedilatildeo da presente
auditoria encontram-se registrados na Matriz de Planejamento
23 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins pedagoacutegicos definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares Assim selecionou-se aleatoriamente as escolas
a serem visitadas dentro da populaccedilatildeo-alvo levando-se em conta as escolas que
possuem laboratoacuterios de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash
DRESEDF agrave qual se encontra vinculada com a finalidade de assegurar que a amostra
selecionada fosse representativa Nesse sentido visitou-se 31 escolas8
representando 5 de cada Regional de Ensino do DF
18 Criteacuterios de auditoria
24 Os criteacuterios de regularidade utilizados na presente auditoria foram
extraiacutedos da Instruccedilatildeo Normativa nordm 042014-SLTIMPOG principal normativo que
8 DA_PT_22 - Escolas visitadas e DA_26 - Parque dos computadores das escolas visitadas
CNPJ Empresa Valor Empenhado (R$)
4759978000192 AZ TECNOLOGIA LTDA 8237500
76535764032690 OI SA 140500076
76535764000143 OI SA 170583100
5423963000111 OI SA 51333400
21262834000145 IDTCORP COMERCIO E TECNOLOGIA DA INFORMACcedilAtildeO EIRELI 6950000
21748841000151 TECNETWORKING SERVICcedilOS E SOLUCcedilOtildeES EM TI LTDA -ME 5535420
58069360000120 STEFANINI SA 326497057
709636553TOTAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
13
rege a contrataccedilatildeo de bens e serviccedilos puacuteblicos de tecnologia da informaccedilatildeo
recepcionada no Distrito Federal pelo Decreto nordm 346672016 bem como da Lei
nordm 866693 (artigos 66 ao 76)
25 As melhores praacuteticas foram extraiacutedas dos modelos COBIT 59 e NBR
ISOIEC 270021310
19 Avaliaccedilatildeo de Controle Interno
26 Para o estabelecimento do Risco Inerente levou-se em consideraccedilatildeo a
materialidade dos valores envolvidos na Fiscalizaccedilatildeo (sect 19)
27 Considerando esse criteacuterio e de acordo com o Manual de Auditoria do
TCDF o Risco Inerente do objeto da Fiscalizaccedilatildeo pode ser considerado ldquoBaixordquo
28 O Risco de Controle ficou situado no niacutevel ldquoFracordquo em razatildeo da
avaliaccedilatildeo dos controles internos relacionados ao objeto da auditoria considerando o
questionaacuterio de governanccedilagestatildeo respondido pela jurisdicionada (Processo TCDF
nordm 1016117) no qual a jurisdicionada conforme graacutefico abaixo alcanccedilou indicadores
abaixo da meacutedia das demais instituiccedilotildees pesquisadas no GDF nas seguintes
dimensotildees
a Resultados de TI para a sociedade
b Processos de Trabalho relevantes da unidade de TIC
c Processo de Contrataccedilatildeo de TIC
d Governanccedila e Planejamento Institucional e de TIC
9 COBIT eacute um modelo de governanccedila e gestatildeo de TI mantido pelo ISACA com a finalidade de apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma loacutegica e estruturada tendo como foco o relacionamento entre os objetivos de negoacutecio com os objetivos de TI
10 Padratildeo para sistema de gestatildeo da seguranccedila da informaccedilatildeo (ISMS - Information Security Management System) elaborada para prover um modelo para estabelecer implementar operar monitorar analisar criticamente manter e melhorar um Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
14
Graacutefico 1
Governanccedila de TIC GDF ndash 2017
Fonte Relatoacuterio de Auditoria de Governanccedila ndash Processo nordm 1016117
000 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Governanccedila e Planejamento Institutcional e de TIC
Processo de Contrataccedilatildeo de TIC
Processos de Trabalho Relevantes
Resultados de TI
Transparecircncia e Prestaccedilatildeo de Contas
i-GOV DF 2017
Dimensotildees i-Gov DF 2017
SEEDF Meacutedio
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
15
2 Resultados da Auditoria
21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
No trabalho realizado verificou-se a regular execuccedilatildeo dos Contratos nos 632011 e
232017 (Telefonia) e do Contrato nordm 062016 (infraestrutura de TI) ao passo que no
Contrato nordm 192013 (enlace de comunicaccedilatildeo de dados) houve a interrupccedilatildeo pela
empresa contratada do fornecimento dos serviccedilos no exerciacutecio de 2017 em razatildeo da
falta de pagamentos de deacutebitos preteacuteritos Em relaccedilatildeo ao Contrato nordm 062016
(infraestrutura de TI) observou-se elevado iacutendice de atendimento presencial em
comparaccedilatildeo ao remoto
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de
dados nas unidades educacionais
Criteacuterios
29 O art 66 da Lei 866693 dispotildee que o contrato deveraacute ser executado
fielmente pelas partes de acordo com as claacuteusulas avenccediladas e as normas desta Lei
respondendo cada uma pelas consequecircncias de sua inexecuccedilatildeo total ou parcial
Anaacutelises e Evidecircncias
30 O Contrato nordm 19201311 firmado entre a SEEDF e a empresa OI SA em
01032013 teve como objeto o fornecimento e implantaccedilatildeo de soluccedilatildeo global de
comunicaccedilatildeo de dados IPMPLS em rede privada para as unidades administrativas e
instituiccedilotildees de ensino da SEEDF com valor anual contratado de R$ 579868992 nos
termos do Processo nordm 0800069182012
31 Segundo informaccedilotildees do executor do contrato encaminhadas por meio
de despacho agrave Coordenaccedilatildeo de Informaacutetica da SEEDF12 a partir de 16052017 a
empresa suspendeu gradativamente o fornecimento dos serviccedilos culminando com o
desligamento total dos circuitos de dados em 27072017 em virtude da falta de
11 Arquivo associado ao processo (Contrato 192013 - Link de Dadospdf) ou DA_28
12 Arquivo associado ao processo (Documento do Executor do contrato 192013pdf) ou DA_PT_29
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
2
Resumo Executivo
A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
Cabe destacar que o uso da TIC pode contribuir no processo de
ensino-aprendizagem razatildeo pela qual a SEEDF deve assegurar os recursos
necessaacuterios de apoio educacional ao processo de informatizaccedilatildeo das escolas (link de
dados laboratoacuterios computadores softwares educativos suporte teacutecnico e sistemas
informatizados de apoio escolar)
Nesse sentido foram realizadas visitas in loco agraves escolas puacuteblicas do
DF de forma a verificar o uso de recursos de TIC disponibilizados bem como a
infraestrutura instalada
Aleacutem disso a execuccedilatildeo dos Contratos nos 192013 (fornecimento de
circuito de dados) 632011 e 232017 (Telefonia) e 062016 (suporte teacutecnico) foi
verificada bem como no que concerne agraves praacuteticas de seguranccedila da informaccedilatildeo
adotadas pela SEEDF o sistema i-Educar (software de gestatildeo escolar) e o SIGEP
(software de gestatildeo de pessoas com a finalidade de auxiliar nas accedilotildees de gestatildeo dos
profissionais da educaccedilatildeo nos acircmbitos das unidades escolares e administrativas da
SEEDF) foram avaliados
O que o Tribunal buscou avaliar
A fiscalizaccedilatildeo teve como objetivo geral verificar a regularidade da
execuccedilatildeo contratual dos principais fornecedores de TIC os recursos de TIC
empregados no suporte ao aprendizado do aluno e a integridade confidencialidade e
disponibilidade das informaccedilotildees dos sistemas de gestatildeo escolar Para alcanccedilar esse
objetivo foram propostas 03 questotildees de auditoria
1 Os contratos que envolvem TIC satildeo executados em conformidade
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
3
com a legislaccedilatildeo
2 O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares
e satildeo utilizados regularmente pelos alunos
3 As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
O que o Tribunal encontrou
Os trabalhos desenvolvidos resultaram nos seguintes achados
1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas
unidades educacionais - Natildeo houve o fiel cumprimento do contrato entre as partes
ocasionando o corte dos serviccedilos pela contratada por falta de pagamento
2 - Elevado iacutendice de atendimento presencial relativo agrave execuccedilatildeo do Contrato
nordm 062016 ndash a ausecircncia de monitoramento dos serviccedilos prestados natildeo permite
identificar as razotildees do elevado nuacutemero de ocorrecircncias de escalonamento de
atendimento para o niacutevel presencial
3 - Parque de computadores dos laboratoacuterios de informaacutetica obsoleto - a falta
de renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de informaacutetica das
escolas puacuteblicas do DF compromete a utilizaccedilatildeo do laboratoacuterio e o uso de novas
tecnologias pelo aluno no processo ensino-aprendizagem
4 - Baixa velocidade do link de acesso agrave Internet disponibilizado nos laboratoacuterios
de informaacutetica das unidades escolares puacuteblicas do DF ndash A velocidade meacutedia de
acesso agrave Internet disponibilizada de 1 Mbps1 nos laboratoacuterios de informaacutetica natildeo
permite o uso dos computadores pelos alunos de forma eficiente
5 - Baixo niacutevel de maturidade na implementaccedilatildeo de gestatildeo de seguranccedila da
informaccedilatildeo - a falta de gestatildeo de seguranccedila da informaccedilatildeo compromete a
confidencialidade integridade e disponibilidade das informaccedilotildees
6 - Capacidade insuficiente de a SEEDF atender agraves demandas do sistema i-
Educar ndash o excesso de demandas acumuladas demonstra que a SEEDF possui
1 Taxa de transferecircncia (em megabit por segundo ndash Mbps) usualmente utilizada para medir a velocidade da Internet
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
4
limitaccedilotildees para realizar a manutenccedilatildeo do sistema i-Educar
Quais foram as proposiccedilotildees formuladas pela equipe de auditoria
Entre as proposiccedilotildees formuladas registram-se
a) recomendar agrave Secretaria de Estado de Educaccedilatildeo do DF ndash
SEEDF que
a1) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilo) de forma a evitar o escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL
ndash gestatildeo de incidentes e COBIT DS8
a2) estabeleccedila mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados nos termos do art 20
da IN 042014-SLTIMPOG
a3) adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de
forma a fomentar o uso dos recursos tecnoloacutegicos para
melhoria do fluxo escolar e da aprendizagem (metaestrateacutegia
712 do PNE) intensificando por exemplo o uso de recursos
do Proinfo e celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para
cessatildeo de equipamentos
a4) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09)
b) determinar agrave Secretaria de Estado de Educaccedilatildeo do DF ndash SEEDF
que
b1) implemente accedilotildees de contingecircncia eficazes e a meacutedio
prazo realize processo licitatoacuterio com a finalidade de prover o
acesso agrave Internet para utilizaccedilatildeo dos sistemas de apoio escolar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
5
considerando a ineficiecircncia do PDAF como opccedilatildeo de
contingecircncia nos termos do inciso VII da IN SLTI nordm 042014
b2) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b3) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos sistemas criacuteticos de
forma a assegurar niacuteveis de risco aceitaacuteveis nos termos das
normas ABNT ISO 27001 e ABNT ISO 27005
b4) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
b5) elabore e faccedila uso de termo que cientifiquem os usuaacuterios
dos sistemas de suas responsabilidades e obrigaccedilotildees e
indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
b6) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila do
COBIT 50)
b7) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e SIGEP com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma a padronizar a gestatildeo administrativa de
pessoal operando com a gestatildeo de acesso de sistemas aos
servidores da SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
6
Quais os benefiacutecios esperados com a atuaccedilatildeo do Tribunal
Espera-se com a adoccedilatildeo das medidas propostas pelo Tribunal
impulsionar a gestatildeo de tecnologia da informaccedilatildeo e comunicaccedilatildeo da SEEDF a fim de
que as seguintes condiccedilotildees sejam satisfeitas
a) garantir a disponibilidade de acesso agrave Internet para uso dos
sistemas de apoio escolar pelas unidades escolares
b) melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk e
economia de recursos puacuteblicos
c) utilizaccedilatildeo plena do laboratoacuterio de informaacutetica das unidades
escolares com a ampliaccedilatildeo da velocidade meacutedia de acesso agrave
Internet e a renovaccedilatildeo do parque de computadores
d) estiacutemulo ao aluno com o uso de novas tecnologias no processo
ensino-aprendizagem
e) diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
f) atendimento tempestivo das demandas do sistema i-Educar
g) melhoria da gestatildeo de seguranccedila da informaccedilatildeo de recursos de
pessoas e de projetos educacionais pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
7
Sumaacuterio
1 Introduccedilatildeo 8 11 Apresentaccedilatildeo 8
12 Identificaccedilatildeo do Objeto 8 13 Contextualizaccedilatildeo 8 131 Fiscalizaccedilotildees Anteriores 10 14 Objetivos 10
141 Objetivo Geral 10
142 Objetivos Especiacuteficos 11
15 Escopo 11
16 Montante Fiscalizado 11
17 Metodologia 12 18 Criteacuterios de auditoria 12 19 Avaliaccedilatildeo de Controle Interno 13
2 Resultados da Auditoria 15 21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em conformidade
com a legislaccedilatildeo e com as boas praacuteticas de TI 15
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades educacionais 15
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo do Contrato nordm 062016 19
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo utilizados regularmente pelos alunos 25
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica obsoleto 25
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF 32
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis 37
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo 37
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do Sistema i-Educar 54
3 Conclusatildeo 57
4 Proposiccedilotildees 58
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
8
1 Introduccedilatildeo
11 Apresentaccedilatildeo
1 Trata-se de Auditoria Integrada realizada na Secretaria de Estado de
Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018
2 A execuccedilatildeo da presente auditoria compreendeu o periacuteodo de 26 de
abril a 25 junho de 2018
12 Identificaccedilatildeo do Objeto
3 A presente auditoria tem como objeto os principais recursos de
tecnologia da informaccedilatildeo e comunicaccedilatildeo - TIC (ativos serviccedilos e sistemas de
informaccedilatildeo) disponibilizados pela SEEDF no suporte ao ensino educacional do DF a
seguranccedila da informaccedilatildeo dos sistemas de gestatildeo escolar e de apoio educacional e a
execuccedilatildeo dos principais contratos de TIC da Secretaria de Estado de Educaccedilatildeo do
Distrito Federal ndash SEEDF
13 Contextualizaccedilatildeo
4 A tecnologia da informaccedilatildeo (TI) estaacute se tornando um instrumento de
intenso uso pela sociedade e pode contribuir como ferramenta de apoio agraves atividades
de ensino
5 A Lei de Diretrizes e Bases da Educaccedilatildeo Nacional (LDB) Lei nordm
939496 estabeleceu como dever do Estado a progressiva extensatildeo da
obrigatoriedade do Ensino Meacutedio De acordo com a nova LDB o Ensino Meacutedio sendo
parte da educaccedilatildeo escolar ldquodeveraacute vincular-se ao mundo do trabalho e agrave praacutetica
socialrdquo (Art1ordm sect2ordm da Lei nordm 939496) Dessa forma a perspectiva legal eacute de integrar
duas dimensotildees diferenciadas a do conhecimento e a da praacutetica
6 Nesse diapasatildeo o papel da TI na educaccedilatildeo passa necessariamente
da utilizaccedilatildeo baacutesica de recursos tecnoloacutegicos (internet planilhas eletrocircnicas editores
de textos) por estudantes do ensino baacutesico fundamental e meacutedio ateacute a funccedilatildeo da
informaacutetica no auxiacutelio agrave pesquisa e agrave produccedilatildeo de novos conhecimentos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
9
7 Segundo estudos2 as condiccedilotildees de infraestrutura e de equipamentos
de apoio didaacutetico satildeo fatores importantes para a melhoria da aprendizagem sendo
inclusive objeto de diagnoacutestico perioacutedico realizado pelo Censo Escolar coordenado
pelo Ministeacuterio da Educaccedilatildeo ndash MEC
8 Destaca-se que o uso da TI pode contribuir para incrementar a
aprendizagem notadamente quando aliada agrave disponibilizaccedilatildeo de laboratoacuterio de
informaacutetica para o estudante
9 A tecnologia da informaccedilatildeo integrada agrave proposta pedagoacutegica estaacute
contemplada na estrateacutegia 712 tecnologias educacionais3 do Plano Nacional de
Educaccedilatildeo (PNE4) Essa estrateacutegia preconiza o uso dos recursos tecnoloacutegicos para
melhoria do fluxo escolar e da aprendizagem para a Educaccedilatildeo Infantil Ensino
Fundamental e Meacutedio
10 No acircmbito federal foi criado o ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo por meio da PortariaMEC nordm 522 de 090497 com a
finalidade de disseminar o uso pedagoacutegico das tecnologias de informaacutetica e
telecomunicaccedilotildees nas escolas puacuteblicas de ensino fundamental e meacutedio pertencentes
agraves redes estadual e municipal
11 O programa leva agraves escolas puacuteblicas computadores recursos digitais
e conteuacutedos educacionais Em contrapartida estados Distrito Federal e municiacutepios
devem garantir a estrutura adequada para receber os laboratoacuterios e capacitar os
educadores para uso das maacutequinas e tecnologias
12 Aleacutem disso o FNDE ndash Fundo Nacional de Desenvolvimento da
Educaccedilatildeo por meio do Programa Banda Larga nas Escolas (PBLE5) prevecirc o
2 Arquivo associado ao processo (TI_na_Educacao_01pdf e TI_na_Educacao02pdf) ou DA_PT_19 e DA_PT_20
3 httpwwwobservatoriodopneorgbrmetas-pne7-aprendizado-adequado-fluxo-adequadoestrategias7-12-tecnologias-educacionais (Acesso em 12092018)
4 O PNE - Plano Nacional de Educaccedilatildeo Lei nordm 130052014 determina diretrizes metas e estrateacutegias para a poliacutetica educacional dos proacuteximos dez anos
5 PBLE - Programa Banda Larga nas Escolas (PBLE) foi lanccedilado em 4 de abril de 2008 pelo governo federal por meio do Decreto 6424 que altera o Plano Geral de Metas para a Universalizaccedilatildeo do Serviccedilo Telefocircnico Fixo Comutado Prestado no Regime Puacuteblico (PGMU) Fazem parte do programa as operadoras Telefocircnica CTBC Sercomtel e OiBrt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
10
atendimentoacesso agrave Internet para as escolas puacuteblicas urbanas considerando as
informaccedilotildees do censo da educaccedilatildeo baacutesica
13 No caso em tela a SEEDF deve assegurar os recursos necessaacuterios
de apoio educacional ao processo de informatizaccedilatildeo das escolas (acesso agrave internet
equipamentos softwares educativos suporte teacutecnico e sistemas informatizados de
apoio escolar)
14 Cabe registrar o uso do sistema i-Educar6 na gestatildeo escolar do DF
desde 2014 tornando necessaacuterio que a SEEDF assegure a confidencialidade
integridade e disponibilidade das informaccedilotildees geradas pelo sistema
15 Desta forma torna-se fundamental o aperfeiccediloamento do uso das
tecnologias da informaccedilatildeo tanto no processo educacional por parte dos alunos quanto
no processo de gestatildeo por parte da SEEDF
131 Fiscalizaccedilotildees Anteriores
16 Fiscalizaccedilotildees anteriores apontam para a necessidade de melhoria no
processo de manutenccedilatildeo e desenvolvimento de softwares utilizados no apoio da
gestatildeo educacional a exemplo de recomendaccedilotildees preteacuteritas desta Corte no acircmbito
dos processos nos 11302014 (Gestatildeo de profissionais de magisteacuterio) 89202015
(Programa de alimentaccedilatildeo escolar) 1432013 (Accedilotildees governamentais no Ensino
Meacutedio) e 886615 (Efetivaccedilatildeo de Matriacutecula)
14 Objetivos
141 Objetivo Geral
17 Verificar a regularidade da execuccedilatildeo contratual dos principais
fornecedores de TIC os recursos de TIC empregados no suporte ao aprendizado do
aluno e a integridade confidencialidade e disponibilidade das informaccedilotildees dos
sistemas de gestatildeo escolar
6 A principal finalidade do software eacute informatizar a gestatildeo das informaccedilotildees educacionais contribuindo
com a racionalizaccedilatildeo do trabalho No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema para escrituraccedilatildeo acadecircmica em todas as unidades escolares
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
11
142 Objetivos Especiacuteficos
18 Em funccedilatildeo do objetivo geral da Auditoria foram definidas as seguintes
questotildees
Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
Questatildeo 2 - O uso dos recursos de TIC para fins educacionais
foram suficientemente disponibilizados pela SEEDF agraves unidades
escolares e satildeo utilizados regularmente pelos alunos
Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo
escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis
15 Escopo
19 Foram analisados os seguintes contratos que envolvem TIC com
vigecircncia no exerciacutecio de 2017 para verificaccedilatildeo da regularidade da execuccedilatildeo
Tabela 1 Contrataccedilatildeo de TIC pela SEEDF
Empresas
Fornecedor
ServiccedilosContratos Valor Pago (R$)
OI SA Telefonia Contratos nordms 632011 e 232017 108634494
OI SA Circuito de Dados MPLS Contrato nordm 192013 132000000
STEFANINI SA Desenvolvimento e Manutenccedilatildeo de TI Contrato nordm 062016
201148802
Fonte SIGGO
20 Ainda foram avaliados os sistemas de informaccedilatildeo de apoio agrave gestatildeo
escolar da Secretaria de Estado de Educaccedilatildeo do DF (i-Educar SIGEP) no tocante agrave
disponibilidade integridade e confidencialidade das informaccedilotildees bem como os
recursos de TIC empregados na aprendizagem do aluno a exemplo de computadores
internet softwares entre outros
16 Montante Fiscalizado7
21 No uacuteltimo exerciacutecio (2017) considerando as maiores despesas com
7 Tendo em conta a inexistecircncia de Programa de Trabalho especiacutefico natildeo consta do montante examinado os gastos com gestatildeo dos recursos de TIC empregados no suporte ao aprendizado tampouco com a Seguranccedila da Informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
12
empresas prestadoras de serviccedilos de tecnologia da informaccedilatildeo foi empenhado o
montante de R$ 709636553 (sete milhotildees noventa e seis mil trezentos e sessenta
e cinco reais e cinquenta e trecircs centavos) conforme demonstrativo abaixo
Tabela 2 Anaacutelise da Extensatildeo dos Testes de Auditoria
Fonte SIGGO
17 Metodologia
22 Os procedimentos e teacutecnicas utilizadas na execuccedilatildeo da presente
auditoria encontram-se registrados na Matriz de Planejamento
23 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins pedagoacutegicos definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares Assim selecionou-se aleatoriamente as escolas
a serem visitadas dentro da populaccedilatildeo-alvo levando-se em conta as escolas que
possuem laboratoacuterios de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash
DRESEDF agrave qual se encontra vinculada com a finalidade de assegurar que a amostra
selecionada fosse representativa Nesse sentido visitou-se 31 escolas8
representando 5 de cada Regional de Ensino do DF
18 Criteacuterios de auditoria
24 Os criteacuterios de regularidade utilizados na presente auditoria foram
extraiacutedos da Instruccedilatildeo Normativa nordm 042014-SLTIMPOG principal normativo que
8 DA_PT_22 - Escolas visitadas e DA_26 - Parque dos computadores das escolas visitadas
CNPJ Empresa Valor Empenhado (R$)
4759978000192 AZ TECNOLOGIA LTDA 8237500
76535764032690 OI SA 140500076
76535764000143 OI SA 170583100
5423963000111 OI SA 51333400
21262834000145 IDTCORP COMERCIO E TECNOLOGIA DA INFORMACcedilAtildeO EIRELI 6950000
21748841000151 TECNETWORKING SERVICcedilOS E SOLUCcedilOtildeES EM TI LTDA -ME 5535420
58069360000120 STEFANINI SA 326497057
709636553TOTAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
13
rege a contrataccedilatildeo de bens e serviccedilos puacuteblicos de tecnologia da informaccedilatildeo
recepcionada no Distrito Federal pelo Decreto nordm 346672016 bem como da Lei
nordm 866693 (artigos 66 ao 76)
25 As melhores praacuteticas foram extraiacutedas dos modelos COBIT 59 e NBR
ISOIEC 270021310
19 Avaliaccedilatildeo de Controle Interno
26 Para o estabelecimento do Risco Inerente levou-se em consideraccedilatildeo a
materialidade dos valores envolvidos na Fiscalizaccedilatildeo (sect 19)
27 Considerando esse criteacuterio e de acordo com o Manual de Auditoria do
TCDF o Risco Inerente do objeto da Fiscalizaccedilatildeo pode ser considerado ldquoBaixordquo
28 O Risco de Controle ficou situado no niacutevel ldquoFracordquo em razatildeo da
avaliaccedilatildeo dos controles internos relacionados ao objeto da auditoria considerando o
questionaacuterio de governanccedilagestatildeo respondido pela jurisdicionada (Processo TCDF
nordm 1016117) no qual a jurisdicionada conforme graacutefico abaixo alcanccedilou indicadores
abaixo da meacutedia das demais instituiccedilotildees pesquisadas no GDF nas seguintes
dimensotildees
a Resultados de TI para a sociedade
b Processos de Trabalho relevantes da unidade de TIC
c Processo de Contrataccedilatildeo de TIC
d Governanccedila e Planejamento Institucional e de TIC
9 COBIT eacute um modelo de governanccedila e gestatildeo de TI mantido pelo ISACA com a finalidade de apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma loacutegica e estruturada tendo como foco o relacionamento entre os objetivos de negoacutecio com os objetivos de TI
10 Padratildeo para sistema de gestatildeo da seguranccedila da informaccedilatildeo (ISMS - Information Security Management System) elaborada para prover um modelo para estabelecer implementar operar monitorar analisar criticamente manter e melhorar um Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
14
Graacutefico 1
Governanccedila de TIC GDF ndash 2017
Fonte Relatoacuterio de Auditoria de Governanccedila ndash Processo nordm 1016117
000 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Governanccedila e Planejamento Institutcional e de TIC
Processo de Contrataccedilatildeo de TIC
Processos de Trabalho Relevantes
Resultados de TI
Transparecircncia e Prestaccedilatildeo de Contas
i-GOV DF 2017
Dimensotildees i-Gov DF 2017
SEEDF Meacutedio
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
15
2 Resultados da Auditoria
21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
No trabalho realizado verificou-se a regular execuccedilatildeo dos Contratos nos 632011 e
232017 (Telefonia) e do Contrato nordm 062016 (infraestrutura de TI) ao passo que no
Contrato nordm 192013 (enlace de comunicaccedilatildeo de dados) houve a interrupccedilatildeo pela
empresa contratada do fornecimento dos serviccedilos no exerciacutecio de 2017 em razatildeo da
falta de pagamentos de deacutebitos preteacuteritos Em relaccedilatildeo ao Contrato nordm 062016
(infraestrutura de TI) observou-se elevado iacutendice de atendimento presencial em
comparaccedilatildeo ao remoto
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de
dados nas unidades educacionais
Criteacuterios
29 O art 66 da Lei 866693 dispotildee que o contrato deveraacute ser executado
fielmente pelas partes de acordo com as claacuteusulas avenccediladas e as normas desta Lei
respondendo cada uma pelas consequecircncias de sua inexecuccedilatildeo total ou parcial
Anaacutelises e Evidecircncias
30 O Contrato nordm 19201311 firmado entre a SEEDF e a empresa OI SA em
01032013 teve como objeto o fornecimento e implantaccedilatildeo de soluccedilatildeo global de
comunicaccedilatildeo de dados IPMPLS em rede privada para as unidades administrativas e
instituiccedilotildees de ensino da SEEDF com valor anual contratado de R$ 579868992 nos
termos do Processo nordm 0800069182012
31 Segundo informaccedilotildees do executor do contrato encaminhadas por meio
de despacho agrave Coordenaccedilatildeo de Informaacutetica da SEEDF12 a partir de 16052017 a
empresa suspendeu gradativamente o fornecimento dos serviccedilos culminando com o
desligamento total dos circuitos de dados em 27072017 em virtude da falta de
11 Arquivo associado ao processo (Contrato 192013 - Link de Dadospdf) ou DA_28
12 Arquivo associado ao processo (Documento do Executor do contrato 192013pdf) ou DA_PT_29
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
3
com a legislaccedilatildeo
2 O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares
e satildeo utilizados regularmente pelos alunos
3 As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
O que o Tribunal encontrou
Os trabalhos desenvolvidos resultaram nos seguintes achados
1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas
unidades educacionais - Natildeo houve o fiel cumprimento do contrato entre as partes
ocasionando o corte dos serviccedilos pela contratada por falta de pagamento
2 - Elevado iacutendice de atendimento presencial relativo agrave execuccedilatildeo do Contrato
nordm 062016 ndash a ausecircncia de monitoramento dos serviccedilos prestados natildeo permite
identificar as razotildees do elevado nuacutemero de ocorrecircncias de escalonamento de
atendimento para o niacutevel presencial
3 - Parque de computadores dos laboratoacuterios de informaacutetica obsoleto - a falta
de renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de informaacutetica das
escolas puacuteblicas do DF compromete a utilizaccedilatildeo do laboratoacuterio e o uso de novas
tecnologias pelo aluno no processo ensino-aprendizagem
4 - Baixa velocidade do link de acesso agrave Internet disponibilizado nos laboratoacuterios
de informaacutetica das unidades escolares puacuteblicas do DF ndash A velocidade meacutedia de
acesso agrave Internet disponibilizada de 1 Mbps1 nos laboratoacuterios de informaacutetica natildeo
permite o uso dos computadores pelos alunos de forma eficiente
5 - Baixo niacutevel de maturidade na implementaccedilatildeo de gestatildeo de seguranccedila da
informaccedilatildeo - a falta de gestatildeo de seguranccedila da informaccedilatildeo compromete a
confidencialidade integridade e disponibilidade das informaccedilotildees
6 - Capacidade insuficiente de a SEEDF atender agraves demandas do sistema i-
Educar ndash o excesso de demandas acumuladas demonstra que a SEEDF possui
1 Taxa de transferecircncia (em megabit por segundo ndash Mbps) usualmente utilizada para medir a velocidade da Internet
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
4
limitaccedilotildees para realizar a manutenccedilatildeo do sistema i-Educar
Quais foram as proposiccedilotildees formuladas pela equipe de auditoria
Entre as proposiccedilotildees formuladas registram-se
a) recomendar agrave Secretaria de Estado de Educaccedilatildeo do DF ndash
SEEDF que
a1) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilo) de forma a evitar o escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL
ndash gestatildeo de incidentes e COBIT DS8
a2) estabeleccedila mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados nos termos do art 20
da IN 042014-SLTIMPOG
a3) adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de
forma a fomentar o uso dos recursos tecnoloacutegicos para
melhoria do fluxo escolar e da aprendizagem (metaestrateacutegia
712 do PNE) intensificando por exemplo o uso de recursos
do Proinfo e celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para
cessatildeo de equipamentos
a4) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09)
b) determinar agrave Secretaria de Estado de Educaccedilatildeo do DF ndash SEEDF
que
b1) implemente accedilotildees de contingecircncia eficazes e a meacutedio
prazo realize processo licitatoacuterio com a finalidade de prover o
acesso agrave Internet para utilizaccedilatildeo dos sistemas de apoio escolar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
5
considerando a ineficiecircncia do PDAF como opccedilatildeo de
contingecircncia nos termos do inciso VII da IN SLTI nordm 042014
b2) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b3) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos sistemas criacuteticos de
forma a assegurar niacuteveis de risco aceitaacuteveis nos termos das
normas ABNT ISO 27001 e ABNT ISO 27005
b4) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
b5) elabore e faccedila uso de termo que cientifiquem os usuaacuterios
dos sistemas de suas responsabilidades e obrigaccedilotildees e
indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
b6) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila do
COBIT 50)
b7) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e SIGEP com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma a padronizar a gestatildeo administrativa de
pessoal operando com a gestatildeo de acesso de sistemas aos
servidores da SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
6
Quais os benefiacutecios esperados com a atuaccedilatildeo do Tribunal
Espera-se com a adoccedilatildeo das medidas propostas pelo Tribunal
impulsionar a gestatildeo de tecnologia da informaccedilatildeo e comunicaccedilatildeo da SEEDF a fim de
que as seguintes condiccedilotildees sejam satisfeitas
a) garantir a disponibilidade de acesso agrave Internet para uso dos
sistemas de apoio escolar pelas unidades escolares
b) melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk e
economia de recursos puacuteblicos
c) utilizaccedilatildeo plena do laboratoacuterio de informaacutetica das unidades
escolares com a ampliaccedilatildeo da velocidade meacutedia de acesso agrave
Internet e a renovaccedilatildeo do parque de computadores
d) estiacutemulo ao aluno com o uso de novas tecnologias no processo
ensino-aprendizagem
e) diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
f) atendimento tempestivo das demandas do sistema i-Educar
g) melhoria da gestatildeo de seguranccedila da informaccedilatildeo de recursos de
pessoas e de projetos educacionais pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
7
Sumaacuterio
1 Introduccedilatildeo 8 11 Apresentaccedilatildeo 8
12 Identificaccedilatildeo do Objeto 8 13 Contextualizaccedilatildeo 8 131 Fiscalizaccedilotildees Anteriores 10 14 Objetivos 10
141 Objetivo Geral 10
142 Objetivos Especiacuteficos 11
15 Escopo 11
16 Montante Fiscalizado 11
17 Metodologia 12 18 Criteacuterios de auditoria 12 19 Avaliaccedilatildeo de Controle Interno 13
2 Resultados da Auditoria 15 21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em conformidade
com a legislaccedilatildeo e com as boas praacuteticas de TI 15
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades educacionais 15
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo do Contrato nordm 062016 19
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo utilizados regularmente pelos alunos 25
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica obsoleto 25
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF 32
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis 37
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo 37
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do Sistema i-Educar 54
3 Conclusatildeo 57
4 Proposiccedilotildees 58
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
8
1 Introduccedilatildeo
11 Apresentaccedilatildeo
1 Trata-se de Auditoria Integrada realizada na Secretaria de Estado de
Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018
2 A execuccedilatildeo da presente auditoria compreendeu o periacuteodo de 26 de
abril a 25 junho de 2018
12 Identificaccedilatildeo do Objeto
3 A presente auditoria tem como objeto os principais recursos de
tecnologia da informaccedilatildeo e comunicaccedilatildeo - TIC (ativos serviccedilos e sistemas de
informaccedilatildeo) disponibilizados pela SEEDF no suporte ao ensino educacional do DF a
seguranccedila da informaccedilatildeo dos sistemas de gestatildeo escolar e de apoio educacional e a
execuccedilatildeo dos principais contratos de TIC da Secretaria de Estado de Educaccedilatildeo do
Distrito Federal ndash SEEDF
13 Contextualizaccedilatildeo
4 A tecnologia da informaccedilatildeo (TI) estaacute se tornando um instrumento de
intenso uso pela sociedade e pode contribuir como ferramenta de apoio agraves atividades
de ensino
5 A Lei de Diretrizes e Bases da Educaccedilatildeo Nacional (LDB) Lei nordm
939496 estabeleceu como dever do Estado a progressiva extensatildeo da
obrigatoriedade do Ensino Meacutedio De acordo com a nova LDB o Ensino Meacutedio sendo
parte da educaccedilatildeo escolar ldquodeveraacute vincular-se ao mundo do trabalho e agrave praacutetica
socialrdquo (Art1ordm sect2ordm da Lei nordm 939496) Dessa forma a perspectiva legal eacute de integrar
duas dimensotildees diferenciadas a do conhecimento e a da praacutetica
6 Nesse diapasatildeo o papel da TI na educaccedilatildeo passa necessariamente
da utilizaccedilatildeo baacutesica de recursos tecnoloacutegicos (internet planilhas eletrocircnicas editores
de textos) por estudantes do ensino baacutesico fundamental e meacutedio ateacute a funccedilatildeo da
informaacutetica no auxiacutelio agrave pesquisa e agrave produccedilatildeo de novos conhecimentos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
9
7 Segundo estudos2 as condiccedilotildees de infraestrutura e de equipamentos
de apoio didaacutetico satildeo fatores importantes para a melhoria da aprendizagem sendo
inclusive objeto de diagnoacutestico perioacutedico realizado pelo Censo Escolar coordenado
pelo Ministeacuterio da Educaccedilatildeo ndash MEC
8 Destaca-se que o uso da TI pode contribuir para incrementar a
aprendizagem notadamente quando aliada agrave disponibilizaccedilatildeo de laboratoacuterio de
informaacutetica para o estudante
9 A tecnologia da informaccedilatildeo integrada agrave proposta pedagoacutegica estaacute
contemplada na estrateacutegia 712 tecnologias educacionais3 do Plano Nacional de
Educaccedilatildeo (PNE4) Essa estrateacutegia preconiza o uso dos recursos tecnoloacutegicos para
melhoria do fluxo escolar e da aprendizagem para a Educaccedilatildeo Infantil Ensino
Fundamental e Meacutedio
10 No acircmbito federal foi criado o ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo por meio da PortariaMEC nordm 522 de 090497 com a
finalidade de disseminar o uso pedagoacutegico das tecnologias de informaacutetica e
telecomunicaccedilotildees nas escolas puacuteblicas de ensino fundamental e meacutedio pertencentes
agraves redes estadual e municipal
11 O programa leva agraves escolas puacuteblicas computadores recursos digitais
e conteuacutedos educacionais Em contrapartida estados Distrito Federal e municiacutepios
devem garantir a estrutura adequada para receber os laboratoacuterios e capacitar os
educadores para uso das maacutequinas e tecnologias
12 Aleacutem disso o FNDE ndash Fundo Nacional de Desenvolvimento da
Educaccedilatildeo por meio do Programa Banda Larga nas Escolas (PBLE5) prevecirc o
2 Arquivo associado ao processo (TI_na_Educacao_01pdf e TI_na_Educacao02pdf) ou DA_PT_19 e DA_PT_20
3 httpwwwobservatoriodopneorgbrmetas-pne7-aprendizado-adequado-fluxo-adequadoestrategias7-12-tecnologias-educacionais (Acesso em 12092018)
4 O PNE - Plano Nacional de Educaccedilatildeo Lei nordm 130052014 determina diretrizes metas e estrateacutegias para a poliacutetica educacional dos proacuteximos dez anos
5 PBLE - Programa Banda Larga nas Escolas (PBLE) foi lanccedilado em 4 de abril de 2008 pelo governo federal por meio do Decreto 6424 que altera o Plano Geral de Metas para a Universalizaccedilatildeo do Serviccedilo Telefocircnico Fixo Comutado Prestado no Regime Puacuteblico (PGMU) Fazem parte do programa as operadoras Telefocircnica CTBC Sercomtel e OiBrt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
10
atendimentoacesso agrave Internet para as escolas puacuteblicas urbanas considerando as
informaccedilotildees do censo da educaccedilatildeo baacutesica
13 No caso em tela a SEEDF deve assegurar os recursos necessaacuterios
de apoio educacional ao processo de informatizaccedilatildeo das escolas (acesso agrave internet
equipamentos softwares educativos suporte teacutecnico e sistemas informatizados de
apoio escolar)
14 Cabe registrar o uso do sistema i-Educar6 na gestatildeo escolar do DF
desde 2014 tornando necessaacuterio que a SEEDF assegure a confidencialidade
integridade e disponibilidade das informaccedilotildees geradas pelo sistema
15 Desta forma torna-se fundamental o aperfeiccediloamento do uso das
tecnologias da informaccedilatildeo tanto no processo educacional por parte dos alunos quanto
no processo de gestatildeo por parte da SEEDF
131 Fiscalizaccedilotildees Anteriores
16 Fiscalizaccedilotildees anteriores apontam para a necessidade de melhoria no
processo de manutenccedilatildeo e desenvolvimento de softwares utilizados no apoio da
gestatildeo educacional a exemplo de recomendaccedilotildees preteacuteritas desta Corte no acircmbito
dos processos nos 11302014 (Gestatildeo de profissionais de magisteacuterio) 89202015
(Programa de alimentaccedilatildeo escolar) 1432013 (Accedilotildees governamentais no Ensino
Meacutedio) e 886615 (Efetivaccedilatildeo de Matriacutecula)
14 Objetivos
141 Objetivo Geral
17 Verificar a regularidade da execuccedilatildeo contratual dos principais
fornecedores de TIC os recursos de TIC empregados no suporte ao aprendizado do
aluno e a integridade confidencialidade e disponibilidade das informaccedilotildees dos
sistemas de gestatildeo escolar
6 A principal finalidade do software eacute informatizar a gestatildeo das informaccedilotildees educacionais contribuindo
com a racionalizaccedilatildeo do trabalho No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema para escrituraccedilatildeo acadecircmica em todas as unidades escolares
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
11
142 Objetivos Especiacuteficos
18 Em funccedilatildeo do objetivo geral da Auditoria foram definidas as seguintes
questotildees
Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
Questatildeo 2 - O uso dos recursos de TIC para fins educacionais
foram suficientemente disponibilizados pela SEEDF agraves unidades
escolares e satildeo utilizados regularmente pelos alunos
Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo
escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis
15 Escopo
19 Foram analisados os seguintes contratos que envolvem TIC com
vigecircncia no exerciacutecio de 2017 para verificaccedilatildeo da regularidade da execuccedilatildeo
Tabela 1 Contrataccedilatildeo de TIC pela SEEDF
Empresas
Fornecedor
ServiccedilosContratos Valor Pago (R$)
OI SA Telefonia Contratos nordms 632011 e 232017 108634494
OI SA Circuito de Dados MPLS Contrato nordm 192013 132000000
STEFANINI SA Desenvolvimento e Manutenccedilatildeo de TI Contrato nordm 062016
201148802
Fonte SIGGO
20 Ainda foram avaliados os sistemas de informaccedilatildeo de apoio agrave gestatildeo
escolar da Secretaria de Estado de Educaccedilatildeo do DF (i-Educar SIGEP) no tocante agrave
disponibilidade integridade e confidencialidade das informaccedilotildees bem como os
recursos de TIC empregados na aprendizagem do aluno a exemplo de computadores
internet softwares entre outros
16 Montante Fiscalizado7
21 No uacuteltimo exerciacutecio (2017) considerando as maiores despesas com
7 Tendo em conta a inexistecircncia de Programa de Trabalho especiacutefico natildeo consta do montante examinado os gastos com gestatildeo dos recursos de TIC empregados no suporte ao aprendizado tampouco com a Seguranccedila da Informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
12
empresas prestadoras de serviccedilos de tecnologia da informaccedilatildeo foi empenhado o
montante de R$ 709636553 (sete milhotildees noventa e seis mil trezentos e sessenta
e cinco reais e cinquenta e trecircs centavos) conforme demonstrativo abaixo
Tabela 2 Anaacutelise da Extensatildeo dos Testes de Auditoria
Fonte SIGGO
17 Metodologia
22 Os procedimentos e teacutecnicas utilizadas na execuccedilatildeo da presente
auditoria encontram-se registrados na Matriz de Planejamento
23 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins pedagoacutegicos definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares Assim selecionou-se aleatoriamente as escolas
a serem visitadas dentro da populaccedilatildeo-alvo levando-se em conta as escolas que
possuem laboratoacuterios de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash
DRESEDF agrave qual se encontra vinculada com a finalidade de assegurar que a amostra
selecionada fosse representativa Nesse sentido visitou-se 31 escolas8
representando 5 de cada Regional de Ensino do DF
18 Criteacuterios de auditoria
24 Os criteacuterios de regularidade utilizados na presente auditoria foram
extraiacutedos da Instruccedilatildeo Normativa nordm 042014-SLTIMPOG principal normativo que
8 DA_PT_22 - Escolas visitadas e DA_26 - Parque dos computadores das escolas visitadas
CNPJ Empresa Valor Empenhado (R$)
4759978000192 AZ TECNOLOGIA LTDA 8237500
76535764032690 OI SA 140500076
76535764000143 OI SA 170583100
5423963000111 OI SA 51333400
21262834000145 IDTCORP COMERCIO E TECNOLOGIA DA INFORMACcedilAtildeO EIRELI 6950000
21748841000151 TECNETWORKING SERVICcedilOS E SOLUCcedilOtildeES EM TI LTDA -ME 5535420
58069360000120 STEFANINI SA 326497057
709636553TOTAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
13
rege a contrataccedilatildeo de bens e serviccedilos puacuteblicos de tecnologia da informaccedilatildeo
recepcionada no Distrito Federal pelo Decreto nordm 346672016 bem como da Lei
nordm 866693 (artigos 66 ao 76)
25 As melhores praacuteticas foram extraiacutedas dos modelos COBIT 59 e NBR
ISOIEC 270021310
19 Avaliaccedilatildeo de Controle Interno
26 Para o estabelecimento do Risco Inerente levou-se em consideraccedilatildeo a
materialidade dos valores envolvidos na Fiscalizaccedilatildeo (sect 19)
27 Considerando esse criteacuterio e de acordo com o Manual de Auditoria do
TCDF o Risco Inerente do objeto da Fiscalizaccedilatildeo pode ser considerado ldquoBaixordquo
28 O Risco de Controle ficou situado no niacutevel ldquoFracordquo em razatildeo da
avaliaccedilatildeo dos controles internos relacionados ao objeto da auditoria considerando o
questionaacuterio de governanccedilagestatildeo respondido pela jurisdicionada (Processo TCDF
nordm 1016117) no qual a jurisdicionada conforme graacutefico abaixo alcanccedilou indicadores
abaixo da meacutedia das demais instituiccedilotildees pesquisadas no GDF nas seguintes
dimensotildees
a Resultados de TI para a sociedade
b Processos de Trabalho relevantes da unidade de TIC
c Processo de Contrataccedilatildeo de TIC
d Governanccedila e Planejamento Institucional e de TIC
9 COBIT eacute um modelo de governanccedila e gestatildeo de TI mantido pelo ISACA com a finalidade de apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma loacutegica e estruturada tendo como foco o relacionamento entre os objetivos de negoacutecio com os objetivos de TI
10 Padratildeo para sistema de gestatildeo da seguranccedila da informaccedilatildeo (ISMS - Information Security Management System) elaborada para prover um modelo para estabelecer implementar operar monitorar analisar criticamente manter e melhorar um Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
14
Graacutefico 1
Governanccedila de TIC GDF ndash 2017
Fonte Relatoacuterio de Auditoria de Governanccedila ndash Processo nordm 1016117
000 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Governanccedila e Planejamento Institutcional e de TIC
Processo de Contrataccedilatildeo de TIC
Processos de Trabalho Relevantes
Resultados de TI
Transparecircncia e Prestaccedilatildeo de Contas
i-GOV DF 2017
Dimensotildees i-Gov DF 2017
SEEDF Meacutedio
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
15
2 Resultados da Auditoria
21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
No trabalho realizado verificou-se a regular execuccedilatildeo dos Contratos nos 632011 e
232017 (Telefonia) e do Contrato nordm 062016 (infraestrutura de TI) ao passo que no
Contrato nordm 192013 (enlace de comunicaccedilatildeo de dados) houve a interrupccedilatildeo pela
empresa contratada do fornecimento dos serviccedilos no exerciacutecio de 2017 em razatildeo da
falta de pagamentos de deacutebitos preteacuteritos Em relaccedilatildeo ao Contrato nordm 062016
(infraestrutura de TI) observou-se elevado iacutendice de atendimento presencial em
comparaccedilatildeo ao remoto
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de
dados nas unidades educacionais
Criteacuterios
29 O art 66 da Lei 866693 dispotildee que o contrato deveraacute ser executado
fielmente pelas partes de acordo com as claacuteusulas avenccediladas e as normas desta Lei
respondendo cada uma pelas consequecircncias de sua inexecuccedilatildeo total ou parcial
Anaacutelises e Evidecircncias
30 O Contrato nordm 19201311 firmado entre a SEEDF e a empresa OI SA em
01032013 teve como objeto o fornecimento e implantaccedilatildeo de soluccedilatildeo global de
comunicaccedilatildeo de dados IPMPLS em rede privada para as unidades administrativas e
instituiccedilotildees de ensino da SEEDF com valor anual contratado de R$ 579868992 nos
termos do Processo nordm 0800069182012
31 Segundo informaccedilotildees do executor do contrato encaminhadas por meio
de despacho agrave Coordenaccedilatildeo de Informaacutetica da SEEDF12 a partir de 16052017 a
empresa suspendeu gradativamente o fornecimento dos serviccedilos culminando com o
desligamento total dos circuitos de dados em 27072017 em virtude da falta de
11 Arquivo associado ao processo (Contrato 192013 - Link de Dadospdf) ou DA_28
12 Arquivo associado ao processo (Documento do Executor do contrato 192013pdf) ou DA_PT_29
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
4
limitaccedilotildees para realizar a manutenccedilatildeo do sistema i-Educar
Quais foram as proposiccedilotildees formuladas pela equipe de auditoria
Entre as proposiccedilotildees formuladas registram-se
a) recomendar agrave Secretaria de Estado de Educaccedilatildeo do DF ndash
SEEDF que
a1) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilo) de forma a evitar o escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL
ndash gestatildeo de incidentes e COBIT DS8
a2) estabeleccedila mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados nos termos do art 20
da IN 042014-SLTIMPOG
a3) adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de
forma a fomentar o uso dos recursos tecnoloacutegicos para
melhoria do fluxo escolar e da aprendizagem (metaestrateacutegia
712 do PNE) intensificando por exemplo o uso de recursos
do Proinfo e celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para
cessatildeo de equipamentos
a4) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09)
b) determinar agrave Secretaria de Estado de Educaccedilatildeo do DF ndash SEEDF
que
b1) implemente accedilotildees de contingecircncia eficazes e a meacutedio
prazo realize processo licitatoacuterio com a finalidade de prover o
acesso agrave Internet para utilizaccedilatildeo dos sistemas de apoio escolar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
5
considerando a ineficiecircncia do PDAF como opccedilatildeo de
contingecircncia nos termos do inciso VII da IN SLTI nordm 042014
b2) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b3) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos sistemas criacuteticos de
forma a assegurar niacuteveis de risco aceitaacuteveis nos termos das
normas ABNT ISO 27001 e ABNT ISO 27005
b4) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
b5) elabore e faccedila uso de termo que cientifiquem os usuaacuterios
dos sistemas de suas responsabilidades e obrigaccedilotildees e
indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
b6) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila do
COBIT 50)
b7) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e SIGEP com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma a padronizar a gestatildeo administrativa de
pessoal operando com a gestatildeo de acesso de sistemas aos
servidores da SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
6
Quais os benefiacutecios esperados com a atuaccedilatildeo do Tribunal
Espera-se com a adoccedilatildeo das medidas propostas pelo Tribunal
impulsionar a gestatildeo de tecnologia da informaccedilatildeo e comunicaccedilatildeo da SEEDF a fim de
que as seguintes condiccedilotildees sejam satisfeitas
a) garantir a disponibilidade de acesso agrave Internet para uso dos
sistemas de apoio escolar pelas unidades escolares
b) melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk e
economia de recursos puacuteblicos
c) utilizaccedilatildeo plena do laboratoacuterio de informaacutetica das unidades
escolares com a ampliaccedilatildeo da velocidade meacutedia de acesso agrave
Internet e a renovaccedilatildeo do parque de computadores
d) estiacutemulo ao aluno com o uso de novas tecnologias no processo
ensino-aprendizagem
e) diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
f) atendimento tempestivo das demandas do sistema i-Educar
g) melhoria da gestatildeo de seguranccedila da informaccedilatildeo de recursos de
pessoas e de projetos educacionais pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
7
Sumaacuterio
1 Introduccedilatildeo 8 11 Apresentaccedilatildeo 8
12 Identificaccedilatildeo do Objeto 8 13 Contextualizaccedilatildeo 8 131 Fiscalizaccedilotildees Anteriores 10 14 Objetivos 10
141 Objetivo Geral 10
142 Objetivos Especiacuteficos 11
15 Escopo 11
16 Montante Fiscalizado 11
17 Metodologia 12 18 Criteacuterios de auditoria 12 19 Avaliaccedilatildeo de Controle Interno 13
2 Resultados da Auditoria 15 21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em conformidade
com a legislaccedilatildeo e com as boas praacuteticas de TI 15
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades educacionais 15
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo do Contrato nordm 062016 19
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo utilizados regularmente pelos alunos 25
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica obsoleto 25
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF 32
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis 37
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo 37
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do Sistema i-Educar 54
3 Conclusatildeo 57
4 Proposiccedilotildees 58
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
8
1 Introduccedilatildeo
11 Apresentaccedilatildeo
1 Trata-se de Auditoria Integrada realizada na Secretaria de Estado de
Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018
2 A execuccedilatildeo da presente auditoria compreendeu o periacuteodo de 26 de
abril a 25 junho de 2018
12 Identificaccedilatildeo do Objeto
3 A presente auditoria tem como objeto os principais recursos de
tecnologia da informaccedilatildeo e comunicaccedilatildeo - TIC (ativos serviccedilos e sistemas de
informaccedilatildeo) disponibilizados pela SEEDF no suporte ao ensino educacional do DF a
seguranccedila da informaccedilatildeo dos sistemas de gestatildeo escolar e de apoio educacional e a
execuccedilatildeo dos principais contratos de TIC da Secretaria de Estado de Educaccedilatildeo do
Distrito Federal ndash SEEDF
13 Contextualizaccedilatildeo
4 A tecnologia da informaccedilatildeo (TI) estaacute se tornando um instrumento de
intenso uso pela sociedade e pode contribuir como ferramenta de apoio agraves atividades
de ensino
5 A Lei de Diretrizes e Bases da Educaccedilatildeo Nacional (LDB) Lei nordm
939496 estabeleceu como dever do Estado a progressiva extensatildeo da
obrigatoriedade do Ensino Meacutedio De acordo com a nova LDB o Ensino Meacutedio sendo
parte da educaccedilatildeo escolar ldquodeveraacute vincular-se ao mundo do trabalho e agrave praacutetica
socialrdquo (Art1ordm sect2ordm da Lei nordm 939496) Dessa forma a perspectiva legal eacute de integrar
duas dimensotildees diferenciadas a do conhecimento e a da praacutetica
6 Nesse diapasatildeo o papel da TI na educaccedilatildeo passa necessariamente
da utilizaccedilatildeo baacutesica de recursos tecnoloacutegicos (internet planilhas eletrocircnicas editores
de textos) por estudantes do ensino baacutesico fundamental e meacutedio ateacute a funccedilatildeo da
informaacutetica no auxiacutelio agrave pesquisa e agrave produccedilatildeo de novos conhecimentos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
9
7 Segundo estudos2 as condiccedilotildees de infraestrutura e de equipamentos
de apoio didaacutetico satildeo fatores importantes para a melhoria da aprendizagem sendo
inclusive objeto de diagnoacutestico perioacutedico realizado pelo Censo Escolar coordenado
pelo Ministeacuterio da Educaccedilatildeo ndash MEC
8 Destaca-se que o uso da TI pode contribuir para incrementar a
aprendizagem notadamente quando aliada agrave disponibilizaccedilatildeo de laboratoacuterio de
informaacutetica para o estudante
9 A tecnologia da informaccedilatildeo integrada agrave proposta pedagoacutegica estaacute
contemplada na estrateacutegia 712 tecnologias educacionais3 do Plano Nacional de
Educaccedilatildeo (PNE4) Essa estrateacutegia preconiza o uso dos recursos tecnoloacutegicos para
melhoria do fluxo escolar e da aprendizagem para a Educaccedilatildeo Infantil Ensino
Fundamental e Meacutedio
10 No acircmbito federal foi criado o ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo por meio da PortariaMEC nordm 522 de 090497 com a
finalidade de disseminar o uso pedagoacutegico das tecnologias de informaacutetica e
telecomunicaccedilotildees nas escolas puacuteblicas de ensino fundamental e meacutedio pertencentes
agraves redes estadual e municipal
11 O programa leva agraves escolas puacuteblicas computadores recursos digitais
e conteuacutedos educacionais Em contrapartida estados Distrito Federal e municiacutepios
devem garantir a estrutura adequada para receber os laboratoacuterios e capacitar os
educadores para uso das maacutequinas e tecnologias
12 Aleacutem disso o FNDE ndash Fundo Nacional de Desenvolvimento da
Educaccedilatildeo por meio do Programa Banda Larga nas Escolas (PBLE5) prevecirc o
2 Arquivo associado ao processo (TI_na_Educacao_01pdf e TI_na_Educacao02pdf) ou DA_PT_19 e DA_PT_20
3 httpwwwobservatoriodopneorgbrmetas-pne7-aprendizado-adequado-fluxo-adequadoestrategias7-12-tecnologias-educacionais (Acesso em 12092018)
4 O PNE - Plano Nacional de Educaccedilatildeo Lei nordm 130052014 determina diretrizes metas e estrateacutegias para a poliacutetica educacional dos proacuteximos dez anos
5 PBLE - Programa Banda Larga nas Escolas (PBLE) foi lanccedilado em 4 de abril de 2008 pelo governo federal por meio do Decreto 6424 que altera o Plano Geral de Metas para a Universalizaccedilatildeo do Serviccedilo Telefocircnico Fixo Comutado Prestado no Regime Puacuteblico (PGMU) Fazem parte do programa as operadoras Telefocircnica CTBC Sercomtel e OiBrt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
10
atendimentoacesso agrave Internet para as escolas puacuteblicas urbanas considerando as
informaccedilotildees do censo da educaccedilatildeo baacutesica
13 No caso em tela a SEEDF deve assegurar os recursos necessaacuterios
de apoio educacional ao processo de informatizaccedilatildeo das escolas (acesso agrave internet
equipamentos softwares educativos suporte teacutecnico e sistemas informatizados de
apoio escolar)
14 Cabe registrar o uso do sistema i-Educar6 na gestatildeo escolar do DF
desde 2014 tornando necessaacuterio que a SEEDF assegure a confidencialidade
integridade e disponibilidade das informaccedilotildees geradas pelo sistema
15 Desta forma torna-se fundamental o aperfeiccediloamento do uso das
tecnologias da informaccedilatildeo tanto no processo educacional por parte dos alunos quanto
no processo de gestatildeo por parte da SEEDF
131 Fiscalizaccedilotildees Anteriores
16 Fiscalizaccedilotildees anteriores apontam para a necessidade de melhoria no
processo de manutenccedilatildeo e desenvolvimento de softwares utilizados no apoio da
gestatildeo educacional a exemplo de recomendaccedilotildees preteacuteritas desta Corte no acircmbito
dos processos nos 11302014 (Gestatildeo de profissionais de magisteacuterio) 89202015
(Programa de alimentaccedilatildeo escolar) 1432013 (Accedilotildees governamentais no Ensino
Meacutedio) e 886615 (Efetivaccedilatildeo de Matriacutecula)
14 Objetivos
141 Objetivo Geral
17 Verificar a regularidade da execuccedilatildeo contratual dos principais
fornecedores de TIC os recursos de TIC empregados no suporte ao aprendizado do
aluno e a integridade confidencialidade e disponibilidade das informaccedilotildees dos
sistemas de gestatildeo escolar
6 A principal finalidade do software eacute informatizar a gestatildeo das informaccedilotildees educacionais contribuindo
com a racionalizaccedilatildeo do trabalho No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema para escrituraccedilatildeo acadecircmica em todas as unidades escolares
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
11
142 Objetivos Especiacuteficos
18 Em funccedilatildeo do objetivo geral da Auditoria foram definidas as seguintes
questotildees
Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
Questatildeo 2 - O uso dos recursos de TIC para fins educacionais
foram suficientemente disponibilizados pela SEEDF agraves unidades
escolares e satildeo utilizados regularmente pelos alunos
Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo
escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis
15 Escopo
19 Foram analisados os seguintes contratos que envolvem TIC com
vigecircncia no exerciacutecio de 2017 para verificaccedilatildeo da regularidade da execuccedilatildeo
Tabela 1 Contrataccedilatildeo de TIC pela SEEDF
Empresas
Fornecedor
ServiccedilosContratos Valor Pago (R$)
OI SA Telefonia Contratos nordms 632011 e 232017 108634494
OI SA Circuito de Dados MPLS Contrato nordm 192013 132000000
STEFANINI SA Desenvolvimento e Manutenccedilatildeo de TI Contrato nordm 062016
201148802
Fonte SIGGO
20 Ainda foram avaliados os sistemas de informaccedilatildeo de apoio agrave gestatildeo
escolar da Secretaria de Estado de Educaccedilatildeo do DF (i-Educar SIGEP) no tocante agrave
disponibilidade integridade e confidencialidade das informaccedilotildees bem como os
recursos de TIC empregados na aprendizagem do aluno a exemplo de computadores
internet softwares entre outros
16 Montante Fiscalizado7
21 No uacuteltimo exerciacutecio (2017) considerando as maiores despesas com
7 Tendo em conta a inexistecircncia de Programa de Trabalho especiacutefico natildeo consta do montante examinado os gastos com gestatildeo dos recursos de TIC empregados no suporte ao aprendizado tampouco com a Seguranccedila da Informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
12
empresas prestadoras de serviccedilos de tecnologia da informaccedilatildeo foi empenhado o
montante de R$ 709636553 (sete milhotildees noventa e seis mil trezentos e sessenta
e cinco reais e cinquenta e trecircs centavos) conforme demonstrativo abaixo
Tabela 2 Anaacutelise da Extensatildeo dos Testes de Auditoria
Fonte SIGGO
17 Metodologia
22 Os procedimentos e teacutecnicas utilizadas na execuccedilatildeo da presente
auditoria encontram-se registrados na Matriz de Planejamento
23 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins pedagoacutegicos definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares Assim selecionou-se aleatoriamente as escolas
a serem visitadas dentro da populaccedilatildeo-alvo levando-se em conta as escolas que
possuem laboratoacuterios de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash
DRESEDF agrave qual se encontra vinculada com a finalidade de assegurar que a amostra
selecionada fosse representativa Nesse sentido visitou-se 31 escolas8
representando 5 de cada Regional de Ensino do DF
18 Criteacuterios de auditoria
24 Os criteacuterios de regularidade utilizados na presente auditoria foram
extraiacutedos da Instruccedilatildeo Normativa nordm 042014-SLTIMPOG principal normativo que
8 DA_PT_22 - Escolas visitadas e DA_26 - Parque dos computadores das escolas visitadas
CNPJ Empresa Valor Empenhado (R$)
4759978000192 AZ TECNOLOGIA LTDA 8237500
76535764032690 OI SA 140500076
76535764000143 OI SA 170583100
5423963000111 OI SA 51333400
21262834000145 IDTCORP COMERCIO E TECNOLOGIA DA INFORMACcedilAtildeO EIRELI 6950000
21748841000151 TECNETWORKING SERVICcedilOS E SOLUCcedilOtildeES EM TI LTDA -ME 5535420
58069360000120 STEFANINI SA 326497057
709636553TOTAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
13
rege a contrataccedilatildeo de bens e serviccedilos puacuteblicos de tecnologia da informaccedilatildeo
recepcionada no Distrito Federal pelo Decreto nordm 346672016 bem como da Lei
nordm 866693 (artigos 66 ao 76)
25 As melhores praacuteticas foram extraiacutedas dos modelos COBIT 59 e NBR
ISOIEC 270021310
19 Avaliaccedilatildeo de Controle Interno
26 Para o estabelecimento do Risco Inerente levou-se em consideraccedilatildeo a
materialidade dos valores envolvidos na Fiscalizaccedilatildeo (sect 19)
27 Considerando esse criteacuterio e de acordo com o Manual de Auditoria do
TCDF o Risco Inerente do objeto da Fiscalizaccedilatildeo pode ser considerado ldquoBaixordquo
28 O Risco de Controle ficou situado no niacutevel ldquoFracordquo em razatildeo da
avaliaccedilatildeo dos controles internos relacionados ao objeto da auditoria considerando o
questionaacuterio de governanccedilagestatildeo respondido pela jurisdicionada (Processo TCDF
nordm 1016117) no qual a jurisdicionada conforme graacutefico abaixo alcanccedilou indicadores
abaixo da meacutedia das demais instituiccedilotildees pesquisadas no GDF nas seguintes
dimensotildees
a Resultados de TI para a sociedade
b Processos de Trabalho relevantes da unidade de TIC
c Processo de Contrataccedilatildeo de TIC
d Governanccedila e Planejamento Institucional e de TIC
9 COBIT eacute um modelo de governanccedila e gestatildeo de TI mantido pelo ISACA com a finalidade de apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma loacutegica e estruturada tendo como foco o relacionamento entre os objetivos de negoacutecio com os objetivos de TI
10 Padratildeo para sistema de gestatildeo da seguranccedila da informaccedilatildeo (ISMS - Information Security Management System) elaborada para prover um modelo para estabelecer implementar operar monitorar analisar criticamente manter e melhorar um Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
14
Graacutefico 1
Governanccedila de TIC GDF ndash 2017
Fonte Relatoacuterio de Auditoria de Governanccedila ndash Processo nordm 1016117
000 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Governanccedila e Planejamento Institutcional e de TIC
Processo de Contrataccedilatildeo de TIC
Processos de Trabalho Relevantes
Resultados de TI
Transparecircncia e Prestaccedilatildeo de Contas
i-GOV DF 2017
Dimensotildees i-Gov DF 2017
SEEDF Meacutedio
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
15
2 Resultados da Auditoria
21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
No trabalho realizado verificou-se a regular execuccedilatildeo dos Contratos nos 632011 e
232017 (Telefonia) e do Contrato nordm 062016 (infraestrutura de TI) ao passo que no
Contrato nordm 192013 (enlace de comunicaccedilatildeo de dados) houve a interrupccedilatildeo pela
empresa contratada do fornecimento dos serviccedilos no exerciacutecio de 2017 em razatildeo da
falta de pagamentos de deacutebitos preteacuteritos Em relaccedilatildeo ao Contrato nordm 062016
(infraestrutura de TI) observou-se elevado iacutendice de atendimento presencial em
comparaccedilatildeo ao remoto
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de
dados nas unidades educacionais
Criteacuterios
29 O art 66 da Lei 866693 dispotildee que o contrato deveraacute ser executado
fielmente pelas partes de acordo com as claacuteusulas avenccediladas e as normas desta Lei
respondendo cada uma pelas consequecircncias de sua inexecuccedilatildeo total ou parcial
Anaacutelises e Evidecircncias
30 O Contrato nordm 19201311 firmado entre a SEEDF e a empresa OI SA em
01032013 teve como objeto o fornecimento e implantaccedilatildeo de soluccedilatildeo global de
comunicaccedilatildeo de dados IPMPLS em rede privada para as unidades administrativas e
instituiccedilotildees de ensino da SEEDF com valor anual contratado de R$ 579868992 nos
termos do Processo nordm 0800069182012
31 Segundo informaccedilotildees do executor do contrato encaminhadas por meio
de despacho agrave Coordenaccedilatildeo de Informaacutetica da SEEDF12 a partir de 16052017 a
empresa suspendeu gradativamente o fornecimento dos serviccedilos culminando com o
desligamento total dos circuitos de dados em 27072017 em virtude da falta de
11 Arquivo associado ao processo (Contrato 192013 - Link de Dadospdf) ou DA_28
12 Arquivo associado ao processo (Documento do Executor do contrato 192013pdf) ou DA_PT_29
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
5
considerando a ineficiecircncia do PDAF como opccedilatildeo de
contingecircncia nos termos do inciso VII da IN SLTI nordm 042014
b2) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b3) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos sistemas criacuteticos de
forma a assegurar niacuteveis de risco aceitaacuteveis nos termos das
normas ABNT ISO 27001 e ABNT ISO 27005
b4) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
b5) elabore e faccedila uso de termo que cientifiquem os usuaacuterios
dos sistemas de suas responsabilidades e obrigaccedilotildees e
indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
b6) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila do
COBIT 50)
b7) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e SIGEP com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma a padronizar a gestatildeo administrativa de
pessoal operando com a gestatildeo de acesso de sistemas aos
servidores da SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
6
Quais os benefiacutecios esperados com a atuaccedilatildeo do Tribunal
Espera-se com a adoccedilatildeo das medidas propostas pelo Tribunal
impulsionar a gestatildeo de tecnologia da informaccedilatildeo e comunicaccedilatildeo da SEEDF a fim de
que as seguintes condiccedilotildees sejam satisfeitas
a) garantir a disponibilidade de acesso agrave Internet para uso dos
sistemas de apoio escolar pelas unidades escolares
b) melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk e
economia de recursos puacuteblicos
c) utilizaccedilatildeo plena do laboratoacuterio de informaacutetica das unidades
escolares com a ampliaccedilatildeo da velocidade meacutedia de acesso agrave
Internet e a renovaccedilatildeo do parque de computadores
d) estiacutemulo ao aluno com o uso de novas tecnologias no processo
ensino-aprendizagem
e) diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
f) atendimento tempestivo das demandas do sistema i-Educar
g) melhoria da gestatildeo de seguranccedila da informaccedilatildeo de recursos de
pessoas e de projetos educacionais pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
7
Sumaacuterio
1 Introduccedilatildeo 8 11 Apresentaccedilatildeo 8
12 Identificaccedilatildeo do Objeto 8 13 Contextualizaccedilatildeo 8 131 Fiscalizaccedilotildees Anteriores 10 14 Objetivos 10
141 Objetivo Geral 10
142 Objetivos Especiacuteficos 11
15 Escopo 11
16 Montante Fiscalizado 11
17 Metodologia 12 18 Criteacuterios de auditoria 12 19 Avaliaccedilatildeo de Controle Interno 13
2 Resultados da Auditoria 15 21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em conformidade
com a legislaccedilatildeo e com as boas praacuteticas de TI 15
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades educacionais 15
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo do Contrato nordm 062016 19
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo utilizados regularmente pelos alunos 25
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica obsoleto 25
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF 32
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis 37
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo 37
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do Sistema i-Educar 54
3 Conclusatildeo 57
4 Proposiccedilotildees 58
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
8
1 Introduccedilatildeo
11 Apresentaccedilatildeo
1 Trata-se de Auditoria Integrada realizada na Secretaria de Estado de
Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018
2 A execuccedilatildeo da presente auditoria compreendeu o periacuteodo de 26 de
abril a 25 junho de 2018
12 Identificaccedilatildeo do Objeto
3 A presente auditoria tem como objeto os principais recursos de
tecnologia da informaccedilatildeo e comunicaccedilatildeo - TIC (ativos serviccedilos e sistemas de
informaccedilatildeo) disponibilizados pela SEEDF no suporte ao ensino educacional do DF a
seguranccedila da informaccedilatildeo dos sistemas de gestatildeo escolar e de apoio educacional e a
execuccedilatildeo dos principais contratos de TIC da Secretaria de Estado de Educaccedilatildeo do
Distrito Federal ndash SEEDF
13 Contextualizaccedilatildeo
4 A tecnologia da informaccedilatildeo (TI) estaacute se tornando um instrumento de
intenso uso pela sociedade e pode contribuir como ferramenta de apoio agraves atividades
de ensino
5 A Lei de Diretrizes e Bases da Educaccedilatildeo Nacional (LDB) Lei nordm
939496 estabeleceu como dever do Estado a progressiva extensatildeo da
obrigatoriedade do Ensino Meacutedio De acordo com a nova LDB o Ensino Meacutedio sendo
parte da educaccedilatildeo escolar ldquodeveraacute vincular-se ao mundo do trabalho e agrave praacutetica
socialrdquo (Art1ordm sect2ordm da Lei nordm 939496) Dessa forma a perspectiva legal eacute de integrar
duas dimensotildees diferenciadas a do conhecimento e a da praacutetica
6 Nesse diapasatildeo o papel da TI na educaccedilatildeo passa necessariamente
da utilizaccedilatildeo baacutesica de recursos tecnoloacutegicos (internet planilhas eletrocircnicas editores
de textos) por estudantes do ensino baacutesico fundamental e meacutedio ateacute a funccedilatildeo da
informaacutetica no auxiacutelio agrave pesquisa e agrave produccedilatildeo de novos conhecimentos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
9
7 Segundo estudos2 as condiccedilotildees de infraestrutura e de equipamentos
de apoio didaacutetico satildeo fatores importantes para a melhoria da aprendizagem sendo
inclusive objeto de diagnoacutestico perioacutedico realizado pelo Censo Escolar coordenado
pelo Ministeacuterio da Educaccedilatildeo ndash MEC
8 Destaca-se que o uso da TI pode contribuir para incrementar a
aprendizagem notadamente quando aliada agrave disponibilizaccedilatildeo de laboratoacuterio de
informaacutetica para o estudante
9 A tecnologia da informaccedilatildeo integrada agrave proposta pedagoacutegica estaacute
contemplada na estrateacutegia 712 tecnologias educacionais3 do Plano Nacional de
Educaccedilatildeo (PNE4) Essa estrateacutegia preconiza o uso dos recursos tecnoloacutegicos para
melhoria do fluxo escolar e da aprendizagem para a Educaccedilatildeo Infantil Ensino
Fundamental e Meacutedio
10 No acircmbito federal foi criado o ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo por meio da PortariaMEC nordm 522 de 090497 com a
finalidade de disseminar o uso pedagoacutegico das tecnologias de informaacutetica e
telecomunicaccedilotildees nas escolas puacuteblicas de ensino fundamental e meacutedio pertencentes
agraves redes estadual e municipal
11 O programa leva agraves escolas puacuteblicas computadores recursos digitais
e conteuacutedos educacionais Em contrapartida estados Distrito Federal e municiacutepios
devem garantir a estrutura adequada para receber os laboratoacuterios e capacitar os
educadores para uso das maacutequinas e tecnologias
12 Aleacutem disso o FNDE ndash Fundo Nacional de Desenvolvimento da
Educaccedilatildeo por meio do Programa Banda Larga nas Escolas (PBLE5) prevecirc o
2 Arquivo associado ao processo (TI_na_Educacao_01pdf e TI_na_Educacao02pdf) ou DA_PT_19 e DA_PT_20
3 httpwwwobservatoriodopneorgbrmetas-pne7-aprendizado-adequado-fluxo-adequadoestrategias7-12-tecnologias-educacionais (Acesso em 12092018)
4 O PNE - Plano Nacional de Educaccedilatildeo Lei nordm 130052014 determina diretrizes metas e estrateacutegias para a poliacutetica educacional dos proacuteximos dez anos
5 PBLE - Programa Banda Larga nas Escolas (PBLE) foi lanccedilado em 4 de abril de 2008 pelo governo federal por meio do Decreto 6424 que altera o Plano Geral de Metas para a Universalizaccedilatildeo do Serviccedilo Telefocircnico Fixo Comutado Prestado no Regime Puacuteblico (PGMU) Fazem parte do programa as operadoras Telefocircnica CTBC Sercomtel e OiBrt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
10
atendimentoacesso agrave Internet para as escolas puacuteblicas urbanas considerando as
informaccedilotildees do censo da educaccedilatildeo baacutesica
13 No caso em tela a SEEDF deve assegurar os recursos necessaacuterios
de apoio educacional ao processo de informatizaccedilatildeo das escolas (acesso agrave internet
equipamentos softwares educativos suporte teacutecnico e sistemas informatizados de
apoio escolar)
14 Cabe registrar o uso do sistema i-Educar6 na gestatildeo escolar do DF
desde 2014 tornando necessaacuterio que a SEEDF assegure a confidencialidade
integridade e disponibilidade das informaccedilotildees geradas pelo sistema
15 Desta forma torna-se fundamental o aperfeiccediloamento do uso das
tecnologias da informaccedilatildeo tanto no processo educacional por parte dos alunos quanto
no processo de gestatildeo por parte da SEEDF
131 Fiscalizaccedilotildees Anteriores
16 Fiscalizaccedilotildees anteriores apontam para a necessidade de melhoria no
processo de manutenccedilatildeo e desenvolvimento de softwares utilizados no apoio da
gestatildeo educacional a exemplo de recomendaccedilotildees preteacuteritas desta Corte no acircmbito
dos processos nos 11302014 (Gestatildeo de profissionais de magisteacuterio) 89202015
(Programa de alimentaccedilatildeo escolar) 1432013 (Accedilotildees governamentais no Ensino
Meacutedio) e 886615 (Efetivaccedilatildeo de Matriacutecula)
14 Objetivos
141 Objetivo Geral
17 Verificar a regularidade da execuccedilatildeo contratual dos principais
fornecedores de TIC os recursos de TIC empregados no suporte ao aprendizado do
aluno e a integridade confidencialidade e disponibilidade das informaccedilotildees dos
sistemas de gestatildeo escolar
6 A principal finalidade do software eacute informatizar a gestatildeo das informaccedilotildees educacionais contribuindo
com a racionalizaccedilatildeo do trabalho No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema para escrituraccedilatildeo acadecircmica em todas as unidades escolares
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
11
142 Objetivos Especiacuteficos
18 Em funccedilatildeo do objetivo geral da Auditoria foram definidas as seguintes
questotildees
Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
Questatildeo 2 - O uso dos recursos de TIC para fins educacionais
foram suficientemente disponibilizados pela SEEDF agraves unidades
escolares e satildeo utilizados regularmente pelos alunos
Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo
escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis
15 Escopo
19 Foram analisados os seguintes contratos que envolvem TIC com
vigecircncia no exerciacutecio de 2017 para verificaccedilatildeo da regularidade da execuccedilatildeo
Tabela 1 Contrataccedilatildeo de TIC pela SEEDF
Empresas
Fornecedor
ServiccedilosContratos Valor Pago (R$)
OI SA Telefonia Contratos nordms 632011 e 232017 108634494
OI SA Circuito de Dados MPLS Contrato nordm 192013 132000000
STEFANINI SA Desenvolvimento e Manutenccedilatildeo de TI Contrato nordm 062016
201148802
Fonte SIGGO
20 Ainda foram avaliados os sistemas de informaccedilatildeo de apoio agrave gestatildeo
escolar da Secretaria de Estado de Educaccedilatildeo do DF (i-Educar SIGEP) no tocante agrave
disponibilidade integridade e confidencialidade das informaccedilotildees bem como os
recursos de TIC empregados na aprendizagem do aluno a exemplo de computadores
internet softwares entre outros
16 Montante Fiscalizado7
21 No uacuteltimo exerciacutecio (2017) considerando as maiores despesas com
7 Tendo em conta a inexistecircncia de Programa de Trabalho especiacutefico natildeo consta do montante examinado os gastos com gestatildeo dos recursos de TIC empregados no suporte ao aprendizado tampouco com a Seguranccedila da Informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
12
empresas prestadoras de serviccedilos de tecnologia da informaccedilatildeo foi empenhado o
montante de R$ 709636553 (sete milhotildees noventa e seis mil trezentos e sessenta
e cinco reais e cinquenta e trecircs centavos) conforme demonstrativo abaixo
Tabela 2 Anaacutelise da Extensatildeo dos Testes de Auditoria
Fonte SIGGO
17 Metodologia
22 Os procedimentos e teacutecnicas utilizadas na execuccedilatildeo da presente
auditoria encontram-se registrados na Matriz de Planejamento
23 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins pedagoacutegicos definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares Assim selecionou-se aleatoriamente as escolas
a serem visitadas dentro da populaccedilatildeo-alvo levando-se em conta as escolas que
possuem laboratoacuterios de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash
DRESEDF agrave qual se encontra vinculada com a finalidade de assegurar que a amostra
selecionada fosse representativa Nesse sentido visitou-se 31 escolas8
representando 5 de cada Regional de Ensino do DF
18 Criteacuterios de auditoria
24 Os criteacuterios de regularidade utilizados na presente auditoria foram
extraiacutedos da Instruccedilatildeo Normativa nordm 042014-SLTIMPOG principal normativo que
8 DA_PT_22 - Escolas visitadas e DA_26 - Parque dos computadores das escolas visitadas
CNPJ Empresa Valor Empenhado (R$)
4759978000192 AZ TECNOLOGIA LTDA 8237500
76535764032690 OI SA 140500076
76535764000143 OI SA 170583100
5423963000111 OI SA 51333400
21262834000145 IDTCORP COMERCIO E TECNOLOGIA DA INFORMACcedilAtildeO EIRELI 6950000
21748841000151 TECNETWORKING SERVICcedilOS E SOLUCcedilOtildeES EM TI LTDA -ME 5535420
58069360000120 STEFANINI SA 326497057
709636553TOTAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
13
rege a contrataccedilatildeo de bens e serviccedilos puacuteblicos de tecnologia da informaccedilatildeo
recepcionada no Distrito Federal pelo Decreto nordm 346672016 bem como da Lei
nordm 866693 (artigos 66 ao 76)
25 As melhores praacuteticas foram extraiacutedas dos modelos COBIT 59 e NBR
ISOIEC 270021310
19 Avaliaccedilatildeo de Controle Interno
26 Para o estabelecimento do Risco Inerente levou-se em consideraccedilatildeo a
materialidade dos valores envolvidos na Fiscalizaccedilatildeo (sect 19)
27 Considerando esse criteacuterio e de acordo com o Manual de Auditoria do
TCDF o Risco Inerente do objeto da Fiscalizaccedilatildeo pode ser considerado ldquoBaixordquo
28 O Risco de Controle ficou situado no niacutevel ldquoFracordquo em razatildeo da
avaliaccedilatildeo dos controles internos relacionados ao objeto da auditoria considerando o
questionaacuterio de governanccedilagestatildeo respondido pela jurisdicionada (Processo TCDF
nordm 1016117) no qual a jurisdicionada conforme graacutefico abaixo alcanccedilou indicadores
abaixo da meacutedia das demais instituiccedilotildees pesquisadas no GDF nas seguintes
dimensotildees
a Resultados de TI para a sociedade
b Processos de Trabalho relevantes da unidade de TIC
c Processo de Contrataccedilatildeo de TIC
d Governanccedila e Planejamento Institucional e de TIC
9 COBIT eacute um modelo de governanccedila e gestatildeo de TI mantido pelo ISACA com a finalidade de apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma loacutegica e estruturada tendo como foco o relacionamento entre os objetivos de negoacutecio com os objetivos de TI
10 Padratildeo para sistema de gestatildeo da seguranccedila da informaccedilatildeo (ISMS - Information Security Management System) elaborada para prover um modelo para estabelecer implementar operar monitorar analisar criticamente manter e melhorar um Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
14
Graacutefico 1
Governanccedila de TIC GDF ndash 2017
Fonte Relatoacuterio de Auditoria de Governanccedila ndash Processo nordm 1016117
000 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Governanccedila e Planejamento Institutcional e de TIC
Processo de Contrataccedilatildeo de TIC
Processos de Trabalho Relevantes
Resultados de TI
Transparecircncia e Prestaccedilatildeo de Contas
i-GOV DF 2017
Dimensotildees i-Gov DF 2017
SEEDF Meacutedio
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
15
2 Resultados da Auditoria
21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
No trabalho realizado verificou-se a regular execuccedilatildeo dos Contratos nos 632011 e
232017 (Telefonia) e do Contrato nordm 062016 (infraestrutura de TI) ao passo que no
Contrato nordm 192013 (enlace de comunicaccedilatildeo de dados) houve a interrupccedilatildeo pela
empresa contratada do fornecimento dos serviccedilos no exerciacutecio de 2017 em razatildeo da
falta de pagamentos de deacutebitos preteacuteritos Em relaccedilatildeo ao Contrato nordm 062016
(infraestrutura de TI) observou-se elevado iacutendice de atendimento presencial em
comparaccedilatildeo ao remoto
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de
dados nas unidades educacionais
Criteacuterios
29 O art 66 da Lei 866693 dispotildee que o contrato deveraacute ser executado
fielmente pelas partes de acordo com as claacuteusulas avenccediladas e as normas desta Lei
respondendo cada uma pelas consequecircncias de sua inexecuccedilatildeo total ou parcial
Anaacutelises e Evidecircncias
30 O Contrato nordm 19201311 firmado entre a SEEDF e a empresa OI SA em
01032013 teve como objeto o fornecimento e implantaccedilatildeo de soluccedilatildeo global de
comunicaccedilatildeo de dados IPMPLS em rede privada para as unidades administrativas e
instituiccedilotildees de ensino da SEEDF com valor anual contratado de R$ 579868992 nos
termos do Processo nordm 0800069182012
31 Segundo informaccedilotildees do executor do contrato encaminhadas por meio
de despacho agrave Coordenaccedilatildeo de Informaacutetica da SEEDF12 a partir de 16052017 a
empresa suspendeu gradativamente o fornecimento dos serviccedilos culminando com o
desligamento total dos circuitos de dados em 27072017 em virtude da falta de
11 Arquivo associado ao processo (Contrato 192013 - Link de Dadospdf) ou DA_28
12 Arquivo associado ao processo (Documento do Executor do contrato 192013pdf) ou DA_PT_29
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
6
Quais os benefiacutecios esperados com a atuaccedilatildeo do Tribunal
Espera-se com a adoccedilatildeo das medidas propostas pelo Tribunal
impulsionar a gestatildeo de tecnologia da informaccedilatildeo e comunicaccedilatildeo da SEEDF a fim de
que as seguintes condiccedilotildees sejam satisfeitas
a) garantir a disponibilidade de acesso agrave Internet para uso dos
sistemas de apoio escolar pelas unidades escolares
b) melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk e
economia de recursos puacuteblicos
c) utilizaccedilatildeo plena do laboratoacuterio de informaacutetica das unidades
escolares com a ampliaccedilatildeo da velocidade meacutedia de acesso agrave
Internet e a renovaccedilatildeo do parque de computadores
d) estiacutemulo ao aluno com o uso de novas tecnologias no processo
ensino-aprendizagem
e) diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
f) atendimento tempestivo das demandas do sistema i-Educar
g) melhoria da gestatildeo de seguranccedila da informaccedilatildeo de recursos de
pessoas e de projetos educacionais pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
7
Sumaacuterio
1 Introduccedilatildeo 8 11 Apresentaccedilatildeo 8
12 Identificaccedilatildeo do Objeto 8 13 Contextualizaccedilatildeo 8 131 Fiscalizaccedilotildees Anteriores 10 14 Objetivos 10
141 Objetivo Geral 10
142 Objetivos Especiacuteficos 11
15 Escopo 11
16 Montante Fiscalizado 11
17 Metodologia 12 18 Criteacuterios de auditoria 12 19 Avaliaccedilatildeo de Controle Interno 13
2 Resultados da Auditoria 15 21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em conformidade
com a legislaccedilatildeo e com as boas praacuteticas de TI 15
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades educacionais 15
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo do Contrato nordm 062016 19
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo utilizados regularmente pelos alunos 25
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica obsoleto 25
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF 32
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis 37
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo 37
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do Sistema i-Educar 54
3 Conclusatildeo 57
4 Proposiccedilotildees 58
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
8
1 Introduccedilatildeo
11 Apresentaccedilatildeo
1 Trata-se de Auditoria Integrada realizada na Secretaria de Estado de
Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018
2 A execuccedilatildeo da presente auditoria compreendeu o periacuteodo de 26 de
abril a 25 junho de 2018
12 Identificaccedilatildeo do Objeto
3 A presente auditoria tem como objeto os principais recursos de
tecnologia da informaccedilatildeo e comunicaccedilatildeo - TIC (ativos serviccedilos e sistemas de
informaccedilatildeo) disponibilizados pela SEEDF no suporte ao ensino educacional do DF a
seguranccedila da informaccedilatildeo dos sistemas de gestatildeo escolar e de apoio educacional e a
execuccedilatildeo dos principais contratos de TIC da Secretaria de Estado de Educaccedilatildeo do
Distrito Federal ndash SEEDF
13 Contextualizaccedilatildeo
4 A tecnologia da informaccedilatildeo (TI) estaacute se tornando um instrumento de
intenso uso pela sociedade e pode contribuir como ferramenta de apoio agraves atividades
de ensino
5 A Lei de Diretrizes e Bases da Educaccedilatildeo Nacional (LDB) Lei nordm
939496 estabeleceu como dever do Estado a progressiva extensatildeo da
obrigatoriedade do Ensino Meacutedio De acordo com a nova LDB o Ensino Meacutedio sendo
parte da educaccedilatildeo escolar ldquodeveraacute vincular-se ao mundo do trabalho e agrave praacutetica
socialrdquo (Art1ordm sect2ordm da Lei nordm 939496) Dessa forma a perspectiva legal eacute de integrar
duas dimensotildees diferenciadas a do conhecimento e a da praacutetica
6 Nesse diapasatildeo o papel da TI na educaccedilatildeo passa necessariamente
da utilizaccedilatildeo baacutesica de recursos tecnoloacutegicos (internet planilhas eletrocircnicas editores
de textos) por estudantes do ensino baacutesico fundamental e meacutedio ateacute a funccedilatildeo da
informaacutetica no auxiacutelio agrave pesquisa e agrave produccedilatildeo de novos conhecimentos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
9
7 Segundo estudos2 as condiccedilotildees de infraestrutura e de equipamentos
de apoio didaacutetico satildeo fatores importantes para a melhoria da aprendizagem sendo
inclusive objeto de diagnoacutestico perioacutedico realizado pelo Censo Escolar coordenado
pelo Ministeacuterio da Educaccedilatildeo ndash MEC
8 Destaca-se que o uso da TI pode contribuir para incrementar a
aprendizagem notadamente quando aliada agrave disponibilizaccedilatildeo de laboratoacuterio de
informaacutetica para o estudante
9 A tecnologia da informaccedilatildeo integrada agrave proposta pedagoacutegica estaacute
contemplada na estrateacutegia 712 tecnologias educacionais3 do Plano Nacional de
Educaccedilatildeo (PNE4) Essa estrateacutegia preconiza o uso dos recursos tecnoloacutegicos para
melhoria do fluxo escolar e da aprendizagem para a Educaccedilatildeo Infantil Ensino
Fundamental e Meacutedio
10 No acircmbito federal foi criado o ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo por meio da PortariaMEC nordm 522 de 090497 com a
finalidade de disseminar o uso pedagoacutegico das tecnologias de informaacutetica e
telecomunicaccedilotildees nas escolas puacuteblicas de ensino fundamental e meacutedio pertencentes
agraves redes estadual e municipal
11 O programa leva agraves escolas puacuteblicas computadores recursos digitais
e conteuacutedos educacionais Em contrapartida estados Distrito Federal e municiacutepios
devem garantir a estrutura adequada para receber os laboratoacuterios e capacitar os
educadores para uso das maacutequinas e tecnologias
12 Aleacutem disso o FNDE ndash Fundo Nacional de Desenvolvimento da
Educaccedilatildeo por meio do Programa Banda Larga nas Escolas (PBLE5) prevecirc o
2 Arquivo associado ao processo (TI_na_Educacao_01pdf e TI_na_Educacao02pdf) ou DA_PT_19 e DA_PT_20
3 httpwwwobservatoriodopneorgbrmetas-pne7-aprendizado-adequado-fluxo-adequadoestrategias7-12-tecnologias-educacionais (Acesso em 12092018)
4 O PNE - Plano Nacional de Educaccedilatildeo Lei nordm 130052014 determina diretrizes metas e estrateacutegias para a poliacutetica educacional dos proacuteximos dez anos
5 PBLE - Programa Banda Larga nas Escolas (PBLE) foi lanccedilado em 4 de abril de 2008 pelo governo federal por meio do Decreto 6424 que altera o Plano Geral de Metas para a Universalizaccedilatildeo do Serviccedilo Telefocircnico Fixo Comutado Prestado no Regime Puacuteblico (PGMU) Fazem parte do programa as operadoras Telefocircnica CTBC Sercomtel e OiBrt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
10
atendimentoacesso agrave Internet para as escolas puacuteblicas urbanas considerando as
informaccedilotildees do censo da educaccedilatildeo baacutesica
13 No caso em tela a SEEDF deve assegurar os recursos necessaacuterios
de apoio educacional ao processo de informatizaccedilatildeo das escolas (acesso agrave internet
equipamentos softwares educativos suporte teacutecnico e sistemas informatizados de
apoio escolar)
14 Cabe registrar o uso do sistema i-Educar6 na gestatildeo escolar do DF
desde 2014 tornando necessaacuterio que a SEEDF assegure a confidencialidade
integridade e disponibilidade das informaccedilotildees geradas pelo sistema
15 Desta forma torna-se fundamental o aperfeiccediloamento do uso das
tecnologias da informaccedilatildeo tanto no processo educacional por parte dos alunos quanto
no processo de gestatildeo por parte da SEEDF
131 Fiscalizaccedilotildees Anteriores
16 Fiscalizaccedilotildees anteriores apontam para a necessidade de melhoria no
processo de manutenccedilatildeo e desenvolvimento de softwares utilizados no apoio da
gestatildeo educacional a exemplo de recomendaccedilotildees preteacuteritas desta Corte no acircmbito
dos processos nos 11302014 (Gestatildeo de profissionais de magisteacuterio) 89202015
(Programa de alimentaccedilatildeo escolar) 1432013 (Accedilotildees governamentais no Ensino
Meacutedio) e 886615 (Efetivaccedilatildeo de Matriacutecula)
14 Objetivos
141 Objetivo Geral
17 Verificar a regularidade da execuccedilatildeo contratual dos principais
fornecedores de TIC os recursos de TIC empregados no suporte ao aprendizado do
aluno e a integridade confidencialidade e disponibilidade das informaccedilotildees dos
sistemas de gestatildeo escolar
6 A principal finalidade do software eacute informatizar a gestatildeo das informaccedilotildees educacionais contribuindo
com a racionalizaccedilatildeo do trabalho No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema para escrituraccedilatildeo acadecircmica em todas as unidades escolares
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
11
142 Objetivos Especiacuteficos
18 Em funccedilatildeo do objetivo geral da Auditoria foram definidas as seguintes
questotildees
Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
Questatildeo 2 - O uso dos recursos de TIC para fins educacionais
foram suficientemente disponibilizados pela SEEDF agraves unidades
escolares e satildeo utilizados regularmente pelos alunos
Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo
escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis
15 Escopo
19 Foram analisados os seguintes contratos que envolvem TIC com
vigecircncia no exerciacutecio de 2017 para verificaccedilatildeo da regularidade da execuccedilatildeo
Tabela 1 Contrataccedilatildeo de TIC pela SEEDF
Empresas
Fornecedor
ServiccedilosContratos Valor Pago (R$)
OI SA Telefonia Contratos nordms 632011 e 232017 108634494
OI SA Circuito de Dados MPLS Contrato nordm 192013 132000000
STEFANINI SA Desenvolvimento e Manutenccedilatildeo de TI Contrato nordm 062016
201148802
Fonte SIGGO
20 Ainda foram avaliados os sistemas de informaccedilatildeo de apoio agrave gestatildeo
escolar da Secretaria de Estado de Educaccedilatildeo do DF (i-Educar SIGEP) no tocante agrave
disponibilidade integridade e confidencialidade das informaccedilotildees bem como os
recursos de TIC empregados na aprendizagem do aluno a exemplo de computadores
internet softwares entre outros
16 Montante Fiscalizado7
21 No uacuteltimo exerciacutecio (2017) considerando as maiores despesas com
7 Tendo em conta a inexistecircncia de Programa de Trabalho especiacutefico natildeo consta do montante examinado os gastos com gestatildeo dos recursos de TIC empregados no suporte ao aprendizado tampouco com a Seguranccedila da Informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
12
empresas prestadoras de serviccedilos de tecnologia da informaccedilatildeo foi empenhado o
montante de R$ 709636553 (sete milhotildees noventa e seis mil trezentos e sessenta
e cinco reais e cinquenta e trecircs centavos) conforme demonstrativo abaixo
Tabela 2 Anaacutelise da Extensatildeo dos Testes de Auditoria
Fonte SIGGO
17 Metodologia
22 Os procedimentos e teacutecnicas utilizadas na execuccedilatildeo da presente
auditoria encontram-se registrados na Matriz de Planejamento
23 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins pedagoacutegicos definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares Assim selecionou-se aleatoriamente as escolas
a serem visitadas dentro da populaccedilatildeo-alvo levando-se em conta as escolas que
possuem laboratoacuterios de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash
DRESEDF agrave qual se encontra vinculada com a finalidade de assegurar que a amostra
selecionada fosse representativa Nesse sentido visitou-se 31 escolas8
representando 5 de cada Regional de Ensino do DF
18 Criteacuterios de auditoria
24 Os criteacuterios de regularidade utilizados na presente auditoria foram
extraiacutedos da Instruccedilatildeo Normativa nordm 042014-SLTIMPOG principal normativo que
8 DA_PT_22 - Escolas visitadas e DA_26 - Parque dos computadores das escolas visitadas
CNPJ Empresa Valor Empenhado (R$)
4759978000192 AZ TECNOLOGIA LTDA 8237500
76535764032690 OI SA 140500076
76535764000143 OI SA 170583100
5423963000111 OI SA 51333400
21262834000145 IDTCORP COMERCIO E TECNOLOGIA DA INFORMACcedilAtildeO EIRELI 6950000
21748841000151 TECNETWORKING SERVICcedilOS E SOLUCcedilOtildeES EM TI LTDA -ME 5535420
58069360000120 STEFANINI SA 326497057
709636553TOTAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
13
rege a contrataccedilatildeo de bens e serviccedilos puacuteblicos de tecnologia da informaccedilatildeo
recepcionada no Distrito Federal pelo Decreto nordm 346672016 bem como da Lei
nordm 866693 (artigos 66 ao 76)
25 As melhores praacuteticas foram extraiacutedas dos modelos COBIT 59 e NBR
ISOIEC 270021310
19 Avaliaccedilatildeo de Controle Interno
26 Para o estabelecimento do Risco Inerente levou-se em consideraccedilatildeo a
materialidade dos valores envolvidos na Fiscalizaccedilatildeo (sect 19)
27 Considerando esse criteacuterio e de acordo com o Manual de Auditoria do
TCDF o Risco Inerente do objeto da Fiscalizaccedilatildeo pode ser considerado ldquoBaixordquo
28 O Risco de Controle ficou situado no niacutevel ldquoFracordquo em razatildeo da
avaliaccedilatildeo dos controles internos relacionados ao objeto da auditoria considerando o
questionaacuterio de governanccedilagestatildeo respondido pela jurisdicionada (Processo TCDF
nordm 1016117) no qual a jurisdicionada conforme graacutefico abaixo alcanccedilou indicadores
abaixo da meacutedia das demais instituiccedilotildees pesquisadas no GDF nas seguintes
dimensotildees
a Resultados de TI para a sociedade
b Processos de Trabalho relevantes da unidade de TIC
c Processo de Contrataccedilatildeo de TIC
d Governanccedila e Planejamento Institucional e de TIC
9 COBIT eacute um modelo de governanccedila e gestatildeo de TI mantido pelo ISACA com a finalidade de apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma loacutegica e estruturada tendo como foco o relacionamento entre os objetivos de negoacutecio com os objetivos de TI
10 Padratildeo para sistema de gestatildeo da seguranccedila da informaccedilatildeo (ISMS - Information Security Management System) elaborada para prover um modelo para estabelecer implementar operar monitorar analisar criticamente manter e melhorar um Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
14
Graacutefico 1
Governanccedila de TIC GDF ndash 2017
Fonte Relatoacuterio de Auditoria de Governanccedila ndash Processo nordm 1016117
000 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Governanccedila e Planejamento Institutcional e de TIC
Processo de Contrataccedilatildeo de TIC
Processos de Trabalho Relevantes
Resultados de TI
Transparecircncia e Prestaccedilatildeo de Contas
i-GOV DF 2017
Dimensotildees i-Gov DF 2017
SEEDF Meacutedio
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
15
2 Resultados da Auditoria
21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
No trabalho realizado verificou-se a regular execuccedilatildeo dos Contratos nos 632011 e
232017 (Telefonia) e do Contrato nordm 062016 (infraestrutura de TI) ao passo que no
Contrato nordm 192013 (enlace de comunicaccedilatildeo de dados) houve a interrupccedilatildeo pela
empresa contratada do fornecimento dos serviccedilos no exerciacutecio de 2017 em razatildeo da
falta de pagamentos de deacutebitos preteacuteritos Em relaccedilatildeo ao Contrato nordm 062016
(infraestrutura de TI) observou-se elevado iacutendice de atendimento presencial em
comparaccedilatildeo ao remoto
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de
dados nas unidades educacionais
Criteacuterios
29 O art 66 da Lei 866693 dispotildee que o contrato deveraacute ser executado
fielmente pelas partes de acordo com as claacuteusulas avenccediladas e as normas desta Lei
respondendo cada uma pelas consequecircncias de sua inexecuccedilatildeo total ou parcial
Anaacutelises e Evidecircncias
30 O Contrato nordm 19201311 firmado entre a SEEDF e a empresa OI SA em
01032013 teve como objeto o fornecimento e implantaccedilatildeo de soluccedilatildeo global de
comunicaccedilatildeo de dados IPMPLS em rede privada para as unidades administrativas e
instituiccedilotildees de ensino da SEEDF com valor anual contratado de R$ 579868992 nos
termos do Processo nordm 0800069182012
31 Segundo informaccedilotildees do executor do contrato encaminhadas por meio
de despacho agrave Coordenaccedilatildeo de Informaacutetica da SEEDF12 a partir de 16052017 a
empresa suspendeu gradativamente o fornecimento dos serviccedilos culminando com o
desligamento total dos circuitos de dados em 27072017 em virtude da falta de
11 Arquivo associado ao processo (Contrato 192013 - Link de Dadospdf) ou DA_28
12 Arquivo associado ao processo (Documento do Executor do contrato 192013pdf) ou DA_PT_29
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
7
Sumaacuterio
1 Introduccedilatildeo 8 11 Apresentaccedilatildeo 8
12 Identificaccedilatildeo do Objeto 8 13 Contextualizaccedilatildeo 8 131 Fiscalizaccedilotildees Anteriores 10 14 Objetivos 10
141 Objetivo Geral 10
142 Objetivos Especiacuteficos 11
15 Escopo 11
16 Montante Fiscalizado 11
17 Metodologia 12 18 Criteacuterios de auditoria 12 19 Avaliaccedilatildeo de Controle Interno 13
2 Resultados da Auditoria 15 21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em conformidade
com a legislaccedilatildeo e com as boas praacuteticas de TI 15
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades educacionais 15
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo do Contrato nordm 062016 19
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo utilizados regularmente pelos alunos 25
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica obsoleto 25
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF 32
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis 37
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo 37
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do Sistema i-Educar 54
3 Conclusatildeo 57
4 Proposiccedilotildees 58
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
8
1 Introduccedilatildeo
11 Apresentaccedilatildeo
1 Trata-se de Auditoria Integrada realizada na Secretaria de Estado de
Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018
2 A execuccedilatildeo da presente auditoria compreendeu o periacuteodo de 26 de
abril a 25 junho de 2018
12 Identificaccedilatildeo do Objeto
3 A presente auditoria tem como objeto os principais recursos de
tecnologia da informaccedilatildeo e comunicaccedilatildeo - TIC (ativos serviccedilos e sistemas de
informaccedilatildeo) disponibilizados pela SEEDF no suporte ao ensino educacional do DF a
seguranccedila da informaccedilatildeo dos sistemas de gestatildeo escolar e de apoio educacional e a
execuccedilatildeo dos principais contratos de TIC da Secretaria de Estado de Educaccedilatildeo do
Distrito Federal ndash SEEDF
13 Contextualizaccedilatildeo
4 A tecnologia da informaccedilatildeo (TI) estaacute se tornando um instrumento de
intenso uso pela sociedade e pode contribuir como ferramenta de apoio agraves atividades
de ensino
5 A Lei de Diretrizes e Bases da Educaccedilatildeo Nacional (LDB) Lei nordm
939496 estabeleceu como dever do Estado a progressiva extensatildeo da
obrigatoriedade do Ensino Meacutedio De acordo com a nova LDB o Ensino Meacutedio sendo
parte da educaccedilatildeo escolar ldquodeveraacute vincular-se ao mundo do trabalho e agrave praacutetica
socialrdquo (Art1ordm sect2ordm da Lei nordm 939496) Dessa forma a perspectiva legal eacute de integrar
duas dimensotildees diferenciadas a do conhecimento e a da praacutetica
6 Nesse diapasatildeo o papel da TI na educaccedilatildeo passa necessariamente
da utilizaccedilatildeo baacutesica de recursos tecnoloacutegicos (internet planilhas eletrocircnicas editores
de textos) por estudantes do ensino baacutesico fundamental e meacutedio ateacute a funccedilatildeo da
informaacutetica no auxiacutelio agrave pesquisa e agrave produccedilatildeo de novos conhecimentos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
9
7 Segundo estudos2 as condiccedilotildees de infraestrutura e de equipamentos
de apoio didaacutetico satildeo fatores importantes para a melhoria da aprendizagem sendo
inclusive objeto de diagnoacutestico perioacutedico realizado pelo Censo Escolar coordenado
pelo Ministeacuterio da Educaccedilatildeo ndash MEC
8 Destaca-se que o uso da TI pode contribuir para incrementar a
aprendizagem notadamente quando aliada agrave disponibilizaccedilatildeo de laboratoacuterio de
informaacutetica para o estudante
9 A tecnologia da informaccedilatildeo integrada agrave proposta pedagoacutegica estaacute
contemplada na estrateacutegia 712 tecnologias educacionais3 do Plano Nacional de
Educaccedilatildeo (PNE4) Essa estrateacutegia preconiza o uso dos recursos tecnoloacutegicos para
melhoria do fluxo escolar e da aprendizagem para a Educaccedilatildeo Infantil Ensino
Fundamental e Meacutedio
10 No acircmbito federal foi criado o ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo por meio da PortariaMEC nordm 522 de 090497 com a
finalidade de disseminar o uso pedagoacutegico das tecnologias de informaacutetica e
telecomunicaccedilotildees nas escolas puacuteblicas de ensino fundamental e meacutedio pertencentes
agraves redes estadual e municipal
11 O programa leva agraves escolas puacuteblicas computadores recursos digitais
e conteuacutedos educacionais Em contrapartida estados Distrito Federal e municiacutepios
devem garantir a estrutura adequada para receber os laboratoacuterios e capacitar os
educadores para uso das maacutequinas e tecnologias
12 Aleacutem disso o FNDE ndash Fundo Nacional de Desenvolvimento da
Educaccedilatildeo por meio do Programa Banda Larga nas Escolas (PBLE5) prevecirc o
2 Arquivo associado ao processo (TI_na_Educacao_01pdf e TI_na_Educacao02pdf) ou DA_PT_19 e DA_PT_20
3 httpwwwobservatoriodopneorgbrmetas-pne7-aprendizado-adequado-fluxo-adequadoestrategias7-12-tecnologias-educacionais (Acesso em 12092018)
4 O PNE - Plano Nacional de Educaccedilatildeo Lei nordm 130052014 determina diretrizes metas e estrateacutegias para a poliacutetica educacional dos proacuteximos dez anos
5 PBLE - Programa Banda Larga nas Escolas (PBLE) foi lanccedilado em 4 de abril de 2008 pelo governo federal por meio do Decreto 6424 que altera o Plano Geral de Metas para a Universalizaccedilatildeo do Serviccedilo Telefocircnico Fixo Comutado Prestado no Regime Puacuteblico (PGMU) Fazem parte do programa as operadoras Telefocircnica CTBC Sercomtel e OiBrt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
10
atendimentoacesso agrave Internet para as escolas puacuteblicas urbanas considerando as
informaccedilotildees do censo da educaccedilatildeo baacutesica
13 No caso em tela a SEEDF deve assegurar os recursos necessaacuterios
de apoio educacional ao processo de informatizaccedilatildeo das escolas (acesso agrave internet
equipamentos softwares educativos suporte teacutecnico e sistemas informatizados de
apoio escolar)
14 Cabe registrar o uso do sistema i-Educar6 na gestatildeo escolar do DF
desde 2014 tornando necessaacuterio que a SEEDF assegure a confidencialidade
integridade e disponibilidade das informaccedilotildees geradas pelo sistema
15 Desta forma torna-se fundamental o aperfeiccediloamento do uso das
tecnologias da informaccedilatildeo tanto no processo educacional por parte dos alunos quanto
no processo de gestatildeo por parte da SEEDF
131 Fiscalizaccedilotildees Anteriores
16 Fiscalizaccedilotildees anteriores apontam para a necessidade de melhoria no
processo de manutenccedilatildeo e desenvolvimento de softwares utilizados no apoio da
gestatildeo educacional a exemplo de recomendaccedilotildees preteacuteritas desta Corte no acircmbito
dos processos nos 11302014 (Gestatildeo de profissionais de magisteacuterio) 89202015
(Programa de alimentaccedilatildeo escolar) 1432013 (Accedilotildees governamentais no Ensino
Meacutedio) e 886615 (Efetivaccedilatildeo de Matriacutecula)
14 Objetivos
141 Objetivo Geral
17 Verificar a regularidade da execuccedilatildeo contratual dos principais
fornecedores de TIC os recursos de TIC empregados no suporte ao aprendizado do
aluno e a integridade confidencialidade e disponibilidade das informaccedilotildees dos
sistemas de gestatildeo escolar
6 A principal finalidade do software eacute informatizar a gestatildeo das informaccedilotildees educacionais contribuindo
com a racionalizaccedilatildeo do trabalho No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema para escrituraccedilatildeo acadecircmica em todas as unidades escolares
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
11
142 Objetivos Especiacuteficos
18 Em funccedilatildeo do objetivo geral da Auditoria foram definidas as seguintes
questotildees
Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
Questatildeo 2 - O uso dos recursos de TIC para fins educacionais
foram suficientemente disponibilizados pela SEEDF agraves unidades
escolares e satildeo utilizados regularmente pelos alunos
Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo
escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis
15 Escopo
19 Foram analisados os seguintes contratos que envolvem TIC com
vigecircncia no exerciacutecio de 2017 para verificaccedilatildeo da regularidade da execuccedilatildeo
Tabela 1 Contrataccedilatildeo de TIC pela SEEDF
Empresas
Fornecedor
ServiccedilosContratos Valor Pago (R$)
OI SA Telefonia Contratos nordms 632011 e 232017 108634494
OI SA Circuito de Dados MPLS Contrato nordm 192013 132000000
STEFANINI SA Desenvolvimento e Manutenccedilatildeo de TI Contrato nordm 062016
201148802
Fonte SIGGO
20 Ainda foram avaliados os sistemas de informaccedilatildeo de apoio agrave gestatildeo
escolar da Secretaria de Estado de Educaccedilatildeo do DF (i-Educar SIGEP) no tocante agrave
disponibilidade integridade e confidencialidade das informaccedilotildees bem como os
recursos de TIC empregados na aprendizagem do aluno a exemplo de computadores
internet softwares entre outros
16 Montante Fiscalizado7
21 No uacuteltimo exerciacutecio (2017) considerando as maiores despesas com
7 Tendo em conta a inexistecircncia de Programa de Trabalho especiacutefico natildeo consta do montante examinado os gastos com gestatildeo dos recursos de TIC empregados no suporte ao aprendizado tampouco com a Seguranccedila da Informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
12
empresas prestadoras de serviccedilos de tecnologia da informaccedilatildeo foi empenhado o
montante de R$ 709636553 (sete milhotildees noventa e seis mil trezentos e sessenta
e cinco reais e cinquenta e trecircs centavos) conforme demonstrativo abaixo
Tabela 2 Anaacutelise da Extensatildeo dos Testes de Auditoria
Fonte SIGGO
17 Metodologia
22 Os procedimentos e teacutecnicas utilizadas na execuccedilatildeo da presente
auditoria encontram-se registrados na Matriz de Planejamento
23 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins pedagoacutegicos definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares Assim selecionou-se aleatoriamente as escolas
a serem visitadas dentro da populaccedilatildeo-alvo levando-se em conta as escolas que
possuem laboratoacuterios de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash
DRESEDF agrave qual se encontra vinculada com a finalidade de assegurar que a amostra
selecionada fosse representativa Nesse sentido visitou-se 31 escolas8
representando 5 de cada Regional de Ensino do DF
18 Criteacuterios de auditoria
24 Os criteacuterios de regularidade utilizados na presente auditoria foram
extraiacutedos da Instruccedilatildeo Normativa nordm 042014-SLTIMPOG principal normativo que
8 DA_PT_22 - Escolas visitadas e DA_26 - Parque dos computadores das escolas visitadas
CNPJ Empresa Valor Empenhado (R$)
4759978000192 AZ TECNOLOGIA LTDA 8237500
76535764032690 OI SA 140500076
76535764000143 OI SA 170583100
5423963000111 OI SA 51333400
21262834000145 IDTCORP COMERCIO E TECNOLOGIA DA INFORMACcedilAtildeO EIRELI 6950000
21748841000151 TECNETWORKING SERVICcedilOS E SOLUCcedilOtildeES EM TI LTDA -ME 5535420
58069360000120 STEFANINI SA 326497057
709636553TOTAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
13
rege a contrataccedilatildeo de bens e serviccedilos puacuteblicos de tecnologia da informaccedilatildeo
recepcionada no Distrito Federal pelo Decreto nordm 346672016 bem como da Lei
nordm 866693 (artigos 66 ao 76)
25 As melhores praacuteticas foram extraiacutedas dos modelos COBIT 59 e NBR
ISOIEC 270021310
19 Avaliaccedilatildeo de Controle Interno
26 Para o estabelecimento do Risco Inerente levou-se em consideraccedilatildeo a
materialidade dos valores envolvidos na Fiscalizaccedilatildeo (sect 19)
27 Considerando esse criteacuterio e de acordo com o Manual de Auditoria do
TCDF o Risco Inerente do objeto da Fiscalizaccedilatildeo pode ser considerado ldquoBaixordquo
28 O Risco de Controle ficou situado no niacutevel ldquoFracordquo em razatildeo da
avaliaccedilatildeo dos controles internos relacionados ao objeto da auditoria considerando o
questionaacuterio de governanccedilagestatildeo respondido pela jurisdicionada (Processo TCDF
nordm 1016117) no qual a jurisdicionada conforme graacutefico abaixo alcanccedilou indicadores
abaixo da meacutedia das demais instituiccedilotildees pesquisadas no GDF nas seguintes
dimensotildees
a Resultados de TI para a sociedade
b Processos de Trabalho relevantes da unidade de TIC
c Processo de Contrataccedilatildeo de TIC
d Governanccedila e Planejamento Institucional e de TIC
9 COBIT eacute um modelo de governanccedila e gestatildeo de TI mantido pelo ISACA com a finalidade de apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma loacutegica e estruturada tendo como foco o relacionamento entre os objetivos de negoacutecio com os objetivos de TI
10 Padratildeo para sistema de gestatildeo da seguranccedila da informaccedilatildeo (ISMS - Information Security Management System) elaborada para prover um modelo para estabelecer implementar operar monitorar analisar criticamente manter e melhorar um Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
14
Graacutefico 1
Governanccedila de TIC GDF ndash 2017
Fonte Relatoacuterio de Auditoria de Governanccedila ndash Processo nordm 1016117
000 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Governanccedila e Planejamento Institutcional e de TIC
Processo de Contrataccedilatildeo de TIC
Processos de Trabalho Relevantes
Resultados de TI
Transparecircncia e Prestaccedilatildeo de Contas
i-GOV DF 2017
Dimensotildees i-Gov DF 2017
SEEDF Meacutedio
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
15
2 Resultados da Auditoria
21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
No trabalho realizado verificou-se a regular execuccedilatildeo dos Contratos nos 632011 e
232017 (Telefonia) e do Contrato nordm 062016 (infraestrutura de TI) ao passo que no
Contrato nordm 192013 (enlace de comunicaccedilatildeo de dados) houve a interrupccedilatildeo pela
empresa contratada do fornecimento dos serviccedilos no exerciacutecio de 2017 em razatildeo da
falta de pagamentos de deacutebitos preteacuteritos Em relaccedilatildeo ao Contrato nordm 062016
(infraestrutura de TI) observou-se elevado iacutendice de atendimento presencial em
comparaccedilatildeo ao remoto
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de
dados nas unidades educacionais
Criteacuterios
29 O art 66 da Lei 866693 dispotildee que o contrato deveraacute ser executado
fielmente pelas partes de acordo com as claacuteusulas avenccediladas e as normas desta Lei
respondendo cada uma pelas consequecircncias de sua inexecuccedilatildeo total ou parcial
Anaacutelises e Evidecircncias
30 O Contrato nordm 19201311 firmado entre a SEEDF e a empresa OI SA em
01032013 teve como objeto o fornecimento e implantaccedilatildeo de soluccedilatildeo global de
comunicaccedilatildeo de dados IPMPLS em rede privada para as unidades administrativas e
instituiccedilotildees de ensino da SEEDF com valor anual contratado de R$ 579868992 nos
termos do Processo nordm 0800069182012
31 Segundo informaccedilotildees do executor do contrato encaminhadas por meio
de despacho agrave Coordenaccedilatildeo de Informaacutetica da SEEDF12 a partir de 16052017 a
empresa suspendeu gradativamente o fornecimento dos serviccedilos culminando com o
desligamento total dos circuitos de dados em 27072017 em virtude da falta de
11 Arquivo associado ao processo (Contrato 192013 - Link de Dadospdf) ou DA_28
12 Arquivo associado ao processo (Documento do Executor do contrato 192013pdf) ou DA_PT_29
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
8
1 Introduccedilatildeo
11 Apresentaccedilatildeo
1 Trata-se de Auditoria Integrada realizada na Secretaria de Estado de
Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018
2 A execuccedilatildeo da presente auditoria compreendeu o periacuteodo de 26 de
abril a 25 junho de 2018
12 Identificaccedilatildeo do Objeto
3 A presente auditoria tem como objeto os principais recursos de
tecnologia da informaccedilatildeo e comunicaccedilatildeo - TIC (ativos serviccedilos e sistemas de
informaccedilatildeo) disponibilizados pela SEEDF no suporte ao ensino educacional do DF a
seguranccedila da informaccedilatildeo dos sistemas de gestatildeo escolar e de apoio educacional e a
execuccedilatildeo dos principais contratos de TIC da Secretaria de Estado de Educaccedilatildeo do
Distrito Federal ndash SEEDF
13 Contextualizaccedilatildeo
4 A tecnologia da informaccedilatildeo (TI) estaacute se tornando um instrumento de
intenso uso pela sociedade e pode contribuir como ferramenta de apoio agraves atividades
de ensino
5 A Lei de Diretrizes e Bases da Educaccedilatildeo Nacional (LDB) Lei nordm
939496 estabeleceu como dever do Estado a progressiva extensatildeo da
obrigatoriedade do Ensino Meacutedio De acordo com a nova LDB o Ensino Meacutedio sendo
parte da educaccedilatildeo escolar ldquodeveraacute vincular-se ao mundo do trabalho e agrave praacutetica
socialrdquo (Art1ordm sect2ordm da Lei nordm 939496) Dessa forma a perspectiva legal eacute de integrar
duas dimensotildees diferenciadas a do conhecimento e a da praacutetica
6 Nesse diapasatildeo o papel da TI na educaccedilatildeo passa necessariamente
da utilizaccedilatildeo baacutesica de recursos tecnoloacutegicos (internet planilhas eletrocircnicas editores
de textos) por estudantes do ensino baacutesico fundamental e meacutedio ateacute a funccedilatildeo da
informaacutetica no auxiacutelio agrave pesquisa e agrave produccedilatildeo de novos conhecimentos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
9
7 Segundo estudos2 as condiccedilotildees de infraestrutura e de equipamentos
de apoio didaacutetico satildeo fatores importantes para a melhoria da aprendizagem sendo
inclusive objeto de diagnoacutestico perioacutedico realizado pelo Censo Escolar coordenado
pelo Ministeacuterio da Educaccedilatildeo ndash MEC
8 Destaca-se que o uso da TI pode contribuir para incrementar a
aprendizagem notadamente quando aliada agrave disponibilizaccedilatildeo de laboratoacuterio de
informaacutetica para o estudante
9 A tecnologia da informaccedilatildeo integrada agrave proposta pedagoacutegica estaacute
contemplada na estrateacutegia 712 tecnologias educacionais3 do Plano Nacional de
Educaccedilatildeo (PNE4) Essa estrateacutegia preconiza o uso dos recursos tecnoloacutegicos para
melhoria do fluxo escolar e da aprendizagem para a Educaccedilatildeo Infantil Ensino
Fundamental e Meacutedio
10 No acircmbito federal foi criado o ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo por meio da PortariaMEC nordm 522 de 090497 com a
finalidade de disseminar o uso pedagoacutegico das tecnologias de informaacutetica e
telecomunicaccedilotildees nas escolas puacuteblicas de ensino fundamental e meacutedio pertencentes
agraves redes estadual e municipal
11 O programa leva agraves escolas puacuteblicas computadores recursos digitais
e conteuacutedos educacionais Em contrapartida estados Distrito Federal e municiacutepios
devem garantir a estrutura adequada para receber os laboratoacuterios e capacitar os
educadores para uso das maacutequinas e tecnologias
12 Aleacutem disso o FNDE ndash Fundo Nacional de Desenvolvimento da
Educaccedilatildeo por meio do Programa Banda Larga nas Escolas (PBLE5) prevecirc o
2 Arquivo associado ao processo (TI_na_Educacao_01pdf e TI_na_Educacao02pdf) ou DA_PT_19 e DA_PT_20
3 httpwwwobservatoriodopneorgbrmetas-pne7-aprendizado-adequado-fluxo-adequadoestrategias7-12-tecnologias-educacionais (Acesso em 12092018)
4 O PNE - Plano Nacional de Educaccedilatildeo Lei nordm 130052014 determina diretrizes metas e estrateacutegias para a poliacutetica educacional dos proacuteximos dez anos
5 PBLE - Programa Banda Larga nas Escolas (PBLE) foi lanccedilado em 4 de abril de 2008 pelo governo federal por meio do Decreto 6424 que altera o Plano Geral de Metas para a Universalizaccedilatildeo do Serviccedilo Telefocircnico Fixo Comutado Prestado no Regime Puacuteblico (PGMU) Fazem parte do programa as operadoras Telefocircnica CTBC Sercomtel e OiBrt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
10
atendimentoacesso agrave Internet para as escolas puacuteblicas urbanas considerando as
informaccedilotildees do censo da educaccedilatildeo baacutesica
13 No caso em tela a SEEDF deve assegurar os recursos necessaacuterios
de apoio educacional ao processo de informatizaccedilatildeo das escolas (acesso agrave internet
equipamentos softwares educativos suporte teacutecnico e sistemas informatizados de
apoio escolar)
14 Cabe registrar o uso do sistema i-Educar6 na gestatildeo escolar do DF
desde 2014 tornando necessaacuterio que a SEEDF assegure a confidencialidade
integridade e disponibilidade das informaccedilotildees geradas pelo sistema
15 Desta forma torna-se fundamental o aperfeiccediloamento do uso das
tecnologias da informaccedilatildeo tanto no processo educacional por parte dos alunos quanto
no processo de gestatildeo por parte da SEEDF
131 Fiscalizaccedilotildees Anteriores
16 Fiscalizaccedilotildees anteriores apontam para a necessidade de melhoria no
processo de manutenccedilatildeo e desenvolvimento de softwares utilizados no apoio da
gestatildeo educacional a exemplo de recomendaccedilotildees preteacuteritas desta Corte no acircmbito
dos processos nos 11302014 (Gestatildeo de profissionais de magisteacuterio) 89202015
(Programa de alimentaccedilatildeo escolar) 1432013 (Accedilotildees governamentais no Ensino
Meacutedio) e 886615 (Efetivaccedilatildeo de Matriacutecula)
14 Objetivos
141 Objetivo Geral
17 Verificar a regularidade da execuccedilatildeo contratual dos principais
fornecedores de TIC os recursos de TIC empregados no suporte ao aprendizado do
aluno e a integridade confidencialidade e disponibilidade das informaccedilotildees dos
sistemas de gestatildeo escolar
6 A principal finalidade do software eacute informatizar a gestatildeo das informaccedilotildees educacionais contribuindo
com a racionalizaccedilatildeo do trabalho No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema para escrituraccedilatildeo acadecircmica em todas as unidades escolares
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
11
142 Objetivos Especiacuteficos
18 Em funccedilatildeo do objetivo geral da Auditoria foram definidas as seguintes
questotildees
Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
Questatildeo 2 - O uso dos recursos de TIC para fins educacionais
foram suficientemente disponibilizados pela SEEDF agraves unidades
escolares e satildeo utilizados regularmente pelos alunos
Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo
escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis
15 Escopo
19 Foram analisados os seguintes contratos que envolvem TIC com
vigecircncia no exerciacutecio de 2017 para verificaccedilatildeo da regularidade da execuccedilatildeo
Tabela 1 Contrataccedilatildeo de TIC pela SEEDF
Empresas
Fornecedor
ServiccedilosContratos Valor Pago (R$)
OI SA Telefonia Contratos nordms 632011 e 232017 108634494
OI SA Circuito de Dados MPLS Contrato nordm 192013 132000000
STEFANINI SA Desenvolvimento e Manutenccedilatildeo de TI Contrato nordm 062016
201148802
Fonte SIGGO
20 Ainda foram avaliados os sistemas de informaccedilatildeo de apoio agrave gestatildeo
escolar da Secretaria de Estado de Educaccedilatildeo do DF (i-Educar SIGEP) no tocante agrave
disponibilidade integridade e confidencialidade das informaccedilotildees bem como os
recursos de TIC empregados na aprendizagem do aluno a exemplo de computadores
internet softwares entre outros
16 Montante Fiscalizado7
21 No uacuteltimo exerciacutecio (2017) considerando as maiores despesas com
7 Tendo em conta a inexistecircncia de Programa de Trabalho especiacutefico natildeo consta do montante examinado os gastos com gestatildeo dos recursos de TIC empregados no suporte ao aprendizado tampouco com a Seguranccedila da Informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
12
empresas prestadoras de serviccedilos de tecnologia da informaccedilatildeo foi empenhado o
montante de R$ 709636553 (sete milhotildees noventa e seis mil trezentos e sessenta
e cinco reais e cinquenta e trecircs centavos) conforme demonstrativo abaixo
Tabela 2 Anaacutelise da Extensatildeo dos Testes de Auditoria
Fonte SIGGO
17 Metodologia
22 Os procedimentos e teacutecnicas utilizadas na execuccedilatildeo da presente
auditoria encontram-se registrados na Matriz de Planejamento
23 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins pedagoacutegicos definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares Assim selecionou-se aleatoriamente as escolas
a serem visitadas dentro da populaccedilatildeo-alvo levando-se em conta as escolas que
possuem laboratoacuterios de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash
DRESEDF agrave qual se encontra vinculada com a finalidade de assegurar que a amostra
selecionada fosse representativa Nesse sentido visitou-se 31 escolas8
representando 5 de cada Regional de Ensino do DF
18 Criteacuterios de auditoria
24 Os criteacuterios de regularidade utilizados na presente auditoria foram
extraiacutedos da Instruccedilatildeo Normativa nordm 042014-SLTIMPOG principal normativo que
8 DA_PT_22 - Escolas visitadas e DA_26 - Parque dos computadores das escolas visitadas
CNPJ Empresa Valor Empenhado (R$)
4759978000192 AZ TECNOLOGIA LTDA 8237500
76535764032690 OI SA 140500076
76535764000143 OI SA 170583100
5423963000111 OI SA 51333400
21262834000145 IDTCORP COMERCIO E TECNOLOGIA DA INFORMACcedilAtildeO EIRELI 6950000
21748841000151 TECNETWORKING SERVICcedilOS E SOLUCcedilOtildeES EM TI LTDA -ME 5535420
58069360000120 STEFANINI SA 326497057
709636553TOTAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
13
rege a contrataccedilatildeo de bens e serviccedilos puacuteblicos de tecnologia da informaccedilatildeo
recepcionada no Distrito Federal pelo Decreto nordm 346672016 bem como da Lei
nordm 866693 (artigos 66 ao 76)
25 As melhores praacuteticas foram extraiacutedas dos modelos COBIT 59 e NBR
ISOIEC 270021310
19 Avaliaccedilatildeo de Controle Interno
26 Para o estabelecimento do Risco Inerente levou-se em consideraccedilatildeo a
materialidade dos valores envolvidos na Fiscalizaccedilatildeo (sect 19)
27 Considerando esse criteacuterio e de acordo com o Manual de Auditoria do
TCDF o Risco Inerente do objeto da Fiscalizaccedilatildeo pode ser considerado ldquoBaixordquo
28 O Risco de Controle ficou situado no niacutevel ldquoFracordquo em razatildeo da
avaliaccedilatildeo dos controles internos relacionados ao objeto da auditoria considerando o
questionaacuterio de governanccedilagestatildeo respondido pela jurisdicionada (Processo TCDF
nordm 1016117) no qual a jurisdicionada conforme graacutefico abaixo alcanccedilou indicadores
abaixo da meacutedia das demais instituiccedilotildees pesquisadas no GDF nas seguintes
dimensotildees
a Resultados de TI para a sociedade
b Processos de Trabalho relevantes da unidade de TIC
c Processo de Contrataccedilatildeo de TIC
d Governanccedila e Planejamento Institucional e de TIC
9 COBIT eacute um modelo de governanccedila e gestatildeo de TI mantido pelo ISACA com a finalidade de apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma loacutegica e estruturada tendo como foco o relacionamento entre os objetivos de negoacutecio com os objetivos de TI
10 Padratildeo para sistema de gestatildeo da seguranccedila da informaccedilatildeo (ISMS - Information Security Management System) elaborada para prover um modelo para estabelecer implementar operar monitorar analisar criticamente manter e melhorar um Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
14
Graacutefico 1
Governanccedila de TIC GDF ndash 2017
Fonte Relatoacuterio de Auditoria de Governanccedila ndash Processo nordm 1016117
000 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Governanccedila e Planejamento Institutcional e de TIC
Processo de Contrataccedilatildeo de TIC
Processos de Trabalho Relevantes
Resultados de TI
Transparecircncia e Prestaccedilatildeo de Contas
i-GOV DF 2017
Dimensotildees i-Gov DF 2017
SEEDF Meacutedio
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
15
2 Resultados da Auditoria
21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
No trabalho realizado verificou-se a regular execuccedilatildeo dos Contratos nos 632011 e
232017 (Telefonia) e do Contrato nordm 062016 (infraestrutura de TI) ao passo que no
Contrato nordm 192013 (enlace de comunicaccedilatildeo de dados) houve a interrupccedilatildeo pela
empresa contratada do fornecimento dos serviccedilos no exerciacutecio de 2017 em razatildeo da
falta de pagamentos de deacutebitos preteacuteritos Em relaccedilatildeo ao Contrato nordm 062016
(infraestrutura de TI) observou-se elevado iacutendice de atendimento presencial em
comparaccedilatildeo ao remoto
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de
dados nas unidades educacionais
Criteacuterios
29 O art 66 da Lei 866693 dispotildee que o contrato deveraacute ser executado
fielmente pelas partes de acordo com as claacuteusulas avenccediladas e as normas desta Lei
respondendo cada uma pelas consequecircncias de sua inexecuccedilatildeo total ou parcial
Anaacutelises e Evidecircncias
30 O Contrato nordm 19201311 firmado entre a SEEDF e a empresa OI SA em
01032013 teve como objeto o fornecimento e implantaccedilatildeo de soluccedilatildeo global de
comunicaccedilatildeo de dados IPMPLS em rede privada para as unidades administrativas e
instituiccedilotildees de ensino da SEEDF com valor anual contratado de R$ 579868992 nos
termos do Processo nordm 0800069182012
31 Segundo informaccedilotildees do executor do contrato encaminhadas por meio
de despacho agrave Coordenaccedilatildeo de Informaacutetica da SEEDF12 a partir de 16052017 a
empresa suspendeu gradativamente o fornecimento dos serviccedilos culminando com o
desligamento total dos circuitos de dados em 27072017 em virtude da falta de
11 Arquivo associado ao processo (Contrato 192013 - Link de Dadospdf) ou DA_28
12 Arquivo associado ao processo (Documento do Executor do contrato 192013pdf) ou DA_PT_29
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
9
7 Segundo estudos2 as condiccedilotildees de infraestrutura e de equipamentos
de apoio didaacutetico satildeo fatores importantes para a melhoria da aprendizagem sendo
inclusive objeto de diagnoacutestico perioacutedico realizado pelo Censo Escolar coordenado
pelo Ministeacuterio da Educaccedilatildeo ndash MEC
8 Destaca-se que o uso da TI pode contribuir para incrementar a
aprendizagem notadamente quando aliada agrave disponibilizaccedilatildeo de laboratoacuterio de
informaacutetica para o estudante
9 A tecnologia da informaccedilatildeo integrada agrave proposta pedagoacutegica estaacute
contemplada na estrateacutegia 712 tecnologias educacionais3 do Plano Nacional de
Educaccedilatildeo (PNE4) Essa estrateacutegia preconiza o uso dos recursos tecnoloacutegicos para
melhoria do fluxo escolar e da aprendizagem para a Educaccedilatildeo Infantil Ensino
Fundamental e Meacutedio
10 No acircmbito federal foi criado o ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo por meio da PortariaMEC nordm 522 de 090497 com a
finalidade de disseminar o uso pedagoacutegico das tecnologias de informaacutetica e
telecomunicaccedilotildees nas escolas puacuteblicas de ensino fundamental e meacutedio pertencentes
agraves redes estadual e municipal
11 O programa leva agraves escolas puacuteblicas computadores recursos digitais
e conteuacutedos educacionais Em contrapartida estados Distrito Federal e municiacutepios
devem garantir a estrutura adequada para receber os laboratoacuterios e capacitar os
educadores para uso das maacutequinas e tecnologias
12 Aleacutem disso o FNDE ndash Fundo Nacional de Desenvolvimento da
Educaccedilatildeo por meio do Programa Banda Larga nas Escolas (PBLE5) prevecirc o
2 Arquivo associado ao processo (TI_na_Educacao_01pdf e TI_na_Educacao02pdf) ou DA_PT_19 e DA_PT_20
3 httpwwwobservatoriodopneorgbrmetas-pne7-aprendizado-adequado-fluxo-adequadoestrategias7-12-tecnologias-educacionais (Acesso em 12092018)
4 O PNE - Plano Nacional de Educaccedilatildeo Lei nordm 130052014 determina diretrizes metas e estrateacutegias para a poliacutetica educacional dos proacuteximos dez anos
5 PBLE - Programa Banda Larga nas Escolas (PBLE) foi lanccedilado em 4 de abril de 2008 pelo governo federal por meio do Decreto 6424 que altera o Plano Geral de Metas para a Universalizaccedilatildeo do Serviccedilo Telefocircnico Fixo Comutado Prestado no Regime Puacuteblico (PGMU) Fazem parte do programa as operadoras Telefocircnica CTBC Sercomtel e OiBrt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
10
atendimentoacesso agrave Internet para as escolas puacuteblicas urbanas considerando as
informaccedilotildees do censo da educaccedilatildeo baacutesica
13 No caso em tela a SEEDF deve assegurar os recursos necessaacuterios
de apoio educacional ao processo de informatizaccedilatildeo das escolas (acesso agrave internet
equipamentos softwares educativos suporte teacutecnico e sistemas informatizados de
apoio escolar)
14 Cabe registrar o uso do sistema i-Educar6 na gestatildeo escolar do DF
desde 2014 tornando necessaacuterio que a SEEDF assegure a confidencialidade
integridade e disponibilidade das informaccedilotildees geradas pelo sistema
15 Desta forma torna-se fundamental o aperfeiccediloamento do uso das
tecnologias da informaccedilatildeo tanto no processo educacional por parte dos alunos quanto
no processo de gestatildeo por parte da SEEDF
131 Fiscalizaccedilotildees Anteriores
16 Fiscalizaccedilotildees anteriores apontam para a necessidade de melhoria no
processo de manutenccedilatildeo e desenvolvimento de softwares utilizados no apoio da
gestatildeo educacional a exemplo de recomendaccedilotildees preteacuteritas desta Corte no acircmbito
dos processos nos 11302014 (Gestatildeo de profissionais de magisteacuterio) 89202015
(Programa de alimentaccedilatildeo escolar) 1432013 (Accedilotildees governamentais no Ensino
Meacutedio) e 886615 (Efetivaccedilatildeo de Matriacutecula)
14 Objetivos
141 Objetivo Geral
17 Verificar a regularidade da execuccedilatildeo contratual dos principais
fornecedores de TIC os recursos de TIC empregados no suporte ao aprendizado do
aluno e a integridade confidencialidade e disponibilidade das informaccedilotildees dos
sistemas de gestatildeo escolar
6 A principal finalidade do software eacute informatizar a gestatildeo das informaccedilotildees educacionais contribuindo
com a racionalizaccedilatildeo do trabalho No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema para escrituraccedilatildeo acadecircmica em todas as unidades escolares
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
11
142 Objetivos Especiacuteficos
18 Em funccedilatildeo do objetivo geral da Auditoria foram definidas as seguintes
questotildees
Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
Questatildeo 2 - O uso dos recursos de TIC para fins educacionais
foram suficientemente disponibilizados pela SEEDF agraves unidades
escolares e satildeo utilizados regularmente pelos alunos
Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo
escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis
15 Escopo
19 Foram analisados os seguintes contratos que envolvem TIC com
vigecircncia no exerciacutecio de 2017 para verificaccedilatildeo da regularidade da execuccedilatildeo
Tabela 1 Contrataccedilatildeo de TIC pela SEEDF
Empresas
Fornecedor
ServiccedilosContratos Valor Pago (R$)
OI SA Telefonia Contratos nordms 632011 e 232017 108634494
OI SA Circuito de Dados MPLS Contrato nordm 192013 132000000
STEFANINI SA Desenvolvimento e Manutenccedilatildeo de TI Contrato nordm 062016
201148802
Fonte SIGGO
20 Ainda foram avaliados os sistemas de informaccedilatildeo de apoio agrave gestatildeo
escolar da Secretaria de Estado de Educaccedilatildeo do DF (i-Educar SIGEP) no tocante agrave
disponibilidade integridade e confidencialidade das informaccedilotildees bem como os
recursos de TIC empregados na aprendizagem do aluno a exemplo de computadores
internet softwares entre outros
16 Montante Fiscalizado7
21 No uacuteltimo exerciacutecio (2017) considerando as maiores despesas com
7 Tendo em conta a inexistecircncia de Programa de Trabalho especiacutefico natildeo consta do montante examinado os gastos com gestatildeo dos recursos de TIC empregados no suporte ao aprendizado tampouco com a Seguranccedila da Informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
12
empresas prestadoras de serviccedilos de tecnologia da informaccedilatildeo foi empenhado o
montante de R$ 709636553 (sete milhotildees noventa e seis mil trezentos e sessenta
e cinco reais e cinquenta e trecircs centavos) conforme demonstrativo abaixo
Tabela 2 Anaacutelise da Extensatildeo dos Testes de Auditoria
Fonte SIGGO
17 Metodologia
22 Os procedimentos e teacutecnicas utilizadas na execuccedilatildeo da presente
auditoria encontram-se registrados na Matriz de Planejamento
23 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins pedagoacutegicos definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares Assim selecionou-se aleatoriamente as escolas
a serem visitadas dentro da populaccedilatildeo-alvo levando-se em conta as escolas que
possuem laboratoacuterios de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash
DRESEDF agrave qual se encontra vinculada com a finalidade de assegurar que a amostra
selecionada fosse representativa Nesse sentido visitou-se 31 escolas8
representando 5 de cada Regional de Ensino do DF
18 Criteacuterios de auditoria
24 Os criteacuterios de regularidade utilizados na presente auditoria foram
extraiacutedos da Instruccedilatildeo Normativa nordm 042014-SLTIMPOG principal normativo que
8 DA_PT_22 - Escolas visitadas e DA_26 - Parque dos computadores das escolas visitadas
CNPJ Empresa Valor Empenhado (R$)
4759978000192 AZ TECNOLOGIA LTDA 8237500
76535764032690 OI SA 140500076
76535764000143 OI SA 170583100
5423963000111 OI SA 51333400
21262834000145 IDTCORP COMERCIO E TECNOLOGIA DA INFORMACcedilAtildeO EIRELI 6950000
21748841000151 TECNETWORKING SERVICcedilOS E SOLUCcedilOtildeES EM TI LTDA -ME 5535420
58069360000120 STEFANINI SA 326497057
709636553TOTAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
13
rege a contrataccedilatildeo de bens e serviccedilos puacuteblicos de tecnologia da informaccedilatildeo
recepcionada no Distrito Federal pelo Decreto nordm 346672016 bem como da Lei
nordm 866693 (artigos 66 ao 76)
25 As melhores praacuteticas foram extraiacutedas dos modelos COBIT 59 e NBR
ISOIEC 270021310
19 Avaliaccedilatildeo de Controle Interno
26 Para o estabelecimento do Risco Inerente levou-se em consideraccedilatildeo a
materialidade dos valores envolvidos na Fiscalizaccedilatildeo (sect 19)
27 Considerando esse criteacuterio e de acordo com o Manual de Auditoria do
TCDF o Risco Inerente do objeto da Fiscalizaccedilatildeo pode ser considerado ldquoBaixordquo
28 O Risco de Controle ficou situado no niacutevel ldquoFracordquo em razatildeo da
avaliaccedilatildeo dos controles internos relacionados ao objeto da auditoria considerando o
questionaacuterio de governanccedilagestatildeo respondido pela jurisdicionada (Processo TCDF
nordm 1016117) no qual a jurisdicionada conforme graacutefico abaixo alcanccedilou indicadores
abaixo da meacutedia das demais instituiccedilotildees pesquisadas no GDF nas seguintes
dimensotildees
a Resultados de TI para a sociedade
b Processos de Trabalho relevantes da unidade de TIC
c Processo de Contrataccedilatildeo de TIC
d Governanccedila e Planejamento Institucional e de TIC
9 COBIT eacute um modelo de governanccedila e gestatildeo de TI mantido pelo ISACA com a finalidade de apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma loacutegica e estruturada tendo como foco o relacionamento entre os objetivos de negoacutecio com os objetivos de TI
10 Padratildeo para sistema de gestatildeo da seguranccedila da informaccedilatildeo (ISMS - Information Security Management System) elaborada para prover um modelo para estabelecer implementar operar monitorar analisar criticamente manter e melhorar um Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
14
Graacutefico 1
Governanccedila de TIC GDF ndash 2017
Fonte Relatoacuterio de Auditoria de Governanccedila ndash Processo nordm 1016117
000 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Governanccedila e Planejamento Institutcional e de TIC
Processo de Contrataccedilatildeo de TIC
Processos de Trabalho Relevantes
Resultados de TI
Transparecircncia e Prestaccedilatildeo de Contas
i-GOV DF 2017
Dimensotildees i-Gov DF 2017
SEEDF Meacutedio
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
15
2 Resultados da Auditoria
21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
No trabalho realizado verificou-se a regular execuccedilatildeo dos Contratos nos 632011 e
232017 (Telefonia) e do Contrato nordm 062016 (infraestrutura de TI) ao passo que no
Contrato nordm 192013 (enlace de comunicaccedilatildeo de dados) houve a interrupccedilatildeo pela
empresa contratada do fornecimento dos serviccedilos no exerciacutecio de 2017 em razatildeo da
falta de pagamentos de deacutebitos preteacuteritos Em relaccedilatildeo ao Contrato nordm 062016
(infraestrutura de TI) observou-se elevado iacutendice de atendimento presencial em
comparaccedilatildeo ao remoto
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de
dados nas unidades educacionais
Criteacuterios
29 O art 66 da Lei 866693 dispotildee que o contrato deveraacute ser executado
fielmente pelas partes de acordo com as claacuteusulas avenccediladas e as normas desta Lei
respondendo cada uma pelas consequecircncias de sua inexecuccedilatildeo total ou parcial
Anaacutelises e Evidecircncias
30 O Contrato nordm 19201311 firmado entre a SEEDF e a empresa OI SA em
01032013 teve como objeto o fornecimento e implantaccedilatildeo de soluccedilatildeo global de
comunicaccedilatildeo de dados IPMPLS em rede privada para as unidades administrativas e
instituiccedilotildees de ensino da SEEDF com valor anual contratado de R$ 579868992 nos
termos do Processo nordm 0800069182012
31 Segundo informaccedilotildees do executor do contrato encaminhadas por meio
de despacho agrave Coordenaccedilatildeo de Informaacutetica da SEEDF12 a partir de 16052017 a
empresa suspendeu gradativamente o fornecimento dos serviccedilos culminando com o
desligamento total dos circuitos de dados em 27072017 em virtude da falta de
11 Arquivo associado ao processo (Contrato 192013 - Link de Dadospdf) ou DA_28
12 Arquivo associado ao processo (Documento do Executor do contrato 192013pdf) ou DA_PT_29
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
10
atendimentoacesso agrave Internet para as escolas puacuteblicas urbanas considerando as
informaccedilotildees do censo da educaccedilatildeo baacutesica
13 No caso em tela a SEEDF deve assegurar os recursos necessaacuterios
de apoio educacional ao processo de informatizaccedilatildeo das escolas (acesso agrave internet
equipamentos softwares educativos suporte teacutecnico e sistemas informatizados de
apoio escolar)
14 Cabe registrar o uso do sistema i-Educar6 na gestatildeo escolar do DF
desde 2014 tornando necessaacuterio que a SEEDF assegure a confidencialidade
integridade e disponibilidade das informaccedilotildees geradas pelo sistema
15 Desta forma torna-se fundamental o aperfeiccediloamento do uso das
tecnologias da informaccedilatildeo tanto no processo educacional por parte dos alunos quanto
no processo de gestatildeo por parte da SEEDF
131 Fiscalizaccedilotildees Anteriores
16 Fiscalizaccedilotildees anteriores apontam para a necessidade de melhoria no
processo de manutenccedilatildeo e desenvolvimento de softwares utilizados no apoio da
gestatildeo educacional a exemplo de recomendaccedilotildees preteacuteritas desta Corte no acircmbito
dos processos nos 11302014 (Gestatildeo de profissionais de magisteacuterio) 89202015
(Programa de alimentaccedilatildeo escolar) 1432013 (Accedilotildees governamentais no Ensino
Meacutedio) e 886615 (Efetivaccedilatildeo de Matriacutecula)
14 Objetivos
141 Objetivo Geral
17 Verificar a regularidade da execuccedilatildeo contratual dos principais
fornecedores de TIC os recursos de TIC empregados no suporte ao aprendizado do
aluno e a integridade confidencialidade e disponibilidade das informaccedilotildees dos
sistemas de gestatildeo escolar
6 A principal finalidade do software eacute informatizar a gestatildeo das informaccedilotildees educacionais contribuindo
com a racionalizaccedilatildeo do trabalho No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema para escrituraccedilatildeo acadecircmica em todas as unidades escolares
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
11
142 Objetivos Especiacuteficos
18 Em funccedilatildeo do objetivo geral da Auditoria foram definidas as seguintes
questotildees
Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
Questatildeo 2 - O uso dos recursos de TIC para fins educacionais
foram suficientemente disponibilizados pela SEEDF agraves unidades
escolares e satildeo utilizados regularmente pelos alunos
Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo
escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis
15 Escopo
19 Foram analisados os seguintes contratos que envolvem TIC com
vigecircncia no exerciacutecio de 2017 para verificaccedilatildeo da regularidade da execuccedilatildeo
Tabela 1 Contrataccedilatildeo de TIC pela SEEDF
Empresas
Fornecedor
ServiccedilosContratos Valor Pago (R$)
OI SA Telefonia Contratos nordms 632011 e 232017 108634494
OI SA Circuito de Dados MPLS Contrato nordm 192013 132000000
STEFANINI SA Desenvolvimento e Manutenccedilatildeo de TI Contrato nordm 062016
201148802
Fonte SIGGO
20 Ainda foram avaliados os sistemas de informaccedilatildeo de apoio agrave gestatildeo
escolar da Secretaria de Estado de Educaccedilatildeo do DF (i-Educar SIGEP) no tocante agrave
disponibilidade integridade e confidencialidade das informaccedilotildees bem como os
recursos de TIC empregados na aprendizagem do aluno a exemplo de computadores
internet softwares entre outros
16 Montante Fiscalizado7
21 No uacuteltimo exerciacutecio (2017) considerando as maiores despesas com
7 Tendo em conta a inexistecircncia de Programa de Trabalho especiacutefico natildeo consta do montante examinado os gastos com gestatildeo dos recursos de TIC empregados no suporte ao aprendizado tampouco com a Seguranccedila da Informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
12
empresas prestadoras de serviccedilos de tecnologia da informaccedilatildeo foi empenhado o
montante de R$ 709636553 (sete milhotildees noventa e seis mil trezentos e sessenta
e cinco reais e cinquenta e trecircs centavos) conforme demonstrativo abaixo
Tabela 2 Anaacutelise da Extensatildeo dos Testes de Auditoria
Fonte SIGGO
17 Metodologia
22 Os procedimentos e teacutecnicas utilizadas na execuccedilatildeo da presente
auditoria encontram-se registrados na Matriz de Planejamento
23 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins pedagoacutegicos definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares Assim selecionou-se aleatoriamente as escolas
a serem visitadas dentro da populaccedilatildeo-alvo levando-se em conta as escolas que
possuem laboratoacuterios de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash
DRESEDF agrave qual se encontra vinculada com a finalidade de assegurar que a amostra
selecionada fosse representativa Nesse sentido visitou-se 31 escolas8
representando 5 de cada Regional de Ensino do DF
18 Criteacuterios de auditoria
24 Os criteacuterios de regularidade utilizados na presente auditoria foram
extraiacutedos da Instruccedilatildeo Normativa nordm 042014-SLTIMPOG principal normativo que
8 DA_PT_22 - Escolas visitadas e DA_26 - Parque dos computadores das escolas visitadas
CNPJ Empresa Valor Empenhado (R$)
4759978000192 AZ TECNOLOGIA LTDA 8237500
76535764032690 OI SA 140500076
76535764000143 OI SA 170583100
5423963000111 OI SA 51333400
21262834000145 IDTCORP COMERCIO E TECNOLOGIA DA INFORMACcedilAtildeO EIRELI 6950000
21748841000151 TECNETWORKING SERVICcedilOS E SOLUCcedilOtildeES EM TI LTDA -ME 5535420
58069360000120 STEFANINI SA 326497057
709636553TOTAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
13
rege a contrataccedilatildeo de bens e serviccedilos puacuteblicos de tecnologia da informaccedilatildeo
recepcionada no Distrito Federal pelo Decreto nordm 346672016 bem como da Lei
nordm 866693 (artigos 66 ao 76)
25 As melhores praacuteticas foram extraiacutedas dos modelos COBIT 59 e NBR
ISOIEC 270021310
19 Avaliaccedilatildeo de Controle Interno
26 Para o estabelecimento do Risco Inerente levou-se em consideraccedilatildeo a
materialidade dos valores envolvidos na Fiscalizaccedilatildeo (sect 19)
27 Considerando esse criteacuterio e de acordo com o Manual de Auditoria do
TCDF o Risco Inerente do objeto da Fiscalizaccedilatildeo pode ser considerado ldquoBaixordquo
28 O Risco de Controle ficou situado no niacutevel ldquoFracordquo em razatildeo da
avaliaccedilatildeo dos controles internos relacionados ao objeto da auditoria considerando o
questionaacuterio de governanccedilagestatildeo respondido pela jurisdicionada (Processo TCDF
nordm 1016117) no qual a jurisdicionada conforme graacutefico abaixo alcanccedilou indicadores
abaixo da meacutedia das demais instituiccedilotildees pesquisadas no GDF nas seguintes
dimensotildees
a Resultados de TI para a sociedade
b Processos de Trabalho relevantes da unidade de TIC
c Processo de Contrataccedilatildeo de TIC
d Governanccedila e Planejamento Institucional e de TIC
9 COBIT eacute um modelo de governanccedila e gestatildeo de TI mantido pelo ISACA com a finalidade de apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma loacutegica e estruturada tendo como foco o relacionamento entre os objetivos de negoacutecio com os objetivos de TI
10 Padratildeo para sistema de gestatildeo da seguranccedila da informaccedilatildeo (ISMS - Information Security Management System) elaborada para prover um modelo para estabelecer implementar operar monitorar analisar criticamente manter e melhorar um Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
14
Graacutefico 1
Governanccedila de TIC GDF ndash 2017
Fonte Relatoacuterio de Auditoria de Governanccedila ndash Processo nordm 1016117
000 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Governanccedila e Planejamento Institutcional e de TIC
Processo de Contrataccedilatildeo de TIC
Processos de Trabalho Relevantes
Resultados de TI
Transparecircncia e Prestaccedilatildeo de Contas
i-GOV DF 2017
Dimensotildees i-Gov DF 2017
SEEDF Meacutedio
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
15
2 Resultados da Auditoria
21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
No trabalho realizado verificou-se a regular execuccedilatildeo dos Contratos nos 632011 e
232017 (Telefonia) e do Contrato nordm 062016 (infraestrutura de TI) ao passo que no
Contrato nordm 192013 (enlace de comunicaccedilatildeo de dados) houve a interrupccedilatildeo pela
empresa contratada do fornecimento dos serviccedilos no exerciacutecio de 2017 em razatildeo da
falta de pagamentos de deacutebitos preteacuteritos Em relaccedilatildeo ao Contrato nordm 062016
(infraestrutura de TI) observou-se elevado iacutendice de atendimento presencial em
comparaccedilatildeo ao remoto
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de
dados nas unidades educacionais
Criteacuterios
29 O art 66 da Lei 866693 dispotildee que o contrato deveraacute ser executado
fielmente pelas partes de acordo com as claacuteusulas avenccediladas e as normas desta Lei
respondendo cada uma pelas consequecircncias de sua inexecuccedilatildeo total ou parcial
Anaacutelises e Evidecircncias
30 O Contrato nordm 19201311 firmado entre a SEEDF e a empresa OI SA em
01032013 teve como objeto o fornecimento e implantaccedilatildeo de soluccedilatildeo global de
comunicaccedilatildeo de dados IPMPLS em rede privada para as unidades administrativas e
instituiccedilotildees de ensino da SEEDF com valor anual contratado de R$ 579868992 nos
termos do Processo nordm 0800069182012
31 Segundo informaccedilotildees do executor do contrato encaminhadas por meio
de despacho agrave Coordenaccedilatildeo de Informaacutetica da SEEDF12 a partir de 16052017 a
empresa suspendeu gradativamente o fornecimento dos serviccedilos culminando com o
desligamento total dos circuitos de dados em 27072017 em virtude da falta de
11 Arquivo associado ao processo (Contrato 192013 - Link de Dadospdf) ou DA_28
12 Arquivo associado ao processo (Documento do Executor do contrato 192013pdf) ou DA_PT_29
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
11
142 Objetivos Especiacuteficos
18 Em funccedilatildeo do objetivo geral da Auditoria foram definidas as seguintes
questotildees
Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
Questatildeo 2 - O uso dos recursos de TIC para fins educacionais
foram suficientemente disponibilizados pela SEEDF agraves unidades
escolares e satildeo utilizados regularmente pelos alunos
Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo
escolar e de apoio satildeo confidenciais iacutentegras e disponiacuteveis
15 Escopo
19 Foram analisados os seguintes contratos que envolvem TIC com
vigecircncia no exerciacutecio de 2017 para verificaccedilatildeo da regularidade da execuccedilatildeo
Tabela 1 Contrataccedilatildeo de TIC pela SEEDF
Empresas
Fornecedor
ServiccedilosContratos Valor Pago (R$)
OI SA Telefonia Contratos nordms 632011 e 232017 108634494
OI SA Circuito de Dados MPLS Contrato nordm 192013 132000000
STEFANINI SA Desenvolvimento e Manutenccedilatildeo de TI Contrato nordm 062016
201148802
Fonte SIGGO
20 Ainda foram avaliados os sistemas de informaccedilatildeo de apoio agrave gestatildeo
escolar da Secretaria de Estado de Educaccedilatildeo do DF (i-Educar SIGEP) no tocante agrave
disponibilidade integridade e confidencialidade das informaccedilotildees bem como os
recursos de TIC empregados na aprendizagem do aluno a exemplo de computadores
internet softwares entre outros
16 Montante Fiscalizado7
21 No uacuteltimo exerciacutecio (2017) considerando as maiores despesas com
7 Tendo em conta a inexistecircncia de Programa de Trabalho especiacutefico natildeo consta do montante examinado os gastos com gestatildeo dos recursos de TIC empregados no suporte ao aprendizado tampouco com a Seguranccedila da Informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
12
empresas prestadoras de serviccedilos de tecnologia da informaccedilatildeo foi empenhado o
montante de R$ 709636553 (sete milhotildees noventa e seis mil trezentos e sessenta
e cinco reais e cinquenta e trecircs centavos) conforme demonstrativo abaixo
Tabela 2 Anaacutelise da Extensatildeo dos Testes de Auditoria
Fonte SIGGO
17 Metodologia
22 Os procedimentos e teacutecnicas utilizadas na execuccedilatildeo da presente
auditoria encontram-se registrados na Matriz de Planejamento
23 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins pedagoacutegicos definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares Assim selecionou-se aleatoriamente as escolas
a serem visitadas dentro da populaccedilatildeo-alvo levando-se em conta as escolas que
possuem laboratoacuterios de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash
DRESEDF agrave qual se encontra vinculada com a finalidade de assegurar que a amostra
selecionada fosse representativa Nesse sentido visitou-se 31 escolas8
representando 5 de cada Regional de Ensino do DF
18 Criteacuterios de auditoria
24 Os criteacuterios de regularidade utilizados na presente auditoria foram
extraiacutedos da Instruccedilatildeo Normativa nordm 042014-SLTIMPOG principal normativo que
8 DA_PT_22 - Escolas visitadas e DA_26 - Parque dos computadores das escolas visitadas
CNPJ Empresa Valor Empenhado (R$)
4759978000192 AZ TECNOLOGIA LTDA 8237500
76535764032690 OI SA 140500076
76535764000143 OI SA 170583100
5423963000111 OI SA 51333400
21262834000145 IDTCORP COMERCIO E TECNOLOGIA DA INFORMACcedilAtildeO EIRELI 6950000
21748841000151 TECNETWORKING SERVICcedilOS E SOLUCcedilOtildeES EM TI LTDA -ME 5535420
58069360000120 STEFANINI SA 326497057
709636553TOTAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
13
rege a contrataccedilatildeo de bens e serviccedilos puacuteblicos de tecnologia da informaccedilatildeo
recepcionada no Distrito Federal pelo Decreto nordm 346672016 bem como da Lei
nordm 866693 (artigos 66 ao 76)
25 As melhores praacuteticas foram extraiacutedas dos modelos COBIT 59 e NBR
ISOIEC 270021310
19 Avaliaccedilatildeo de Controle Interno
26 Para o estabelecimento do Risco Inerente levou-se em consideraccedilatildeo a
materialidade dos valores envolvidos na Fiscalizaccedilatildeo (sect 19)
27 Considerando esse criteacuterio e de acordo com o Manual de Auditoria do
TCDF o Risco Inerente do objeto da Fiscalizaccedilatildeo pode ser considerado ldquoBaixordquo
28 O Risco de Controle ficou situado no niacutevel ldquoFracordquo em razatildeo da
avaliaccedilatildeo dos controles internos relacionados ao objeto da auditoria considerando o
questionaacuterio de governanccedilagestatildeo respondido pela jurisdicionada (Processo TCDF
nordm 1016117) no qual a jurisdicionada conforme graacutefico abaixo alcanccedilou indicadores
abaixo da meacutedia das demais instituiccedilotildees pesquisadas no GDF nas seguintes
dimensotildees
a Resultados de TI para a sociedade
b Processos de Trabalho relevantes da unidade de TIC
c Processo de Contrataccedilatildeo de TIC
d Governanccedila e Planejamento Institucional e de TIC
9 COBIT eacute um modelo de governanccedila e gestatildeo de TI mantido pelo ISACA com a finalidade de apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma loacutegica e estruturada tendo como foco o relacionamento entre os objetivos de negoacutecio com os objetivos de TI
10 Padratildeo para sistema de gestatildeo da seguranccedila da informaccedilatildeo (ISMS - Information Security Management System) elaborada para prover um modelo para estabelecer implementar operar monitorar analisar criticamente manter e melhorar um Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
14
Graacutefico 1
Governanccedila de TIC GDF ndash 2017
Fonte Relatoacuterio de Auditoria de Governanccedila ndash Processo nordm 1016117
000 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Governanccedila e Planejamento Institutcional e de TIC
Processo de Contrataccedilatildeo de TIC
Processos de Trabalho Relevantes
Resultados de TI
Transparecircncia e Prestaccedilatildeo de Contas
i-GOV DF 2017
Dimensotildees i-Gov DF 2017
SEEDF Meacutedio
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
15
2 Resultados da Auditoria
21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
No trabalho realizado verificou-se a regular execuccedilatildeo dos Contratos nos 632011 e
232017 (Telefonia) e do Contrato nordm 062016 (infraestrutura de TI) ao passo que no
Contrato nordm 192013 (enlace de comunicaccedilatildeo de dados) houve a interrupccedilatildeo pela
empresa contratada do fornecimento dos serviccedilos no exerciacutecio de 2017 em razatildeo da
falta de pagamentos de deacutebitos preteacuteritos Em relaccedilatildeo ao Contrato nordm 062016
(infraestrutura de TI) observou-se elevado iacutendice de atendimento presencial em
comparaccedilatildeo ao remoto
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de
dados nas unidades educacionais
Criteacuterios
29 O art 66 da Lei 866693 dispotildee que o contrato deveraacute ser executado
fielmente pelas partes de acordo com as claacuteusulas avenccediladas e as normas desta Lei
respondendo cada uma pelas consequecircncias de sua inexecuccedilatildeo total ou parcial
Anaacutelises e Evidecircncias
30 O Contrato nordm 19201311 firmado entre a SEEDF e a empresa OI SA em
01032013 teve como objeto o fornecimento e implantaccedilatildeo de soluccedilatildeo global de
comunicaccedilatildeo de dados IPMPLS em rede privada para as unidades administrativas e
instituiccedilotildees de ensino da SEEDF com valor anual contratado de R$ 579868992 nos
termos do Processo nordm 0800069182012
31 Segundo informaccedilotildees do executor do contrato encaminhadas por meio
de despacho agrave Coordenaccedilatildeo de Informaacutetica da SEEDF12 a partir de 16052017 a
empresa suspendeu gradativamente o fornecimento dos serviccedilos culminando com o
desligamento total dos circuitos de dados em 27072017 em virtude da falta de
11 Arquivo associado ao processo (Contrato 192013 - Link de Dadospdf) ou DA_28
12 Arquivo associado ao processo (Documento do Executor do contrato 192013pdf) ou DA_PT_29
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
12
empresas prestadoras de serviccedilos de tecnologia da informaccedilatildeo foi empenhado o
montante de R$ 709636553 (sete milhotildees noventa e seis mil trezentos e sessenta
e cinco reais e cinquenta e trecircs centavos) conforme demonstrativo abaixo
Tabela 2 Anaacutelise da Extensatildeo dos Testes de Auditoria
Fonte SIGGO
17 Metodologia
22 Os procedimentos e teacutecnicas utilizadas na execuccedilatildeo da presente
auditoria encontram-se registrados na Matriz de Planejamento
23 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins pedagoacutegicos definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares Assim selecionou-se aleatoriamente as escolas
a serem visitadas dentro da populaccedilatildeo-alvo levando-se em conta as escolas que
possuem laboratoacuterios de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash
DRESEDF agrave qual se encontra vinculada com a finalidade de assegurar que a amostra
selecionada fosse representativa Nesse sentido visitou-se 31 escolas8
representando 5 de cada Regional de Ensino do DF
18 Criteacuterios de auditoria
24 Os criteacuterios de regularidade utilizados na presente auditoria foram
extraiacutedos da Instruccedilatildeo Normativa nordm 042014-SLTIMPOG principal normativo que
8 DA_PT_22 - Escolas visitadas e DA_26 - Parque dos computadores das escolas visitadas
CNPJ Empresa Valor Empenhado (R$)
4759978000192 AZ TECNOLOGIA LTDA 8237500
76535764032690 OI SA 140500076
76535764000143 OI SA 170583100
5423963000111 OI SA 51333400
21262834000145 IDTCORP COMERCIO E TECNOLOGIA DA INFORMACcedilAtildeO EIRELI 6950000
21748841000151 TECNETWORKING SERVICcedilOS E SOLUCcedilOtildeES EM TI LTDA -ME 5535420
58069360000120 STEFANINI SA 326497057
709636553TOTAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
13
rege a contrataccedilatildeo de bens e serviccedilos puacuteblicos de tecnologia da informaccedilatildeo
recepcionada no Distrito Federal pelo Decreto nordm 346672016 bem como da Lei
nordm 866693 (artigos 66 ao 76)
25 As melhores praacuteticas foram extraiacutedas dos modelos COBIT 59 e NBR
ISOIEC 270021310
19 Avaliaccedilatildeo de Controle Interno
26 Para o estabelecimento do Risco Inerente levou-se em consideraccedilatildeo a
materialidade dos valores envolvidos na Fiscalizaccedilatildeo (sect 19)
27 Considerando esse criteacuterio e de acordo com o Manual de Auditoria do
TCDF o Risco Inerente do objeto da Fiscalizaccedilatildeo pode ser considerado ldquoBaixordquo
28 O Risco de Controle ficou situado no niacutevel ldquoFracordquo em razatildeo da
avaliaccedilatildeo dos controles internos relacionados ao objeto da auditoria considerando o
questionaacuterio de governanccedilagestatildeo respondido pela jurisdicionada (Processo TCDF
nordm 1016117) no qual a jurisdicionada conforme graacutefico abaixo alcanccedilou indicadores
abaixo da meacutedia das demais instituiccedilotildees pesquisadas no GDF nas seguintes
dimensotildees
a Resultados de TI para a sociedade
b Processos de Trabalho relevantes da unidade de TIC
c Processo de Contrataccedilatildeo de TIC
d Governanccedila e Planejamento Institucional e de TIC
9 COBIT eacute um modelo de governanccedila e gestatildeo de TI mantido pelo ISACA com a finalidade de apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma loacutegica e estruturada tendo como foco o relacionamento entre os objetivos de negoacutecio com os objetivos de TI
10 Padratildeo para sistema de gestatildeo da seguranccedila da informaccedilatildeo (ISMS - Information Security Management System) elaborada para prover um modelo para estabelecer implementar operar monitorar analisar criticamente manter e melhorar um Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
14
Graacutefico 1
Governanccedila de TIC GDF ndash 2017
Fonte Relatoacuterio de Auditoria de Governanccedila ndash Processo nordm 1016117
000 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Governanccedila e Planejamento Institutcional e de TIC
Processo de Contrataccedilatildeo de TIC
Processos de Trabalho Relevantes
Resultados de TI
Transparecircncia e Prestaccedilatildeo de Contas
i-GOV DF 2017
Dimensotildees i-Gov DF 2017
SEEDF Meacutedio
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
15
2 Resultados da Auditoria
21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
No trabalho realizado verificou-se a regular execuccedilatildeo dos Contratos nos 632011 e
232017 (Telefonia) e do Contrato nordm 062016 (infraestrutura de TI) ao passo que no
Contrato nordm 192013 (enlace de comunicaccedilatildeo de dados) houve a interrupccedilatildeo pela
empresa contratada do fornecimento dos serviccedilos no exerciacutecio de 2017 em razatildeo da
falta de pagamentos de deacutebitos preteacuteritos Em relaccedilatildeo ao Contrato nordm 062016
(infraestrutura de TI) observou-se elevado iacutendice de atendimento presencial em
comparaccedilatildeo ao remoto
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de
dados nas unidades educacionais
Criteacuterios
29 O art 66 da Lei 866693 dispotildee que o contrato deveraacute ser executado
fielmente pelas partes de acordo com as claacuteusulas avenccediladas e as normas desta Lei
respondendo cada uma pelas consequecircncias de sua inexecuccedilatildeo total ou parcial
Anaacutelises e Evidecircncias
30 O Contrato nordm 19201311 firmado entre a SEEDF e a empresa OI SA em
01032013 teve como objeto o fornecimento e implantaccedilatildeo de soluccedilatildeo global de
comunicaccedilatildeo de dados IPMPLS em rede privada para as unidades administrativas e
instituiccedilotildees de ensino da SEEDF com valor anual contratado de R$ 579868992 nos
termos do Processo nordm 0800069182012
31 Segundo informaccedilotildees do executor do contrato encaminhadas por meio
de despacho agrave Coordenaccedilatildeo de Informaacutetica da SEEDF12 a partir de 16052017 a
empresa suspendeu gradativamente o fornecimento dos serviccedilos culminando com o
desligamento total dos circuitos de dados em 27072017 em virtude da falta de
11 Arquivo associado ao processo (Contrato 192013 - Link de Dadospdf) ou DA_28
12 Arquivo associado ao processo (Documento do Executor do contrato 192013pdf) ou DA_PT_29
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
13
rege a contrataccedilatildeo de bens e serviccedilos puacuteblicos de tecnologia da informaccedilatildeo
recepcionada no Distrito Federal pelo Decreto nordm 346672016 bem como da Lei
nordm 866693 (artigos 66 ao 76)
25 As melhores praacuteticas foram extraiacutedas dos modelos COBIT 59 e NBR
ISOIEC 270021310
19 Avaliaccedilatildeo de Controle Interno
26 Para o estabelecimento do Risco Inerente levou-se em consideraccedilatildeo a
materialidade dos valores envolvidos na Fiscalizaccedilatildeo (sect 19)
27 Considerando esse criteacuterio e de acordo com o Manual de Auditoria do
TCDF o Risco Inerente do objeto da Fiscalizaccedilatildeo pode ser considerado ldquoBaixordquo
28 O Risco de Controle ficou situado no niacutevel ldquoFracordquo em razatildeo da
avaliaccedilatildeo dos controles internos relacionados ao objeto da auditoria considerando o
questionaacuterio de governanccedilagestatildeo respondido pela jurisdicionada (Processo TCDF
nordm 1016117) no qual a jurisdicionada conforme graacutefico abaixo alcanccedilou indicadores
abaixo da meacutedia das demais instituiccedilotildees pesquisadas no GDF nas seguintes
dimensotildees
a Resultados de TI para a sociedade
b Processos de Trabalho relevantes da unidade de TIC
c Processo de Contrataccedilatildeo de TIC
d Governanccedila e Planejamento Institucional e de TIC
9 COBIT eacute um modelo de governanccedila e gestatildeo de TI mantido pelo ISACA com a finalidade de apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma loacutegica e estruturada tendo como foco o relacionamento entre os objetivos de negoacutecio com os objetivos de TI
10 Padratildeo para sistema de gestatildeo da seguranccedila da informaccedilatildeo (ISMS - Information Security Management System) elaborada para prover um modelo para estabelecer implementar operar monitorar analisar criticamente manter e melhorar um Sistema de Gestatildeo de Seguranccedila da Informaccedilatildeo (SGSI)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
14
Graacutefico 1
Governanccedila de TIC GDF ndash 2017
Fonte Relatoacuterio de Auditoria de Governanccedila ndash Processo nordm 1016117
000 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Governanccedila e Planejamento Institutcional e de TIC
Processo de Contrataccedilatildeo de TIC
Processos de Trabalho Relevantes
Resultados de TI
Transparecircncia e Prestaccedilatildeo de Contas
i-GOV DF 2017
Dimensotildees i-Gov DF 2017
SEEDF Meacutedio
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
15
2 Resultados da Auditoria
21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
No trabalho realizado verificou-se a regular execuccedilatildeo dos Contratos nos 632011 e
232017 (Telefonia) e do Contrato nordm 062016 (infraestrutura de TI) ao passo que no
Contrato nordm 192013 (enlace de comunicaccedilatildeo de dados) houve a interrupccedilatildeo pela
empresa contratada do fornecimento dos serviccedilos no exerciacutecio de 2017 em razatildeo da
falta de pagamentos de deacutebitos preteacuteritos Em relaccedilatildeo ao Contrato nordm 062016
(infraestrutura de TI) observou-se elevado iacutendice de atendimento presencial em
comparaccedilatildeo ao remoto
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de
dados nas unidades educacionais
Criteacuterios
29 O art 66 da Lei 866693 dispotildee que o contrato deveraacute ser executado
fielmente pelas partes de acordo com as claacuteusulas avenccediladas e as normas desta Lei
respondendo cada uma pelas consequecircncias de sua inexecuccedilatildeo total ou parcial
Anaacutelises e Evidecircncias
30 O Contrato nordm 19201311 firmado entre a SEEDF e a empresa OI SA em
01032013 teve como objeto o fornecimento e implantaccedilatildeo de soluccedilatildeo global de
comunicaccedilatildeo de dados IPMPLS em rede privada para as unidades administrativas e
instituiccedilotildees de ensino da SEEDF com valor anual contratado de R$ 579868992 nos
termos do Processo nordm 0800069182012
31 Segundo informaccedilotildees do executor do contrato encaminhadas por meio
de despacho agrave Coordenaccedilatildeo de Informaacutetica da SEEDF12 a partir de 16052017 a
empresa suspendeu gradativamente o fornecimento dos serviccedilos culminando com o
desligamento total dos circuitos de dados em 27072017 em virtude da falta de
11 Arquivo associado ao processo (Contrato 192013 - Link de Dadospdf) ou DA_28
12 Arquivo associado ao processo (Documento do Executor do contrato 192013pdf) ou DA_PT_29
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
14
Graacutefico 1
Governanccedila de TIC GDF ndash 2017
Fonte Relatoacuterio de Auditoria de Governanccedila ndash Processo nordm 1016117
000 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Governanccedila e Planejamento Institutcional e de TIC
Processo de Contrataccedilatildeo de TIC
Processos de Trabalho Relevantes
Resultados de TI
Transparecircncia e Prestaccedilatildeo de Contas
i-GOV DF 2017
Dimensotildees i-Gov DF 2017
SEEDF Meacutedio
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
15
2 Resultados da Auditoria
21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
No trabalho realizado verificou-se a regular execuccedilatildeo dos Contratos nos 632011 e
232017 (Telefonia) e do Contrato nordm 062016 (infraestrutura de TI) ao passo que no
Contrato nordm 192013 (enlace de comunicaccedilatildeo de dados) houve a interrupccedilatildeo pela
empresa contratada do fornecimento dos serviccedilos no exerciacutecio de 2017 em razatildeo da
falta de pagamentos de deacutebitos preteacuteritos Em relaccedilatildeo ao Contrato nordm 062016
(infraestrutura de TI) observou-se elevado iacutendice de atendimento presencial em
comparaccedilatildeo ao remoto
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de
dados nas unidades educacionais
Criteacuterios
29 O art 66 da Lei 866693 dispotildee que o contrato deveraacute ser executado
fielmente pelas partes de acordo com as claacuteusulas avenccediladas e as normas desta Lei
respondendo cada uma pelas consequecircncias de sua inexecuccedilatildeo total ou parcial
Anaacutelises e Evidecircncias
30 O Contrato nordm 19201311 firmado entre a SEEDF e a empresa OI SA em
01032013 teve como objeto o fornecimento e implantaccedilatildeo de soluccedilatildeo global de
comunicaccedilatildeo de dados IPMPLS em rede privada para as unidades administrativas e
instituiccedilotildees de ensino da SEEDF com valor anual contratado de R$ 579868992 nos
termos do Processo nordm 0800069182012
31 Segundo informaccedilotildees do executor do contrato encaminhadas por meio
de despacho agrave Coordenaccedilatildeo de Informaacutetica da SEEDF12 a partir de 16052017 a
empresa suspendeu gradativamente o fornecimento dos serviccedilos culminando com o
desligamento total dos circuitos de dados em 27072017 em virtude da falta de
11 Arquivo associado ao processo (Contrato 192013 - Link de Dadospdf) ou DA_28
12 Arquivo associado ao processo (Documento do Executor do contrato 192013pdf) ou DA_PT_29
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
15
2 Resultados da Auditoria
21 Questatildeo 1 - Os contratos que envolvem TIC satildeo executados em
conformidade com a legislaccedilatildeo e com as boas praacuteticas de TI
No trabalho realizado verificou-se a regular execuccedilatildeo dos Contratos nos 632011 e
232017 (Telefonia) e do Contrato nordm 062016 (infraestrutura de TI) ao passo que no
Contrato nordm 192013 (enlace de comunicaccedilatildeo de dados) houve a interrupccedilatildeo pela
empresa contratada do fornecimento dos serviccedilos no exerciacutecio de 2017 em razatildeo da
falta de pagamentos de deacutebitos preteacuteritos Em relaccedilatildeo ao Contrato nordm 062016
(infraestrutura de TI) observou-se elevado iacutendice de atendimento presencial em
comparaccedilatildeo ao remoto
211 Achado 1 ndash Descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de
dados nas unidades educacionais
Criteacuterios
29 O art 66 da Lei 866693 dispotildee que o contrato deveraacute ser executado
fielmente pelas partes de acordo com as claacuteusulas avenccediladas e as normas desta Lei
respondendo cada uma pelas consequecircncias de sua inexecuccedilatildeo total ou parcial
Anaacutelises e Evidecircncias
30 O Contrato nordm 19201311 firmado entre a SEEDF e a empresa OI SA em
01032013 teve como objeto o fornecimento e implantaccedilatildeo de soluccedilatildeo global de
comunicaccedilatildeo de dados IPMPLS em rede privada para as unidades administrativas e
instituiccedilotildees de ensino da SEEDF com valor anual contratado de R$ 579868992 nos
termos do Processo nordm 0800069182012
31 Segundo informaccedilotildees do executor do contrato encaminhadas por meio
de despacho agrave Coordenaccedilatildeo de Informaacutetica da SEEDF12 a partir de 16052017 a
empresa suspendeu gradativamente o fornecimento dos serviccedilos culminando com o
desligamento total dos circuitos de dados em 27072017 em virtude da falta de
11 Arquivo associado ao processo (Contrato 192013 - Link de Dadospdf) ou DA_28
12 Arquivo associado ao processo (Documento do Executor do contrato 192013pdf) ou DA_PT_29
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
16
pagamento de deacutebitos oriundos de reconhecimento de diacutevidas Em 01032018 o
Contrato extinguiu-se por decurso de prazo segundo informaccedilatildeo da aacuterea de contratos
da SEEDF
32 Em razatildeo disso os serviccedilos administrativos realizados pelas unidades
escolares sofreram forte impacto vez que os sistemas de apoio da SEEDF (SEI i-
Educar e SIGEP) satildeo acessados atualmente por meio da internet ou seja necessitam
da utilizaccedilatildeo de serviccedilos de comunicaccedilatildeo de dados
33 Diante desse cenaacuterio a SEEDF autorizou as unidades escolares a
contratarem serviccedilos de comunicaccedilatildeo de dados por meio de verbas distribuiacutedas pelo
Programa de Descentralizaccedilatildeo Administrativa e Financeira ndash PDAF nos termos da
Circular Conjunta SUMTECSUPLAVSUAG nordm 1 de 13061713 considerando o
desligamento dos serviccedilos anteriormente fornecidos pela contratada conforme se
verifica no rack de parede com porta de vidro desativado (vide foto)
Foto 1 - Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita da equipe in loco
34 No entanto restou evidenciado que a medida contingencialmente
adotada pela SEEDF natildeo surtiu efeito vez que das 31 escolas visitadas apenas duas
13 DA_30 ndash Resposta a Nota de Auditoria nordm 02 ndash 40932018 ndash resposta agrave questatildeo 7
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
17
noticiaram que utilizavam a verba do PDAF14
35 Neste caso constatou-se que a maioria15 dos diretores entrevistados
enfrentam dificuldades burocraacuteticas para contratarem serviccedilos de acesso agrave Internet
por meio do PDAF tais como obtenccedilatildeo de certidatildeo negativa falta de interesse de as
empresas proverem o serviccedilo atraso no recebimento da verba entre outros
36 Para resolver a falta de acesso agrave Internet para operar os sistemas
administrativos da SEEDF observou-se que a maioria16 das escolas visitadas utilizam
como forma de custeio desse serviccedilo as Associaccedilotildees de Pais e Mestres - APMrsquos eou
cotizaccedilatildeo entre os servidores
37 Por meio de resposta agrave Nota de Auditoria nordm 02-409320181718 a
SEEDF noticiou que ldquoA Subsecretaria de Modernizaccedilatildeo e Tecnologia em cooperaccedilatildeo com
a SUTICSEPLAG tem envidado esforccedilos para ampliar o acesso agrave rede GDFNet conforme
Portaria Conjunta SEEDFSEPLAG nordm 15 de 21917 publicada no DODF nordm 183 de 22917
Informamos tambeacutem que a SEEDF estaacute trabalhando um novo processo licitatoacuterio para
melhorar o serviccedilo de internet nas Escolas (Administrativo e Pedagoacutegico) com a previsatildeo de
publicaccedilatildeo no primeiro semestre 2018rdquo
38 A situaccedilatildeo atual demonstra a necessidade de a jurisdicionada retomar
o fornecimento dos serviccedilos de comunicaccedilatildeo de dados e implantar soluccedilatildeo global que
atenda agraves unidades escolares nos termos da IN SLTIMPOG nordm 042014 art1319
inciso V de forma a evitar as medidas contingenciais acima retratadas
Causas
39 Planejamento deficiente na alocaccedilatildeo dos recursos financeiros que
ensejou a suspensatildeo dos serviccedilos pela contratada por falta de pagamento
14 Escola Classe Nuacutecleo Rural Coacuterrego do Atoleiro e Escola Classe Alta-Mir localizadas em Planaltina
15 DA_PT_22 ndash Escolas Visitadas
16 DA_PT_22 ndash Escolas Visitadas
17 edoc nordm E5C7FCE3 ou DA_30 - Resposta a Nota de Auditoria 02 - 40932018
18 NotaAud03_08_P4093_18RespostaSUMTECpdf (arquivo associado ao processo)
19 Art 13 A Anaacutelise de Riscos seraacute elaborada pela Equipe de Planejamento da Contrataccedilatildeo contendo os seguintes itens [] V - definiccedilatildeo das accedilotildees de contingecircncia a serem tomadas caso os eventos correspondentes aos riscos se concretizem e
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
18
Efeitos
40 Utilizaccedilatildeo precaacuteria dos sistemas de apoio escolar pelas unidades
escolares
Consideraccedilotildees do Auditado
41 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB
noticiou que (peccedila 19 fls 12)
ldquo A Subsecretaria de Modernizaccedilatildeo e Tecnologia (SUMTEC) estaacute
ciente do impacto causado pela ausecircncia de conexatildeo agrave internet e das
dificuldades encontradas pelos gestores na utilizaccedilatildeo de programas de
recursos distritais e federais para contrataccedilatildeo desse serviccedilo Nesta
data encontra-se em execuccedilatildeo um projeto de integraccedilatildeo da SEDF agrave
GDFNet rede corporativa do Governo do DF administrada pela
Secretaria de Fazenda Planejamento Orccedilamento e Gestatildeo (SEFP) A
GDFNet jaacute atende a outros oacutergatildeos do GDF e possui malha de
distribuiccedilatildeo inserida por todas as Regiotildees Administrativas Assim em
parceria com a SEFP foi elaborado cronograma para ligaccedilatildeo das
unidades escolares atendidas pela malha urbana A SEEDF eacute ainda
partiacutecipe de processo licitatoacuterio sob responsabilidade da SEFP para
contrataccedilatildeo de conexatildeo de dados MPLS a fim de retomar o
fornecimento dos serviccedilos agravequelas unidades que porventura natildeo
puderem ser atendidas pela rede corporativa
Da mesma forma encontra-se em fase de estudo de viabilidade teacutecnica
o processo para contrataccedilatildeo de links destinados as unidades escolares
do campo rdquo
Posicionamento da equipe de auditoria
42 Verifica-se que a questatildeo apresentada ainda carece de accedilotildees efetivas
para suprir a demanda de acesso agrave Internet pelas unidades escolares da rede puacuteblica
do DF considerando o projeto de integraccedilatildeo da SEEDF com a rede corporativa do
GDF (GDFnet)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
19
43 Em relaccedilatildeo ao procedimento licitatoacuterio que trata da contrataccedilatildeo de
conexatildeo de dados MPLS que iraacute suprir a carecircncia20 de acesso agrave Internet das unidades
escolares natildeo atendidas pela rede GDFnet verificou-se que se encontra na fase de
elaboraccedilatildeo do Estudo Teacutecnico Preliminar ndash Processo SEI 00410-000231402017-90
conforme contato realizado com a Secretaria de Fazenda Orccedilamento e Gestatildeo ndash
SEFPDF
44 Cabe esclarecer que deixaremos de propor que a SEEDF adote
medidas para concluir o processo de contrataccedilatildeo com a finalidade de prover o regular
acesso agrave internet para as unidades escolares da rede puacuteblica uma vez que o aludido
processo seraacute conduzido pela SEFP de forma centralizada com as demandas de
todos os oacutergatildeos do GDF inclusive da SEEDF que seraacute partiacutecipe do certame
Proposiccedilotildees
45 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de determinar agrave SEEDF
que
a implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do artigo
13 inciso V a IN SLTI MPOG nordm 042014
Benefiacutecios Esperados
46 Garantir a disponibilidade de acesso agrave Internet para uso dos sistemas
de apoio escolar
212 Achado 2 ndash Elevado iacutendice de atendimento presencial relativo a execuccedilatildeo
do Contrato nordm 062016
Criteacuterios
47 A Instruccedilatildeo Normativa SLTIMPOG nordm 0414 em seu art 20 define
que o modelo de gestatildeo do contrato deveraacute contemplar as condiccedilotildees para gestatildeo e
20 SEI 00410-000232152017-32 ndash Demanda da SEEDF para acesso agrave Internet pelas unidades escolares da rede puacuteblica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
20
fiscalizaccedilatildeo do contrato observando procedimentos de teste e inspeccedilatildeo abrangendo
metodologia formas de avaliaccedilatildeo da qualidade e adequaccedilatildeo da Soluccedilatildeo de
Tecnologia da Informaccedilatildeo agraves especificaccedilotildees funcionais e tecnoloacutegicas observando a
adoccedilatildeo de ferramentas computacionais ou natildeo para implantaccedilatildeo e
acompanhamento dos indicadores estabelecidos O COBIT modelo de referecircncia de
gestatildeo e governanccedila de TIC disciplina as atividades de gerenciamento de incidentes
por meio do domiacutenio Entregar e Suportar Processo DS8 - Gerenciar a Central de
Serviccedilo bem como as praacuteticas ITIL referente agrave gestatildeo de incidentes
Anaacutelises e Evidecircncias
48 O Contrato nordm 062016 firmado entre a SEEDF e a empresa
STEFANINI Consultoria e Assessoria em Informaacutetica SA em 05042016 (Processo
nordm 0980027352015) tem como objeto a prestaccedilatildeo de serviccedilos teacutecnicos
especializados em suporte teacutecnico remoto e presencial para sustentaccedilatildeo de
infraestrutura de TI e Auditoria de serviccedilos em TI com valor anual contratado de R$
429392751 distribuiacutedos da seguinte forma
Fluxograma 1
Fluxo da prestaccedilatildeo dos serviccedilos objeto do Contrato nordm 062016
Fonte Contrato nordm 062016
49 Os serviccedilos prestados encontram-se categorizados por atividades21 e
niacuteveis para atendimento aos servidores das sedesregionais de ensino da SEEDF e
21 Demanda de usuaacuterio preventiva evolutiva corretiva perioacutedica e resoluccedilatildeo de incidente
LOTE 01 LOTE 02
PRESTADORA
Suporte
RemotoSuporte
Presencial
Suporte
Especializado
Remoto
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
21
das unidades escolares conforme recomendado pelas boas praacuteticas de mercado
(ITIL22COBIT)
50 Ao examinar os relatoacuterios de atividades relativo ao periacuteodo de
abril2016 a dezembro201723 verificou-se uma forte frequecircncia de atendimento
presencial executado pela contratada em comparaccedilatildeo ao atendimento remoto
(respectivamente 93102 chamados X 45588 chamados) impactando na eficiecircncia e
nos custos do contrato vejamos
Graacutefico 2
Fonte Relatoacuterio de Atividades relativo ao periacuteodo de abr2016 a dez2017
51 Da mesma forma observa-se elevado atendimento de chamados
presenciais relativo ao periacuteodo de janeiro de 201824 mantendo a tendecircncia
evidenciada nos dois primeiros anos de execuccedilatildeo contratual o que demonstra a falta
de monitoramento dos serviccedilos prestados nos termos do o art 20 da IN 042014-
SLTIMPOG vejamos
22 ITIL - Technology Infrastructure Library (ITIL) eacute um conjunto de boas praacuteticas para serem aplicadas na infraestrutura operaccedilatildeo e gerenciamento de serviccedilos de tecnologia da informaccedilatildeo
23 Arquivos associados ao processo (Chamados abril e dezembro2016rar e RelatoriosdeAtividadesStefannini jan-2017 a dez-2017rar)
24 Arquivo associado ao processo (SEEDF_Relatorio_Gerencial_de_Servicos_Janeiro_2018pdf)
0
2000
4000
6000
8000
10000
12000
Nro
Ch
amad
os
Suporte Teacutecnico
REMOTO PRESENCIAL
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
22
Graacutefico 3
Fonte Listagem de chamados referente a janeiro201825
52 A situaccedilatildeo acima evidenciada decorre de vaacuterias atividadesserviccedilos
escaladas para o niacutevel de suporte presencial sem a devida necessidade26 vez que
podem ser executadas pela contratada por meio de software de acesso remoto a
exemplo da conexatildeo de aacuterea de trabalho remota do Windows na qual um computador
pode se conectar a outro que esteja conectado agrave mesma rede ou agrave internet
53 O gerenciamento dos serviccedilos contratados deve adotar praacuteticas que
priorizam o atendimento remoto tais como roteiros de atendimentos e regras preacute-
estabelecidas de modo a resolver a demanda o mais tempestivamente possiacutevel
conforme preconizam os frameworks de mercado (ITIL ndash gestatildeo de incidentes e
COBIT DS8)
54 Neste caso evidencia-se ainda o uso de recursos mais onerosos
para a SEEDF na resoluccedilatildeo dos incidentesdemandas dos usuaacuterios vez que um
atendimento remoto equivale a 04 UST (R$ 1742 reais) ao passo que o suporte
presencial custa o equivalente a 06 UST (R$ 2614) conforme tabela abaixo
25 Arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
26 Instalaccedilatildeoatualizaccedilatildeo de softwares e configuraccedilatildeo de impressoras
2152
716
469 449317
17 13 1
VOLUME DE CHAMADOS POR FILA -JANEIRO DE 2018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
23
Tabela 3
Tipo de Atividade por Complexidade
Fonte Relatoacuterio gerencial de serviccedilos referente a janeiro2018
Causas
55 Inexistecircncia de mecanismos de controle que permitam o
monitoramento dos serviccedilos prestados em desacordo com o art 20 da IN 042014-
SLTIMPOG e de regras preacute-estabelecidas para resoluccedilatildeo imediata de incidentes
conforme preconizam as boas praacuteticas de mercado (COBIT DS8 e ITIL ndash
gerenciamento de incidentes) Falhas na elaboraccedilatildeo do termo de referecircncia e
especificaccedilatildeo das obrigaccedilotildees contratuais
Efeitos
56 Deficiecircncia na prestaccedilatildeo do serviccedilo realizado Escalonamento do
incidente ocasionando dilataccedilatildeo do prazo (intempestividade) e custo da resoluccedilatildeo do
incidente
Consideraccedilotildees do Auditado
57 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 2)
ldquo Informo que a contrataccedilatildeo de empresa para prestaccedilatildeo de serviccedilos
teacutecnicos especializados de Soluccedilatildeo de Tecnologia de Informaccedilatildeo e
Comunicaccedilatildeo seguiu o disposto na Instruccedilatildeo Normativa MPSLTI nordm
042014 e que estaacute aprimorando processos de prospecccedilatildeo de
informaccedilatildeo acerca de melhores praacuteticas para contrataccedilatildeo em TI
adotadas no GDF conforme informaccedilatildeo repassada pela Diretoria de
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
24
Infraestrutura e Operaccedilotildees
Informo ainda que a equipe gestora do referido contrato revisou o
documento e estaacute repassando os atendimentos possiacuteveis in loco para
atendimento remoto Estatildeo em andamento as negociaccedilotildees para a
renovaccedilatildeo do contrato em 05042019 e os executores estatildeo cientes
da necessidade de incluir a determinaccedilatildeo de prioridade de
atendimentos remotos no documento a ser assinado pelas partes
No que se refere ao monitoramento dos serviccedilos prestados a aacuterea
teacutecnica utiliza as ferramentas de controle Saiku Analytics Zoho BI e
Moacutedulo Operador do Sistema de Service Desk - OTRS rdquo
Posicionamento da equipe de auditoria
58 As accedilotildees tomadas pela jurisdicionada satildeo pertinentes e necessaacuterias
para o aprimoramento da gestatildeo e uso corporativo dos recursos de TIC que se somam
agraves medidas determinadas neste trabalho para o saneamento do presente Achado
59 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
60 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para resoluccedilatildeo
imediata de incidentes pelo Service Desk (Central de Serviccedilos) de
forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados nos
termos do art 20 da IN 042014-SLTIMPOG
Benefiacutecios Esperados
61 Melhoria na prestaccedilatildeo de serviccedilo realizado pelo Service Desk bem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
25
assim a economia de recursos puacuteblicos
22 Questatildeo 2 - O uso dos recursos de TIC para fins educacionais foram
suficientemente disponibilizados pela SEEDF agraves unidades escolares e satildeo
utilizados regularmente pelos alunos
A maioria das escolas visitadas (80) possui laboratoacuterios de informaacutetica com
instalaccedilotildees fiacutesicas satisfatoacuterias agrave exceccedilatildeo de 6 (seis) escolas que necessitam de
melhorias pontuais nas instalaccedilotildees de cabeamento de rede27 No entanto verificou-
se dificuldades na utilizaccedilatildeo dos equipamentosrecursos de TIC dos laboratoacuterios nas
escolas em razatildeo da obsolescecircncia do parque computacional (417 dos
computadores estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de
uso)28 Quanto agrave disponibilidade de acesso agrave Internet aos alunos constatou-se que
todas as escolas possuem link de dados de 1 e 2 Mbps no laboratoacuterio de informaacutetica
(custeado pelo FNDE) que compromete a utilizaccedilatildeo pelos alunos devido agrave baixa
velocidade Verificou-se que o software Linux educacional (Livre) encontra-se
instalado nos computadores beneficiando principalmente os alunos das seacuteries iniciais
(1ordf a 4ordf seacuterie) vez que o uso do software educativo requer pouca memoacuteria do
computador e natildeo precisa de acesso agrave internet Nas demais seacuteries (5ordf a 8ordf seacuteries e
ensino meacutedio) verificou-se que os alunos utilizam o laboratoacuterio de informaacutetica
basicamente para pesquisa na internet segundo informaccedilotildees dos diretores de escola
221 Achado 3 ndash Parque de computadores dos laboratoacuterios de informaacutetica
obsoleto
Criteacuterios
62 A metaestrateacutegia 712 ndash Tecnologias educacionais do Programa
Nacional de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento
selecionar certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o
ensino fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras
que assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a
27 DA_PT_22 - Escolas visitadas
28 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
26
diversidade de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares
livres e recursos educacionais abertos bem como o acompanhamento dos resultados
nos sistemas de ensino em que forem aplicadas
63 O Programa Nacional de Informaacutetica na Educaccedilatildeo - ProInfo eacute um
programa educacional com o objetivo de promover o uso pedagoacutegico da informaacutetica
na rede puacuteblica de educaccedilatildeo baacutesica O programa disponibiliza os computadores agraves
escolas puacuteblicas do DF exigindo em contrapartida da SEEDF a infraestrutura fiacutesica
dos laboratoacuterios de informaacutetica e o suporte teacutecnico
Anaacutelises e Evidecircncias
64 Com a finalidade de verificar o uso dos recursos de TIC
disponibilizados agraves escolas do DF para fins educacionais definiu-se como populaccedilatildeo-
alvo as escolas puacuteblicas de ensino infantil fundamental e meacutedio ligadas agrave SEEDF
localizadas em aacutereas urbanasrurais do DF excluiacutedas as escolas teacutecnicas por
possuiacuterem caracteriacutesticas singulares
65 Assim selecionou-se aleatoriamente as escolas a serem visitadas
dentro da populaccedilatildeo-alvo levando-se em conta as escolas que possuem laboratoacuterios
de informaacutetica (Censo 2017) e a Diretoria Regional de Ensino ndash DRESEDF a qual se
encontra vinculada com a finalidade de assegurar que a amostra selecionada fosse
representativa
66 Nesse sentido visitou-se 31 escolas29 representando 5 de cada
Regional de Ensino do DF
67 Cabe registrar que o parque de computadores dos laboratoacuterios de
informaacutetica das escolas do DF foi fornecido pelo ProInfo - Programa Nacional de
Informaacutetica na Educaccedilatildeo do Ministeacuterio da Educaccedilatildeo
68 Das visitas in loco restou comprovado que 417 dos computadores
estatildeo em manutenccedilatildeo e 791 apresentam mais de dez anos de uso (obsoletos)30
em razatildeo da dificuldade de reposiccedilatildeo de peccedilas que necessitam de manutenccedilatildeo
29 DA_PT_22 - Escolas visitadas
30 DA_26 - Parque dos computadores das escolas visitadas
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
27
conforme evidecircncias coletadas abaixo
Foto 1
Laboratoacuterio do Centro de Ensino Meacutedio 02 - Gama
Fonte Visita in loco em 08052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
28
Foto 2
Laboratoacuterio da Escola Classe 06 de Planaltina
Fonte Visita in loco em 21052018
Foto 3
Laboratoacuterio do Centro de Ensino Fundamental Darcy Ribeiro - Paranoaacute
Fonte Visita in loco em 25042018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
29
Foto 4
Laboratoacuterio do Centro de Ensino Fundamental 02 da Estrutural
Fonte Visita in loco em 26042018
69 O graacutefico abaixo demonstra que os computadores dos laboratoacuterios
de informaacutetica das escolas do DF foram adquiridos por de meio de licitaccedilotildees
realizadas pelo FNDE no periacuteodo de 2005 a 2012 o que demonstra a existecircncia de
computadores com ateacute 13 anos de vida uacutetil vejamos
Graacutefico 4
Fonte Parque de computadores das escolas visitadas (DA_26)
0
20
40
60
80
100
120
140
160
432005 382006 452007 832008 682009 712010 812011 232012Quantidade d
e C
om
puta
dore
s
Pregotildees realizados pelo FNDE
Aquisiccedilatildeo de computadores para laboratoacuterios de informaacutetica das unidades escolares do DF
USO MANUTENCcedilAtildeO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
30
70 Destaca-se que a maioria dos computadores instalados nos
laboratoacuterios satildeo oriundos do pregatildeo de 832008 ou seja completando 10 anos de
vida uacutetil neste exerciacutecio (2018)
71 Sabe-se que o ciclo de vida meacutedia dos equipamentos de informaacutetica
pode variar significativamente (trecircs a oito anos) dependendo do tipo de equipamento
(monitor de viacutedeodesktop) usomanutenccedilatildeo e necessidade de atualizaccedilatildeo
tecnoloacutegica
72 Os diretores de escolas entrevistados noticiaram que a empresa
contratada pela SEEDF para manutenccedilatildeo dos computadores presta um atendimento
satisfatoacuterio identificando e corrigindo os problemas apontados conforme se verifica
na base de chamados relativa ao periacuteodo de janeiro de 201831
73 No entanto quando o diagnoacutestico da equipe de manutenccedilatildeo se refere
agrave peccedila danificada ou quebrada natildeo eacute possiacutevel repocirc-la em razatildeo de natildeo ser mais
fabricada
74 Assim observa-se uma diminuiccedilatildeo gradativa dos equipamentos
disponiacuteveis por falta de peccedilas de reposiccedilatildeo para mantecirc-los em funcionamento
(memoacuteria placa-matildee entre outros) impactando o uso do laboratoacuterio de informaacutetica e
a consequente oferta de tecnologias (internet softwares educativos32) aos alunos no
processo de ensino-aprendizagem
Causas
75 Carecircncia de recursos financeiros para renovaccedilatildeo do parque
computacional instalado nos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF
Efeitos
76 Impossibilidade de utilizar o computador como ferramenta
pedagoacutegica Ociosidade do laboratoacuterio de informaacutetica das escolas puacuteblicas por falta
de equipamentos
31 DA_26 - Parque dos computadores das escolas visitadas e arquivo associado ao processo (Listagem de Chamados JANEIRO2018rar)
32 As escolas do DF utilizam o Linux Educacional (software livre)
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
31
Consideraccedilotildees do Auditado
77 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fl 3)
ldquoA SUMTEC eacute a aacuterea teacutecnica responsaacutevel pela elaboraccedilatildeo do Plano
Diretor de Tecnologia da Informaccedilatildeo (PDTI) que norteia as accedilotildees
necessaacuterias a aquisiccedilatildeo e manutenccedilatildeo dos equipamentos e serviccedilos
de TI desta SEEDF Ao final de 2018 foi concluiacutedo o PDTI referente ao
periacuteodo de 2019-2020 o qual aguarda aprovaccedilatildeo do Comitecirc Gestor de
TI da Pasta para publicaccedilatildeo Dentre as diretrizes norteadoras do
PDTISEEDF encontra-se a determinaccedilatildeo de renovaccedilatildeo do parque
tecnoloacutegico das unidades escolares em 25 a cada ano Nesta data
foi finalizado processo licitatoacuterio da SEFP Devendo a SEDF aderir a
Ata de Registro de Preccedilos elaborada por aquele oacutergatildeo (Processo nordm
0084-0000302016) O procedimento foi observado pelo TCDF e
aguarda liberaccedilatildeo de recursos financeiros do GDF para aquisiccedilatildeo dos
computadores discriminados Ressalte-se que parte dos recursos seraacute
fornecida pelo Fundo Nacional de Desenvolvimento da Educaccedilatildeo
(FNDE) e deveraacute ser obrigatoriamente utilizada para aquisiccedilatildeo de
equipamentos para uso pedagoacutegico ocasionando consequente
renovaccedilatildeo do parque computacional instalado nos laboratoacuterios de
informaacutetica das escolas puacuteblicas do DF listadas no processo Ademais
a SUMTEC tem se colocado em contato constante com outros oacutergatildeos
do GDF e da esfera federal aleacutem do Poder Judiciaacuterio para celebrar
parcerias eou obter doaccedilotildees de equipamentos em bom estado que
possam substituir maacutequinas inutilizadas No que se refere agraves condiccedilotildees
oferecidas pelo Programa Nacional de Informaacutetica na Educaccedilatildeo
(Prolnfo) informamos que satildeo disponibilizados computadores
recursos digitais e conteuacutedos educacionais agraves escolas puacuteblicas
cabendo agrave SEDF somente o controle de equipamentos instalados e
garantia contratual de velocidade do link do maior percentual de banda
instalado na aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
32
Posicionamento da equipe de auditoria
78 Apesar de a jurisdicionada noticiar a finalizaccedilatildeo de procedimento
licitatoacuterio que iraacute suprir a demanda pelos equipamentoscomputadores tal medida
deveraacute ser comprovada e seus resultados analisados razatildeo pela qual manteacutem-se a
proposiccedilatildeo apresentada na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
79 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias visando atualizar o parque
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF de forma a
fomentar o uso dos recursos tecnoloacutegicos para melhoria do fluxo
escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
Benefiacutecios Esperados
80 Utilizaccedilatildeo plena do laboratoacuterio de informaacutetica bem assim estiacutemulo ao
aluno com o uso de novas tecnologias no processo ensino-aprendizagem
222 Achado 4 ndash baixa velocidade do link de acesso agrave Internet disponibilizado
nos laboratoacuterios de informaacutetica das unidades escolares puacuteblicas do DF
Criteacuterios
81 A metaestrateacutegia 712 ndash Tecnologias educacionais do Plano Nacional
de Educaccedilatildeo ndash PNE tem o objetivo de incentivar o desenvolvimento selecionar
certificar e divulgar tecnologias educacionais para a educaccedilatildeo infantil o ensino
fundamental e o ensino meacutedio e incentivar praacuteticas pedagoacutegicas inovadoras que
assegurem a melhoria do fluxo escolar e a aprendizagem assegurada a diversidade
de meacutetodos e propostas pedagoacutegicas com preferecircncia para softwares livres e
recursos educacionais abertos bem como o acompanhamento dos resultados nos
sistemas de ensino em que forem aplicadas
82 O Fundo Nacional de Desenvolvimento da Educaccedilatildeo - FNDE por
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
33
meio do Programa Banda Larga nas Escolas ndash PBLE disponibiliza o acesso agrave internet
para as escolas puacuteblicas urbanas do DF
Anaacutelises e Evidecircncias
83 Conforme mencionado nos sectsect6769 deste relatoacuterio visitas lsquoin locorsquo
foram realizadas com a finalidade de avaliar a oferta de TIC nas escolas puacuteblicas do
DF para fins pedagoacutegicos
84 Uma das tecnologias verificadas diz respeito agrave disponibilidade de link
de acesso agrave internet nos laboratoacuterios de informaacutetica
85 Registra-se que o uso da internet como ferramenta educacional pode
contribuir com o trabalho pedagoacutegico auxiliando e ampliando novas competecircncias e
metodologias de ensino razatildeo pela qual os projetos poliacuteticos pedagoacutegicos33 das
escolas preveem o uso de internet para atividades em classe consoante estrateacutegia
(712) estabelecida pelo PNE
86 Na maioria das escolas visitadas (90) verificou-se link de 1 (um)
Mbps de velocidade meacutedia nos laboratoacuterios de informaacutetica das unidades escolares34
vejamos
Graacutefico 5
Fonte Arquivo associado ao processo (Escolas visitadasrar) ou DA_PT_22
87 Nesse caso o link disponibilizado pelo Programa Banda Larga nas
33 PPPrsquos das escolas EC 08 e EC 19 de Taguatinga (Arquivo associado ao processo)
34 Arquivo associado ao processo (Escolas visitadas) ou DA_PT_22
Velocidade meacutedia disponiacutevel para acesso agrave Internet nos laboratoacuterios de informaacutetica
1 Mbps 2 Mbps 5 Mbps
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
34
Escolas - PBLE eacute compartilhado pelos alunos que se encontram conectados nos
computadores da rede do laboratoacuterio de informaacutetica conforme se observa na foto
abaixo
Foto 5
Laboratoacuterio da Escola Classe 19 de Taguatinga
Fonte Visita in loco em 02052018
88 Segundo informaccedilotildees dos diretores de escola as aulas no laboratoacuterio
de informaacutetica satildeo realizadas com turmas de vinte alunos em meacutedia
89 Tomando como base esse paracircmetro disponibiliza-se por aluno
somente 51235 Kbps36 a ser consumido nas atividades de pesquisanavegaccedilatildeo de
paacuteginasendereccedilos pela internet
90 A tiacutetulo comparativo conforme estudo publicado pela Ookla37
ferramenta de afericcedilatildeo de velocidade de internet a velocidade meacutedia de acesso agrave
internet fixa no Brasil foi de 178 Mbps em 2017 ou seja quase 18 (dezoito) vezes
mais raacutepido que o link disponibilizado pelo programa PBLE (1 Mbps)
35 1 mpbs 20 = 1 1024 20 = 512 kbps 36 Taxa de transferecircncia (em kilobit por segundo ndash Kbps) usualmente utilizada para medir a velocidade da Internet 37 httpsolhardigitalcombrnoticiavelocidade-media-da-internet-aumentou-30-em-2017-brasil-segue-abaixo-da-media72953 Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
35
91 Em niacutevel nacional a maioria das escolas puacuteblicas brasileiras ainda tecircm
acesso agrave internet de baixa velocidade (45) conforme pesquisa realizada sob
responsabilidade do Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informaccedilatildeo (Ceticbr)38 em 2015 vejamos
Graacutefico 7 PROPORCcedilAtildeOPERCENTUAL DE ESCOLAS
POR VELOCIDADE DE ACESSO Agrave INTERNET (2015)
Fonte Ceticbr 2015
92 Assim constata-se baixa velocidade do link de acesso disponibilizado
pelo PBLE agraves escolas puacuteblicas do DF a qual impede a utilizaccedilatildeo da internet pelos
alunos vez que natildeo eacute suficiente para atender a quantidade de alunos por turma
presentes no laboratoacuterio de informaacutetica
93 Tal situaccedilatildeo prejudica o aluno vez que inviabiliza a concretizaccedilatildeo da
proposta pedagoacutegica que contempla o uso dos recursos tecnoloacutegicos para a melhoria
do processo de aprendizagem em conformidade com a meta 712 ndash Tecnologias
educacionais do PNE - Plano Nacional de Educaccedilatildeo
94 Com efeito o aluno corre risco de ser prejudicado no seu aprendizado
pois a falta de conectividade impede a integraccedilatildeo entre a pedagogia e o uso dos
recursos digitais
38 Pesquisa sobre o uso de TIC nas escolas brasileiras - TIC Educaccedilatildeo 2015 Ceticbr 2015
Disponiacutevel em lt httpceticbrmediadocspublicacoes2TIC_Edu_2015_LIVRO_ELETRONICOpdf gt Acessado em 10082018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
36
Causas
95 Falta de recursos para ampliar a velocidade da Internet
disponibilizada nos laboratoacuterios de informaacutetica das escolas do DF
Efeitos
96 Impossibilidade de utilizar a internet como ferramenta pedagoacutegica
Consideraccedilotildees do Auditado
97 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 34)
ldquo O link de acesso agrave internet destinado as unidades escolares eacute
fornecido pelo Programa Banda Larga nas Escolas (PBLE) lanccedilado pelo
governo federal em 4 de abril de 2008 motivo pelo qual natildeo eacute possiacutevel
qualquer ingerecircncia relativa a esse serviccedilo por parte da SEEDF Em
2015 o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS)
expediu documento (httpsbitly2FFJDDw) em que conclui que as
revisotildees de velocidade que deveriam ocorrer em 2010 e 2013 natildeo foram
realizadas e ainda natildeo houve sanccedilotildees por parte da ANATEL agraves
operadoras de telefonia responsaacuteveis Sendo assim eacute possiacutevel inferir
que o Programa natildeo alcanccedilou os resultados previstos ateacute o momento
Em 2018 o Ministeacuterio da Educaccedilatildeo forneceu recursos para contrataccedilatildeo
de conexatildeo de internet por meio do Programa de Inovaccedilatildeo Educaccedilatildeo
Conectada contemplando 226 unidades escolares por adesatildeo ao
programa de destinaccedilatildeo de recursos federais PDDE (Programa Dinheiro
Direto na Escola) No entanto as equipes gestoras encontram
dificuldades para a contrataccedilatildeo haja vista as regras para prestaccedilatildeo de
contas que exigem orccedilamentos e certidotildees que empresas natildeo podem
fornecer por motivos diversos A SEEDF pretende por meio das metas
estabelecidas no Planejamento Estrateacutegico 2019-2022 (EducaDF)
promover a revitalizaccedilatildeo dos espaccedilos de utilizaccedilatildeo dos recursos digitais
e tecnoloacutegicos para o aprendizado incluindo nesta accedilatildeo o movimento de
links de acesso compatiacuteveis com as atividades demandadas dos
estudantes rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
37
Posicionamento da equipe de auditoria
98 Verifica-se que a SEEDF pretende adotar medidas efetivas para sanar
o problema apontado uma vez que as soluccedilotildees disponibilizadas atualmente pela
SEEDF para prover os laboratoacuterios das escolas de links de acesso agrave Internet natildeo
atendem satisfatoriamente agraves demandas estudantis
99 Desse modo manteacutem-se o posicionamento da Equipe de Auditoria
apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
100 Sugere-se ao egreacutegio Plenaacuterio recomendar agrave SEEDF que
a adote as medidas necessaacuterias com a finalidade de aumentar a
velocidade meacutedia do link de acesso agrave internet disponibilizada nos
laboratoacuterios de informaacutetica das escolas do DF de forma a fomentar o
uso dos recursos tecnoloacutegicos para melhoria do fluxo escolar e da
aprendizagem (metaestrateacutegia 712 do PNE)
Benefiacutecios Esperados
101 Uso de novas tecnologias no processo ensino-aprendizagem
23 Questatildeo 3 - As informaccedilotildees geradas pelos sistemas de gestatildeo escolar e de
apoio satildeo confidenciais iacutentegras e disponiacuteveis
As praacuteticas adotadas pela SEEDF referentes agrave gestatildeo da seguranccedila da informaccedilatildeo
encontram-se incipientes com baixo de niacutevel de maturidade Aleacutem disso verificou-se
expressivo nuacutemero de demandas represadas do sistema i-Educar (melhorias eou
defeitos) podendo causar impactos na integridade e disponibilidade do sistema
231 Achado 5 ndash Baixo niacutevel de maturidade de gestatildeo de seguranccedila da
informaccedilatildeo
Criteacuterios
102 Para anaacutelise da seguranccedila da informaccedilatildeo dos sistemas de gestatildeo
escolarapoio administrativo da SEEDF foram utilizadas as normasguias de TIC que
se seguem
103 O modelo COBIT 5 em especial as praacuteticas voltadas para seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
38
da informaccedilatildeo e o guia para avaliaccedilatildeo de processo ldquoProcess Assessment Model
(PAM) using COBIT 5rdquo (APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar
continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila)
104 A ABNT ISOIEC 270012013 eacute a norma brasileira que trata dos
Sistemas de gestatildeo da Seguranccedila da Informaccedilatildeo e no item 52 trata de forma
especiacutefica da Poliacutetica de Seguranccedila da Informaccedilatildeo
105 A ABNT ISOIEC 270042017 eacute a norma brasileira que trata de
monitoramento mediccedilatildeo anaacutelise e avaliaccedilatildeo dos sistemas de gestatildeo da seguranccedila
da informaccedilatildeo e no item 65 trata de forma especiacutefica de quem iraacute monitorar medir
analisar e avaliar
106 A ABNT ISOIEC 270052011 eacute a norma brasileira que trata dos
Sistemas de Gestatildeo de Riscos da Seguranccedila da Informaccedilatildeo e no item 8 trata de forma
especiacutefica do Processo de Avaliaccedilatildeo de Riscos de Seguranccedila da Informaccedilatildeo e no
item 9 do Tratamento de Riscos de Seguranccedila da Informaccedilatildeo
107 A ABNT ISOIEC 270142013 eacute a norma brasileira que trata da
Governanccedila de Seguranccedila da Informaccedilatildeo e no item 533 trata de forma especiacutefica do
processo ldquoDireccedilatildeordquo da Seguranccedila da Informaccedilatildeo
108 A NIST SP 800-53A4 eacute uma norma que trata de avaliaccedilatildeo de controles
de seguranccedila e privacidade das organizaccedilotildees e dos sistemas de informaccedilatildeo do
governo federal americano e caracteriza-se por ser aplicaacutevel a qualquer organizaccedilatildeo
Esta norma foi utilizada para avaliaccedilatildeo da Secretaria de Estado de Educaccedilatildeo em
forma de questionaacuterio em nota de auditoria
109 A figura a seguir permite identificar qual a predominacircncia de normas
e modelos utilizados neste achado
Figura1 Hierarquia de Normas e Praacuteticas de Seguranccedila da Informaccedilatildeo
bull Constituiccedilatildeo Federal Coacutedigo Penal
bull Lei de acesso a InformaccedilatildeoRegulaccedilatildeo
bull COBIT 50 FrameworkModelo de governanccedila
bull COBIT 50 para Seguranccedila da InformaccedilatildeoObjetivos de controle
bull ISO 27001 ISO 27005 ISO 27014
bull NIST 800-53Ar4Controles
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
39
Anaacutelises e Evidecircncias
110 A implementaccedilatildeo da seguranccedila da informaccedilatildeo inclui natildeo apenas os
sistemas de informaccedilatildeo mas tambeacutem qualquer forma de informaccedilatildeo armazenada que
tenha valor para organizaccedilatildeo ou indiviacuteduos
111 A seguranccedila da informaccedilatildeo tem relevacircncia internacional o que levou
a elaboraccedilatildeo de diversos modelos e praacuteticas jaacute consolidados internacionalmente para
proteccedilatildeo da informaccedilatildeo e comumente considerados como as melhores praacuteticas de
mercado que objetivam a eficiecircncia e melhor retorno dos investimentos e proteccedilatildeo agraves
organizaccedilotildees
112 O objetivo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo eacute
preservaccedilatildeo da confidencialidade integridade e disponibilidade das informaccedilotildees
113 O ldquoCOBIT 5 para Seguranccedila da Informaccedilatildeordquo define seguranccedila da
informaccedilatildeo como algo que garante que dentro da empresa as informaccedilotildees sejam
protegidas contra divulgaccedilatildeo a usuaacuterios natildeo autorizados (confidencialidade)
modificaccedilatildeo indevida (integridade) e acesso quando necessaacuterio (disponibilidade)
Confidencialidade significa preservar as restriccedilotildees autorizadas de acesso e
divulgaccedilatildeo incluindo meios para proteger a privacidade e informaccedilotildees
proprietaacuterias
Integridade significa proteccedilatildeo contra modificaccedilatildeo ou destruiccedilatildeo indevida de
informaccedilotildees e inclui garantia de natildeo-repuacutedio e autenticidade
Disponibilidade significa garantir acesso e uso oportuno e confiaacutevel de
informaccedilotildees
114 Esses trecircs princiacutepios da seguranccedila da informaccedilatildeo seratildeo tratados
neste achado considerando tambeacutem as condiccedilotildees de contexto necessaacuterias para sua
existecircncia na Tecnologia da Informaccedilatildeo como governanccedila e gestatildeo
115 No acircmbito da Administraccedilatildeo Puacuteblica do DF existe um Centro de
Processamento de Dados (Datacenter) na Secretaria de Estado de Fazenda
Planejamento Orccedilamento e Gestatildeo do DF (SEFP) que compartilha o uso de recursos
computacionais com diversas outras secretarias de estado dentre elas a SEEDF
116 Os sistemas informatizados da SEEDF estatildeo hospedados neste
datacenter da SEFP com algumas redundacircncias de dados em outro datacenter da
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
40
mesma Secretaria
117 As evidecircncias constantes deste toacutepico estatildeo presentes nas
respostas39 agraves Notas de Auditoria nos 02 e 03 ndash 40932018 doravante mencionadas
como Nota nordm 2 e Nota nordm 3 respectivamente (DA nordm 30 e 18)
118 A Nota nordm 03 ndash 40932018 conteacutem 139 questotildees com base no
documento para avaliaccedilatildeo de controles de seguranccedila e privacidade das organizaccedilotildees
e dos sistemas de informaccedilatildeo NIST SP 800-53A4 As demais notas de auditoria
tambeacutem abordam algumas questotildees especiacuteficas relativas a este achado
119 A seguir apresentam-se as anaacutelises por temaacutetica
Poliacutetica e praacuteticas de Seguranccedila da Informaccedilatildeo
120 Consoante respostas agraves notas de auditoria expedidas neste trabalho
os documentos destinados a viabilizar a poliacutetica ou praacutetica de seguranccedila de
informaccedilatildeo ou natildeo existem ou estatildeo em revisatildeo o que reflete a ausecircncia de poliacutetica
de seguranccedila de informaccedilatildeo formalizada conforme respostas a seguir
poliacutetica de acesso estaacute sob revisatildeo (questatildeo 1 nota nordm 2)
poliacutetica de autorizaccedilatildeo de acesso (inexiste) (questatildeo 24 nota nordm 3)
poliacutetica de seguranccedila de configuraccedilatildeo (inexiste) (questatildeo 27 nota nordm 3)
poliacutetica de plano de contingecircncia (inexiste) (questatildeo 35 nota nordm 3)
poliacutetica de identificaccedilatildeo e autenticaccedilatildeo (inexiste) (questatildeo 47 nota nordm 3)
poliacutetica de resposta agrave incidentes (inexiste) (questatildeo 64 nota nordm 3)
poliacutetica de manutenccedilatildeo (existe) (questatildeo 81 nota nordm 3)
poliacutetica ou procedimentos de proteccedilatildeo de miacutedia documentado (inexiste)
(questatildeo 89 nota nordm 3)
poliacutetica de proteccedilatildeo fiacutesica e do ambiente (eacute feita pela Seplag) (questatildeo 95 nota
nordm 3)
poliacutetica de planejamento de seguranccedila (conforme o PosiC do GDF40) (questatildeo
107 nota nordm 3)
39 Arquivos associados ao processo (NotaAud02_08_P4093_18RespostaSUMTECpdf e NotaAud03_08_P4093_18RespostaSUMTECpdf) ou DA_30 e DA_18
40 httpwwwseplagdfgovbrwp-conteudouploads201710PoSIC_GDFpdf
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
41
poliacutetica de avaliaccedilatildeo de risco (inexiste) (questatildeo 129 nota nordm 3)
121 O atual cenaacuterio da SEEDF eacute de quase inexistecircncia de documentaccedilatildeo
que permita estabelecer as diretrizes de seguranccedila de informaccedilatildeo
122 A ausecircncia de poliacutetica de seguranccedila dificulta a boa governanccedila e a
gestatildeo da seguranccedila da informaccedilatildeo resultando no aumento de riscos para as
organizaccedilotildees
123 Segundo o item 533 da ISO 27014 que normatiza a governanccedila de
seguranccedila da informaccedilatildeo o processo de ldquoDireccedilatildeordquo envolve o desenvolvimento e a
implementaccedilatildeo da Poliacutetica de Seguranccedila da Informaccedilatildeo (PSI) pela gerecircncia
executiva41 das instituiccedilotildees
124 A PSI eacute essencial para implementaccedilatildeo de governanccedila de seguranccedila
da informaccedilatildeo pois define os papeacuteis e responsabilidades das partes envolvidas A
figura a seguir apresenta esse modelo e identifica os elementos necessaacuterios
Figura 2 Implementaccedilatildeo do modelo de governanccedila
para seguranccedila da informaccedilatildeo ndash ISO 27014
Fonte ISO 27014
125 O escopo da governanccedila da seguranccedila da informaccedilatildeo abrange a
41 Gerecircncia Executiva - Pessoa ou grupo de pessoas que possuem responsabilidade delegada pelo corpo diretivo para a implementaccedilatildeo de estrateacutegias e poliacuteticas para alcanccedilar o propoacutesito da organizaccedilatildeo Corpo Diretivo - pessoa ou grupo de pessoas que satildeo responsaacuteveis pelo desempenho e conformidade da organizaccedilatildeo ISO 270142013
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
42
confidencialidade integridade e disponibilidade da informaccedilatildeo tratados pelos
seguintes processos de governanccedila Avaliaccedilatildeo Direccedilatildeo e Monitoraccedilatildeo e pelo
processo interno de ldquocomunicaccedilatildeordquo que satildeo atribuiccedilotildees da governanccedila e portanto
da alta administraccedilatildeo da instituiccedilatildeo
126 Outra norma de seguranccedila da informaccedilatildeo a ISO 27001 define que
o objetivo da poliacutetica de seguranccedila da informaccedilatildeo eacute prover orientaccedilatildeo do processo de
direccedilatildeo e apoio para a seguranccedila da informaccedilatildeo de acordo com os requisitos do
negoacutecio e com as leis e regulamentaccedilotildees relevantes
127 A ISO 27001 tambeacutem estabelece que a poliacutetica de seguranccedila da
informaccedilatildeo deve
Estar disponiacutevel como informaccedilatildeo documentada
Ser comunicada dentro da organizaccedilatildeo
Estar disponiacutevel para as partes interessadas conforme apropriado
128 A ausecircncia de poliacuteticas de seguranccedila da informaccedilatildeo transparente e
bem definida representa fator de risco consideraacutevel agrave organizaccedilatildeo pois natildeo estabelece
controles adequados ao acesso de links e-mails e sites e tambeacutem a devida
orientaccedilatildeo e treinamento aos usuaacuterios internos e externos dos sistemas
129 Sob o ponto de vista do modelo COBIT 5 para Seguranccedila da
Informaccedilatildeo a poliacutetica eacute considerada um habilitador essencial que traduz o
comportamento desejado de orientaccedilotildees praacuteticas para gestatildeo diaacuteria
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
43
Figura 3 Habilitadores corporativos do COBIT 5
Fonte COBIT 5
130 Outro aspecto relevante da ausecircncia de poliacutetica de seguranccedila
formalizada eacute a falta de definiccedilatildeo do que pode ser considerado como gestatildeo de
seguranccedila da informaccedilatildeo e a atividade para manutenccedilatildeo da seguranccedila da informaccedilatildeo
131 Essa diferenciaccedilatildeo eacute relevante pois a Instruccedilatildeo Normativa SLTI
nordm 042014 (recepcionada pelo decreto 3766716) veda a contrataccedilatildeo de gestatildeo de
seguranccedila da informaccedilatildeo vejamos
ldquoInstruccedilatildeo Normativa SLTI ndeg 4 de 110914
Art 5ordm Natildeo poderatildeo ser objeto de contrataccedilatildeo
() II - gestatildeo de processos de Tecnologia da Informaccedilatildeo incluindo gestatildeo
de seguranccedila da informaccedilatildeordquo
132 No caso da SEEDF a empresa Stefanini executa o monitoramento
contiacutenuo da Seguranccedila da Informaccedilatildeo conforme resposta agrave pergunta 25 da Nota nordm 3
situaccedilatildeo em que a poliacutetica de seguranccedila da informaccedilatildeo deveria atuar como definidor
das atividades e competecircncias de cada agente e seu papel mas que se torna
prejudicada pela inexistecircncia de formalizaccedilatildeo da poliacutetica
133 Outra caracteriacutestica importante nesse contexto eacute o fato de as
informaccedilotildees presentes no sistema i-Educar alimentarem o sistema do DFTRANS para
o benefiacutecio do passe livre estudantil o que eleva os riscos do sistema e
consequentemente os requisitos de seguranccedila da soluccedilatildeo pois aleacutem de tratar da
gestatildeo acadecircmica assegura benefiacutecios aos estudantes que repercutem
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
44
financeiramente para o Estado (ver Processo TCDF nordm 31428201742)
134 Nesse contexto faz-se necessaacuterio determinar agrave SEEDF que elabore
divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando necessaacuterio os
normativos dela derivados (ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de seguranccedila da
informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT ISO 270142013)
Identificaccedilatildeo e acesso (Questotildees de 47 a 63 da Nota nordm3)
135 Em que pese a criticidade do sistema i-Educar para a gestatildeo escolar
verificou-se que a forma de autenticaccedilatildeo existente nos sistemas I-Educar e Sigep eacute
efetuada por usuaacuterio e senha (maacuteximo de oito caracteres bloqueio no caso de trecircs
erros sucessivos e renovaccedilatildeo perioacutedica) o que representa um baixo niacutevel de
seguranccedila pois contempla apenas um fator de autenticaccedilatildeo mais vulneraacutevel do que
outros meacutetodos a exemplo da autenticaccedilatildeo uacutenica por certificaccedilatildeo digital (questatildeo nordm
48 Nota nordm 3)
136 A forma de autenticaccedilatildeo com um uacutenico fator adotada pela SEEDF nos
sistemas i-Educar e no Sigep representa uma vulnerabilidade que pode ser explorada
por ameaccedilas e pode causar danos aos ativos da organizaccedilatildeo como alteraccedilatildeo de
informaccedilotildees representando perda de confidencialidade e integridade dos sistemas
137 Desse modo entende-se cabiacutevel determinar agrave SEEDF que tome as
medidas necessaacuterias para melhorar a seguranccedila do processo de identificaccedilatildeo e
acesso aos sistemas criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
Gerenciamento de riscos em Seguranccedila da Informaccedilatildeo (questotildees nos 129 a 132
42 Auditoria Integrada - Seguranccedila da Informaccedilatildeo no Sistema de Bilhetagem Automaacutetica
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
45
da nota 3)
138 Em resposta agrave Nota de Auditoria nordm 343 a jurisdicionada informou que
natildeo haacute poliacutetica ou procedimento de avaliaccedilatildeo de riscos (questatildeo nordm 129) expressou
que natildeo haacute estrateacutegia de gerenciamento de riscos (questatildeo nordm 116) e que tambeacutem
natildeo foi realizada uma avaliaccedilatildeo de risco de acesso natildeo autorizado que venha a
modificar destruir alterar ou divulgar informaccedilotildees (questatildeo nordm 130)
139 A principal funccedilatildeo do gerenciamento de riscos na Seguranccedila da
Informaccedilatildeo eacute fornecer confianccedila agraves partes interessadas de que os riscos satildeo
adequadamente gerenciados para melhor preservar a confidencialidade integridade
e disponibilidade da informaccedilatildeo
140 Os sistemas em exame (i-Educar e SiGEP) satildeo acessados por meio
da internet que se encontra em ambiente hostil44 o que eleva os riscos a que a SEEDF
estaacute exposta e portanto torna necessaacuterio reavaliaccedilotildees perioacutedicas dos niacuteveis de riscos
e respectivas medidas de tratamento de riscos (ISO 27001 e ISO 27005)
141 Desse modo o gerenciamento de riscos eacute parte integrante do
processo de Seguranccedila da Informaccedilatildeo e na ISO 27005 estabelece-se o fluxo do
processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo a seguir apresentado
43 DA nordm 18
44 As ameaccedilas mais comuns da internet Acesso em 150818 lt httpwwwmundodoshackerscombras-ameacas-mais-comuns-da-internetgt
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
46
Figura 4 Processo de gestatildeo de riscos de seguranccedila da informaccedilatildeo (ISO 27005)
Fonte ISO 27005
142 A ISO 27014 estabelece como um dos princiacutepios especiacuteficos para
governanccedila da seguranccedila da informaccedilatildeo a adoccedilatildeo de uma abordagem baseada em
riscos
143 Nesse contexto sugere-se determinar agrave SEEDF que passe a adotar
abordagem baseada em riscos para Seguranccedila da Informaccedilatildeo em conformidade com
as normas ABNT ISO 27001 ISO 27005 ISO 27014
Maturidade do Processo de Seguranccedila da Informaccedilatildeo
144 Segundo preconiza a ABNT ISO 27001 a seguranccedila da informaccedilatildeo
deve ser tratada como um processo ciacuteclico nos moldes do PDCA (do inglecircs PLAN -
DO - CHECK - ACT ou Adjust) que eacute um meacutetodo iterativo de gestatildeo de quatro passos
utilizado para o controle e melhoria contiacutenua de processos e produtos
145 O modelo do COBIT 5 define 37 processos para governanccedila e gestatildeo
de TI e desses trecircs satildeo descritos para seguranccedila da informaccedilatildeo como guia baacutesico
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
47
para definir operar e monitorar um sistema geral de gerenciamento de seguranccedila a
saber APO13 ndash Gerenciar Seguranccedila DSS04 ndash Gerenciar continuidade e DSS05 ndash
Gerenciar serviccedilos de seguranccedila
146 O modelo do COBIT 5 define a maturidade do processo por seis niacuteveis
de capacidade a seguir descritos 0 Processo Incompleto 1 Processo Executado 2
Processo Gerenciado 3 Processo Estabelecido 4 Processo Previsiacutevel e 5 Processo
Otimizado
147 Para identificar em que niacutevel de capacidade se enquadram os trecircs
processos mencionados anteriormente que delineiam a seguranccedila da Informaccedilatildeo o
COBIT 5 apresenta um documento especiacutefico Process Assessment Model (PAM)
using COBIT 5 que detalha as atividades que devem ser executadas para ser
considerado em cada niacutevel
148 A Tabela a seguir identifica as praacuteticas de cada processo de
gerenciamento de riscos executadas pela SEEDF
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
48
Tabela 4
Nota Alcance NA - Natildeo Alcanccedilado (0-15) PA - Parcialmente Atingido (15 -50) AA - Amplamente atingido (50 - 85) ou TA - Totalmente Atingido (85-100) Fonte Nota de Auditoria nordm 03-40932018 e Process Assessment Model (PAM) using COBIT 5
149 Consoante a tabela acima verifica-se que a Secretaria natildeo executa a
integralidade das praacuteticas de cada processo de seguranccedila da informaccedilatildeo para
alcanccedilar o niacutevel de capacidade 1 (um - processo executado) indicando assim que os
processos de seguranccedila da informaccedilatildeo da SEEDF possuem niacutevel de capacidade 0
(zero - incompleto)
150 Nesse sentido cabe determinar agrave SEEDF a melhoria contiacutenua dos
processos e produtos de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(APO13 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 - Gerenciar
serviccedilos de seguranccedila do COBIT 50)
Os seguintes resultados do processo estatildeo sendo alcanccedilados Alcance
evidecircncias
respostas da
Nota 3
APO13-01 Um sistema em uso que efetivamente aborda os requisitos de seguranccedila
de informaccedilotildees corporativasPA Q 2426
APO13-02 Um plano de seguranccedila foi estabelecido aceito e comunicado em toda a
empresaNA Q 111112
APO13-03 As soluccedilotildees de seguranccedila da informaccedilatildeo satildeo implementadas e operadas
de forma consistente em toda a organizaccedilatildeoPA Q 113 e 139
DSS04-01 As informaccedilotildees criacuteticas de negoacutecios estatildeo disponiacuteveis para os negoacutecios de
acordo com os niacuteveis miacutenimos de serviccedilo necessaacuteriosPA Q 4680
DSS04-02 Resiliecircncia suficiente estaacute em vigor para serviccedilos criacuteticos PA Q 7075
DSS04-03 Testes de continuidade de serviccedilo verificaram a eficaacutecia do plano NA Q 67
DSS04-04 Um plano de continuidade atualizado reflete os requisitos de negoacutecios
atuaisNA Q 72
DSS04-05 Partes internas e externas foram treinadas no plano de continuidade NA Q 35 64 e 72
DSS05-01 A seguranccedila de redes e comunicaccedilotildees atende agraves necessidades de
negoacuteciosAA
Q 95106 e
133137
DSS05-02 As informaccedilotildees processadas armazenadas e transmitidas pelos
dispositivos de rede da ponta estatildeo protegidasPA
Q 2426 e
4763
DSS05-03 Todos os usuaacuterios satildeo exclusivamente identificaacuteveis e possuem direitos
de acesso de acordo com sua funccedilatildeo de negoacuteciosAA Q 4763
DSS05-04 Medidas fiacutesicas foram implementadas para proteger informaccedilotildees contra
acesso natildeo autorizado dano e interferecircncia ao serem processadas armazenadas ou AA Q 95106
DSS05-05 A informaccedilatildeo eletrocircnica eacute adequadamente protegida quando armazenada
transmitida ou destruiacutedaAA
Q 37 4246
8384 9293
130
Criteacuterios para avaliaccedilatildeo do alcance de resultados para o
niacutevel de maturidade 1 - Processo Executado
APO13 ndash Gerenciar Seguranccedila
DSS04 ndash Gerenciar continuidade
DSS05 ndash Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
49
Termos de Responsabilidade
151 Em resposta a Nota de Auditoria nordm 3 a jurisdicionada informou que
natildeo existe termo de responsabilidade para acesso aos sistemas (questatildeo 10)
152 Cabe mencionar a importacircncia da cientificaccedilatildeo de cada usuaacuterio de
suas atribuiccedilotildees e responsabilidades legais bem como as possiacuteveis ameaccedilas que
possam causar impacto danoso agrave informaccedilatildeo da SEEDF
153 Desse modo os servidores devem pocircr a termo a sua ciecircncia das
implicaccedilotildees de uso indevido dos sistemas assim como eacute exemplificado no termo de
responsabilidade de acesso ao SIGGO45 e de outros sistemas do GDF
154 Nesse sentido cabe determinar agrave SEEDF que elabore e faccedila uso de
termo que cientifique os usuaacuterios dos sistemas quanto as suas responsabilidades e
obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados pelos usuaacuterios
Gerenciamento de Acesso de Usuaacuterios (questotildees nos 5 e 123 da Nota nordm 3)
155 Um grave problema de seguranccedila da informaccedilatildeo eacute quando um
servidor ou usuaacuterio do sistema deixou o cargo ou apresentou suas atribuiccedilotildees
modificadas e seu acesso ainda permanece ativo nos sistemas que muitas vezes
incluem a possibilidade de alteraccedilatildeo de dados eou realizaccedilatildeo de consultas de caraacuteter
restrito sigiloso
156 Como exemplo de soluccedilatildeo para essa falha os sistemas de recursos
humanos quando do ingresso dos servidores agrave organizaccedilatildeo apresentam junto com
sua inclusatildeo administrativa a possibilidade de criaccedilatildeo de autorizaccedilotildees de acesso
especiacuteficas ao cargo e caso o servidor venha a assumir atribuiccedilotildees administrativas
diferentes as alteraccedilotildees das funccedilotildees administrativas no sistema de RH passam a ser
refletidas nas autorizaccedilotildees de acesso aos sistemas e ainda na possibilidade da saiacuteda
definitiva do oacutergatildeo o sistema de RH deve efetivar ou iniciar a revogaccedilatildeo de acessos
de forma imediata em todos os sistemas da organizaccedilatildeo
157 No caso da SEEDF a Subsecretaria de Gestatildeo de Pessoas que eacute
responsaacutevel pelo ingresso e gestatildeo dos servidores da SEEDF efetiva a parte
45 Disponiacutevel em wwwfazendadfgovbr
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
50
administrativa e encaminha agrave Subsecretaria de Modernizaccedilatildeo e Tecnologia para
alteraccedilatildeo de perfil de acesso conforme o caso ou ateacute o bloqueio de acesso para os
que deixaram de exercer atividades no acircmbito da SEEDF
158 Caso essa comunicaccedilatildeo natildeo ocorra ou demore a acontecer o acesso
permanece por tempo indevido representando grave risco agrave seguranccedila da informaccedilatildeo
da SEEDF (questotildees nos 5 6 123 e 124 da Nota nordm 3)
159 O sistema de gerenciamento de pessoal do DF SIGRH eacute um sistema
antigo com muitas deficiecircncias e de difiacutecil manutenccedilatildeo que estaacute em processo de
substituiccedilatildeo no GDF46 o que torna inviaacutevel no momento a implementaccedilatildeo da
funcionalidade descrita anteriormente
160 No entanto existe uma possibilidade para mitigaccedilatildeo do risco
envolvido no acesso de quem natildeo deveria mais possuiacute-lo Entende-se que aquele que
tem a atribuiccedilatildeo de efetivar administrativamente as alteraccedilotildees de cargos na SEEDF
tambeacutem deveria efetivar a alteraccedilatildeo de perfil de acesso aos sistemas da SEEDF via
perfil especiacutefico que pode ser criado pela Subsecretaria de Modernizaccedilatildeo e
Tecnologia no AD (Active Directory) e demais sistemas que realizem as autenticaccedilotildees
dos servidores para acesso aos sistemas
161 Desse modo uma das alternativas para mitigaccedilatildeo do risco eacute a
Subsecretaria de Gestatildeo de Pessoas que atualmente faz a gestatildeo administrativa de
pessoal tambeacutem realizar a gestatildeo de acesso de sistemas dos servidores da SEEDF
reduzindo as possibilidades de acesso indevido ateacute que novo sistema de pessoal do
GDF possa espelhar automaticamente os papeacuteis e responsabilidades dos servidores
com os perfis de acesso aos sistemas de informaccedilatildeo
Causas
162 Inobservacircncia das boas praacuteticas dos processos de seguranccedila da
informaccedilatildeo
Efeitos
163 Melhoria da gestatildeo de seguranccedila da informaccedilatildeo
46 Processo licitatoacuterio acompanhado por este TCDF ndash Processo nordm 582017
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
51
Consideraccedilotildees do Auditado
164 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 46)
ldquoAchado 5 - Baixo niacutevel de maturidade de gestatildeo de seguranccedila da informaccedilatildeo
Para elaboraccedilatildeo do Relatoacuterio Preacutevio de Auditoria ora apresentado as
equipes gestoras das aacutereas teacutecnicas responsaacuteveis responderam a
questionaacuterios apresentados pelos Auditores de Controle Interno Diante das
respostas fornecidas os mesmos indicam as recomendaccedilotildees que seratildeo
submetidas ao Plenaacuterio agraves quais fazemos referecircncia para informar quanto agraves
accedilotildees em curso no acircmbito desta Subsecretaria para a observacircncia de boas
praacuteticas dos processos de seguranccedila da informaccedilatildeo
1) () seraacute submetida agrave deliberaccedilatildeo do egreacutegio Plenaacuterio ao
menos a seguinte proposiccedilatildeo
II Determinar agrave Secretaria de Estado de Educaccedilatildeo que
a) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados
(ex procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
() c) passe a adotar abordagem baseada em riscos para
seguranccedila da informaccedilatildeo conforme estabelece a ISO 27001
ISO 27005 e ISO 27014
A Poliacutetica de Seguranccedila da Informaccedilatildeo da SEEDF (PoSICSEEDF estaacute
prevista no PDTI 2019-2020 e encontra-se em fase final de elaboraccedilatildeo Seraacute
publicada e divulgada no 1ordm Semestre de 2019
2) b) tome as medidas necessaacuterias para melhorar a seguranccedila
do processo de identificaccedilatildeo e acesso aos Sistemas de
Tecnologia da Informaccedilatildeo considerados criacuteticos de forma a
assegurar niacuteveis de risco aceitaacuteveis nos termos das normas ISO
ABNT 27001 e ABNT ISO 27005
() d) elabore e faccedila uso de termo que cientifique os usuaacuterios
dos sistemas quanto as suas responsabilidades e obrigaccedilotildees
bem como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes
do mal-uso dos sistemas mantendo a guarda desses termos
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
52
assinados pelos usuaacuterios
Os sistemas sustentados pela SUMTEC possuem duas formas de
acessos por validaccedilatildeo por meio do Active Directory(AD) e por cadastro do
CPF realizado pelo responsaacutevel conforme perfil
A Diretoacuteria de Governanccedila em TI incluiu na PoSICSEEDF modelos de
Termos de Responsabilidade e Confidencialidade para uso dos sistemas os
quais seratildeo disponibilizados aos usuaacuterios internos apoacutes automatizaccedilatildeo
realizada pela Diretoacuteria de Desenvolvimento de Sistemas
Os usuaacuterios externos devem preencher Termo de Confidencialidade
para acesso ao i-Educar
3) () e) promova a melhoria contiacutenua dos processos e produtos
de seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas
(AP013 - Gerenciar Seguranccedila DSS04 - Gerenciar continuidade
e DSS05 - Gerenciar serviccedilos de seguranccedila do COBIT 50)
f) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
A SUMTEC tem envidado esforccedilos no sentido de promover capacitaccedilatildeo
e estruturaccedilatildeo na aacuterea de governanccedila de TI a fim de alcanccedilar o niacutevel de
maturidade desejaacutevel agrave segunda maior secretaria de estado do DF motivo
pelo qual solicitou a aquisiccedilatildeo de cursos preparatoacuterios na aacuterea e tem
fomentado a troca de experiecircncias entre os oacutergatildeos puacuteblicos
Da mesma forma esta aacuterea administrativa buscaraacute iniciar accedilatildeo conjunta
com a Subsecretaria de Gestatildeo de Pessoal a fim de estabelecer protocolo
para gerenciamento do banco de servidores usuaacuterios dos sistemas seus
locais de exerciacutecio e niacuteveis de permissatildeo Nesta data o sistema de
monitoramento existente necessita de melhoramentos e automatizaccedilatildeo
processo que se encontra em cursordquo
Posicionamento da equipe de auditoria
165 A jurisdicionada informou que a poliacutetica de seguranccedila da informaccedilatildeo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
53
da SEEDF estaacute em fase de elaboraccedilatildeo Tambeacutem adita que envidou esforccedilos em
promover capacitaccedilatildeo e estruturaccedilatildeo na aacuterea de governanccedila de TI para melhorar o
niacutevel de maturidade da Secretaria Por fim informou que que atuaraacute em conjunto com
a Subsecretaria de Pessoal a fim estabelecer protocolo para gerenciamento do banco
de servidores usuaacuterios dos sistemas
166 Estas satildeo algumas accedilotildees necessaacuterias para o iniacutecio de uma
implementaccedilatildeo de seguranccedila da informaccedilatildeo na Secretaria no entanto ainda natildeo
foram implementadas e natildeo satildeo suficientes ao atendimento das sugestotildees de
melhoria da seguranccedila de informaccedilatildeo para SEEDF
167 Desse modo manteacutem-se inalterado o posicionamento da Equipe de
Auditoria apresentado na versatildeo preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
168 Sugere-se ao egreacutegio Plenaacuterio determinar agrave Secretaria de Estado de
Educaccedilatildeo que
a elabore divulgue e utilize sua Poliacutetica de Seguranccedila da Informaccedilatildeo e quando
necessaacuterio os normativos dela derivados (ex procedimentos de Controle de
Acesso Loacutegico e Fiacutesico Cadastramento de Usuaacuterios etc) conforme as boas
praacuteticas de seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013
ABNT ISO 270142013)
b tome as medidas necessaacuterias para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco aceitaacuteveis nos
termos das normas ABNT ISO 27001 e ABNT ISO 27005
c passe a adotar abordagem baseada em riscos para seguranccedila da informaccedilatildeo
conforme estabelece a ISO 27001 ISO 27005 e ISO 27014
d elabore e faccedila uso de termo que cientifique os usuaacuterios dos sistemas quanto
as suas responsabilidades e obrigaccedilotildees bem como indicaccedilotildees de possiacuteveis
vulnerabilidades decorrentes do mal-uso dos sistemas mantendo a guarda
desses termos assinados pelos usuaacuterios
e promova a melhoria contiacutenua dos processos e produtos de seguranccedila da
informaccedilatildeo de acordo com as boas praacuteticas (APO13 - Gerenciar Seguranccedila
DSS04 - Gerenciar continuidade e DSS05 - Gerenciar serviccedilos de seguranccedila
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
54
do COBIT 50)
f implante sistema automatizado de gestatildeo de acessos e autorizaccedilotildees aos
sistemas i-Educar e Sigep com validaccedilatildeo perioacutedica de cadastros por parte dos
titulares das unidades administrativas de forma que a gestatildeo administrativa
de pessoal opere de forma integrada e consistente com a gestatildeo de acesso
de sistemas pelos servidores da SEEDF
Benefiacutecios Esperados
169 Melhoria no processo de seguranccedila da informaccedilatildeo pelas partes
interessadas (todos os envolvidos direta e indiretamente) e reduccedilatildeo dos riscos de
danos agraves informaccedilotildees da SEEDF
232 Achado 6 ndash Capacidade insuficiente de a SEEDF atender agraves demandas do
Sistema i-Educar
Criteacuterios
170 COBIT 5 BAI0303 ndash Desenvolver componentes da soluccedilatildeo
BAI0305 ndash Construir soluccedilotildees BAI09 - Gerenciar ativos de TI
Anaacutelises e Evidecircncias
171 O Sistema i-Educar eacute um software de gestatildeo escolar disponibilizado
no Portal do Software Puacuteblico Brasileiro47 em 2008 por meio de um sistema com
banco de dados centralizado e totalmente web
172 A principal finalidade do software eacute informatizar a gestatildeo das
informaccedilotildees educacionais contribuindo com a racionalizaccedilatildeo do trabalho
173 No acircmbito da SEEDF o i-Educar foi formalizado por meio da Portaria
nordm 29 de 13 de fevereiro de 2014 a qual determinou a utilizaccedilatildeo plena do sistema
para escrituraccedilatildeo acadecircmica em todas as unidades escolares
174 As demandas de manutenccedilatildeo eou melhoria executadas no sistema i-
Educar tem como finalidade a implementaccedilatildeoalteraccedilatildeo de funcionalidades levando-
se em conta as necessidades do negoacutecio de acordo com as melhores praacuteticas de
47 httpssoftwarepublicogovbrsociali-educar
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
55
mercado (COBIT 5 BAI0303 BAI0303 e BAI09)
175 Cabe registrar que o sistema i-Educar eacute manutenidoatualizado por
equipe proacutepria da aacuterea de sistemas da SEEDF desde a sua implantaccedilatildeo na rede
escolar (2014) Essa equipe eacute formada por oito servidores que realizam as atividades
de anaacutelise e programaccedilatildeo de sistemas segundo informaccedilotildees do coordenador da
equipe
176 Em atendimento agrave Nota de Auditoria nordm 04-40932018 a SEEDF
disponibilizou relatoacuterio48 das demandas represadas (backlog49) do sistema i-Educar
atualizado ateacute o dia 150518 considerando os tipos de serviccedilos a serem executados
vejamos
Graacutefico 8
Fonte Backlog i-Educar
177 O graacutefico acima demonstra um total de 223 demandas abertas ateacute
15052018 do sistema i-Educar evidenciando um alto risco de a SEEDF natildeo
conseguir atender a essas demandas pela equipe atualmente alocada para manter o
sistema considerando que aproximadamente 51 das demandas (113) tem
prioridade urgente alta e imediata
178 Ainda observa-se quantitativo expressivo de demandas para
48 Arquivo associado ao processo (01_201805151149_backlog_ieducarpdf)
49 Refere-se a um log (resumo histoacuterico) de acumulaccedilatildeo de trabalho num determinado periacuteodo de tempo
0 20 40 60 80 100 120 140 160 180
DEFEITOAJUSTE
FUNCIONALIDADE
PROJETO
SUPORTE
DOCUMENTACcedilAtildeO
RELATOacuteRIO
NECESSIDADE TECNOLOacuteGICA
Quantidade de Demandas
Tip
o d
e D
eman
da
Backlog do i-Educar - atualizado ateacute 15052018
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
56
correccedilatildeo de defeitos ou ajustes (164) as quais necessitam de alocaccedilatildeo de recurso
tempestivo para atendimento impactando assim a execuccedilatildeo das demandas de
melhorias do sistema (novos projetosfuncionalidades)
Causas
179 Falta de priorizaccedilatildeo da gestatildeo do projeto Falta de pessoal
especializado
Efeitos
180 Potencial risco de natildeo atender agraves demandas do sistema i-Educar Natildeo
implementar melhorias capazes de otimizar a gestatildeo escolar
Consideraccedilotildees do Auditado
181 A SEEDF por meio do Ofiacutecio SEI-GDF nordm 6352019 - SEEGAB assim
se manifestou (peccedila 19 fls 6)
ldquoEsta Secretaria de Educaccedilatildeo conta hoje com reduzido quadro de
servidores especializados em desenvolvimento de sistemas seja pela
ausecircncia de contrataccedilatildeo para o quadro de pessoal seja pela
volatilidade existente no mercado de trabalho de TI Desta forma os
recursos humanos disponiacuteveis para atendimento das demandas satildeo
escassos
A Subsecretaria de Modernizaccedilatildeo e Tecnologia-SUMTEC iniciou
processo licitatoacuterio para contrataccedilatildeo de serviccedilos de Faacutebrica de
Software de modo a suprir a escassez de matildeo de obra especializada
na aacuterea aleacutem de accedilatildeo de revisatildeo de processos junto agrave aacuterea de
negoacutecios responsaacutevel pelo i-Educar a fim de reexaminar possiacuteveis
gargalos existentes na soluccedilatildeo das demandas
Ainda em referecircncia a gestatildeo do i-Educar a Diretoacuteria de
Desenvolvimento de Sistemas da SUMTEC pretende capacitar os
servidores para adoccedilatildeo de metodologia aacutegil (SCRUM) no
gerenciamento das demandas encaminhadas agrave aacuterea rdquo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
57
Posicionamento da equipe de auditoria
182 Apesar de a jurisdicionada noticiar procedimento licitatoacuterio que iraacute
suprir a demanda pelos serviccedilos de faacutebrica de software tal medida deveraacute ser
comprovada e seus resultados analisados ateacute porque o processo50 ainda se encontra
na fase de pesquisa de preccedilos conforme contato telefocircnico realizado com a
Secretaria de Educaccedilatildeo
183 Nesse sentido manteacutem-se a proposiccedilatildeo apresentada na versatildeo
preacutevia do Relatoacuterio de Auditoria
Proposiccedilotildees
184 Sugere-se ao egreacutegio Plenaacuterio a proposiccedilatildeo de recomendar agrave SEEDF
que
a adote medidas administrativas capazes de reestabelecer o fluxo
normal de atendimento das demandas represadas em conformidade
com as melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303
e BAI09) vez que o atual ritmo pode comprometer a correccedilatildeo de
defeitos eou melhorias do sistema i-Educar
Benefiacutecios Esperados
185 Diminuiccedilatildeo do backlog atualmente existente do sistema i-Educar
Atendimento tempestivo das demandas
3 Conclusatildeo
186 A presente auditoria integrada foi realizada na Secretaria de Estado
de Educaccedilatildeo do Distrito Federal ndash SEEDF em cumprimento ao PGA 2018 tendo
como objeto os principais recursos de tecnologia da informaccedilatildeo e comunicaccedilatildeo (TIC)
disponibilizados pela SEEDF no suporte ao ensino educacional do DF a seguranccedila
da informaccedilatildeo dos sistemas de gestatildeo escolar e a execuccedilatildeo dos principais contratos
de informaacutetica da SEEDF
187 Os resultados da auditoria demonstraram que a maioria dos
computadores dos laboratoacuterios de informaacutetica das escolas puacuteblicas do DF (791)
50 Processo SEI nordm 0080000667792018-75
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
58
possui mais de dez anos de uso (obsolescecircncia) o que compromete a utilizaccedilatildeo dos
recursos de TIC e o uso de novas tecnologias pelo aluno no processo ensino-
aprendizagem
188 Aleacutem disso a baixa velocidade do link de acesso disponibilizado nos
laboratoacuterios de informaacutetica natildeo permite a utilizaccedilatildeo da Internet pelos alunos o que
inviabiliza a concretizaccedilatildeo da proposta pedagoacutegica que contempla o uso dos recursos
tecnoloacutegicos para a melhoria do processo de aprendizagem nos termos da meta 712
ndash Tecnologias educacionais do PNE - Plano Nacional de Educaccedilatildeo
189 Quanto agrave gestatildeo da seguranccedila da informaccedilatildeo realizada pela SEEDF
verificou-se baixo niacutevel de maturidade que compromete a confidencialidade
integridade e disponibilidade das informaccedilotildees
190 Verificou-se tambeacutem a necessidade de a SEEDF atender o excesso
de demandas acumuladas do sistema i-Educar sob pena de impactar o processo de
gestatildeo escolar realizado pelas unidades da rede puacuteblica
191 No que diz respeito a regularidade dos Contratos nordms 192013
(fornecimento de circuito de dados) e 062016 (suporte teacutecnico) verificou-se a
descontinuidade dos serviccedilos de enlace de comunicaccedilatildeo de dados nas unidades
educacionais e o elevado iacutendice de atendimento presencial respectivamente
4 Proposiccedilotildees
192 Ante o exposto sugere-se ao Plenaacuterio
I recomendar agrave Secretaria de Educaccedilatildeo do DF que
a) implemente accedilotildees no sentido de estabelecer
procedimentosroteiros com regras preacute-determinadas para
resoluccedilatildeo imediata de incidentes pelo Service Desk (Central de
Serviccedilos) de forma a reduzir as ocorrecircncias de escalonamento de
incidentesdemandas de usuaacuterios em conformidade com o ITIL ndash
gestatildeo de incidentes e COBIT DS8 bem como mecanismos de
controle que permitam o monitoramento dos serviccedilos prestados
nos termos do o art 20 da IN 042014-SLTIMPOG
b) adote as medidas necessaacuterias visando atualizar o parque
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
59
tecnoloacutegico dos laboratoacuterios das escolas puacuteblicas do DF bem
como o aumento da velocidade meacutedia do link de acesso agrave internet
de forma a fomentar o uso dos recursos tecnoloacutegicos para melhoria
do fluxo escolar e da aprendizagem (metaestrateacutegia 712 do PNE)
intensificando por exemplo o uso de recursos do Proinfo e
celebraccedilatildeo de acordos entre oacutergatildeos puacuteblicos para cessatildeo de
equipamentos
c) reestabeleccedila o fluxo normal de atendimento das demandas
represadas do sistema i-Educar em conformidade com as
melhores praacuteticas de mercado (COBIT 5 BAI0303 BAI0303 e
BAI09) uma vez que o atual ritmo pode comprometer a correccedilatildeo
de defeitos eou melhorias do sistema i-Educar
II determinar agrave Secretaria de Educaccedilatildeo que adote as seguintes
medidas informando ao Tribunal no prazo de 60 (sessenta) dias as
providecircncias adotadas e resultados alcanccedilados
a) implemente accedilotildees de contingecircncia eficazes para suprir a carecircncia
de acesso agrave internet pelas unidades escolares considerando a
ineficaacutecia do PDAF como opccedilatildeo de contingecircncia nos termos do
artigo 13 inciso V a IN SLTI MPOG nordm 042014
b) elabore divulgue e utilize sua Poliacutetica de Seguranccedila da
Informaccedilatildeo e quando necessaacuterio os normativos dela derivados (ex
procedimentos de Controle de Acesso Loacutegico e Fiacutesico
Cadastramento de Usuaacuterios etc) conforme as boas praacuteticas de
seguranccedila da informaccedilatildeo (COBIT 5 ABNT ISO 270012013 ABNT
ISO 270142013)
c) implemente accedilotildees para melhorar a seguranccedila do processo de
identificaccedilatildeo e acesso aos Sistemas de Tecnologia da Informaccedilatildeo
considerados criacuteticos de forma a assegurar niacuteveis de risco
aceitaacuteveis nos termos das normas ABNT ISO 27001 e ABNT ISO
27005
d) passe a adotar abordagem baseada em riscos para seguranccedila da
informaccedilatildeo conforme estabelece a ISO 27001 ISO 27005 e ISO
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE
TRIBUNAL DE CONTAS DO DISTRITO FEDERAL SECRETARIA DE FISCALIZACcedilAtildeO ESPECIALIZADA DIVISAtildeO DE FISCALIZACcedilAtildeO DE TECNOLOGIA DA INFORMACcedilAtildeO
60
27014
e) elabore e faccedila uso de termo que cientifique os usuaacuterios dos
sistemas quanto as suas responsabilidades e obrigaccedilotildees bem
como indicaccedilotildees de possiacuteveis vulnerabilidades decorrentes do mal-
uso dos sistemas mantendo a guarda desses termos assinados
pelos usuaacuterios
f) promova a melhoria contiacutenua dos processos e produtos de
seguranccedila da informaccedilatildeo de acordo com as boas praacuteticas (APO13
- Gerenciar Seguranccedila DSS04 - Gerenciar continuidade e DSS05 -
Gerenciar serviccedilos de seguranccedila do COBIT 50)
g) implante sistema automatizado de gestatildeo de acessos e
autorizaccedilotildees aos sistemas i-Educar e Sigep com validaccedilatildeo
perioacutedica de cadastros por parte dos titulares das unidades
administrativas de forma que a gestatildeo administrativa de pessoal
opere de forma integrada e consistente com a gestatildeo de acesso de
sistemas pelos servidores da SEEDF
III autorizar o encaminhamento de coacutepias do Relatoacuterio Final de
Auditoria do Voto e da Decisatildeo a ser proferida ao titular da SEEDF
para subsidiar a adoccedilatildeo das medidas e o retorno dos autos agrave
Secretaria de Fiscalizaccedilatildeo Especializada para as devidas
providecircncias
Brasiacutelia (DF) 31 de maio de 2019
Marcelo Oliveira Vasconcelos
Auditor de Controle Externo
Everton Assumpccedilatildeo
Auditor de Controle Externo
e-DOC E43DFFDE-eProc 40932018-e
Documento assinado digitalmente Para verificar as assinaturas acesse wwwtcdfgovbrautenticidade e informe o e-DOC E43DFFDE