Upload
dinhdiep
View
216
Download
0
Embed Size (px)
Citation preview
POR QUE O TRABALHO FOI REALIZADO?
O trabalho foi priorizado em decorrência da relevância do SICAN no
âmbito da Companhia Nacional de Abastecimento, por se tratar de
sistema cujo objetivo é ser a base única para os beneficiários finais de
todas as políticas públicas operadas pela entidade.
QUAIS AS CONCLUSÕES ALCANÇADAS?
Em que pese o SICAN tenha sido elaborado para solucionar problemas
da unidade, a partir da análise de problemas relacionados à confiabilidade
de informações, o Sistema carece de maior foco no cidadão. De fato,
como o processo informatizado sempre exige a presença do beneficiário
da política pública e a apresentação das mesmas documentações, não
houve simplificação do processo para ele, tampouco melhoria no controle
de regularidade dos cadastros. Adicionalmente, identificou-se a
inexistência de suporte técnico ao cidadão e a inobservância à diretrizes
de acessibilidade adotadas internacionalmente.
Com relação ao ambiente de desenvolvimento e tecnológico em que o
Sistema está inserido, verificou-se a inexistência dos processos de gestão
de continuidade de negócios, essencial no caso interrupção do serviço, e
de gestão de mudanças, que objetiva mitigar os riscos de impactos
negativos nas atualizações realizadas. Ainda, foram identificadas falhas
na gestão das permissões de acesso, uso de certificado digital auto
assinado, regras para manutenção de backup desconhecidas pela área de
negócio, armazenamento das cópias de segurança em local inadequado e
inexistência de documentação relacionada à implantação.
QUAIS RECOMENDAÇÕES FORAM EMITIDAS?
Com relação ao foco no cidadão, foi recomendado que a CONAB adapte
o SICAN para que não sejam solicitados dados já informados pelo
cidadão em outras interações com a entidade e, a fim de evitar que sejam
solicitados dados já disponíveis na administração pública, que estabeleça
plano de ação permanente para obtenção de bases de dados de outros
órgãos; implemente boas práticas de acessibilidade, a exemplo do
Modelo de Acessibilidade em Governo Eletrônico (e-MAG); implante
serviço de suporte técnico aos usuários finais considerando o grau de
instrução e familiaridade dos utilizadores com recursos computacionais.
Quanto aos processos relacionados ao ambiente que envolve o SICAN,
recomendou-se que implemente os processos de gestão de continuidade,
de gestão de mudanças, de autorização e de revisão de direitos de acesso
privilegiado e atualize o processo de software para que inclua uma etapa
para desenvolvimento de manual de implantação. Ademais, foram
emitidas recomendações para aquisição e utilização de certificado digital
emitido por autoridade certificadora reconhecida, armazenamento de
cópias de segurança e adequação das rotinas de backup em acordo com a
área de negócio, conforme boas práticas de segurança da informação.
RELATÓRIO Nº 201600102
QUAL FOI O TRABALHO
REALIZADO?
A ação de controle avaliou a
conformidade de normas e boas
práticas aplicadas no
desenvolvimento e operação do
Sistema de Cadastro Nacional de
Produtores Rurais, Público do PAA,
Cooperativas, Associações e Demais
Agentes – SICAN.
O objetivo do SICAN é manter um
cadastro nacional de agentes que
tenham interesse em operar com a
Companhia Nacional de
Abastecimento – CONAB, a fim de
obter dados consistentes que
permitam verificar a possibilidade de
participação destes nas operações
realizadas.
A equipe avaliou 14 questões de
auditoria relacionadas com o
planejamento, documentação,
confidencialidade, integridade,
monitoramento, suporte técnico,
acessibilidade, processo de gestão
de mudanças e gestão de
continuidade.
Ministério da Transparência,
Fiscalização e Controladoria-
Geral da União
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 1
SECRETARIA FEDERAL DE CONTROLE INTERNO
Unidade Auditada: COMPANHIA NACIONAL DE ABASTECIMENTO
Município - UF: Brasília – DF
Relatório nº: 201600102
UCI Executora: SFC/GAB/GSNTI/Núcleo de Auditoria de Tecnologia da
Informação
RELATÓRIO DE AUDITORIA
Em atendimento à determinação contida na Ordem de Serviço (OS) nº 201600102,
apresentamos os resultados dos exames realizados sob atos e consequentes fatos de
gestão, ocorridos na supra referida, no período de 21/01/2016 a 31/05/2016.
A ação de controle avaliou a conformidade de normas e boas práticas aplicadas no
desenvolvimento e operação do Sistema SICAN - Sistema de Cadastro Nacional de
Produtores Rurais, Público do PAA, Cooperativas, Associações e Demais Agentes.
I – ESCOPO DO TRABALHO
Foi analisado o Sistema SICAN - Sistema de Cadastro Nacional de Produtores Rurais,
Público do PAA, Cooperativas, Associações e Demais Agentes, desenvolvido
internamente, cujo objetivo é manter um cadastro nacional que centralize as informações
dos agentes, a fim de obter dados consistentes que permitam verificar a possibilidade de
participação destes nas operações realizadas pela CONAB.
O presente trabalho objetivou responder às seguintes questões de auditoria:
Planejamento e Documentação:
1. O sistema avaliado possui razão de existir?
2. O sistema avaliado é documentado razoavelmente?
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 2
Confidencialidade
3. O controle de acesso de usuários do sistema avaliado é realizado apropriadamente?
4. O controle de acesso aos ativos que suportam o sistema avaliado é realizado
apropriadamente?
5. O sistema avaliado utiliza ferramentas de criptografia para garantir o tráfego e
armazenamento de informações sensíveis?
Integridade
6. O sistema evita requisitar ao usuário informações passíveis de serem obtidas de outras
bases de dados do governo federal ou públicas?
Monitoramento
7. Os ativos que suportam o sistema avaliado possuem disponibilidade dentro do
esperado?
8. As transações do sistema avaliado são registradas para posterior controle e auditoria?
9. Existe monitoramento de possíveis fragilidades ou inconsistências no sistema
avaliado?
Suporte Técnico
10. O órgão oferece suporte técnico adequado ao usuário do sistema avaliado?
Acessibilidade
11. O sistema avaliado adota uma linguagem acessível para o público-alvo a que se
destina?
12. O sistema avaliado adota as principais recomendações de acessibilidade do governo
federal (e-MAG) para permitir o uso por pessoas com deficiência?
Gestão de Mudanças e Continuidade
13. A gestão de mudanças é realizada apropriadamente no sistema avaliado?
14. Existe uma estratégia para a continuidade em caso de incidentes com o sistema
avaliado?
II – RESULTADO DOS EXAMES
1 GESTÃO OPERACIONAL
1.1 AVALIAÇÃO DOS RESULTADOS
1.1.1 SISTEMA DE INFORMAÇÕES OPERACIONAIS
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 3
1.1.1.1 CONSTATAÇÃO
Falhas na gestão das permissões de acesso.
Fato
O controle das permissões de acesso é mecanismo basilar para a manutenção da segurança
das informações e comunicações. Por conseguinte, a Norma Complementar (NC) nº
07/IN01/DSIC/GSIPR estabelece as diretrizes para implementação de controles de acesso
relativos à segurança da informação e comunicações nos órgãos e entidades da
Administração Pública Federal, direta e indireta. Cabe salientar as seguintes
considerações iniciais dessa norma:
2.1. O objetivo do controle é sistematizar a concessão de
acesso, a fim de evitar a quebra de segurança da
informação e comunicações.
2.2. A identificação, a autorização, a autenticação, o
interesse do serviço e a necessidade de conhecer são
condicionantes prévias para concessão de acesso nos
órgãos ou entidades da APF.
2.3. A identificação dos controles de acesso lógico e físico,
nos órgãos ou entidade da APF, é consequência do
processo de Gestão de Riscos de Segurança da Informação
e Comunicações.
(...)
2.6. Os órgãos ou entidades da APF, em suas áreas de
competência, estabelecem regras específicas para
credenciamento de acesso de usuários aos ativos de
informação em conformidade com a legislação vigente, e
em especial quanto ao acesso às informações em áreas e
instalações consideradas críticas.
(Original sem grifo)
Ademais, ressaltamos o trecho da seção 9.1.1 (Política de controle de acesso), Norma
ABNT NBR ISO/IEC 27002:2013, que define dois frequentes princípios que orientam a
política de controle de acesso.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 4
a) Necessidade de conhecer: você somente tem permissão
para acessar informação que você necessita para
desempenhar suas tarefas (tarefas e atribuições
diferentes significam diferentes necessidades de
conhecer e diferentes perfis de acesso);
b) Necessidade de uso: você somente tem permissão para
acessar os recursos de processamento da informação
(equipamentos de TI, aplicações, procedimentos, salas)
que você necessita para desempenhar a sua tarefa.
Considerando tais normas, em análise das permissões de acesso aos ativos e perfis
utilizados pelo Sistema SICAN, observou-se o seguinte:
a) Servidor de banco de dados
Em análise ao esquema do banco de dados utilizado pelo Sistema SICAN, no
servidor de produção, em 14/03/2016, observou-se que existiam 04 grupos de
permissão de acesso: 01 com permissões de consulta e 03 com permissões de
acesso total.
Da análise das permissões de acesso nos servidores de banco de dados e a partir
da lista de usuários informados por meio do Ofício DIPAI nº 059/2016,
evidenciou-se:
a.1) Falha nas permissões do grupo de consulta
Verificou-se que o grupo criado para usuários que necessitam apenas de
acesso de consulta, permite acesso total aos usuários que o integram, o que
inclui a alteração de estrutura e dados contidos no esquema do Sistema
SICAN. O grupo é formado por 03 usuários da GESOF e 02 da GESIN.
a.2) Existência de empregados com acesso total sem justificativa
Conforme informado, em reunião realizada em 14/03/2016 com o gestor,
o processo de alteração da estrutura do banco de dados funciona da
seguinte forma:
A GEASI, através da equipe de DBAs, é a única responsável
por realizar as alterações na estrutura do banco de dados
do SICAN. Assim, a partir das demandas da GESOF, a
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 5
GEASI realiza as alterações na estrutura no banco de
dados do SICAN.
Ainda, na mesma reunião, sobre a existência de um processo para a
inclusão de usuários no banco de dados, o gestor manifestou o seguinte:
A GEASI adiciona os usuários no banco de dados conforme
a necessidade das outras áreas.
No entanto, observa-se que outras gerências da SUTIN (GESOF e GESIN)
possuem acesso total ao esquema de banco de dados do Sistema SICAN.
Agrava-se o fato da concessão de acesso total a usuário de outra
superintendência (Superintendência de Informações do Agronegócio –
SUINF).
Visto que a equipe de administradores de banco de dados (DBAs) é a única
responsável por realizar as alterações no banco de dados, não há
necessidade de outros usuários, inclusive da própria GEASI, possuírem
acesso total ao esquema do banco de dados do Sistema SICAN. Tal fato
contraria a seguinte diretriz de observância obrigatória da NC nº
07/IN01/DSIC/GSIPR:
6.3.2. Respeitar o princípio do menor privilégio para
configurar as credenciais ou contas de acesso dos usuários
aos ativos de informação.
Considerando ainda que não foi demonstrada a necessidade dos
empregados de outras gerências possuírem acesso ao servidor de banco de
dados, frise-se em produção, também há discordância quanto ao “princípio
da necessidade de conhecer” definido pela Norma ABNT NBR ISO/IEC
27002:2013 e o item 2.2 da NC 07/IN01/DSIC/GSI/PR:
2.2. A identificação, a autorização, a autenticação, o
interesse do serviço e a necessidade de conhecer são
condicionantes prévias para concessão de acesso nos
órgãos ou entidades da APF.
(Original sem grifo)
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 6
a.3) Inexistência de processo de autorização e revisão formal para a
alocação de direitos de acesso privilegiado
Não há evidências de processo de autorização formal para a alocação de
direitos de acesso privilegiado. Tal fato diverge do disposto na seção 9.2.3
(Gerenciamento de direitos de acesso privilegiado) da Norma ABNT NBR
ISO/IEC 27002:2013 que estabelece que a alocação de direitos de acesso
privilegiado seja controlada por meio de um processo de autorização
formal.
Em relação à revisão periódica das permissões dos usuários de banco de
dados, o gestor informou na mesma reunião:
As permissões são revisadas, porém não há nenhum
procedimento formal para a revisão periódica.
A falta de um procedimento formal para a revisão periódica contraria a
seção 9.2.5 (Análise crítica dos direitos de acesso de usuário) da Norma
ABNT NBR ISO/IEC 27002:2013. Essa seção recomenda que as seguintes
considerações devem ser observadas na análise crítica dos direitos de
acesso:
a) os direitos de acesso de usuários sejam revisados em
intervalos regulares e depois de quaisquer mudanças, como
promoção, remanejamento ou encerramento do contrato;
b) os direitos de acesso de usuários sejam analisados
criticamente e realocados quando movidos de um tipo de
atividade para outra na mesma organização;
c) autorizações para direitos de acesso privilegiado
especial sejam revisadas em intervalos mais frequentes;
d) as alocações de privilégios sejam verificadas em
intervalo de tempo regular para garantir que privilégios
não autorizados não foram obtidos;
e) as modificações para contas privilegiadas sejam
registradas para análise crítica periódica.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 7
b) Servidores de aplicação
Mediante Ofício nº 059/2016, item k, e Ofício nº 023/2016, item 12, o gestor
informou a lista de usuários com acesso aos servidores de aplicação utilizados
pelo Sistema SICAN. Da análise das permissões, verificou-se:
b.1) Inobservância do princípio da necessidade de conhecer
O quadro demonstra que a totalidade dos empregados da GEASI (20
usuários) possuem acesso aos servidores de aplicação. Embora haja
necessidade de permissão de acesso a alguns empregados da GEASI, não
há justificativa para que a totalidade dos empregados possuam permissão
acesso.
Ademais, não foi demonstrada a necessidade de empregados de outras
gerências possuírem acesso aos servidores de aplicação em produção.
Agrava-se o fato de empregados terceirizados possuírem permissão de
acesso sem justificativa.
Tais fatos evidenciam a discordância em relação ao princípio da
necessidade de conhecer, conforme diretriz constante na seção 9.1.1
(Política de controle de acesso) da Norma ABNT NBR ISO/IEC
27002:2013 e o item 2.2 da NC 07/IN01/DSIC/GSI/PR.
b.2) Falhas no processo de revogação de acesso a usuário desligado da
CONAB
Identificou-se, entre os usuários com acesso ao servidor de aplicação, um
empregado desligado da CONAB em 18/01/2016. Tal fato evidencia falhas
no processo de revogação de acesso aos usuários desligados do órgão.
Ressalta-se que apenas eventual suspensão do login de rede dos
empregados desligados não é suficiente. Conforme a seção 9.2.6 (Retirada
ou ajuste dos direitos de acesso) da Norma ABNT NBR ISO/IEC
27002:2013, os direitos de acesso dos ativos também devem ser removidos
ou suspensos.
c) Falhas nas permissões do perfil de consulta no Sistema SICAN
Em consulta à cópia do banco de dados, disponibilizada pelo gestor mediante
Ofício nº 018/2016, observa-se a presença de 7947 usuários com perfil de consulta
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 8
no Sistema SICAN. Sobre a necessidade desses usuários possuírem o perfil de
consulta, o gestor manifestou o seguinte:
A concessão de perfis para os usuários dos sistemas da Conab é
realizada a partir do cadastro geral de usuários [...], que engloba
todos os empregados, estagiários, parceiros de entidades externas
que colaboram com o fornecimento de informações como, por
exemplo, para os sistemas de avaliação de safra e SIAGRO, dentre
outros.
Todos os empregados da CONAB possuem acesso aos sistemas
para o perfil de consultas básicas.
No caso em tela, percebeu-se que, por falha na construção do
script de concessão de permissão de acesso ao SICAN, foi
atribuída permissão para todos os usuários constantes da tabela
[...], em vez de restringir esta permissão apenas aos empregados
da Conab. A despeito desta falha, pode-se afirmar que dificilmente
ocorreram acessos indevidos à base de dados, pois, o acesso ao
SICAN para consultas só pode ser realizado a partir da Intranet, à
qual somente têm acesso o grupo de usuários cadastrados no
LDAP, composto, basicamente, dos colaboradores da Companhia
e auditores dos órgãos de controle. Uma vez detectada a falha, a
equipe da Sutin está trabalhando na adequação das permissões de
acesso.
A concessão de acesso a todos empregados contraria o princípio de necessidade
de conhecer, conforme diretriz constante na seção 9.1.1 (Política de controle de
acesso) da Norma ABNT NBR ISO/IEC 27002:2013 e o item 2.2 da NC
07/IN01/DSIC/GSI/PR. Em análise, constata-se a existência de empregados com
cargos sem aparente necessidade de realizar consultas no Sistema SICAN, tais
como: Motorista, Auxiliar de Conservação, Auxiliar de Recursos Humanos, entre
outros.
Em relação aos usuários com perfil de consulta que não são empregados da
CONAB, o gestor identificou uma falha no script de concessão de acesso. Assim,
o gestor afirma que as providências para a retirada desses usuários estão em curso.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 9
##/Fato##Causa
Atuação deficiente do gestor na adoção de controles na gestão das permissões de acesso
para o atendimento às recomendações exaradas pelos itens 2.2 e 6.3.2 da NC nº
07/IN01/DSIC/GSIPR e seções 9.1.1, 9.2.3, 9.2.5, 9.2.6 da Norma ABNT NBR ISO/IEC
27002:2013.
##/Causa##kkk
Manifestação da Unidade Examinada
Por meio do Oficio DIPAI/DIRAB/CONAB nº 082, de 20 de abril de 2016, a unidade
encaminhou a seguinte manifestação:
Item a.1) Falha nas permissões do grupo [...]: quando da emissão
do relatório solicitado pela equipe de auditoria da CGU, foi
detectado que o grupo, que deveria possuir apenas permissão de
consulta, estava com a permissão de acesso total. Diante desta
constatação, foi realizada a correção imediata, alterando as
permissões de acesso para somente consulta.
Item a.2) Existência de empregados com acesso total sem
justificativa: foi realizada a retirada do acesso total de todos os
usuários pertencentes ao grupo [...], lotados em outras gerências,
conforme exemplificado no "Quadro dos usuários do grupo [...]".
Ao final desta atividade, apenas o usuário de acesso do próprio
sistema resto autorizado. Ficou consignado entre as áreas
envolvidas que nenhum usuário deverá ter acesso total a qualquer
banco de dados de produção, a não ser aqueles usuários de
sistema, e que eventuais modificações na estrutura de bancos de
dados serão encaminhadas por meio do Administrador de Dados
a equipe de Banco de Dados, utilizando-se o Sistema de Gestao de
Demandas - Sigede.
Item a.3) Inexistência de processo de autorização e revisão formal
para a alocação de direitos de acesso privilegiado: será elaborado
um processo de autorização e revisão formal para alocação de
direito de acesso privilegiado, conforme recomendado.
Item b.1) Inobservância do princípio da necessidade de conhecer:
acatamos a recomendação e realizamos os devidos ajustes.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 10
Dentre os usuários externos à Geasi identificados estão membros
da equipe de objeto corporativo e o administrador de dados. Em
reunião, restou acordado que somente os membros da Geasi
continuarão a ter acesso aos servidores de produção. Registre-se
que o usuário [...], apesar de bloqueado, estava em um galho não
usual do LDAP, o que foi constatado na emissão do relatório, e
prontamente removido.
Constatada a inadequação foi iniciado, pela equipe de segurança
da Sutin/Geasi, um trabalho de restrição de acesso lógico a todos
os servidores do data center da Conab. O mesmo seguirá, inclusive
com a redução dos grupos da Geasi, por atividade específica,
contemplando inicialmente os servidores recém-criados, porém,
sua conclusão, em razão de exigências técnicas adicionais,
depende da migração de diversos servidores mais antigos, em
produção, para versões mais recentes de sistema operacional e
serviços instalados.
Item b.2) Falhas no processo para revogação de acesso aos
usuários desligados da CONAB: O usuário do empregado
desligado encontrava-se bloqueado, todavia, a rotina automática
de remoção de usuários desligados, estava configurada para
execução a cada quatro meses. O processo de remoção sofrerá
agendamento para prazo mais curto.
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
Em relação às permissões de acesso nos servidores de banco de dados, o gestor concorda
com as falhas apontadas. Afirma ainda que os itens a.1 (Falha nas permissões do grupo
de consulta) e a.2 (Existência de empregados com acesso total sem justificativa) foram
sanados.
Sobre o item a.3 (Inexistência de processo de autorização e revisão formal para a alocação
de direitos de acesso privilegiado), o gestor elaborará um processo para sanar essa falha.
Em relação às falhas nas permissões de acesso nos servidores de aplicação, o gestor
adotou medidas para minimizar os riscos apontados. Sobre o item b.1 (Inobservância do
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 11
princípio da necessidade de conhecer), o gestor restringiu o acesso aos membros da
Sutin/Geasi nos servidores de aplicação.
No que concerne ao item b.2 (Falhas no processo para revogação de acesso aos usuários
desligados da CONAB), o gestor justificou que o usuário estava bloqueado, entretanto, a
rotina para a exclusão do usuário executa apenas a cada quatro meses. Porém, para
minimizar os riscos, o agendamento da rotina será alterado para um prazo mais curto.
Referente ao item c (Falhas nas permissões do perfil de consulta no Sistema SICAN), o
gestor afirma que uma falha no script implicou na concessão de acesso a não empregados
da CONAB. O gestor relata ainda que está em curso a correção desse problema.
Entretanto, o gestor afirma que todos os empregados da CONAB, por padrão possuem
acesso aos sistemas para o perfil de consultas básicas. Conforme já destacado, tal situação
contraria o princípio de necessidade de conhecer.
Pelo exposto, conclui-se que houve falhas na gestão das permissões de acesso nos
servidores de banco de dados e aplicação. Destaca-se positivamente a celeridade do gestor
para saneamento da maior parte das falhas relatadas nesta constatação.
##/AnaliseControleInterno##
Recomendações:
Recomendação 1: Implementar processo de autorização e revisão formal para alocação
de direitos de acesso privilegiado, conforme disposto nas seções 9.2.3 e 9.2.5 da Norma
ABNT NBR ISO/IEC 27002:2013.
Recomendação 2: Aumentar a frequência de execução da rotina responsável por excluir
usuários desligados da CONAB.
Recomendação 3: Revisar e fornecer permissões, inclusive com perfil de consulta, apenas
a empregados que necessitem justificadamente utilizar o Sistema SICAN para
desempenho das funções profissionais.
1.1.1.2 CONSTATAÇÃO
Integração insuficiente com outros órgãos da Administração Pública Federal em
relação à troca de informações intragovernamentais para a implementação de
controles internos.
Fato
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 12
A exigência de solicitação de diversos documentos ao cidadão para participar de políticas
públicas é prática comum na administração pública. Não raro é exigida a cópia
autenticada por cartório de documentação emitida pelo próprio poder público.
O cidadão atua desse modo como um mensageiro da administração pública. É necessário
percorrer diversos órgãos públicos, muitas vezes distantes entre si, para apresentar a
documentação necessária, o que pode representar uma restrição de acesso ao público
esperado para o SICAN.
Para minimizar essa situação, o governo editou o Decreto 6.932/2009. O artigo 1º do
Decreto 6.932/2009 estabelece que os órgãos e entidades do Poder Executivo Federal, nas
relações entre si e com o cidadão, devem observar como diretrizes, dentre outras:
II - compartilhamento de informações, nos termos da lei;
III - atuação integrada e sistêmica na expedição de
atestados, certidões e documentos comprobatórios de
regularidade;
IV - racionalização de métodos e procedimentos de
controle;
(...)
VI - aplicação de soluções tecnológicas que visem a
simplificar processos e procedimentos de atendimento ao
cidadão e a propiciar melhores condições para o
compartilhamento das informações;
O artigo 2º dispõe:
Art. 2º Os órgãos e entidades do Poder Executivo Federal
que necessitarem de documentos comprobatórios de
regularidade de situação do cidadão, atestados, certidões
ou outros documentos comprobatórios que constem em
base de dados oficial da administração pública federal
deverão obtê-los diretamente do respectivo órgão ou
entidade.
Parágrafo único. Exclui-se da aplicação do disposto no
caput:
I - comprovação de antecedentes criminais;
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 13
II - informações sobre pessoa jurídica; e
III - situações expressamente previstas em lei.
O artigo 3º estabelece ainda:
Art. 3º Os órgãos e entidades do Poder Executivo Federal
não poderão exigir do cidadão a apresentação de certidões
ou outros documentos expedidos por outro órgão ou
entidade do Poder Executivo Federal, ressalvado o
disposto no parágrafo único do art. 2º.
(Original sem grifo)
Ademais, o artigo 24 da Lei 12.965/2014, Marco Civil da Internet, estabelece diretrizes
para a atuação da administração pública no desenvolvimento da internet no Brasil,
incluindo a promoção da racionalização e da interoperabilidade tecnológica dos sistemas
e serviços de governo eletrônico, com prestação de serviços públicos de atendimento ao
cidadão de forma integrada, eficiente, simplificada.
O documento de visão de projeto do Sistema SICAN, disponibilizado pelo gestor por
meio do Ofício nº 019/2016, previa o seguinte:
6.8 Outras Características
Cada sistema-cliente será responsável pela validação de
regras específicas conforme a operação a ser realizada.
Deverá ser verificada a possibilidade de cruzamento de
informações entre sistemas externos para identificar
alguma possível irregularidade ou validação dos dados.
(Original sem grifo)
Sobre a situação dos cruzamentos de informações disponíveis em sistemas externos com
o Sistema SICAN, o gestor manifestou o seguinte por meio do Ofício nº 059/2016:
Atualmente o SICAN já está integrado aos sistemas CADIN
e SICAF, além do sistema de inadimplentes da Conab
(SIRCOI).
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 14
As integrações com outros sistemas externos, a exemplo do
SISOB - Sistema de Controle de Óbitos, do INSS,
dependerão de instrumentos formais a serem firmados
entre Conab e os Órgãos gestores, que deverão ser
viabilizados futuramente, por meio de ações da área
gestora negocial que vier a ser definida.
Embora seja proveitosa a integração do Sistema SICAN com alguns sistemas externos
(CADIN e SICAF), o gestor não apresentou um plano de ação ou projeto estruturado para
obter informações de outros órgãos públicos e simplificar o processo, dispensando o
cidadão da função de mensageiro.
Por exemplo, considerando que o Sistema SICAN já fornece informações para o Sistema
SISBIO, verificou-se que as seguintes informações deveriam ser obtidas diretamente pela
CONAB ao invés de solicitar ao cidadão:
Receita Federal do Brasil: CPF e CNPJ (Comprovante de inscrição,
situação e demais dados dos cadastros como nome, filiação, endereço,
sócios, entre outros) e Certidão de Débitos Relativos a Créditos Tributários
Federais e à Dívida Ativa da União;
Controladoria-Geral da União: Certidão negativa junto ao Cadastro
Nacional de Empresas Inidôneas e Suspensas (CEIS);
Ministério do Desenvolvimento Social e Agrário: DAP;
Instituto Nacional de Seguridade Social: Certidões negativas junto ao
INSS;
Caixa Econômica Federal Certificado de regularidade do FGTS;
Tribunal Superior do Trabalho: Certidão negativa de dívidas trabalhistas
(CNDT).
Portanto, tais fatos evidenciam o desacordo com a legislação, onerando o cidadão ao
solicitar informações em posse da administração pública federal. Assim, embora a
negociação para a obtenção dessas bases não seja elementar, há a necessidade de que a
CONAB adote uma estratégia para resolver o problema de integração com os demais
órgãos da administração pública.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 15
Ressalta-se que o TCU já se manifestou nesse sentido no Acordão nº 1789/2015
(Plenário):
171. A prestação de um serviço público ao cidadão cuja
documentação necessária exija que este tenha que
enfrentar filas em outras organizações da própria
administração pública para obtê-la atenta contra o
Decreto 6.932/2009 e mostra-se incompatível com o atual
estágio de desenvolvimento tecnológico.
Por fim, ressalta-se o Art. 17 do Decreto 6.932/2009 que incube diretamente a
Controladoria-Geral da União e os órgãos integrantes do sistema de controle interno para
atentar pelo cumprimento desse dispositivo legal:
Art. 17. Cabe à Controladoria-Geral da União e aos
órgãos integrantes do sistema de controle interno do Poder
Executivo Federal zelar pelo cumprimento do disposto
neste Decreto, bem como adotar as providências para a
responsabilização dos dirigentes e dos servidores que
praticarem atos em desacordo com as disposições aqui
estabelecidas.
##/Fato##
Causa
Ausência de plano de ação permanente para obter bases de dados de outros órgãos com
o objetivo de evitar que os processos do órgão exijam do cidadão certidões ou outros
documentos expedidos por outro órgão ou entidade do Poder Executivo Federal.
##/Causa##
Manifestação da Unidade Examinada
Por meio do Oficio DIPAI/DIRAB/CONAB nº 082, de 20 de abril de 2016, a unidade
encaminhou a seguinte manifestação:
Conforme registrado na ATA da 1239º Reunião da
Diretoria Colegiada da Conab do dia 15/3/16, foi
mencionada a questão da definição quanto à área gestora
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 16
do SICAN. Ainda conforme ATA, o Diretor de Operações e
Abastecimento - DIRAB, manifestou-se sobre
entendimentos em andamento quanto à possibilidade da
Superintendência de Operações Comerciais (SUOPE) ser
a área responsável pela Gestão do sistema SICAN no
âmbito da Companhia.
As tratativas dessa reunião, foram comunicadas a SUOPE,
na forma de despacho do dia 16/03/2016, nos autos do
processo 21200.001072/2015-82, em termos de
deliberação do Colegiado, indicando a SUOPE como
responsável pela Gestão do referido Cadastro. Dessa
forma, com o intuito de fazer cumprir tal decisão, a SUOPE
está elaborando Nota Técnica apresentando, à Direção da
Companhia, um projeto no sentido de demonstrar as
condições necessárias que deverão ser supridas para
recepcionar o SICAN na Unidade.
Entendendo como complexa a gestão desse Sistema, estão
sendo levantadas as necessidades de estruturação física e
de pessoal, com vistas à gestão do sistema, que envolverá
ações de integração com os sistemas internos, atuando
como agente regulador; padronização de procedimentos;
divulgação do sistema a nível nacional; análise e definição
de regras negociais; promoção e formalização da
interação do SICAN com outros cadastros com vistas a
atender as esferas federal, estadual e mesmo municipal; e
demais atividades inerentes.
Ficou estabelecido o prazo de 180 (cento e oitenta) dias, a
partir do dia 16/03/2016, para elaboração e implantação
do projeto proposto, caso aprovado pela Direção da
Companhia.
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 17
Em síntese, o gestor informa que somente em 15/03/2016 foi definida a área gestora do
Sistema SICAN. Afirma ainda que a área escolhida, Superintendência de Operações
Comerciais (SUOPE), está elaborando um projeto recepcionar adequadamente o sistema,
incluindo a integração com sistema internos, padronização de procedimentos, promoção
e formalização da interação do SICAN com outros cadastros.
Embora área gestora tenha sido definida recentemente, a integração com outras bases de
dados havia sido prevista no documento de visão anteriormente. Ademais, conforme
destacado no fato, a integração com outras bases de dados é mandatória decorrente do
disposto no Art. 3º do Decreto 6.932/2009. Assim, a adequação do sistema é
imprescindível e premente.
Ressalta-se que o compartilhamento das bases de dados pelos órgãos da Administração
Pública Federal foi recentemente regulamentado pelo Decreto 8.789, de 29 de junho de
2016. Portanto, a disponibilização de bases de dados oficiais para outros órgãos e
entidades torna-se regra e auxilia no efetivo cumprimento do Decreto 6.932/2009
(Simplificação do atendimento público).
Cabe ainda destacar os benefícios da integração de bases de dados da administração
pública. Conforme “Estudo sobre o Uso do Decreto 6.932/2009”, disponível na página
do Governo Eletrônico, as principais vantagens são:
A primeira é a redução de exigências diretas ao
cidadão.
É uma simplificação do atendimento ao cidadão.
A segunda é a redução de pedidos de emissão dos
referidos documentos nos postos de atendimento, o que
pode levar a redução de filas nesses postos.
É uma melhoria do atendimento aos demais usuários
dos postos.
A última é que o órgão recebedor da informação deixa
de usar uma solução tradicional de comprovação de
informações. Isso gera um impasse, por que essa
comprovação é necessária ao processo do órgão. Este
será obrigado a obter as informações diretamente da
fonte, possivelmente de forma eletrônica. Essa decisão
muda o processo do órgão. Reduz o volume de papéis
(recebidos, analisados e mantidos) e os procedimentos
manuais, transformados em procedimentos eletrônicos
e automáticos.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 18
É uma melhoria do processo.
(Original sem grifo)
##/AnaliseControleInterno##
Recomendações:
Recomendação 1: Implementar plano de ação permanente para obter bases de dados de
outros órgãos, em consonância com o Decreto 8.789/2016, com o objetivo de evitar que
os processos do órgão, em especial o processo suportado pelo Sistema SICAN, exijam do
cidadão certidões ou outros documentos expedidos por outro órgão ou entidade do Poder
Executivo Federal, em atendimento ao Art. 3º do Decreto 6.932/2009.
1.1.1.3 CONSTATAÇÃO
Ineficiência da etapa de verificação da documentação necessária nos programas
finalísticos que utilizam o cadastro mantido pelo Sistema SICAN.
Fato
O documento de visão de projeto do Sistema SICAN, disponibilizado por meio do Ofício
DIPAI nº 019/2016, previa a homologação do cadastro realizado pelo agente externo:
6.2 Homologação do Cadastro
A partir da conclusão do cadastro, o sistema deve
disponibilizá-los para a homologação dos dados. Esta
homologação poderá ter um prazo parametrizado
estabelecido e deverá ser realizado pelas áreas finalísticas
da Companhia ou pelos funcionários designados para tal
atividade.
A homologação poderá ser realizada através de
checklist de documentação comprobatória exigida e se o
prazo para homologação estiver próximo o sistema deverá
emitir um aviso notificando o responsável.
A cada atualização cadastral o mesmo poderá ser
submetido para nova homologação.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 19
Os sistemas-cliente que necessitam verificar a
situação cadastral do agente a fim de permitir ou não a
participação nas operações, deverão possuir indicação se
o cadastro de um agente em questão está ou não
homologado.
O gestor, questionado sobre o motivo da não implementação dessa funcionalidade
manifestou, mediante Ofício nº 063/2016, que o assunto foi tratado em reuniões
realizadas em 02/07/2013 e 05/09/2013 na quais foram expostos o motivo para a sua não
implementação. Seguem trechos das respectivas memórias de reunião com a motivação:
18. Os gestores presentes informaram que não há a
necessidade da homologação com apresentação de
documentos após o cadastro do agente no Sican. Os
mesmos relataram a importância de se evitar a burocracia
e disponibilizar o acesso ao cadastro de forma
simplificada para abranger o maior número de pessoas
interessadas em operar com a Conab.
A sugestão é que o Sican disponibilize as opções
necessárias para o cadastro do agente e, posteriormente,
conforme operações a serem realizadas com a Conab, o
sistema responsável pela operação realize a devida
cobrança de documentações e validações exigidas na
operação específica. Possivelmente os sistemas externos
utilizarão um serviço para atualizar a informação de
agente homologado na base de dados do agente.
2. Durante o detalhamento dos processos definidos para o
SICAN, foi discutido sobre a realização da homologação
de agentes. Havia uma previsão de que a homologação
fosse realizada apenas após a comprovação de dados do
agente através da entrega de documentação ou, em alguns
casos, por meio de fiscalização in loco.
Após a exposição de diversas situações, foi colocada por
parte da diretoria a preocupação de facilitar o acesso ao
cadastro por parte dos agentes, visando assim não criar
impeditivos para que interessados possam participar de
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 20
operações com a Conab. Desta forma ficou decidido que o
SICAN não deverá exigir homologação dos agentes, e não
será necessária a entrega de documentação dos agentes
para a validação do cadastro.
(Original sem grifo)
Em síntese, inicialmente, o Sistema SICAN previa que, após o cadastro, o agente externo
apresentasse toda a documentação para comprovar as informações do cadastro
centralizado. No entanto, conforme memórias de reunião enviadas pelo gestor, com o
objetivo de simplificar o processo, optou-se por não exigir a homologação das
informações prestadas pelo agente.
Ocorre que essa decisão implica que o agente externo, a cada operação realizada com a
CONAB, necessite fornecer cópias de documentação ao empregado público para
comprovar a fidedignidade do cadastro realizado no Sistema SICAN. Assim, percebe-se
que, para o agente externo, não houve simplificação alguma. Pelo contrário, ele necessita
realizar mais um procedimento (cadastro no sistema) antes de se dirigir para a CONAB e
apresentar as mesmas documentações antes da implementação do sistema.
Por exemplo, considerando que o Sistema SICAN já fornece informações para o Sistema
SISBIO, a partir do Manual de Operações da CONAB (MOC), obteve-se a lista da
documentação necessária para a participação de associações e cooperativas no Programa
de Subvenção Direta ao Produtor Extrativista (SDPE). Os documentos solicitados
incluem, entre outros:
Comprovante de inscrição e de situação cadastral no
Cadastro Nacional de Pessoa Jurídica – Cartão do
CNPJ. Cópia do RG (Carteira de Identidade) e CPF do
representante legal da associação ou cooperativa.
Certidões negativas junto ao INSS, FGTS, CNDT (Dívida
Trabalhista);
Certidão Conjunta Negativa de Débitos relativos a
Tributos Federais e à Dívida Ativa da União;
Certidão Negativa junto ao Cadastro Nacional de
Empresas Inidôneas e Suspensas (CEIS).
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 21
Extrato da DAP ESPECIAL – Pessoa Jurídica ou
Cooperativa Central da Organização, obtido
eletronicamente, acompanhado do respectivo anexo que
apresenta a listagem de agricultores com DAP, acessada
pelo sítio da internet http://www.mda.gov.br/saf,
conforme regulamentação da Secretaria de Agricultura
Familiar.
Extrato da Declaração de Aptidão ao PRONAF (DAP)
obtido eletronicamente, acessada pelo sítio da internet
http://www.mda.gov.br/saf, conforme regulamentação da
Secretaria de Agricultura Familiar, somente dos
beneficiários. não relacionados na DAP Jurídica
Nessa situação, observa-se que o empregado da CONAB, frise-se a cada operação, deverá
comparar as informações constantes no Sistema SICAN com documentação apresentada.
Caso haja alguma inconsistência, o empregado não deve admitir a realização da operação
e orientar o agente externo a atualizar o cadastro no Sistema SICAN.
Assim, constata-se que a ineficiência do controle de verificação dos dados dos cadastros
dos agentes é mantida mesmo com a implantação do Sistema SICAN. Pela parte do gestor
é necessário comparar a documentação apresentada com cadastro no sistema a cada
operação. Pela parte do agente externo é necessário apresentar a mesma documentação a
cada operação, inclusive se a mesma já tiver sido apresentada em outra recente ocasião.
Considerando o aspecto da eficiência, observa-se que o principal benefício alcançado pelo
sistema é tão somente evitar o preenchimento do cadastro por um empregado da CONAB.
Não houve melhoria no controle de regularidade dos cadastros dos agentes, tampouco
houve simplificação do processo com a utilização dessa solução na visão do cidadão.
Portanto, essa situação atenta contra o Decreto nº 6932/2009, que dispõe sobre a
simplificação do atendimento público prestado ao cidadão nos seguintes termos:
Art. 1º Os órgãos e entidades do Poder Executivo Federal
observarão as seguintes diretrizes nas relações entre si e
com o cidadão:
(...)
VI - aplicação de soluções tecnológicas que visem a
simplificar processos e procedimentos de atendimento ao
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 22
cidadão e a propiciar melhores condições para o
compartilhamento das informações;
##/Fato##
Causa
Atuação deficiente do gestor devido a aplicação de soluções tecnológicas que não tiveram
como objetivo simplificar processos e procedimentos de atendimento ao cidadão, em
desacordo com a diretriz estabelecida no inciso VI do Art. 1º do Decreto 6.932/2009.
##/Causa##
Manifestação da Unidade Examinada
Por meio do Ofício PRESI/CONAB nº 431, de 19 de agosto de 2016, a unidade
encaminhou a seguinte manifestação:
Enquanto não for possível a obtenção dos dados de outros
órgãos e demais documentos exigidos, o SICAN será
ajustado para receber upload de dados básicos do agente,
permitindo que tais documentos sejam apresentados
apenas uma vez dentro da validade dos mesmos.
Os documentos solicitados em cada programa/operação
terão seu upload viabilizados por meio dos novos sistemas
finalísticos de suporte a cada programa e que serão
refletidos no SICAN.
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
O gestor informa que o Sistema SICAN será ajustado para que o agente apresente os
documentos uma apenas uma vez até a expiração da validade dos mesmos, enquanto não
for possível a obtenção dos dados diretamente de outros órgãos. Ressalta-se que essa
solução permitirá a melhoria no controle de regularidade dos cadastros dos agentes e
simplificação do processo na visão do cidadão.
##/AnaliseControleInterno##
Recomendações:
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 23
Recomendação 1: Realizar modificações no Sistema SICAN para que o cidadão não
necessite apresentar certidões e documentos emitidos por outros órgãos da Administração
Pública Federal.
Recomendação 2: Enquanto não for possível a obtenção dos dados de outros órgãos e
demais documentos exigidos, realizar modificações no Sistema SICAN para que as
certidões ou documentos que comprovem os dados informados pelo cidadão no sistema
sejam apresentados apenas uma vez durante o período de validade dos mesmos.
1.1.1.4 CONSTATAÇÃO
Inadequação do sistema em relação às diretrizes de acessibilidade adotadas
internacionalmente.
Fato
O texto da Convenção sobre os Direitos das Pessoas com Deficiência e de seu Protocolo
Facultativo, aprovado pelo Decreto Legislativo nº 186, de 2008, no Artigo 9º, ressalta a
importância da promoção da acessibilidade em sistemas e tecnologias da informação e
comunicação, estabelecendo que os Estados Partes tomarão medidas para:
g) Promover o acesso de pessoas com deficiência a novos
sistemas e tecnologias da informação e comunicação,
inclusive à Internet;
h) Promover, desde a fase inicial, a concepção, o
desenvolvimento, a produção e a disseminação de sistemas
e tecnologias de informação e comunicação, a fim de que
esses sistemas e tecnologias se tornem acessíveis a custo
mínimo.
A Lei nº 13.146, de 6 de julho de 2015, que institui a Lei Brasileira de Inclusão da Pessoa
com Deficiência (Estatuto da Pessoa com Deficiência), elenca, explicitamente, os
sistemas e tecnologias no rol de itens que deverão ser observados para garantir a
acessibilidade das pessoas com deficiência:
A mesma Lei trata sobre a obrigatoriedade da acessibilidade nas páginas da internet,
mantidos por órgãos de governo, conforme as melhores práticas e diretrizes de
acessibilidade adotadas internacionalmente:
Art. 63. É obrigatória a acessibilidade nos sítios da
internet mantidos por empresas com sede ou representação
comercial no País ou por órgãos de governo, para uso da
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 24
pessoa com deficiência, garantindo-lhe acesso às
informações disponíveis, conforme as melhores práticas e
diretrizes de acessibilidade adotadas internacionalmente.
Antes dos normativos citados, atinente à necessidade de definir normas de acessibilidade
em sistemas informáticos e considerando o direito à igualdade e o dever de assegurar o
acesso à informação a todos, constantes no Artigo 5º da Constituição Federal, a Portaria
MP nº 03, de 07 de maio de 2007, instituiu o Modelo de Acessibilidade em Governo
Eletrônico (e-MAG), que sistematiza políticas, diretrizes e especificações técnicas de
acessibilidade.
Esse Modelo, de adoção compulsória pelos órgãos e entidades integrantes do Sistema de
Administração dos Recursos de Tecnologia da Informação, deve ser observado no
planejamento, implantação, desenvolvimento ou atualização de portais e sítios
eletrônicos, sistemas, equipamentos e programas em Tecnologia da Informação e
Comunicação – TIC.
Embora a Portaria MP nº 03, de 07 de maio de 2007, não alcance a CONAB, optou-se
por utilizar como referência o Modelo de Acessibilidade do Governo Federal (e-MAG),
versão 3.1, pelo motivo de se basear nas Diretrizes de Acessibilidade para Conteúdo Web
(WCAG 2.0), adotadas internacionalmente. Essas diretrizes, conforme Art. 63 da Lei nº
13.146, são de atendimento obrigatório por empresas com sede ou representação
comercial no País e por órgãos de governo, casos em que a CONAB se enquadra.
Dentre as 45 recomendações do e-MAG, selecionou-se um subconjunto de 13
recomendações para verificação do atendimento pelo Sistema SICAN. Após análise no
ambiente de homologação, observou-se o não cumprimento das seguintes diretrizes:
1. Recomendação 1.6 – Não utilizar tabelas para diagramação
(Baseada na WCAG 2.0 - Critério de Sucesso 1.3.1 - Técnica H51)
As abas da funcionalidade de cadastro da versão WEB são construídas com
base em tabelas. Conforme recomendação 1.6, as tabelas devem ser utilizadas
apenas para dados tabulares e não para efeitos de disposição dos elementos na
página. Para este fim, deverá ser utilizada folhas de estilo.
2. Recomendação 3.6 – Fornecer alternativa em texto para as imagens do sítio
(Baseada na WCAG 2.0 - Critério de Sucesso 1.1.1 - Técnica G95)
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 25
Não há texto alternativo para as imagens do sistema. Conforme recomendação
3.6, deve ser fornecida uma descrição para as imagens da página, utilizando-
se, para tanto o atributo ALT.
3. Recomendação 6.8 – Fornecer estratégias de segurança específicas ao invés
de CAPTCHA
(Baseada na WCAG 2.0 - Critério de Sucesso 1.1.1 - Técnicas G143 e G144)
No módulo de acesso aos usuários, o captcha é obrigatório para a realização
de login no sistema. Agrava-se o fato do sistema não oferecer versão em áudio
para usuários com dificuldade de leitura.
A recomendação 6.8 aponta os seguintes problemas com a utilização de
CAPTCHAS:
Usabilidade: O ônus de detecção de problemas e invasões
é delegado a pessoa, ao invés do sistema. Como
CAPTCHAs são projetados para serem difíceis de ler e
entender, tornam os serviços que os utilizam muito mais
difíceis de usar.
Acessibilidade: Os CAPTCHAS são inacessíveis por sua
natureza, não são lidos, nem interpretados por leitores de
tela. Isso efetivamente torna o serviço inutilizável por
alguns grupos de pessoas. Mesmo CAPTCHAs que
oferecem versões em áudio não resolvem completamente o
problema, pois muitas pessoas podem possuir deficiência
auditiva e visual.
Segurança: Desenvolver um CAPTCHA internamente
costuma gerar CAPTCHAS inseguros, com falhas já
mapeadas por spammers.
Dessa forma, o e-MAG oferece alternativa ao CAPTCHA:
Recomenda-se uma combinação de diferentes estratégias
para serviços mais seguros e acessíveis para substituir o
uso de CAPTCHA, como por exemplo:
• Limites de conexão;
• Monitoramento;
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 26
• Consistência nas políticas de segurança;
• Uso de técnicas de desenvolvimento de
formulários seguros.
(...)
Caso o uso de CAPTCHA seja estritamente necessário, o
mesmo deverá ser fornecido em forma de pergunta simples
de interpretação (CAPTCHA Humano), e este
preferencialmente só deverá ser apresentado após pelo
menos 2 tentativas de envio do formulário, por exemplo.
Tais perguntas poderão ser respondidas apenas por um ser
humano.
Nota-se que o descumprimento dessas diretrizes não coaduna com o objetivo estratégico
de TI, proposto no item 10.4 do Plano Diretor de Tecnologia da Informação (PDTI) 2015-
2018 do gestor:
Trabalhar para disponibilidade das informações por meios
eletrônicos em conformidade com padrões de
acessibilidade;
(Original sem grifo)
Ressalta-se que o TCU, semelhante a atuação da CGU nesta auditoria, determinou a
inclusão da verificação da acessibilidade em sistemas, conforme Acordão 0505/2016
(Plenário):
9.4. determinar à Secretaria de Fiscalização de Tecnologia
da Informação (Sefti), em observância ao disposto no art.
93 da Lei nº 13.146/2015, que inclua, em seus programas
de fiscalização, a verificação da adoção, por parte de
órgãos e entidades da administração pública federal, de
tecnologias assistivas que possuam como objetivo a
promoção da acessibilidade em sistemas, portais e outras
ferramentas tecnológicas por eles disponibilizadas, com
vistas a favorecer o acesso de pessoas com deficiência
visual, auditiva, cognitiva e motora a esses recursos de
tecnologia da informação;
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 27
Por fim, alerta-se sobre o novo inciso da Lei 8.429/1992 que dispõe sobre os atos de
improbidade administrativa que atentam contra os princípios da administração pública,
incluído pela Lei 13.146/2015:
Art. 11. Constitui ato de improbidade administrativa que
atenta contra os princípios da administração pública
qualquer ação ou omissão que viole os deveres de
honestidade, imparcialidade, legalidade, e lealdade às
instituições, e notadamente:
(...)
IX - deixar de cumprir a exigência de requisitos de
acessibilidade previstos na legislação. (Incluído pela
Lei nº 13.146, de 2015)
(Original sem grifo)
##/Fato##
Causa
Atuação deficiente do gestor em contemplar o disposto nos Art. 9º do Decreto Legislativo
nº 186/2008, Art. 63 da Lei nº 13.146/2015 e item 10.4 do PDTI 2015-2018 no processo
de desenvolvimento de software.
##/Causa##
Manifestação da Unidade Examinada
Por meio do Oficio DIPAI/DIRAB/CONAB nº 082, de 20 de abril de 2016, a unidade
encaminhou a seguinte manifestação:
Todas as alterações indicadas nas recomendações 1.6, 3.6
e 6.8 serão implementadas na medida da capacidade de
trabalho da equipe TI.
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
O gestor informa que as diretrizes apontadas serão implementadas no sistema. Ressalta-
se a necessidade de verificar o cumprimento de todas as diretrizes do e-MAG visto que
esta auditoria verificou apenas um subconjunto de 13 de um total de 45 diretrizes.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 28
Reitera-se que um sistema, especialmente voltado para o público em geral, deve
considerar a possibilidade de existir usuários com deficiência. Essa deficiência pode
conter vários níveis como explica o trecho do Modelo de Acessibilidade do Governo
Eletrônico, versão 3.1:
Muitas vezes, a deficiência não é severa o suficiente a ponto
de tornar-se uma barreira à utilização do computador.
Entretanto, na maioria das páginas da Web, as pessoas
cegas ou com baixa visão, pessoas com deficiência
auditiva, com dificuldade em utilizar o mouse, por exemplo,
encontram barreiras de acessibilidade que dificultam ou
impossibilitam o acesso aos seus conteúdos.
Muitas pessoas também apresentam outras limitações
relacionadas à memória, resolução de problemas, atenção,
compreensão verbal, leitura e linguística, compreensão
matemática e compreensão visual. Uma pessoa com
dislexia, por exemplo, pode apresentar dificuldade de
leitura de uma página devido a um desenho inadequado.
Por isso, um sítio desenvolvido considerando a
acessibilidade deve englobar diferentes níveis de
escolaridade, faixa etária e pouca experiência na utilização
do computador, bem como ser compatível com as diversas
tecnologias utilizadas para acessar uma página da Web.
Portanto, a implementação de tecnologias assistivas para a promoção da acessibilidade é
fundamental para a inclusão das pessoas com diversos níveis de deficiência. Sobretudo
para garantir os direitos à igualdade e dignidade da pessoa humana consagradas na Carta
Magna.
##/AnaliseControleInterno##
Recomendações:
Recomendação 1: Implementar a acessibilidade no Sistema SICAN para uso de pessoas
com deficiência, conforme as melhores práticas e diretrizes de acessibilidade adotadas
internacionalmente. Para tal fim, avaliar a pertinência de utilizar as recomendações
emanadas pelo Modelo de Acessibilidade em Governo Eletrônico (e-MAG).
Recomendação 2: Aproveitar a iniciativa de acessibilidade no Sistema SICAN para
incluir no processo de desenvolvimento de software etapa para avaliar e implementar as
recomendações de acessibilidade.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 29
1.1.1.5 CONSTATAÇÃO
Falhas na configuração de protocolos de criptografia utilizados pelo sistema.
Fato
Em análise ao Sistema SICAN no ambiente de produção, observou-se a utilização dos
protocolos: SSL versão 3.0 (Secure Socket Layer) e TLS (Transport Layer Security)
versões 1.0, 1.1, 1.2. Esses protocolos foram desenvolvidos para fornecer segurança das
informações trafegadas em redes de computadores. A atualização das versões desses
protocolos ocorre principalmente no sentido de corrigir vulnerabilidades e aumentar a
segurança.
Ocorre que o protocolo SSL versão 3.0, lançado em 1996 e um dos protocolos utilizados
pelo sistema, é vulnerável a diversas falhas de segurança divulgadas na internet. Dentre
elas, destacamos o ataque conhecido como POODLE (Padding Oracle On Downgraded
Legacy Encryption), descoberto por pesquisadores do Google em 14 de outubro de 2014,
que pode comprometer o tráfego seguro.
Diante das graves falhas de segurança, a Internet Engineering Task Force (IETF),
instituição internacional que desenvolve e promove as normas da Internet, emitiu o
documento RFC 7568, tornando o protocolo SSL versão 3.0 obsoleto. Nesse documento,
a IETF propõe que esse protocolo não seja mais utilizado:
O Secure Sockets Layer versão 3.0 (SSLv3), conforme
especificado no RFC 6101, não é suficientemente seguro.
Este documento exige que SSLv3 não deve ser usado. As
versões de substituição, em particular, Transport Layer
Security (TLS) 1.2 (RFC 5246), são consideravelmente
protocolos mais seguros e capazes. Este documento
atualiza a seção de compatibilidade com versões anteriores
do RFC 5246 e os seus antecessores para proibir a
utilização do SSLv3.
(Tradução livre)
No decorrer do documento (RFC 7568), a IETF é categórica ao afirmar que o protocolo
SSL versão 3.0 “não deve ser utilizado” e está “essencialmente quebrado”.
Posteriormente, o documento explica outros tipos de ataque em que esse protocolo é
suscetível.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 30
O certificado digital SSL/TLS utilizado pelo sistema também foi analisado. As seguintes
falhas foram detectadas:
a) Certificado emitido para endereço diferente do qual o sistema está.
Observou-se que o certificado digital SSL/TLS do sistema foi criado para ser
utilizado no endereço “intranet.conab.gov.br” sendo que o sistema está
disponível no endereço “sistemas.conab.gov.br”. Esse atributo é denominado
Common Name (CN).
b) Utilização da função obsoleta de hash SHA-1.
As funções de dispersão criptográfica são funções de hash unidirecionais
consideradas praticamente impossíveis de inverter. Caso haja alguma falha
nelas, os algoritmos de criptografia adotam outras funções consideradas mais
seguras.
Ao logo do tempo, as funções de hash como o MD2, MD4 e MD5 foram
descontinuados devido a falhas descobertas. Atualmente, o algoritmo de hash
SHA-1 não é mais considerado seguro.
Nesse sentido, o Google e a Microsoft anunciaram que os navegadores
mostrarão alertas para conexões HTTPS que utilizam certificados digitais
utilizando a função de hash SHA-1 que expiram após 1º de janeiro de 2017.
Cumpre salientar que esse alerta está sendo emitido ao acessar o sistema
devido ao certificado digital expirar em 13/04/2020.
c) Utilização de certificado digital auto assinado.
As Autoridades Certificadoras (AC) são entidades que têm como principal
responsabilidade emitir e assinar um certificado digital que garanta a
autenticidade mediante a validação de domínio e/ou organização. Para isso, a
outra parte (usuários do sítio/sistema) necessita confiar na AC. Normalmente,
os navegadores incluem um conjunto de Autoridades Certificadoras
confiáveis.
Ocorre que a Autoridade Certificadora do certificado digital utilizado pelo
sistema é a própria CONAB. Devido ao fato dos navegadores não
reconhecerem essa Autoridade Certificadora, um alerta de segurança é emitido
para os usuários informando que o certificado é inválido.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 31
Nesse sentido, a seção 10.1.2 (Gerenciamento de Chaves) da Norma ABNT
NBR ISO/IEC 27002:2013 recomenda a utilização de uma autoridade
certificadora reconhecida para garantir o adequado nível de confiança.
##/Fato##
Causa
Atuação deficiente do gestor no atendimento à recomendação exarada na seção 10.1.2 da
Norma ABNT NBR ISO/IEC 27002:2013 e o disposto no documento IETF RFC 7568.
##/Causa##
Manifestação da Unidade Examinada
Por meio do Oficio DIPAI/DIRAB/CONAB nº 082, de 20 de abril de 2016, a unidade
encaminhou a seguinte manifestação:
O protocolo SSLv3 foi desabilitado no servidor
sistemas.conab.gov.br, atendendo, assim, recomendação
da Internet Engineering Task Force (IETF), conforme
evidência abaixo:
Foi gerado um novo certificado para corrigir de maneira
célere os apontamentos feitos nas alíneas "a" e "b",
conforme evidências a seguir:
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 32
Para sanar o apontamento realizado na alinea "c" a Conab
constituirá processo de aquisição de certificado digital de
autoridade certificadora confiável, de modo a atender a
recomendação.
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
Conforme manifestado pelo gestor, o protocolo SSL versão 3.0 foi desabilitado para
atendimento à recomendação da IETF. Adicionalmente, as falhas enumeradas nos itens
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 33
“a” (Certificado emitido para um endereço diferente do qual o sistema se encontra) e “b”
(Utilização de algoritmo obsoleto de hash SHA-1) foram sanadas com a emissão de novo
certificado digital.
Em relação ao item “c” (Utilização de certificado digital auto assinado), o gestor
concordou com o apontamento de modo que constituirá processo para a aquisição do
certificado digital de autoridade certificadora confiável.
##/AnaliseControleInterno##
Recomendações:
Recomendação 1: Avaliar a aquisição e uso no Sistema SICAN de certificado digital
emitido por autoridade certificadora reconhecida, em atendimento ao disposto na seção
10.1.2 da Norma ABNT ISO/IEC 27002:2013.
1.1.1.6 CONSTATAÇÃO
Inexistência do processo de Gestão de Continuidade de Negócios.
Fato
A Norma Complementar (NC) nº 06/IN01/DSIC/GSIPR define Gestão de Continuidade
de Negócios como:
Processo abrangente de gestão que identifica ameaças
potenciais para uma organização e os possíveis impactos
nas operações de negócio, caso estas ameaças se
concretizem. Este processo fornece uma estrutura para que
se desenvolva uma resiliência organizacional que seja
capaz de responder efetivamente e salvaguardar os
interesses das partes interessadas, a reputação e a marca
da organização, e suas atividades de valor agregado.
Esse processo é abordado também pela Norma ISO 22301:2012, modelos de boas práticas
como o Cobit 5 e o Guia Básico de Orientações ao Gestor em Segurança da Informação
e Comunicações do Departamento de Segurança da Informação e Comunicações
(DSIC/Casa Militar/Presidência da República). O TCU também tem manifestado em
diversos acórdãos a necessidade de implementação de processo de gerenciamento de
continuidade pelas organizações públicas federais. Destacamos os Acordãos nº
1603/2008, 3117/2014 e 491/2015 (todos plenário).
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 34
Ressalta-se que a Gestão de Continuidade de Negócios (GCN) é uma abordagem que deve
envolver toda a organização, inclusive e especialmente as áreas de negócio. Essas áreas
definirão quais são os serviços essenciais ou críticos e a priorização para o
reestabelecimento após a ocorrência de um desastre.
Em reunião realizada em 11/03/2016, os gestores informaram que não existe processo de
Gestão de Continuidade de Negócios implementado pela entidade. No entanto,
informaram a pretensão de realizar a contratação de consultoria para o desenvolvimento
e implementação desse plano.
Ressalta-se que os procedimentos de backup são parte integrante da disciplina de Gestão
de Continuidade de Negócios mediante a implementação da prática DSS04.07. Sobre essa
questão, mediante detalhamento dos procedimentos de backup fornecido pelo Ofício
DIPAI nº 023 e visita da equipe de auditoria às instalações físicas ocorrida em
14/03/2016, observou-se o seguinte:
a) Manutenção de cópias de segurança no mesmo ambiente
As instalações dos servidores, bibliotecas de fita (onde são armazenados os
backups mais recentes) e o armário (onde são armazenados os backups anuais)
estão dispostos em uma única localidade.
A manutenção das cópias de segurança em uma mesma localidade contraria a
recomendação da seção 12.3.1 da Norma NBR/ISO 27002:2013:
c) convém que as cópias de segurança sejam armazenadas
em uma localidade remota, a uma distância suficiente para
escapar dos danos de um desastre ocorrido no local
principal.
De forma semelhante, o item 7.3.1 da NC nº 07/IN01/DSIC/GSIPR
estabelece:
7.3.1. Estabelecer distância mínima de segurança para
manutenção das mídias contendo as cópias de segurança
(backups);
Assim, a manutenção dos backups na mesma localidade pode inviabilizar o
retorno estimado das operações previstas em um eventual plano de
continuidade.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 35
b) Periodicidade do backup não acordada com a área de negócio
Conforme relatado, os backups dos bancos de dados são realizados
diariamente e mantidos em uma partição dedicada por 15 dias. Ainda há
backups anuais mantidos em um armário localizado na GEASI.
Em relação especificamente ao Sistema SICAN, as áreas de negócio que
utilizam ou utilizarão o cadastro não foram consultadas para estabelecer os
requisitos de frequência da geração da cópia de segurança. Esse fato contraria
recomendação da seção 12.3.1 da Norma NBR/ISO 27002:2013:
b) convém que a abrangência (por exemplo, completa ou
diferencial) e a frequência da geração das cópias de
segurança reflitam os requisitos de negócio da
organização, além dos requisitos de segurança da
informação envolvidos e a criticidade da informação para
a continuidade da operação da organização.
(Original sem grifo)
Ressalta-se ainda o processo APO09: Gerenciamento de Níveis de Serviço do
modelo COBIT 5 que também se manifesta sobre a questão da necessidade de
alinhamento dos níveis de serviços de TI com as expectativas das áreas de
negócio.
c) Falhas no ambiente de armazenamento das fitas de backup anuais
Em visita às instalações físicas da infraestrutura de TI da CONAB, observou-
se o ambiente de armazenamento das fitas de backup anuais. Essas fitas estão
dispostas em um armário com chave simples. Esse armário está localizado a
poucos metros da sala-cofre que contém os backups diários. Ademais, ressalta-
se que a chave desse armário está localizada em um quadro de chaves a poucos
metros do armário. Não há qualquer tipo de restrição ao acesso ao quadro de
chaves às pessoas em trânsito pela área.
Essa situação contraria a recomendação da seção 12.3.1 da Norma NBR/ISO
27002:2013:
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 36
d) convém que seja dado um nível apropriado de proteção
física e ambiental das informações das cópias de segurança
(ver Seção 11), consistentes com as normas aplicadas na
instalação principal.
(...)
f) em situações onde a confidencialidade é importante,
convém que cópias de segurança sejam protegidas através
de encriptação.
Ressalta-se ainda que, em reunião ocorrida em 14/03/2016, a CONAB
informou que existe a possibilidade de adquirir cofres para a armazenagem
das fitas em outros endereços da CONAB ou do Ministério da Agricultura. No
entanto, optou-se por manter esse ponto tendo em vista que tal processo ainda
não foi definido e implementado.
##/Fato##
Causa
Ausência de recursos suficientes para o atendimento às recomendações exaradas pela NC
nº 06/IN01/DSIC/GSIPR, item 7.3.1 da NC nº 07/IN01/DSIC/GSIPR e seção 12.3.1 da
Norma NBR/ISO 27002:2013.
##/Causa##
Manifestação da Unidade Examinada
Por meio do Oficio DIPAI/DIRAB/CONAB nº 082, de 20 de abril de 2016, a unidade
encaminhou a seguinte manifestação:
Em resposta às alíneas "a" e "c" desta seção, cumpre
informar que processo de guarda das cópias de segurança
já ocorreu fora do Edifício Sede da Conab, porém, em
razão da ausência de local adequado para este
armazenamento, optou-se por mantê-lo no local
identificado, até a conclusão da aquisição dos cofres
apropriados. Lembramos que a aquisição de dois cofres
para armazenamento para as fitas backup, sendo um para
a sede e outro para armazenamento no Centro de
Desenvolvimento de Recursos Humanos, é objeto do
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 37
processo administrativo 21200.001126/2013-48, que até o
momento não logrou êxito pela falta de aceno da Conab
com os recursos orçamentários/financeiros necessários.
Sendo assim, será feita nova solicitação de recursos e tão
logo esta aquisição seja concluída o armazenamento das
fitas backup em local adequado, seguro e em outro prédio
da Conab voltará a ser realizado.
Cabe complementar que a Conab vem, ao longa dos anos,
realizando poucos investimentos na área de Tecnologia da
Informação, como pode ser observado no quadro a seguir:
Em referência a alínea "c" informamos que a Sutin/Geasi
realiza cópias de segurança conforme definição de
criticidade dos sistemas. Neste caso, os sistemas
corporativos são entendidos como de máxima criticidade e
por isso suas cópias são realizadas dentro do maior rigor
possível.
Entretanto, acatamos a recomendação contida na SA em
tela e, portanto, realizar-se-á consulta a nova área gestora
do SICAN, de modo a acordar os requisitos de frequência
necessários.
##/ManifestacaoUnidadeExaminada##
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 38
Análise do Controle Interno
Considerando que as restrições orçamentárias são recorrentes na Administração Pública
Federal, existe a necessidade de priorizar os investimentos. Nessa seara, os investimentos
em processos críticos deverão ser privilegiados.
Ressalta-se que a avaliação da priorização de investimentos em TI na CONAB não faz
parte do escopo desta auditoria. Entretanto, verifica-se que o Comitê Executivo de
Tecnologia da Informação (CETI) reconhece a criticidade da Gestão de Continuidade de
Negócios, em especial, considerando a previsão de R$ 1.000.000,00 a cada ano conforme
propostas orçamentárias de 2015 e 2016, externadas no PDTI 2015-2018.
Assim, mostra-se relevante que o departamento responsável pelas operações de TI do
gestor, Sutin, demonstre reiteradamente os riscos da ausência de investimentos na
operacionalização do Plano de Continuidade de Negócio (PCN) para o Comitê de TI e
áreas finalísticas sob risco de omissão. Frisa-se que essa demonstração deve ser orientada
para o impacto do negócio sob os aspectos de perda de dados e interrupção prolongada
das atividades.
Em relação às fragilidades apontadas nos itens dos procedimentos de backup, parte
integrante da disciplina de Gestão de Continuidade de Negócios, ressalta-se que o gestor
igualmente reconhece a relevância em solucioná-las.
O reconhecimento do gestor de que há necessidade de cofres para a manutenção do
backup em localidade remota é salutar visto que a ausência de um local seguro pode
comprometer a confidencialidade, integridade das informações e o retorno das operações
de negócio em tempo hábil.
Portanto, conforme exposto, há a necessidade de conscientizar a organização acerca dos
riscos para que o saneamento das fragilidades seja realizado no menor lapso temporal
possível.
##/AnaliseControleInterno##
Recomendações:
Recomendação 1: Manter as cópias de segurança em localidades diferentes e ambientes
seguros, conforme recomendação da seção 12.3.1 da Norma NBR/ISO 27002:2013 e o
item 7.3.1 da NC nº 07/IN01/DSIC/GSIPR.
Recomendação 2: Verificar a adequação da periodicidade do backup do Sistema SICAN
conforme necessidades da área gestora, conforme recomendação da seção 12.3.1 da
Norma NBR/ISO 27002:2013.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 39
Recomendação 3: Implementar processo de Gestão de Continuidade de Negócio na
Companhia.
1.1.1.7 CONSTATAÇÃO
Inexistência de processo de Gestão de Mudanças.
Fato
Questionado sobre os procedimentos e os controles interno aplicados à gestão de
mudanças no ambiente tecnológico (hardware e software), o gestor informou por meio do
Ofício DIPAI nº 023:
A Conab está elaborando e formalizando os procedimentos
e controles internos voltados à gestão de mudanças.
Em entrevista com os desenvolvedores foi informado que o último pacote de atualização
do Sistema SICAN foi disponibilizado via FTP com envio de aviso via e-mail para que o
arquiteto responsável realizasse a instalação no servidor de produção em 01/10/2015.
Ocorre que em verificação no servidor de produção, o último pacote de atualização do
Sistema SICAN possui data de 16/12/2015. A falta de registros confiáveis da autorização
e o motivo da última atualização corrobora a necessidade de um processo de gestão de
mudanças na entidade.
De acordo com a seção 12.1.2 da Norma NBR ISO/IEC 27002:2013, quando mudanças
forem realizadas, é conveniente manter um registro de auditoria contendo todas as
informações relevantes.
Especificamente quanto à gestão de mudanças, a seção 14.2.2, recomenda:
Convém que os procedimentos de controle de mudanças
sejam documentados e reforçados para assegurar a
integridade do sistema, das aplicações e produtos, nos
estágios iniciais dos projetos, através de um subsequente
esquema de manutenção. Convém que a introdução de
novos sistemas e mudanças maiores em sistemas existentes,
siga um processo formal de documentação, especificação,
teste, controle da qualidade e gestão da implementação.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 40
Outras orientações para implementação da gestão de mudanças podem ser extraídas do
COBIT 5 (Processo de BAI06 – Gestão de Mudanças) e, com foco nos aspectos relativos
à Segurança da Informação e Comunicações, da NC nº 13/IN01/DSIC/GSIPR, que
estabelece diretrizes para gestão de mudanças nos órgãos e entidades da Administração
Pública Federal. Por fim, ressaltamos que o TCU também recomenda a implementação
do processo de gestão de mudanças, conforme se observa no Acordão nº 2296/2012
(Plenário).
##/Fato##
Causa
Atuação deficiente do gestor no atendimento às recomendações exaradas pela NC nº
13/IN01/DSIC/GSIPR, seções 12.1.2 e 14.2.2 da Norma NBR ISO/IEC 27002:2013 e
inexistência do controle BAI06 (Gestão de Mudanças) do COBIT 5.
##/Causa##
Manifestação da Unidade Examinada
Por meio do Oficio DIPAI/DIRAB/CONAB nº 082, de 20 de abril de 2016, a unidade
encaminhou a seguinte manifestação:
A Conab entende a importância da implantação da gestão
de mudança na Sutin.
Existe um projeto interno para implantação da gestão de
serviços que contempla os seguintes processos:
Gerenciamento do Catálogo de Serviço, Gerenciamento de
Incidentes, Gerenciamento de Problema, Gerenciamento
de Configuração e Gerenciamento de Mudanças.
Atualmente, o projeto encontra-se na fase gerenciamento
de Configuração.
Esse projeto de TI está planejado coma parte de programas
mais amplos de mudança corporativa, que incluem outros
projetos, contemplando todas as atividades necessárias a
assegurar um resultado positivo.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 41
A conclusão do projeto está prevista no PDTI, para
Dezembro/2018, por meio da Ação AC17 - Determinar e
implantar os principais processos de Gestão de serviços.
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
O gestor reconhece a relevância do processo de Gestão de Mudanças. A implementação
desse processo está prevista no PDTI em vigor mediante ação com previsão de conclusão
em dezembro de 2018.
Conforme demonstrado, a implementação desse processo permite entregar mudanças
confiáveis ao negócio e mitigar os riscos de impactos negativos na estabilidade ou
integridade do ambiente que foi alterado.
Assim, a inexistência de procedimentos formalmente definidos, aumenta os riscos de que
os dados sejam alterados ou o sistema seja comprometido de forma dolosa ou não.
##/AnaliseControleInterno##
Recomendações:
Recomendação 1: Implementar processo de Gestão de Mudanças, conforme disposto na
seção 14.2.2 da Norma NBR ISO/IEC 27002:2013.
1.1.1.8 CONSTATAÇÃO
Falha na documentação do sistema.
Fato
O gestor encaminhou toda documentação disponível relacionada ao Sistema SICAN por
intermédio do Ofício nº 019/2016. Em análise a esse conjunto de artefatos, constatou-se
o seguinte:
a) Inexistência de Manual de Implantação do Sistema
Em reunião realizada em 11/03/2016, o gestor informou que o manual de implantação do
Sistema SICAN não foi elaborado. A seção 12.1.1 (Documentação dos procedimentos da
operação) da Norma ABNT NBR ISO/IEC 27002:2013 orienta que os procedimentos de
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 42
operação sejam documentados e disponibilizados para todos os usuários que necessitem
deles. Nessa mesma seção, consta, especificamente, a necessidade de documento para a
instalação e configuração de sistemas.
##/Fato##
Causa
Atuação deficiente do gestor em contemplar a elaboração do manual de implantação do
sistema no processo de desenvolvimento de software.
##/Causa##
Manifestação da Unidade Examinada
Por meio do Oficio DIPAI/DIRAB/CONAB nº 082, de 20 de abril de 2016, a unidade
encaminhou a seguinte manifestação:
Serão iniciados os estudos necessários para a implantação
do Dicionário de Dados do Sican e do Desenvolvimento do
Manual de Implantação do Sistema.
Mediante Ofício PRESI/CONAB nº 431, de 19 de agosto de 2016, o gestor encaminhou
complementarmente o documento de Domínios e Atributos do Sistema SICAN.
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
Conforme manifestação, o gestor informa que os Manual de Implantação será
desenvolvido após a realização de estudos técnicos.
Pelo exposto, conclui-se que houve falha na elaboração de um artefato essencial para a
documentação do sistema. Ressalta-se que, conforme relatado, a inexistência dificulta a
manutenção do sistema, especialmente em ambientes com alta taxa de rotatividade entre
os empregados.
##/AnaliseControleInterno##
Recomendações:
Recomendação 1: Elaborar manual de implantação do Sistema SICAN e incluir etapa de
elaboração de manual de implantação no processo de desenvolvimento de software.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 43
1.1.1.9 CONSTATAÇÃO
Falta de estrutura para suporte aos usuários externos do sistema.
Fato
Em reunião realizada em 11/03/2016, em relação ao processo de suporte aos clientes
externos do Sistema SICAN, o gestor informou:
O atendimento de suporte interno é todo por meio da
intranet. Não há atendimento telefônico. A GESUT não
realiza atendimento ao público externo da CONAB.
Geralmente, o atendimento externo é feito pela área de
negócio responsável pelo sistema, o que não ocorre
atualmente com o SICAN, pela inexistência dessa área de
negócios responsável. Consequentemente, não há histórico
de atendimento e a respectiva base de conhecimento.
Em consequência da falta de estrutura para suporte aos usuários externos, em análise ao
sistema em ambiente de produção e homologação, observou-se que não há instruções que
permita ao usuário comunicar-se com o órgão, por via eletrônica ou telefônica, em caso
de dúvidas técnicas ou procedimentais.
Agrava-se o fato de que parcela dos usuários do Sistema SICAN não possuem domínio
tecnológico adequado. Por isso, o suporte estruturado é especialmente importante.
Ademais, a inexistência de histórico de atendimento e respectiva base de conhecimento
dificulta a obtenção de insumos para a melhoria contínua do sistema.
Assim, ressalta-se que essa situação atenta contra o art. 8º da Lei 12.527/2011
Art. 8º É dever dos órgãos e entidades públicas promover,
independentemente de requerimentos, a divulgação em
local de fácil acesso, no âmbito de suas competências, de
informações de interesse coletivo ou geral por eles
produzidas ou custodiadas.
(...)
§ 2º Para cumprimento do disposto no caput, os órgãos e
entidades públicas deverão utilizar todos os meios e
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 44
instrumentos legítimos de que dispuserem, sendo
obrigatória a divulgação em sítios oficiais da rede mundial
de computadores (internet).
§ 3º Os sítios de que trata o § 2º deverão, na forma de
regulamento, atender, entre outros, aos seguintes
requisitos:
(...)
VII – indicar local e instruções que permitam ao
interessado comunicar-se, por via eletrônica ou
telefônica, com o órgão ou entidade detentora do sítio;
(Original sem grifo)
##/Fato##
Causa
Indefinição da área gestora do Sistema SICAN, responsável por oferecer serviço de
suporte técnico aos usuários finais do sistema.
##/Causa##
Manifestação da Unidade Examinada
Por meio do Oficio DIPAI/DIRAB/CONAB nº 082, de 20 de abril de 2016, a unidade
encaminhou a seguinte manifestação:
Na mesma linha da proposta de atendimento da
recomendação do item 8, dentro do prazo previsto de 180
(cento e oitenta) dias, a SUOPE espera ver implantadas as
estruturas física e de pessoal necessárias para dar suporte
aos usuários externos do SICAN, tendo em vista a
importância da existência de um canal de comunicação
entre o usuário e a Companhia, no sentido de melhor
orientar e prestar os esclarecimentos de suas dúvidas,
sejam técnicas ou processuais, conforme preocupação
demonstrada na Solicitação de Auditoria sob apreço.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 45
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
Em síntese, o gestor, em referência ao item 8 do Ofício DIPAI/DIRAB/CONAB nº 082,
informa que somente em 16/03/2016 foi definida a área gestora do Sistema SICAN.
Afirma ainda que a área escolhida, Superintendência de Operações Comerciais (SUOPE),
deve implantar em um prazo de 180 dias as estruturas física e de pessoal necessárias para
dar suporte aos usuários do Sistema SICAN. Assim, o gestor manifesta concordância com
o relatado no fato.
##/AnaliseControleInterno##
Recomendações:
Recomendação 1: Implementar serviço de suporte técnico aos usuários finais do Sistema
SICAN considerando o grau de instrução e familiaridade dos utilizadores com recursos
computacionais.
1.1.1.10 CONSTATAÇÃO
Inconsistência na validação de dados de produção dos estabelecimentos rurais e
áreas de exploração.
Fato
Em análise ao Sistema SICAN no ambiente de homologação, observou-se uma
inconsistência na validação de dados de produção dos estabelecimentos rurais/áreas de
exploração. A soma das áreas de produção por produto pode exceder a área de exploração
agropecuária.
Por exemplo, um estabelecimento rural tem área de exploração agropecuária de 1,00 ha.
Nessa área são cultivados milho e feijão, além de possuir criação de frangos para corte.
O sistema permitiu cadastrar área de produção de 1,00 ha para cultivo de feijão, 1,00 ha
para cultivo de milho, 0,50 ha para criação de frango e 1,00 ha para criação de frango
vivo, totalizando 3,5 ha.
Essa situação aponta possível falha na validação dos dados do cadastro. Ressalta-se que
há possibilidade de exceder a área total de produção agropecuária inclusive com produtos
do mesmo CNAE, no caso em exemplo da criação de frangos para corte.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 46
##/Fato##
Causa
Falha na realização de testes para validação dos dados do cadastro do Sistema SICAN.
##/Causa##
Manifestação da Unidade Examinada
Por meio do Oficio DIPAI/DIRAB/CONAB nº 082, de 20 de abril de 2016, a unidade
encaminhou a seguinte manifestação:
Serão analisadas as alterações necessárias para que o
cálculo das áreas de produção por produto não exceda a
área de exploração agropecuária, levando-se em
consideração o calendário civil e o calendário de safras.
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
Em síntese, o gestor concorda com o fato apresentado sendo que as alterações necessárias
serão avaliadas para implementação da validação em questão. Ressalta-se que pode ter
ocorrido inconsistência no banco de dados decorrente da ausência dessa validação.
Portanto, após a implantação da validação, os dados devem ver verificados para a
restauração da consistência.
No entanto, cumpre destacar que a análise da possível inconsistência demanda
aprofundamento das análises pelo gestor, levando em contas aspectos complicadores
como o uso temporal da terra (calendário civil e calendário de safras), a possibilidade de
culturas consociadas, Integração Lavoura Pecuária Floresta – iLPF, entre outras.
##/AnaliseControleInterno##
Recomendações:
Recomendação 1: Incluir validação no cadastro de dados de produção de
estabelecimentos rurais e áreas de exploração, em formato de críticas de sistema
relacionadas à soma das áreas de produção por produto não exceda o uso total da área de
exploração agropecuária, levando em consideração o calendário civil, o ano-safra, a
possibilidade de culturas consorciadas/integradas e situações similares.
1.1.1.11 INFORMAÇÃO
Protelação na definição da área gestora do sistema.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 47
Fato
Em análise ao documento de Visão de Projeto do Sistema SICAN, criado em 26/04/2012
e encaminhado por meio do Ofício DIPAI nº 019/2016, observa-se, na seção 3.2.1
(Comitê Gestor da Conab), o registro sobre a necessidade de definir área de negócios
responsável pelo sistema.
Em resposta ao questionamento sobre o motivo pelo qual a SUTIN (Superintendência de
Gestão da Tecnologia da Informação) atua como área gestora (negocial) do Sistema
SICAN, considerando que as superintendências SUINF (Superintendência de
Informações do Agronegócio) e SUOPE (Superintendência de Operações Comerciais)
compuseram o grupo supracitado e aceitaram formalmente o documento de visão de
projeto, o gestor informou por meio do Ofício DIPAI nº 059/2016:
As superintendências SUINF e SUOPE, assim como os
demais membros do Grupo de Trabalho, cumpriram as
atribuições estabelecidas nas Portarias, na definição do
escopo do que viria a ser o sistema. Uma vez desenvolvido
e disponibilizado em produção, coube à direção da Conab
definir a área gestora negocial do SICAN, cujo assunto
compôs, entre outros, a CI Dipai n° 117, de 18/05/2015,
que resultou no Grupo de Trabalho constituído por meio da
Portaria Conab n° 498, de 18/06/2015. Contudo, a área
indicada pelo GT para gestão do SICAN, a Suofi/Gecob,
entendeu, por se tratar de um cadastro técnico, não ser a
área mais adequada para esta função. O assunto, que
compõe o processo administrativo 21200.001072/2015-82,
aguarda deliberação da Presidência da Conab.
Ressalta-se que o primeiro princípio do COBIT 5 é “Atender às Necessidades das Partes
Interessadas”. Segundo esse princípio, as organizações existem para criar valor para suas
partes interessadas, mantendo o equilíbrio entre a realização de benefícios, otimização do
risco e uso dos recursos.
Nesse sentido, o desenvolvimento de um sistema sem área de negócios formalmente
definida pode ocasionar na falta de percepção de realização de benefícios pela TI, riscos
pela inexistência de responsabilização (accountability) da área de negócio pelas decisões
dos requisitos do sistema e a deficiência na otimização da utilização dos recursos.
Mediante Ofício DIPAI nº 062/2016, o gestor informou:
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 48
Em aditamento à resposta ao item "c" da "Solicitação de
Auditoria n° 201600102/004", de 16/03/2016,
encaminhada por meio do Ofício Dipai n° 059, de
21/03/2016, informamos que na Redir realizada em
15/03/2016 deliberou-se que fica sob a responsabilidade da
Suope a gestão do sistema SICAN.
Portanto, durante esta auditoria, o gestor definiu a Superintendência de Operações
Comerciais (SUOPE) como área de negócios responsável pela gestão do Sistema SICAN.
##/Fato##
III – CONCLUSÃO
A seguir, são apresentados os resultados alcançados para cada uma das questões avaliadas
pela equipe de auditoria.
1. O sistema avaliado possui razão de existir?
Sim. Conforme documento de visão do projeto, o sistema avaliado foi desenvolvido a
partir da análise de problemas (falta de confiabilidade nas informações dos cadastros de
agentes, informações e operações dos agentes descentralizadas). Porém, cabe ressaltar
somente durante a auditoria houve a definição da área gestora do sistema. Salienta-se que
a participação da área gestora no planejamento e desenvolvimento é essencial para
aumentar o senso de responsabilização e alcançar os objetivos propostos para o sistema.
No entanto, concluiu-se que não houve melhoria no controle de regularidade dos
cadastros dos agentes, tampouco houve simplificação do processo com a utilização dessa
solução na visão do cidadão. Assim, foram recomendadas integração com bases de outros
órgãos e modificações no Sistema SICAN para que as certidões ou documentos
solicitados do cidadão sejam apresentados apenas uma vez durante o período de validade
dos mesmos, independentemente de programa finalístico e quantidade de operações
realizadas.
2. O sistema avaliado é documentado razoavelmente?
Parcialmente. O sistema possui artefatos tais como visão de projeto, regras de negócio e
manual de usuários. Entretanto, não foi formalizado o manual de implantação do sistema,
artefato essencial do sistema.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 49
3. O controle de acesso de usuários ao sistema é realizado apropriadamente?
Parcialmente. O controle de acesso do sistema identifica adequadamente os usuários,
segmenta por perfis e proíbe a utilização de senhas frágeis. No entanto, falhas foram
identificadas na gestão das permissões de acesso: ausência de processo para revisão
periódica dos perfis de acesso e permissão a usuários sem justificativa.
4. O controle de acesso aos ativos que suportam o sistema avaliado é realizado
apropriadamente?
Não. Nos servidores de banco de dados foram constatados empregados com acesso total
sem justificativa. Adicionalmente, inexiste processo de autorização e revisão formal para
a alocação de direitos de acesso privilegiado nesses servidores. Nos servidores de
aplicação foram verificados a inobservância do princípio da necessidade de conhecer e
falhas no processo para revogação de acesso aos usuários desligados da Companhia.
5. O sistema avaliado utiliza apropriadamente ferramentas de criptografia para garantir
o tráfego e armazenamento de informações sensíveis?
Parcialmente. O sistema utiliza protocolos de criptografia para o tráfego de informações
sensíveis. Entretanto, o sistema permitia a utilização de protocolo obsoleto (SSL v3).
Adicionalmente, o certificado utilizado é auto assinado, utilizava o algoritmo de hash
obsoleto SHA-1 e especifica um endereço diferente do qual o sistema se encontra.
Destaque-se que essas falhas foram saneadas pelo gestor, exceção quanto ao certificado
auto assinado.
6. O sistema evita requisitar ao usuário informações passíveis de serem obtidas de outras
bases de dados do governo federal ou públicas?
Parcialmente. O Sistema SICAN está integrado aos sistemas CADIN e SICAF. No
entanto, constatou-se que o sistema onera o cidadão ao solicitar informações já
disponíveis em outras bases do governo federal.
Como exemplo, cita-se informações requisitadas e já disponíveis nas bases de dados da
Receita Federal do Brasil, Controladoria-Geral da União, Ministério do Desenvolvimento
Social e Agrário, Instituto Nacional de Seguridade Social, Caixa Econômica Federal e
Tribunal Superior do Trabalho.
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 50
7. Os ativos que suportam o sistema avaliado possuem disponibilidade dentro do
esperado?
Sim. Em análise aos logs dos ativos que suportam o sistema, constatou-se a alta
disponibilidade do sistema sendo que o departamento de TI atua para mantê-la com
redundâncias, virtualizações e outros recursos de infraestrutura. Entretanto, inexiste
evidências de que haja um acordo com a área gestora sobre o nível mínimo de
disponibilidade aceitável pelo negócio.
8. As transações do sistema avaliado são registradas para posterior controle e auditoria?
Sim. O sistema possui logs mantidos pelo sistema, servidores de aplicação e banco de
dados. Entretanto, ressalta-se que inexiste evidências de que o período de retenção desses
logs foi acordado com a área gestora em função das necessidades ou legislação aplicável
ao negócio.
9. Existe monitoramento de possíveis fragilidades ou inconsistências no sistema
avaliado?
Sim. O sistema de monitoração é composto por quatro televisores que reportam em tempo
real a situação de toda a infraestrutura. Em caso de falha o técnico responsável recebe
uma mensagem para resolução. Para monitoramento dos servidores é utilizado o Zabbix
e para monitorar aspectos de segurança é utilizado o AlienVault.
10. O órgão oferece suporte técnico adequado ao usuário do sistema avaliado?
Não. O atendimento ao público externo na CONAB é realizado diretamente por meio da
área gestora do sistema. A área de suporte do departamento de TI oferece apenas
atendimento ao público interno. Devido à indefinição da área gestora até recentemente, o
sistema não possui uma área de suporte ao usuário final. Consequentemente, não há
histórico de atendimento e a respectiva base de conhecimento.
11. O sistema avaliado adota uma linguagem acessível para o público-alvo a que se
destina?
Dinheiro público é da sua conta
www.portaldatransparencia.gov.br 51
Sim. Conforme análise do sistema, o sistema possui linguagem simples e compreensível,
evitando o uso de siglas, jargões e estrangeirismos. Suplementarmente, o sistema
apresenta os eventuais erros em linguagem não técnica e informa devidamente quais os
procedimentos devem ser seguidos para saná-los.
12. O sistema avaliado adota as principais recomendações de acessibilidade do governo
federal (e-MAG) para permitir o uso por pessoas com deficiência?
Parcialmente. Em análise a um subconjunto com 13 recomendações do guia de
acessibilidade do governo federal (e-MAG), constatou-se o não cumprimento de três
diretrizes: não utilizar tabelas para diagramação, fornecer alternativa em texto para as
imagens da página na internet, fornecer estratégias de segurança específicas ao invés de
CAPTCHA.
13. A gestão de mudanças é realizada apropriadamente no sistema avaliado?
Não. Evidenciou-se que os procedimentos de gestão de mudanças ainda não foram
implementados no sistema auditado.
14. Existe uma estratégia para a continuidade em caso de incidentes com o sistema
avaliado?
Parcialmente. Não há um Plano de Continuidade de Negócios (PCN) formalmente
estruturado. Existem procedimentos de backup instituídos no sistema. Entretanto,
constatou-se a manutenção de cópias de segurança no mesmo ambiente e periodicidade
de backup não acordada com a área de negócio.
Brasília/DF, 14 de outubro de 2016.