POR QUE O TRABALHO FOI REALIZADO? QUAIS AS … · ABNT NBR ISO/IEC 27002:2013. Essa seção recomenda que as seguintes considerações devem ser observadas na análise crítica dos

POR QUE O TRABALHO FOI REALIZADO?

O trabalho foi priorizado em decorrência da relevância do SICAN no

âmbito da Companhia Nacional de Abastecimento, por se tratar de

sistema cujo objetivo é ser a base única para os beneficiários finais de

todas as políticas públicas operadas pela entidade.

QUAIS AS CONCLUSÕES ALCANÇADAS?

Em que pese o SICAN tenha sido elaborado para solucionar problemas

da unidade, a partir da análise de problemas relacionados à confiabilidade

de informações, o Sistema carece de maior foco no cidadão. De fato,

como o processo informatizado sempre exige a presença do beneficiário

da política pública e a apresentação das mesmas documentações, não

houve simplificação do processo para ele, tampouco melhoria no controle

de regularidade dos cadastros. Adicionalmente, identificou-se a

inexistência de suporte técnico ao cidadão e a inobservância à diretrizes

de acessibilidade adotadas internacionalmente.

Com relação ao ambiente de desenvolvimento e tecnológico em que o

Sistema está inserido, verificou-se a inexistência dos processos de gestão

de continuidade de negócios, essencial no caso interrupção do serviço, e

de gestão de mudanças, que objetiva mitigar os riscos de impactos

negativos nas atualizações realizadas. Ainda, foram identificadas falhas

na gestão das permissões de acesso, uso de certificado digital auto

assinado, regras para manutenção de backup desconhecidas pela área de

negócio, armazenamento das cópias de segurança em local inadequado e

inexistência de documentação relacionada à implantação.

QUAIS RECOMENDAÇÕES FORAM EMITIDAS?

Com relação ao foco no cidadão, foi recomendado que a CONAB adapte

o SICAN para que não sejam solicitados dados já informados pelo

cidadão em outras interações com a entidade e, a fim de evitar que sejam

solicitados dados já disponíveis na administração pública, que estabeleça

plano de ação permanente para obtenção de bases de dados de outros

órgãos; implemente boas práticas de acessibilidade, a exemplo do

Modelo de Acessibilidade em Governo Eletrônico (e-MAG); implante

serviço de suporte técnico aos usuários finais considerando o grau de

instrução e familiaridade dos utilizadores com recursos computacionais.

Quanto aos processos relacionados ao ambiente que envolve o SICAN,

recomendou-se que implemente os processos de gestão de continuidade,

de gestão de mudanças, de autorização e de revisão de direitos de acesso

privilegiado e atualize o processo de software para que inclua uma etapa

para desenvolvimento de manual de implantação. Ademais, foram

emitidas recomendações para aquisição e utilização de certificado digital

emitido por autoridade certificadora reconhecida, armazenamento de

cópias de segurança e adequação das rotinas de backup em acordo com a

área de negócio, conforme boas práticas de segurança da informação.

RELATÓRIO Nº 201600102

QUAL FOI O TRABALHO

REALIZADO?

A ação de controle avaliou a

conformidade de normas e boas

práticas aplicadas no

desenvolvimento e operação do

Sistema de Cadastro Nacional de

Produtores Rurais, Público do PAA,

Cooperativas, Associações e Demais

Agentes – SICAN.

O objetivo do SICAN é manter um

cadastro nacional de agentes que

tenham interesse em operar com a

Companhia Nacional de

Abastecimento – CONAB, a fim de

obter dados consistentes que

permitam verificar a possibilidade de

participação destes nas operações

realizadas.

A equipe avaliou 14 questões de

auditoria relacionadas com o

planejamento, documentação,

confidencialidade, integridade,

monitoramento, suporte técnico,

acessibilidade, processo de gestão

de mudanças e gestão de

continuidade.

Ministério da Transparência,

Fiscalização e Controladoria-

Geral da União

Dinheiro público é da sua conta

www.portaldatransparencia.gov.br 1

SECRETARIA FEDERAL DE CONTROLE INTERNO

Unidade Auditada: COMPANHIA NACIONAL DE ABASTECIMENTO

Município - UF: Brasília – DF

Relatório nº: 201600102

UCI Executora: SFC/GAB/GSNTI/Núcleo de Auditoria de Tecnologia da

Informação

RELATÓRIO DE AUDITORIA

Em atendimento à determinação contida na Ordem de Serviço (OS) nº 201600102,

apresentamos os resultados dos exames realizados sob atos e consequentes fatos de

gestão, ocorridos na supra referida, no período de 21/01/2016 a 31/05/2016.

A ação de controle avaliou a conformidade de normas e boas práticas aplicadas no

desenvolvimento e operação do Sistema SICAN - Sistema de Cadastro Nacional de

Produtores Rurais, Público do PAA, Cooperativas, Associações e Demais Agentes.

I – ESCOPO DO TRABALHO

Foi analisado o Sistema SICAN - Sistema de Cadastro Nacional de Produtores Rurais,

Público do PAA, Cooperativas, Associações e Demais Agentes, desenvolvido

internamente, cujo objetivo é manter um cadastro nacional que centralize as informações

dos agentes, a fim de obter dados consistentes que permitam verificar a possibilidade de

participação destes nas operações realizadas pela CONAB.

O presente trabalho objetivou responder às seguintes questões de auditoria:

Planejamento e Documentação:

1. O sistema avaliado possui razão de existir?

2. O sistema avaliado é documentado razoavelmente?

http://www.portaldatransparencia.gov.br/



Confidencialidade

3. O controle de acesso de usuários do sistema avaliado é realizado apropriadamente?

4. O controle de acesso aos ativos que suportam o sistema avaliado é realizado

apropriadamente?

5. O sistema avaliado utiliza ferramentas de criptografia para garantir o tráfego e

armazenamento de informações sensíveis?

Integridade

6. O sistema evita requisitar ao usuário informações passíveis de serem obtidas de outras

bases de dados do governo federal ou públicas?

Monitoramento

7. Os ativos que suportam o sistema avaliado possuem disponibilidade dentro do

esperado?

8. As transações do sistema avaliado são registradas para posterior controle e auditoria?

9. Existe monitoramento de possíveis fragilidades ou inconsistências no sistema

avaliado?

Suporte Técnico

10. O órgão oferece suporte técnico adequado ao usuário do sistema avaliado?

Acessibilidade

11. O sistema avaliado adota uma linguagem acessível para o público-alvo a que se

destina?

12. O sistema avaliado adota as principais recomendações de acessibilidade do governo

federal (e-MAG) para permitir o uso por pessoas com deficiência?

Gestão de Mudanças e Continuidade

13. A gestão de mudanças é realizada apropriadamente no sistema avaliado?

14. Existe uma estratégia para a continuidade em caso de incidentes com o sistema

avaliado?

II – RESULTADO DOS EXAMES

1 GESTÃO OPERACIONAL

1.1 AVALIAÇÃO DOS RESULTADOS

1.1.1 SISTEMA DE INFORMAÇÕES OPERACIONAIS




1.1.1.1 CONSTATAÇÃO

Falhas na gestão das permissões de acesso.

Fato

O controle das permissões de acesso é mecanismo basilar para a manutenção da segurança

das informações e comunicações. Por conseguinte, a Norma Complementar (NC) nº

07/IN01/DSIC/GSIPR estabelece as diretrizes para implementação de controles de acesso

relativos à segurança da informação e comunicações nos órgãos e entidades da

Administração Pública Federal, direta e indireta. Cabe salientar as seguintes

considerações iniciais dessa norma:

2.1. O objetivo do controle é sistematizar a concessão de

acesso, a fim de evitar a quebra de segurança da

informação e comunicações.

2.2. A identificação, a autorização, a autenticação, o

interesse do serviço e a necessidade de conhecer são

condicionantes prévias para concessão de acesso nos

órgãos ou entidades da APF.

2.3. A identificação dos controles de acesso lógico e físico,

nos órgãos ou entidade da APF, é consequência do

processo de Gestão de Riscos de Segurança da Informação

e Comunicações.

(...)

2.6. Os órgãos ou entidades da APF, em suas áreas de

competência, estabelecem regras específicas para

credenciamento de acesso de usuários aos ativos de

informação em conformidade com a legislação vigente, e

em especial quanto ao acesso às informações em áreas e

instalações consideradas críticas.

(Original sem grifo)

Ademais, ressaltamos o trecho da seção 9.1.1 (Política de controle de acesso), Norma

ABNT NBR ISO/IEC 27002:2013, que define dois frequentes princípios que orientam a

política de controle de acesso.




a) Necessidade de conhecer: você somente tem permissão

para acessar informação que você necessita para

desempenhar suas tarefas (tarefas e atribuições

diferentes significam diferentes necessidades de

conhecer e diferentes perfis de acesso);

b) Necessidade de uso: você somente tem permissão para

acessar os recursos de processamento da informação

(equipamentos de TI, aplicações, procedimentos, salas)

que você necessita para desempenhar a sua tarefa.

Considerando tais normas, em análise das permissões de acesso aos ativos e perfis

utilizados pelo Sistema SICAN, observou-se o seguinte:

a) Servidor de banco de dados

Em análise ao esquema do banco de dados utilizado pelo Sistema SICAN, no

servidor de produção, em 14/03/2016, observou-se que existiam 04 grupos de

permissão de acesso: 01 com permissões de consulta e 03 com permissões de

acesso total.

Da análise das permissões de acesso nos servidores de banco de dados e a partir

da lista de usuários informados por meio do Ofício DIPAI nº 059/2016,

evidenciou-se:

a.1) Falha nas permissões do grupo de consulta

Verificou-se que o grupo criado para usuários que necessitam apenas de

acesso de consulta, permite acesso total aos usuários que o integram, o que

inclui a alteração de estrutura e dados contidos no esquema do Sistema

SICAN. O grupo é formado por 03 usuários da GESOF e 02 da GESIN.

a.2) Existência de empregados com acesso total sem justificativa

Conforme informado, em reunião realizada em 14/03/2016 com o gestor,

o processo de alteração da estrutura do banco de dados funciona da

seguinte forma:

A GEASI, através da equipe de DBAs, é a única responsável

por realizar as alterações na estrutura do banco de dados

do SICAN. Assim, a partir das demandas da GESOF, a




GEASI realiza as alterações na estrutura no banco de

dados do SICAN.

Ainda, na mesma reunião, sobre a existência de um processo para a

inclusão de usuários no banco de dados, o gestor manifestou o seguinte:

A GEASI adiciona os usuários no banco de dados conforme

a necessidade das outras áreas.

No entanto, observa-se que outras gerências da SUTIN (GESOF e GESIN)

possuem acesso total ao esquema de banco de dados do Sistema SICAN.

Agrava-se o fato da concessão de acesso total a usuário de outra

superintendência (Superintendência de Informações do Agronegócio –

SUINF).

Visto que a equipe de administradores de banco de dados (DBAs) é a única

responsável por realizar as alterações no banco de dados, não há

necessidade de outros usuários, inclusive da própria GEASI, possuírem

acesso total ao esquema do banco de dados do Sistema SICAN. Tal fato

contraria a seguinte diretriz de observância obrigatória da NC nº

07/IN01/DSIC/GSIPR:

6.3.2. Respeitar o princípio do menor privilégio para

configurar as credenciais ou contas de acesso dos usuários

aos ativos de informação.

Considerando ainda que não foi demonstrada a necessidade dos

empregados de outras gerências possuírem acesso ao servidor de banco de

dados, frise-se em produção, também há discordância quanto ao “princípio

da necessidade de conhecer” definido pela Norma ABNT NBR ISO/IEC

27002:2013 e o item 2.2 da NC 07/IN01/DSIC/GSI/PR:

2.2. A identificação, a autorização, a autenticação, o

interesse do serviço e a necessidade de conhecer são

condicionantes prévias para concessão de acesso nos

órgãos ou entidades da APF.





a.3) Inexistência de processo de autorização e revisão formal para a

alocação de direitos de acesso privilegiado

Não há evidências de processo de autorização formal para a alocação de

direitos de acesso privilegiado. Tal fato diverge do disposto na seção 9.2.3

(Gerenciamento de direitos de acesso privilegiado) da Norma ABNT NBR

ISO/IEC 27002:2013 que estabelece que a alocação de direitos de acesso

privilegiado seja controlada por meio de um processo de autorização

formal.

Em relação à revisão periódica das permissões dos usuários de banco de

dados, o gestor informou na mesma reunião:

As permissões são revisadas, porém não há nenhum

procedimento formal para a revisão periódica.

A falta de um procedimento formal para a revisão periódica contraria a

seção 9.2.5 (Análise crítica dos direitos de acesso de usuário) da Norma

ABNT NBR ISO/IEC 27002:2013. Essa seção recomenda que as seguintes

considerações devem ser observadas na análise crítica dos direitos de

acesso:

a) os direitos de acesso de usuários sejam revisados em

intervalos regulares e depois de quaisquer mudanças, como

promoção, remanejamento ou encerramento do contrato;

b) os direitos de acesso de usuários sejam analisados

criticamente e realocados quando movidos de um tipo de

atividade para outra na mesma organização;

c) autorizações para direitos de acesso privilegiado

especial sejam revisadas em intervalos mais frequentes;

d) as alocações de privilégios sejam verificadas em

intervalo de tempo regular para garantir que privilégios

não autorizados não foram obtidos;

e) as modificações para contas privilegiadas sejam

registradas para análise crítica periódica.




b) Servidores de aplicação

Mediante Ofício nº 059/2016, item k, e Ofício nº 023/2016, item 12, o gestor

informou a lista de usuários com acesso aos servidores de aplicação utilizados

pelo Sistema SICAN. Da análise das permissões, verificou-se:

b.1) Inobservância do princípio da necessidade de conhecer

O quadro demonstra que a totalidade dos empregados da GEASI (20

usuários) possuem acesso aos servidores de aplicação. Embora haja

necessidade de permissão de acesso a alguns empregados da GEASI, não

há justificativa para que a totalidade dos empregados possuam permissão

acesso.

Ademais, não foi demonstrada a necessidade de empregados de outras

gerências possuírem acesso aos servidores de aplicação em produção.

Agrava-se o fato de empregados terceirizados possuírem permissão de

acesso sem justificativa.

Tais fatos evidenciam a discordância em relação ao princípio da

necessidade de conhecer, conforme diretriz constante na seção 9.1.1

(Política de controle de acesso) da Norma ABNT NBR ISO/IEC

27002:2013 e o item 2.2 da NC 07/IN01/DSIC/GSI/PR.

b.2) Falhas no processo de revogação de acesso a usuário desligado da

CONAB

Identificou-se, entre os usuários com acesso ao servidor de aplicação, um

empregado desligado da CONAB em 18/01/2016. Tal fato evidencia falhas

no processo de revogação de acesso aos usuários desligados do órgão.

Ressalta-se que apenas eventual suspensão do login de rede dos

empregados desligados não é suficiente. Conforme a seção 9.2.6 (Retirada

ou ajuste dos direitos de acesso) da Norma ABNT NBR ISO/IEC

27002:2013, os direitos de acesso dos ativos também devem ser removidos

ou suspensos.

c) Falhas nas permissões do perfil de consulta no Sistema SICAN

Em consulta à cópia do banco de dados, disponibilizada pelo gestor mediante

Ofício nº 018/2016, observa-se a presença de 7947 usuários com perfil de consulta




no Sistema SICAN. Sobre a necessidade desses usuários possuírem o perfil de

consulta, o gestor manifestou o seguinte:

A concessão de perfis para os usuários dos sistemas da Conab é

realizada a partir do cadastro geral de usuários [...], que engloba

todos os empregados, estagiários, parceiros de entidades externas

que colaboram com o fornecimento de informações como, por

exemplo, para os sistemas de avaliação de safra e SIAGRO, dentre

outros.

Todos os empregados da CONAB possuem acesso aos sistemas

para o perfil de consultas básicas.

No caso em tela, percebeu-se que, por falha na construção do

script de concessão de permissão de acesso ao SICAN, foi

atribuída permissão para todos os usuários constantes da tabela

[...], em vez de restringir esta permissão apenas aos empregados

da Conab. A despeito desta falha, pode-se afirmar que dificilmente

ocorreram acessos indevidos à base de dados, pois, o acesso ao

SICAN para consultas só pode ser realizado a partir da Intranet, à

qual somente têm acesso o grupo de usuários cadastrados no

LDAP, composto, basicamente, dos colaboradores da Companhia

e auditores dos órgãos de controle. Uma vez detectada a falha, a

equipe da Sutin está trabalhando na adequação das permissões de

acesso.

A concessão de acesso a todos empregados contraria o princípio de necessidade

de conhecer, conforme diretriz constante na seção 9.1.1 (Política de controle de

acesso) da Norma ABNT NBR ISO/IEC 27002:2013 e o item 2.2 da NC

07/IN01/DSIC/GSI/PR. Em análise, constata-se a existência de empregados com

cargos sem aparente necessidade de realizar consultas no Sistema SICAN, tais

como: Motorista, Auxiliar de Conservação, Auxiliar de Recursos Humanos, entre

outros.

Em relação aos usuários com perfil de consulta que não são empregados da

CONAB, o gestor identificou uma falha no script de concessão de acesso. Assim,

o gestor afirma que as providências para a retirada desses usuários estão em curso.




##/Fato##Causa

Atuação deficiente do gestor na adoção de controles na gestão das permissões de acesso

para o atendimento às recomendações exaradas pelos itens 2.2 e 6.3.2 da NC nº

07/IN01/DSIC/GSIPR e seções 9.1.1, 9.2.3, 9.2.5, 9.2.6 da Norma ABNT NBR ISO/IEC

27002:2013.

##/Causa##kkk

Manifestação da Unidade Examinada

Por meio do Oficio DIPAI/DIRAB/CONAB nº 082, de 20 de abril de 2016, a unidade

encaminhou a seguinte manifestação:

Item a.1) Falha nas permissões do grupo [...]: quando da emissão

do relatório solicitado pela equipe de auditoria da CGU, foi

detectado que o grupo, que deveria possuir apenas permissão de

consulta, estava com a permissão de acesso total. Diante desta

constatação, foi realizada a correção imediata, alterando as

permissões de acesso para somente consulta.

Item a.2) Existência de empregados com acesso total sem

justificativa: foi realizada a retirada do acesso total de todos os

usuários pertencentes ao grupo [...], lotados em outras gerências,

conforme exemplificado no "Quadro dos usuários do grupo [...]".

Ao final desta atividade, apenas o usuário de acesso do próprio

sistema resto autorizado. Ficou consignado entre as áreas

envolvidas que nenhum usuário deverá ter acesso total a qualquer

banco de dados de produção, a não ser aqueles usuários de

sistema, e que eventuais modificações na estrutura de bancos de

dados serão encaminhadas por meio do Administrador de Dados

a equipe de Banco de Dados, utilizando-se o Sistema de Gestao de

Demandas - Sigede.

Item a.3) Inexistência de processo de autorização e revisão formal

para a alocação de direitos de acesso privilegiado: será elaborado

um processo de autorização e revisão formal para alocação de

direito de acesso privilegiado, conforme recomendado.

Item b.1) Inobservância do princípio da necessidade de conhecer:

acatamos a recomendação e realizamos os devidos ajustes.




Dentre os usuários externos à Geasi identificados estão membros

da equipe de objeto corporativo e o administrador de dados. Em

reunião, restou acordado que somente os membros da Geasi

continuarão a ter acesso aos servidores de produção. Registre-se

que o usuário [...], apesar de bloqueado, estava em um galho não

usual do LDAP, o que foi constatado na emissão do relatório, e

prontamente removido.

Constatada a inadequação foi iniciado, pela equipe de segurança

da Sutin/Geasi, um trabalho de restrição de acesso lógico a todos

os servidores do data center da Conab. O mesmo seguirá, inclusive

com a redução dos grupos da Geasi, por atividade específica,

contemplando inicialmente os servidores recém-criados, porém,

sua conclusão, em razão de exigências técnicas adicionais,

depende da migração de diversos servidores mais antigos, em

produção, para versões mais recentes de sistema operacional e

serviços instalados.

Item b.2) Falhas no processo para revogação de acesso aos

usuários desligados da CONAB: O usuário do empregado

desligado encontrava-se bloqueado, todavia, a rotina automática

de remoção de usuários desligados, estava configurada para

execução a cada quatro meses. O processo de remoção sofrerá

agendamento para prazo mais curto.

##/ManifestacaoUnidadeExaminada##

Análise do Controle Interno

Em relação às permissões de acesso nos servidores de banco de dados, o gestor concorda

com as falhas apontadas. Afirma ainda que os itens a.1 (Falha nas permissões do grupo

de consulta) e a.2 (Existência de empregados com acesso total sem justificativa) foram

sanados.

Sobre o item a.3 (Inexistência de processo de autorização e revisão formal para a alocação

de direitos de acesso privilegiado), o gestor elaborará um processo para sanar essa falha.

Em relação às falhas nas permissões de acesso nos servidores de aplicação, o gestor

adotou medidas para minimizar os riscos apontados. Sobre o item b.1 (Inobservância do




princípio da necessidade de conhecer), o gestor restringiu o acesso aos membros da

Sutin/Geasi nos servidores de aplicação.

No que concerne ao item b.2 (Falhas no processo para revogação de acesso aos usuários

desligados da CONAB), o gestor justificou que o usuário estava bloqueado, entretanto, a

rotina para a exclusão do usuário executa apenas a cada quatro meses. Porém, para

minimizar os riscos, o agendamento da rotina será alterado para um prazo mais curto.

Referente ao item c (Falhas nas permissões do perfil de consulta no Sistema SICAN), o

gestor afirma que uma falha no script implicou na concessão de acesso a não empregados

da CONAB. O gestor relata ainda que está em curso a correção desse problema.

Entretanto, o gestor afirma que todos os empregados da CONAB, por padrão possuem

acesso aos sistemas para o perfil de consultas básicas. Conforme já destacado, tal situação

contraria o princípio de necessidade de conhecer.

Pelo exposto, conclui-se que houve falhas na gestão das permissões de acesso nos

servidores de banco de dados e aplicação. Destaca-se positivamente a celeridade do gestor

para saneamento da maior parte das falhas relatadas nesta constatação.

##/AnaliseControleInterno##

Recomendações:

Recomendação 1: Implementar processo de autorização e revisão formal para alocação

de direitos de acesso privilegiado, conforme disposto nas seções 9.2.3 e 9.2.5 da Norma

ABNT NBR ISO/IEC 27002:2013.

Recomendação 2: Aumentar a frequência de execução da rotina responsável por excluir

usuários desligados da CONAB.

Recomendação 3: Revisar e fornecer permissões, inclusive com perfil de consulta, apenas

a empregados que necessitem justificadamente utilizar o Sistema SICAN para

desempenho das funções profissionais.


Integração insuficiente com outros órgãos da Administração Pública Federal em

relação à troca de informações intragovernamentais para a implementação de

controles internos.

Fato




A exigência de solicitação de diversos documentos ao cidadão para participar de políticas

públicas é prática comum na administração pública. Não raro é exigida a cópia

autenticada por cartório de documentação emitida pelo próprio poder público.

O cidadão atua desse modo como um mensageiro da administração pública. É necessário

percorrer diversos órgãos públicos, muitas vezes distantes entre si, para apresentar a

documentação necessária, o que pode representar uma restrição de acesso ao público

esperado para o SICAN.

Para minimizar essa situação, o governo editou o Decreto 6.932/2009. O artigo 1º do

Decreto 6.932/2009 estabelece que os órgãos e entidades do Poder Executivo Federal, nas

relações entre si e com o cidadão, devem observar como diretrizes, dentre outras:

II - compartilhamento de informações, nos termos da lei;

III - atuação integrada e sistêmica na expedição de

atestados, certidões e documentos comprobatórios de

regularidade;

IV - racionalização de métodos e procedimentos de

controle;

(...)

VI - aplicação de soluções tecnológicas que visem a

simplificar processos e procedimentos de atendimento ao

cidadão e a propiciar melhores condições para o

compartilhamento das informações;

O artigo 2º dispõe:

Art. 2º Os órgãos e entidades do Poder Executivo Federal

que necessitarem de documentos comprobatórios de

regularidade de situação do cidadão, atestados, certidões

ou outros documentos comprobatórios que constem em

base de dados oficial da administração pública federal

deverão obtê-los diretamente do respectivo órgão ou

entidade.

Parágrafo único. Exclui-se da aplicação do disposto no

caput:

I - comprovação de antecedentes criminais;




II - informações sobre pessoa jurídica; e

III - situações expressamente previstas em lei.

O artigo 3º estabelece ainda:


não poderão exigir do cidadão a apresentação de certidões

ou outros documentos expedidos por outro órgão ou

entidade do Poder Executivo Federal, ressalvado o

disposto no parágrafo único do art. 2º.


Ademais, o artigo 24 da Lei 12.965/2014, Marco Civil da Internet, estabelece diretrizes

para a atuação da administração pública no desenvolvimento da internet no Brasil,

incluindo a promoção da racionalização e da interoperabilidade tecnológica dos sistemas

e serviços de governo eletrônico, com prestação de serviços públicos de atendimento ao

cidadão de forma integrada, eficiente, simplificada.

O documento de visão de projeto do Sistema SICAN, disponibilizado pelo gestor por

meio do Ofício nº 019/2016, previa o seguinte:

6.8 Outras Características

Cada sistema-cliente será responsável pela validação de

regras específicas conforme a operação a ser realizada.

Deverá ser verificada a possibilidade de cruzamento de

informações entre sistemas externos para identificar

alguma possível irregularidade ou validação dos dados.


Sobre a situação dos cruzamentos de informações disponíveis em sistemas externos com

o Sistema SICAN, o gestor manifestou o seguinte por meio do Ofício nº 059/2016:

Atualmente o SICAN já está integrado aos sistemas CADIN

e SICAF, além do sistema de inadimplentes da Conab

(SIRCOI).




As integrações com outros sistemas externos, a exemplo do

SISOB - Sistema de Controle de Óbitos, do INSS,

dependerão de instrumentos formais a serem firmados

entre Conab e os Órgãos gestores, que deverão ser

viabilizados futuramente, por meio de ações da área

gestora negocial que vier a ser definida.

Embora seja proveitosa a integração do Sistema SICAN com alguns sistemas externos

(CADIN e SICAF), o gestor não apresentou um plano de ação ou projeto estruturado para

obter informações de outros órgãos públicos e simplificar o processo, dispensando o

cidadão da função de mensageiro.

Por exemplo, considerando que o Sistema SICAN já fornece informações para o Sistema

SISBIO, verificou-se que as seguintes informações deveriam ser obtidas diretamente pela

CONAB ao invés de solicitar ao cidadão:

Receita Federal do Brasil: CPF e CNPJ (Comprovante de inscrição,

situação e demais dados dos cadastros como nome, filiação, endereço,

sócios, entre outros) e Certidão de Débitos Relativos a Créditos Tributários

Federais e à Dívida Ativa da União;

Controladoria-Geral da União: Certidão negativa junto ao Cadastro

Nacional de Empresas Inidôneas e Suspensas (CEIS);

Ministério do Desenvolvimento Social e Agrário: DAP;

Instituto Nacional de Seguridade Social: Certidões negativas junto ao

INSS;

Caixa Econômica Federal Certificado de regularidade do FGTS;

Tribunal Superior do Trabalho: Certidão negativa de dívidas trabalhistas

(CNDT).

Portanto, tais fatos evidenciam o desacordo com a legislação, onerando o cidadão ao

solicitar informações em posse da administração pública federal. Assim, embora a

negociação para a obtenção dessas bases não seja elementar, há a necessidade de que a

CONAB adote uma estratégia para resolver o problema de integração com os demais

órgãos da administração pública.




Ressalta-se que o TCU já se manifestou nesse sentido no Acordão nº 1789/2015

(Plenário):

171. A prestação de um serviço público ao cidadão cuja

documentação necessária exija que este tenha que

enfrentar filas em outras organizações da própria

administração pública para obtê-la atenta contra o

Decreto 6.932/2009 e mostra-se incompatível com o atual

estágio de desenvolvimento tecnológico.

Por fim, ressalta-se o Art. 17 do Decreto 6.932/2009 que incube diretamente a

Controladoria-Geral da União e os órgãos integrantes do sistema de controle interno para

atentar pelo cumprimento desse dispositivo legal:

Art. 17. Cabe à Controladoria-Geral da União e aos

órgãos integrantes do sistema de controle interno do Poder

Executivo Federal zelar pelo cumprimento do disposto

neste Decreto, bem como adotar as providências para a

responsabilização dos dirigentes e dos servidores que

praticarem atos em desacordo com as disposições aqui

estabelecidas.

##/Fato##

Causa

Ausência de plano de ação permanente para obter bases de dados de outros órgãos com

o objetivo de evitar que os processos do órgão exijam do cidadão certidões ou outros

documentos expedidos por outro órgão ou entidade do Poder Executivo Federal.

##/Causa##




Conforme registrado na ATA da 1239º Reunião da

Diretoria Colegiada da Conab do dia 15/3/16, foi

mencionada a questão da definição quanto à área gestora




do SICAN. Ainda conforme ATA, o Diretor de Operações e

Abastecimento - DIRAB, manifestou-se sobre

entendimentos em andamento quanto à possibilidade da

Superintendência de Operações Comerciais (SUOPE) ser

a área responsável pela Gestão do sistema SICAN no

âmbito da Companhia.

As tratativas dessa reunião, foram comunicadas a SUOPE,

na forma de despacho do dia 16/03/2016, nos autos do

processo 21200.001072/2015-82, em termos de

deliberação do Colegiado, indicando a SUOPE como

responsável pela Gestão do referido Cadastro. Dessa

forma, com o intuito de fazer cumprir tal decisão, a SUOPE

está elaborando Nota Técnica apresentando, à Direção da

Companhia, um projeto no sentido de demonstrar as

condições necessárias que deverão ser supridas para

recepcionar o SICAN na Unidade.

Entendendo como complexa a gestão desse Sistema, estão

sendo levantadas as necessidades de estruturação física e

de pessoal, com vistas à gestão do sistema, que envolverá

ações de integração com os sistemas internos, atuando

como agente regulador; padronização de procedimentos;

divulgação do sistema a nível nacional; análise e definição

de regras negociais; promoção e formalização da

interação do SICAN com outros cadastros com vistas a

atender as esferas federal, estadual e mesmo municipal; e

demais atividades inerentes.

Ficou estabelecido o prazo de 180 (cento e oitenta) dias, a

partir do dia 16/03/2016, para elaboração e implantação

do projeto proposto, caso aprovado pela Direção da

Companhia.






Em síntese, o gestor informa que somente em 15/03/2016 foi definida a área gestora do

Sistema SICAN. Afirma ainda que a área escolhida, Superintendência de Operações

Comerciais (SUOPE), está elaborando um projeto recepcionar adequadamente o sistema,

incluindo a integração com sistema internos, padronização de procedimentos, promoção

e formalização da interação do SICAN com outros cadastros.

Embora área gestora tenha sido definida recentemente, a integração com outras bases de

dados havia sido prevista no documento de visão anteriormente. Ademais, conforme

destacado no fato, a integração com outras bases de dados é mandatória decorrente do

disposto no Art. 3º do Decreto 6.932/2009. Assim, a adequação do sistema é

imprescindível e premente.

Ressalta-se que o compartilhamento das bases de dados pelos órgãos da Administração

Pública Federal foi recentemente regulamentado pelo Decreto 8.789, de 29 de junho de

2016. Portanto, a disponibilização de bases de dados oficiais para outros órgãos e

entidades torna-se regra e auxilia no efetivo cumprimento do Decreto 6.932/2009

(Simplificação do atendimento público).

Cabe ainda destacar os benefícios da integração de bases de dados da administração

pública. Conforme “Estudo sobre o Uso do Decreto 6.932/2009”, disponível na página

do Governo Eletrônico, as principais vantagens são:

A primeira é a redução de exigências diretas ao

cidadão.

É uma simplificação do atendimento ao cidadão.

A segunda é a redução de pedidos de emissão dos

referidos documentos nos postos de atendimento, o que

pode levar a redução de filas nesses postos.

É uma melhoria do atendimento aos demais usuários

dos postos.

A última é que o órgão recebedor da informação deixa

de usar uma solução tradicional de comprovação de

informações. Isso gera um impasse, por que essa

comprovação é necessária ao processo do órgão. Este

será obrigado a obter as informações diretamente da

fonte, possivelmente de forma eletrônica. Essa decisão

muda o processo do órgão. Reduz o volume de papéis

(recebidos, analisados e mantidos) e os procedimentos

manuais, transformados em procedimentos eletrônicos

e automáticos.




É uma melhoria do processo.



Recomendações:

Recomendação 1: Implementar plano de ação permanente para obter bases de dados de

outros órgãos, em consonância com o Decreto 8.789/2016, com o objetivo de evitar que

os processos do órgão, em especial o processo suportado pelo Sistema SICAN, exijam do

cidadão certidões ou outros documentos expedidos por outro órgão ou entidade do Poder

Executivo Federal, em atendimento ao Art. 3º do Decreto 6.932/2009.


Ineficiência da etapa de verificação da documentação necessária nos programas

finalísticos que utilizam o cadastro mantido pelo Sistema SICAN.

Fato

O documento de visão de projeto do Sistema SICAN, disponibilizado por meio do Ofício

DIPAI nº 019/2016, previa a homologação do cadastro realizado pelo agente externo:

6.2 Homologação do Cadastro

A partir da conclusão do cadastro, o sistema deve

disponibilizá-los para a homologação dos dados. Esta

homologação poderá ter um prazo parametrizado

estabelecido e deverá ser realizado pelas áreas finalísticas

da Companhia ou pelos funcionários designados para tal

atividade.

A homologação poderá ser realizada através de

checklist de documentação comprobatória exigida e se o

prazo para homologação estiver próximo o sistema deverá

emitir um aviso notificando o responsável.

A cada atualização cadastral o mesmo poderá ser

submetido para nova homologação.




Os sistemas-cliente que necessitam verificar a

situação cadastral do agente a fim de permitir ou não a

participação nas operações, deverão possuir indicação se

o cadastro de um agente em questão está ou não

homologado.

O gestor, questionado sobre o motivo da não implementação dessa funcionalidade

manifestou, mediante Ofício nº 063/2016, que o assunto foi tratado em reuniões

realizadas em 02/07/2013 e 05/09/2013 na quais foram expostos o motivo para a sua não

implementação. Seguem trechos das respectivas memórias de reunião com a motivação:

18. Os gestores presentes informaram que não há a

necessidade da homologação com apresentação de

documentos após o cadastro do agente no Sican. Os

mesmos relataram a importância de se evitar a burocracia

e disponibilizar o acesso ao cadastro de forma

simplificada para abranger o maior número de pessoas

interessadas em operar com a Conab.

A sugestão é que o Sican disponibilize as opções

necessárias para o cadastro do agente e, posteriormente,

conforme operações a serem realizadas com a Conab, o

sistema responsável pela operação realize a devida

cobrança de documentações e validações exigidas na

operação específica. Possivelmente os sistemas externos

utilizarão um serviço para atualizar a informação de

agente homologado na base de dados do agente.

2. Durante o detalhamento dos processos definidos para o

SICAN, foi discutido sobre a realização da homologação

de agentes. Havia uma previsão de que a homologação

fosse realizada apenas após a comprovação de dados do

agente através da entrega de documentação ou, em alguns

casos, por meio de fiscalização in loco.

Após a exposição de diversas situações, foi colocada por

parte da diretoria a preocupação de facilitar o acesso ao

cadastro por parte dos agentes, visando assim não criar

impeditivos para que interessados possam participar de




operações com a Conab. Desta forma ficou decidido que o

SICAN não deverá exigir homologação dos agentes, e não

será necessária a entrega de documentação dos agentes

para a validação do cadastro.


Em síntese, inicialmente, o Sistema SICAN previa que, após o cadastro, o agente externo

apresentasse toda a documentação para comprovar as informações do cadastro

centralizado. No entanto, conforme memórias de reunião enviadas pelo gestor, com o

objetivo de simplificar o processo, optou-se por não exigir a homologação das

informações prestadas pelo agente.

Ocorre que essa decisão implica que o agente externo, a cada operação realizada com a

CONAB, necessite fornecer cópias de documentação ao empregado público para

comprovar a fidedignidade do cadastro realizado no Sistema SICAN. Assim, percebe-se

que, para o agente externo, não houve simplificação alguma. Pelo contrário, ele necessita

realizar mais um procedimento (cadastro no sistema) antes de se dirigir para a CONAB e

apresentar as mesmas documentações antes da implementação do sistema.

Por exemplo, considerando que o Sistema SICAN já fornece informações para o Sistema

SISBIO, a partir do Manual de Operações da CONAB (MOC), obteve-se a lista da

documentação necessária para a participação de associações e cooperativas no Programa

de Subvenção Direta ao Produtor Extrativista (SDPE). Os documentos solicitados

incluem, entre outros:

Comprovante de inscrição e de situação cadastral no

Cadastro Nacional de Pessoa Jurídica – Cartão do

CNPJ. Cópia do RG (Carteira de Identidade) e CPF do

representante legal da associação ou cooperativa.

Certidões negativas junto ao INSS, FGTS, CNDT (Dívida

Trabalhista);

Certidão Conjunta Negativa de Débitos relativos a

Tributos Federais e à Dívida Ativa da União;

Certidão Negativa junto ao Cadastro Nacional de

Empresas Inidôneas e Suspensas (CEIS).




Extrato da DAP ESPECIAL – Pessoa Jurídica ou

Cooperativa Central da Organização, obtido

eletronicamente, acompanhado do respectivo anexo que

apresenta a listagem de agricultores com DAP, acessada

pelo sítio da internet http://www.mda.gov.br/saf,

conforme regulamentação da Secretaria de Agricultura

Familiar.

Extrato da Declaração de Aptidão ao PRONAF (DAP)

obtido eletronicamente, acessada pelo sítio da internet

http://www.mda.gov.br/saf, conforme regulamentação da

Secretaria de Agricultura Familiar, somente dos

beneficiários. não relacionados na DAP Jurídica

Nessa situação, observa-se que o empregado da CONAB, frise-se a cada operação, deverá

comparar as informações constantes no Sistema SICAN com documentação apresentada.

Caso haja alguma inconsistência, o empregado não deve admitir a realização da operação

e orientar o agente externo a atualizar o cadastro no Sistema SICAN.

Assim, constata-se que a ineficiência do controle de verificação dos dados dos cadastros

dos agentes é mantida mesmo com a implantação do Sistema SICAN. Pela parte do gestor

é necessário comparar a documentação apresentada com cadastro no sistema a cada

operação. Pela parte do agente externo é necessário apresentar a mesma documentação a

cada operação, inclusive se a mesma já tiver sido apresentada em outra recente ocasião.

Considerando o aspecto da eficiência, observa-se que o principal benefício alcançado pelo

sistema é tão somente evitar o preenchimento do cadastro por um empregado da CONAB.

Não houve melhoria no controle de regularidade dos cadastros dos agentes, tampouco

houve simplificação do processo com a utilização dessa solução na visão do cidadão.

Portanto, essa situação atenta contra o Decreto nº 6932/2009, que dispõe sobre a

simplificação do atendimento público prestado ao cidadão nos seguintes termos:


observarão as seguintes diretrizes nas relações entre si e

com o cidadão:

(...)

VI - aplicação de soluções tecnológicas que visem a

simplificar processos e procedimentos de atendimento ao


http://www.mda.gov.br/saf

http://www.mda.gov.br/saf



cidadão e a propiciar melhores condições para o

compartilhamento das informações;

##/Fato##

Causa

Atuação deficiente do gestor devido a aplicação de soluções tecnológicas que não tiveram

como objetivo simplificar processos e procedimentos de atendimento ao cidadão, em

desacordo com a diretriz estabelecida no inciso VI do Art. 1º do Decreto 6.932/2009.

##/Causa##


Por meio do Ofício PRESI/CONAB nº 431, de 19 de agosto de 2016, a unidade


Enquanto não for possível a obtenção dos dados de outros

órgãos e demais documentos exigidos, o SICAN será

ajustado para receber upload de dados básicos do agente,

permitindo que tais documentos sejam apresentados

apenas uma vez dentro da validade dos mesmos.

Os documentos solicitados em cada programa/operação

terão seu upload viabilizados por meio dos novos sistemas

finalísticos de suporte a cada programa e que serão

refletidos no SICAN.



O gestor informa que o Sistema SICAN será ajustado para que o agente apresente os

documentos uma apenas uma vez até a expiração da validade dos mesmos, enquanto não

for possível a obtenção dos dados diretamente de outros órgãos. Ressalta-se que essa

solução permitirá a melhoria no controle de regularidade dos cadastros dos agentes e

simplificação do processo na visão do cidadão.


Recomendações:




Recomendação 1: Realizar modificações no Sistema SICAN para que o cidadão não

necessite apresentar certidões e documentos emitidos por outros órgãos da Administração

Pública Federal.

Recomendação 2: Enquanto não for possível a obtenção dos dados de outros órgãos e

demais documentos exigidos, realizar modificações no Sistema SICAN para que as

certidões ou documentos que comprovem os dados informados pelo cidadão no sistema

sejam apresentados apenas uma vez durante o período de validade dos mesmos.


Inadequação do sistema em relação às diretrizes de acessibilidade adotadas

internacionalmente.

Fato

O texto da Convenção sobre os Direitos das Pessoas com Deficiência e de seu Protocolo

Facultativo, aprovado pelo Decreto Legislativo nº 186, de 2008, no Artigo 9º, ressalta a

importância da promoção da acessibilidade em sistemas e tecnologias da informação e

comunicação, estabelecendo que os Estados Partes tomarão medidas para:

g) Promover o acesso de pessoas com deficiência a novos

sistemas e tecnologias da informação e comunicação,

inclusive à Internet;

h) Promover, desde a fase inicial, a concepção, o

desenvolvimento, a produção e a disseminação de sistemas

e tecnologias de informação e comunicação, a fim de que

esses sistemas e tecnologias se tornem acessíveis a custo

mínimo.

A Lei nº 13.146, de 6 de julho de 2015, que institui a Lei Brasileira de Inclusão da Pessoa

com Deficiência (Estatuto da Pessoa com Deficiência), elenca, explicitamente, os

sistemas e tecnologias no rol de itens que deverão ser observados para garantir a

acessibilidade das pessoas com deficiência:

A mesma Lei trata sobre a obrigatoriedade da acessibilidade nas páginas da internet,

mantidos por órgãos de governo, conforme as melhores práticas e diretrizes de

acessibilidade adotadas internacionalmente:

Art. 63. É obrigatória a acessibilidade nos sítios da

internet mantidos por empresas com sede ou representação

comercial no País ou por órgãos de governo, para uso da




pessoa com deficiência, garantindo-lhe acesso às

informações disponíveis, conforme as melhores práticas e

diretrizes de acessibilidade adotadas internacionalmente.

Antes dos normativos citados, atinente à necessidade de definir normas de acessibilidade

em sistemas informáticos e considerando o direito à igualdade e o dever de assegurar o

acesso à informação a todos, constantes no Artigo 5º da Constituição Federal, a Portaria

MP nº 03, de 07 de maio de 2007, instituiu o Modelo de Acessibilidade em Governo

Eletrônico (e-MAG), que sistematiza políticas, diretrizes e especificações técnicas de

acessibilidade.

Esse Modelo, de adoção compulsória pelos órgãos e entidades integrantes do Sistema de

Administração dos Recursos de Tecnologia da Informação, deve ser observado no

planejamento, implantação, desenvolvimento ou atualização de portais e sítios

eletrônicos, sistemas, equipamentos e programas em Tecnologia da Informação e

Comunicação – TIC.

Embora a Portaria MP nº 03, de 07 de maio de 2007, não alcance a CONAB, optou-se

por utilizar como referência o Modelo de Acessibilidade do Governo Federal (e-MAG),

versão 3.1, pelo motivo de se basear nas Diretrizes de Acessibilidade para Conteúdo Web

(WCAG 2.0), adotadas internacionalmente. Essas diretrizes, conforme Art. 63 da Lei nº

13.146, são de atendimento obrigatório por empresas com sede ou representação

comercial no País e por órgãos de governo, casos em que a CONAB se enquadra.

Dentre as 45 recomendações do e-MAG, selecionou-se um subconjunto de 13

recomendações para verificação do atendimento pelo Sistema SICAN. Após análise no

ambiente de homologação, observou-se o não cumprimento das seguintes diretrizes:

1. Recomendação 1.6 – Não utilizar tabelas para diagramação

(Baseada na WCAG 2.0 - Critério de Sucesso 1.3.1 - Técnica H51)

As abas da funcionalidade de cadastro da versão WEB são construídas com

base em tabelas. Conforme recomendação 1.6, as tabelas devem ser utilizadas

apenas para dados tabulares e não para efeitos de disposição dos elementos na

página. Para este fim, deverá ser utilizada folhas de estilo.

2. Recomendação 3.6 – Fornecer alternativa em texto para as imagens do sítio

(Baseada na WCAG 2.0 - Critério de Sucesso 1.1.1 - Técnica G95)




Não há texto alternativo para as imagens do sistema. Conforme recomendação

3.6, deve ser fornecida uma descrição para as imagens da página, utilizando-

se, para tanto o atributo ALT.

3. Recomendação 6.8 – Fornecer estratégias de segurança específicas ao invés

de CAPTCHA

(Baseada na WCAG 2.0 - Critério de Sucesso 1.1.1 - Técnicas G143 e G144)

No módulo de acesso aos usuários, o captcha é obrigatório para a realização

de login no sistema. Agrava-se o fato do sistema não oferecer versão em áudio

para usuários com dificuldade de leitura.

A recomendação 6.8 aponta os seguintes problemas com a utilização de

CAPTCHAS:

Usabilidade: O ônus de detecção de problemas e invasões

é delegado a pessoa, ao invés do sistema. Como

CAPTCHAs são projetados para serem difíceis de ler e

entender, tornam os serviços que os utilizam muito mais

difíceis de usar.

Acessibilidade: Os CAPTCHAS são inacessíveis por sua

natureza, não são lidos, nem interpretados por leitores de

tela. Isso efetivamente torna o serviço inutilizável por

alguns grupos de pessoas. Mesmo CAPTCHAs que

oferecem versões em áudio não resolvem completamente o

problema, pois muitas pessoas podem possuir deficiência

auditiva e visual.

Segurança: Desenvolver um CAPTCHA internamente

costuma gerar CAPTCHAS inseguros, com falhas já

mapeadas por spammers.

Dessa forma, o e-MAG oferece alternativa ao CAPTCHA:

Recomenda-se uma combinação de diferentes estratégias

para serviços mais seguros e acessíveis para substituir o

uso de CAPTCHA, como por exemplo:

• Limites de conexão;

• Monitoramento;




• Consistência nas políticas de segurança;

• Uso de técnicas de desenvolvimento de

formulários seguros.

(...)

Caso o uso de CAPTCHA seja estritamente necessário, o

mesmo deverá ser fornecido em forma de pergunta simples

de interpretação (CAPTCHA Humano), e este

preferencialmente só deverá ser apresentado após pelo

menos 2 tentativas de envio do formulário, por exemplo.

Tais perguntas poderão ser respondidas apenas por um ser

humano.

Nota-se que o descumprimento dessas diretrizes não coaduna com o objetivo estratégico

de TI, proposto no item 10.4 do Plano Diretor de Tecnologia da Informação (PDTI) 2015-

2018 do gestor:

Trabalhar para disponibilidade das informações por meios

eletrônicos em conformidade com padrões de

acessibilidade;


Ressalta-se que o TCU, semelhante a atuação da CGU nesta auditoria, determinou a

inclusão da verificação da acessibilidade em sistemas, conforme Acordão 0505/2016

(Plenário):

9.4. determinar à Secretaria de Fiscalização de Tecnologia

da Informação (Sefti), em observância ao disposto no art.

93 da Lei nº 13.146/2015, que inclua, em seus programas

de fiscalização, a verificação da adoção, por parte de

órgãos e entidades da administração pública federal, de

tecnologias assistivas que possuam como objetivo a

promoção da acessibilidade em sistemas, portais e outras

ferramentas tecnológicas por eles disponibilizadas, com

vistas a favorecer o acesso de pessoas com deficiência

visual, auditiva, cognitiva e motora a esses recursos de

tecnologia da informação;




Por fim, alerta-se sobre o novo inciso da Lei 8.429/1992 que dispõe sobre os atos de

improbidade administrativa que atentam contra os princípios da administração pública,

incluído pela Lei 13.146/2015:

Art. 11. Constitui ato de improbidade administrativa que

atenta contra os princípios da administração pública

qualquer ação ou omissão que viole os deveres de

honestidade, imparcialidade, legalidade, e lealdade às

instituições, e notadamente:

(...)

IX - deixar de cumprir a exigência de requisitos de

acessibilidade previstos na legislação. (Incluído pela

Lei nº 13.146, de 2015)


##/Fato##

Causa

Atuação deficiente do gestor em contemplar o disposto nos Art. 9º do Decreto Legislativo

nº 186/2008, Art. 63 da Lei nº 13.146/2015 e item 10.4 do PDTI 2015-2018 no processo

de desenvolvimento de software.

##/Causa##




Todas as alterações indicadas nas recomendações 1.6, 3.6

e 6.8 serão implementadas na medida da capacidade de

trabalho da equipe TI.



O gestor informa que as diretrizes apontadas serão implementadas no sistema. Ressalta-

se a necessidade de verificar o cumprimento de todas as diretrizes do e-MAG visto que

esta auditoria verificou apenas um subconjunto de 13 de um total de 45 diretrizes.




Reitera-se que um sistema, especialmente voltado para o público em geral, deve

considerar a possibilidade de existir usuários com deficiência. Essa deficiência pode

conter vários níveis como explica o trecho do Modelo de Acessibilidade do Governo

Eletrônico, versão 3.1:

Muitas vezes, a deficiência não é severa o suficiente a ponto

de tornar-se uma barreira à utilização do computador.

Entretanto, na maioria das páginas da Web, as pessoas

cegas ou com baixa visão, pessoas com deficiência

auditiva, com dificuldade em utilizar o mouse, por exemplo,

encontram barreiras de acessibilidade que dificultam ou

impossibilitam o acesso aos seus conteúdos.

Muitas pessoas também apresentam outras limitações

relacionadas à memória, resolução de problemas, atenção,

compreensão verbal, leitura e linguística, compreensão

matemática e compreensão visual. Uma pessoa com

dislexia, por exemplo, pode apresentar dificuldade de

leitura de uma página devido a um desenho inadequado.

Por isso, um sítio desenvolvido considerando a

acessibilidade deve englobar diferentes níveis de

escolaridade, faixa etária e pouca experiência na utilização

do computador, bem como ser compatível com as diversas

tecnologias utilizadas para acessar uma página da Web.

Portanto, a implementação de tecnologias assistivas para a promoção da acessibilidade é

fundamental para a inclusão das pessoas com diversos níveis de deficiência. Sobretudo

para garantir os direitos à igualdade e dignidade da pessoa humana consagradas na Carta

Magna.


Recomendações:

Recomendação 1: Implementar a acessibilidade no Sistema SICAN para uso de pessoas

com deficiência, conforme as melhores práticas e diretrizes de acessibilidade adotadas

internacionalmente. Para tal fim, avaliar a pertinência de utilizar as recomendações

emanadas pelo Modelo de Acessibilidade em Governo Eletrônico (e-MAG).

Recomendação 2: Aproveitar a iniciativa de acessibilidade no Sistema SICAN para

incluir no processo de desenvolvimento de software etapa para avaliar e implementar as

recomendações de acessibilidade.





Falhas na configuração de protocolos de criptografia utilizados pelo sistema.

Fato

Em análise ao Sistema SICAN no ambiente de produção, observou-se a utilização dos

protocolos: SSL versão 3.0 (Secure Socket Layer) e TLS (Transport Layer Security)

versões 1.0, 1.1, 1.2. Esses protocolos foram desenvolvidos para fornecer segurança das

informações trafegadas em redes de computadores. A atualização das versões desses

protocolos ocorre principalmente no sentido de corrigir vulnerabilidades e aumentar a

segurança.

Ocorre que o protocolo SSL versão 3.0, lançado em 1996 e um dos protocolos utilizados

pelo sistema, é vulnerável a diversas falhas de segurança divulgadas na internet. Dentre

elas, destacamos o ataque conhecido como POODLE (Padding Oracle On Downgraded

Legacy Encryption), descoberto por pesquisadores do Google em 14 de outubro de 2014,

que pode comprometer o tráfego seguro.

Diante das graves falhas de segurança, a Internet Engineering Task Force (IETF),

instituição internacional que desenvolve e promove as normas da Internet, emitiu o

documento RFC 7568, tornando o protocolo SSL versão 3.0 obsoleto. Nesse documento,

a IETF propõe que esse protocolo não seja mais utilizado:

O Secure Sockets Layer versão 3.0 (SSLv3), conforme

especificado no RFC 6101, não é suficientemente seguro.

Este documento exige que SSLv3 não deve ser usado. As

versões de substituição, em particular, Transport Layer

Security (TLS) 1.2 (RFC 5246), são consideravelmente

protocolos mais seguros e capazes. Este documento

atualiza a seção de compatibilidade com versões anteriores

do RFC 5246 e os seus antecessores para proibir a

utilização do SSLv3.

(Tradução livre)

No decorrer do documento (RFC 7568), a IETF é categórica ao afirmar que o protocolo

SSL versão 3.0 “não deve ser utilizado” e está “essencialmente quebrado”.

Posteriormente, o documento explica outros tipos de ataque em que esse protocolo é

suscetível.




O certificado digital SSL/TLS utilizado pelo sistema também foi analisado. As seguintes

falhas foram detectadas:

a) Certificado emitido para endereço diferente do qual o sistema está.

Observou-se que o certificado digital SSL/TLS do sistema foi criado para ser

utilizado no endereço “intranet.conab.gov.br” sendo que o sistema está

disponível no endereço “sistemas.conab.gov.br”. Esse atributo é denominado

Common Name (CN).

b) Utilização da função obsoleta de hash SHA-1.

As funções de dispersão criptográfica são funções de hash unidirecionais

consideradas praticamente impossíveis de inverter. Caso haja alguma falha

nelas, os algoritmos de criptografia adotam outras funções consideradas mais

seguras.

Ao logo do tempo, as funções de hash como o MD2, MD4 e MD5 foram

descontinuados devido a falhas descobertas. Atualmente, o algoritmo de hash

SHA-1 não é mais considerado seguro.

Nesse sentido, o Google e a Microsoft anunciaram que os navegadores

mostrarão alertas para conexões HTTPS que utilizam certificados digitais

utilizando a função de hash SHA-1 que expiram após 1º de janeiro de 2017.

Cumpre salientar que esse alerta está sendo emitido ao acessar o sistema

devido ao certificado digital expirar em 13/04/2020.

c) Utilização de certificado digital auto assinado.

As Autoridades Certificadoras (AC) são entidades que têm como principal

responsabilidade emitir e assinar um certificado digital que garanta a

autenticidade mediante a validação de domínio e/ou organização. Para isso, a

outra parte (usuários do sítio/sistema) necessita confiar na AC. Normalmente,

os navegadores incluem um conjunto de Autoridades Certificadoras

confiáveis.

Ocorre que a Autoridade Certificadora do certificado digital utilizado pelo

sistema é a própria CONAB. Devido ao fato dos navegadores não

reconhecerem essa Autoridade Certificadora, um alerta de segurança é emitido

para os usuários informando que o certificado é inválido.




Nesse sentido, a seção 10.1.2 (Gerenciamento de Chaves) da Norma ABNT

NBR ISO/IEC 27002:2013 recomenda a utilização de uma autoridade

certificadora reconhecida para garantir o adequado nível de confiança.

##/Fato##

Causa

Atuação deficiente do gestor no atendimento à recomendação exarada na seção 10.1.2 da

Norma ABNT NBR ISO/IEC 27002:2013 e o disposto no documento IETF RFC 7568.

##/Causa##




O protocolo SSLv3 foi desabilitado no servidor

sistemas.conab.gov.br, atendendo, assim, recomendação

da Internet Engineering Task Force (IETF), conforme

evidência abaixo:

Foi gerado um novo certificado para corrigir de maneira

célere os apontamentos feitos nas alíneas "a" e "b",

conforme evidências a seguir:




Para sanar o apontamento realizado na alinea "c" a Conab

constituirá processo de aquisição de certificado digital de

autoridade certificadora confiável, de modo a atender a

recomendação.



Conforme manifestado pelo gestor, o protocolo SSL versão 3.0 foi desabilitado para

atendimento à recomendação da IETF. Adicionalmente, as falhas enumeradas nos itens




“a” (Certificado emitido para um endereço diferente do qual o sistema se encontra) e “b”

(Utilização de algoritmo obsoleto de hash SHA-1) foram sanadas com a emissão de novo

certificado digital.

Em relação ao item “c” (Utilização de certificado digital auto assinado), o gestor

concordou com o apontamento de modo que constituirá processo para a aquisição do

certificado digital de autoridade certificadora confiável.


Recomendações:

Recomendação 1: Avaliar a aquisição e uso no Sistema SICAN de certificado digital

emitido por autoridade certificadora reconhecida, em atendimento ao disposto na seção

10.1.2 da Norma ABNT ISO/IEC 27002:2013.


Inexistência do processo de Gestão de Continuidade de Negócios.

Fato

A Norma Complementar (NC) nº 06/IN01/DSIC/GSIPR define Gestão de Continuidade

de Negócios como:

Processo abrangente de gestão que identifica ameaças

potenciais para uma organização e os possíveis impactos

nas operações de negócio, caso estas ameaças se

concretizem. Este processo fornece uma estrutura para que

se desenvolva uma resiliência organizacional que seja

capaz de responder efetivamente e salvaguardar os

interesses das partes interessadas, a reputação e a marca

da organização, e suas atividades de valor agregado.

Esse processo é abordado também pela Norma ISO 22301:2012, modelos de boas práticas

como o Cobit 5 e o Guia Básico de Orientações ao Gestor em Segurança da Informação

e Comunicações do Departamento de Segurança da Informação e Comunicações

(DSIC/Casa Militar/Presidência da República). O TCU também tem manifestado em

diversos acórdãos a necessidade de implementação de processo de gerenciamento de

continuidade pelas organizações públicas federais. Destacamos os Acordãos nº

1603/2008, 3117/2014 e 491/2015 (todos plenário).




Ressalta-se que a Gestão de Continuidade de Negócios (GCN) é uma abordagem que deve

envolver toda a organização, inclusive e especialmente as áreas de negócio. Essas áreas

definirão quais são os serviços essenciais ou críticos e a priorização para o

reestabelecimento após a ocorrência de um desastre.

Em reunião realizada em 11/03/2016, os gestores informaram que não existe processo de

Gestão de Continuidade de Negócios implementado pela entidade. No entanto,

informaram a pretensão de realizar a contratação de consultoria para o desenvolvimento

e implementação desse plano.

Ressalta-se que os procedimentos de backup são parte integrante da disciplina de Gestão

de Continuidade de Negócios mediante a implementação da prática DSS04.07. Sobre essa

questão, mediante detalhamento dos procedimentos de backup fornecido pelo Ofício

DIPAI nº 023 e visita da equipe de auditoria às instalações físicas ocorrida em

14/03/2016, observou-se o seguinte:

a) Manutenção de cópias de segurança no mesmo ambiente

As instalações dos servidores, bibliotecas de fita (onde são armazenados os

backups mais recentes) e o armário (onde são armazenados os backups anuais)

estão dispostos em uma única localidade.

A manutenção das cópias de segurança em uma mesma localidade contraria a

recomendação da seção 12.3.1 da Norma NBR/ISO 27002:2013:

c) convém que as cópias de segurança sejam armazenadas

em uma localidade remota, a uma distância suficiente para

escapar dos danos de um desastre ocorrido no local

principal.

De forma semelhante, o item 7.3.1 da NC nº 07/IN01/DSIC/GSIPR

estabelece:

7.3.1. Estabelecer distância mínima de segurança para

manutenção das mídias contendo as cópias de segurança

(backups);

Assim, a manutenção dos backups na mesma localidade pode inviabilizar o

retorno estimado das operações previstas em um eventual plano de

continuidade.




b) Periodicidade do backup não acordada com a área de negócio

Conforme relatado, os backups dos bancos de dados são realizados

diariamente e mantidos em uma partição dedicada por 15 dias. Ainda há

backups anuais mantidos em um armário localizado na GEASI.

Em relação especificamente ao Sistema SICAN, as áreas de negócio que

utilizam ou utilizarão o cadastro não foram consultadas para estabelecer os

requisitos de frequência da geração da cópia de segurança. Esse fato contraria

recomendação da seção 12.3.1 da Norma NBR/ISO 27002:2013:

b) convém que a abrangência (por exemplo, completa ou

diferencial) e a frequência da geração das cópias de

segurança reflitam os requisitos de negócio da

organização, além dos requisitos de segurança da

informação envolvidos e a criticidade da informação para

a continuidade da operação da organização.


Ressalta-se ainda o processo APO09: Gerenciamento de Níveis de Serviço do

modelo COBIT 5 que também se manifesta sobre a questão da necessidade de

alinhamento dos níveis de serviços de TI com as expectativas das áreas de

negócio.

c) Falhas no ambiente de armazenamento das fitas de backup anuais

Em visita às instalações físicas da infraestrutura de TI da CONAB, observou-

se o ambiente de armazenamento das fitas de backup anuais. Essas fitas estão

dispostas em um armário com chave simples. Esse armário está localizado a

poucos metros da sala-cofre que contém os backups diários. Ademais, ressalta-

se que a chave desse armário está localizada em um quadro de chaves a poucos

metros do armário. Não há qualquer tipo de restrição ao acesso ao quadro de

chaves às pessoas em trânsito pela área.

Essa situação contraria a recomendação da seção 12.3.1 da Norma NBR/ISO

27002:2013:




d) convém que seja dado um nível apropriado de proteção

física e ambiental das informações das cópias de segurança

(ver Seção 11), consistentes com as normas aplicadas na

instalação principal.

(...)

f) em situações onde a confidencialidade é importante,

convém que cópias de segurança sejam protegidas através

de encriptação.

Ressalta-se ainda que, em reunião ocorrida em 14/03/2016, a CONAB

informou que existe a possibilidade de adquirir cofres para a armazenagem

das fitas em outros endereços da CONAB ou do Ministério da Agricultura. No

entanto, optou-se por manter esse ponto tendo em vista que tal processo ainda

não foi definido e implementado.

##/Fato##

Causa

Ausência de recursos suficientes para o atendimento às recomendações exaradas pela NC

nº 06/IN01/DSIC/GSIPR, item 7.3.1 da NC nº 07/IN01/DSIC/GSIPR e seção 12.3.1 da

Norma NBR/ISO 27002:2013.

##/Causa##




Em resposta às alíneas "a" e "c" desta seção, cumpre

informar que processo de guarda das cópias de segurança

já ocorreu fora do Edifício Sede da Conab, porém, em

razão da ausência de local adequado para este

armazenamento, optou-se por mantê-lo no local

identificado, até a conclusão da aquisição dos cofres

apropriados. Lembramos que a aquisição de dois cofres

para armazenamento para as fitas backup, sendo um para

a sede e outro para armazenamento no Centro de

Desenvolvimento de Recursos Humanos, é objeto do




processo administrativo 21200.001126/2013-48, que até o

momento não logrou êxito pela falta de aceno da Conab

com os recursos orçamentários/financeiros necessários.

Sendo assim, será feita nova solicitação de recursos e tão

logo esta aquisição seja concluída o armazenamento das

fitas backup em local adequado, seguro e em outro prédio

da Conab voltará a ser realizado.

Cabe complementar que a Conab vem, ao longa dos anos,

realizando poucos investimentos na área de Tecnologia da

Informação, como pode ser observado no quadro a seguir:

Em referência a alínea "c" informamos que a Sutin/Geasi

realiza cópias de segurança conforme definição de

criticidade dos sistemas. Neste caso, os sistemas

corporativos são entendidos como de máxima criticidade e

por isso suas cópias são realizadas dentro do maior rigor

possível.

Entretanto, acatamos a recomendação contida na SA em

tela e, portanto, realizar-se-á consulta a nova área gestora

do SICAN, de modo a acordar os requisitos de frequência

necessários.






Considerando que as restrições orçamentárias são recorrentes na Administração Pública

Federal, existe a necessidade de priorizar os investimentos. Nessa seara, os investimentos

em processos críticos deverão ser privilegiados.

Ressalta-se que a avaliação da priorização de investimentos em TI na CONAB não faz

parte do escopo desta auditoria. Entretanto, verifica-se que o Comitê Executivo de

Tecnologia da Informação (CETI) reconhece a criticidade da Gestão de Continuidade de

Negócios, em especial, considerando a previsão de R$ 1.000.000,00 a cada ano conforme

propostas orçamentárias de 2015 e 2016, externadas no PDTI 2015-2018.

Assim, mostra-se relevante que o departamento responsável pelas operações de TI do

gestor, Sutin, demonstre reiteradamente os riscos da ausência de investimentos na

operacionalização do Plano de Continuidade de Negócio (PCN) para o Comitê de TI e

áreas finalísticas sob risco de omissão. Frisa-se que essa demonstração deve ser orientada

para o impacto do negócio sob os aspectos de perda de dados e interrupção prolongada

das atividades.

Em relação às fragilidades apontadas nos itens dos procedimentos de backup, parte

integrante da disciplina de Gestão de Continuidade de Negócios, ressalta-se que o gestor

igualmente reconhece a relevância em solucioná-las.

O reconhecimento do gestor de que há necessidade de cofres para a manutenção do

backup em localidade remota é salutar visto que a ausência de um local seguro pode

comprometer a confidencialidade, integridade das informações e o retorno das operações

de negócio em tempo hábil.

Portanto, conforme exposto, há a necessidade de conscientizar a organização acerca dos

riscos para que o saneamento das fragilidades seja realizado no menor lapso temporal

possível.


Recomendações:

Recomendação 1: Manter as cópias de segurança em localidades diferentes e ambientes

seguros, conforme recomendação da seção 12.3.1 da Norma NBR/ISO 27002:2013 e o

item 7.3.1 da NC nº 07/IN01/DSIC/GSIPR.

Recomendação 2: Verificar a adequação da periodicidade do backup do Sistema SICAN

conforme necessidades da área gestora, conforme recomendação da seção 12.3.1 da

Norma NBR/ISO 27002:2013.




Recomendação 3: Implementar processo de Gestão de Continuidade de Negócio na

Companhia.


Inexistência de processo de Gestão de Mudanças.

Fato

Questionado sobre os procedimentos e os controles interno aplicados à gestão de

mudanças no ambiente tecnológico (hardware e software), o gestor informou por meio do

Ofício DIPAI nº 023:

A Conab está elaborando e formalizando os procedimentos

e controles internos voltados à gestão de mudanças.

Em entrevista com os desenvolvedores foi informado que o último pacote de atualização

do Sistema SICAN foi disponibilizado via FTP com envio de aviso via e-mail para que o

arquiteto responsável realizasse a instalação no servidor de produção em 01/10/2015.

Ocorre que em verificação no servidor de produção, o último pacote de atualização do

Sistema SICAN possui data de 16/12/2015. A falta de registros confiáveis da autorização

e o motivo da última atualização corrobora a necessidade de um processo de gestão de

mudanças na entidade.

De acordo com a seção 12.1.2 da Norma NBR ISO/IEC 27002:2013, quando mudanças

forem realizadas, é conveniente manter um registro de auditoria contendo todas as

informações relevantes.

Especificamente quanto à gestão de mudanças, a seção 14.2.2, recomenda:

Convém que os procedimentos de controle de mudanças

sejam documentados e reforçados para assegurar a

integridade do sistema, das aplicações e produtos, nos

estágios iniciais dos projetos, através de um subsequente

esquema de manutenção. Convém que a introdução de

novos sistemas e mudanças maiores em sistemas existentes,

siga um processo formal de documentação, especificação,

teste, controle da qualidade e gestão da implementação.




Outras orientações para implementação da gestão de mudanças podem ser extraídas do

COBIT 5 (Processo de BAI06 – Gestão de Mudanças) e, com foco nos aspectos relativos

à Segurança da Informação e Comunicações, da NC nº 13/IN01/DSIC/GSIPR, que

estabelece diretrizes para gestão de mudanças nos órgãos e entidades da Administração

Pública Federal. Por fim, ressaltamos que o TCU também recomenda a implementação

do processo de gestão de mudanças, conforme se observa no Acordão nº 2296/2012

(Plenário).

##/Fato##

Causa

Atuação deficiente do gestor no atendimento às recomendações exaradas pela NC nº

13/IN01/DSIC/GSIPR, seções 12.1.2 e 14.2.2 da Norma NBR ISO/IEC 27002:2013 e

inexistência do controle BAI06 (Gestão de Mudanças) do COBIT 5.

##/Causa##




A Conab entende a importância da implantação da gestão

de mudança na Sutin.

Existe um projeto interno para implantação da gestão de

serviços que contempla os seguintes processos:

Gerenciamento do Catálogo de Serviço, Gerenciamento de

Incidentes, Gerenciamento de Problema, Gerenciamento

de Configuração e Gerenciamento de Mudanças.

Atualmente, o projeto encontra-se na fase gerenciamento

de Configuração.

Esse projeto de TI está planejado coma parte de programas

mais amplos de mudança corporativa, que incluem outros

projetos, contemplando todas as atividades necessárias a

assegurar um resultado positivo.




A conclusão do projeto está prevista no PDTI, para

Dezembro/2018, por meio da Ação AC17 - Determinar e

implantar os principais processos de Gestão de serviços.



O gestor reconhece a relevância do processo de Gestão de Mudanças. A implementação

desse processo está prevista no PDTI em vigor mediante ação com previsão de conclusão

em dezembro de 2018.

Conforme demonstrado, a implementação desse processo permite entregar mudanças

confiáveis ao negócio e mitigar os riscos de impactos negativos na estabilidade ou

integridade do ambiente que foi alterado.

Assim, a inexistência de procedimentos formalmente definidos, aumenta os riscos de que

os dados sejam alterados ou o sistema seja comprometido de forma dolosa ou não.


Recomendações:

Recomendação 1: Implementar processo de Gestão de Mudanças, conforme disposto na

seção 14.2.2 da Norma NBR ISO/IEC 27002:2013.


Falha na documentação do sistema.

Fato

O gestor encaminhou toda documentação disponível relacionada ao Sistema SICAN por

intermédio do Ofício nº 019/2016. Em análise a esse conjunto de artefatos, constatou-se

o seguinte:

a) Inexistência de Manual de Implantação do Sistema

Em reunião realizada em 11/03/2016, o gestor informou que o manual de implantação do

Sistema SICAN não foi elaborado. A seção 12.1.1 (Documentação dos procedimentos da

operação) da Norma ABNT NBR ISO/IEC 27002:2013 orienta que os procedimentos de




operação sejam documentados e disponibilizados para todos os usuários que necessitem

deles. Nessa mesma seção, consta, especificamente, a necessidade de documento para a

instalação e configuração de sistemas.

##/Fato##

Causa

Atuação deficiente do gestor em contemplar a elaboração do manual de implantação do

sistema no processo de desenvolvimento de software.

##/Causa##




Serão iniciados os estudos necessários para a implantação

do Dicionário de Dados do Sican e do Desenvolvimento do

Manual de Implantação do Sistema.

Mediante Ofício PRESI/CONAB nº 431, de 19 de agosto de 2016, o gestor encaminhou

complementarmente o documento de Domínios e Atributos do Sistema SICAN.



Conforme manifestação, o gestor informa que os Manual de Implantação será

desenvolvido após a realização de estudos técnicos.

Pelo exposto, conclui-se que houve falha na elaboração de um artefato essencial para a

documentação do sistema. Ressalta-se que, conforme relatado, a inexistência dificulta a

manutenção do sistema, especialmente em ambientes com alta taxa de rotatividade entre

os empregados.


Recomendações:

Recomendação 1: Elaborar manual de implantação do Sistema SICAN e incluir etapa de

elaboração de manual de implantação no processo de desenvolvimento de software.





Falta de estrutura para suporte aos usuários externos do sistema.

Fato

Em reunião realizada em 11/03/2016, em relação ao processo de suporte aos clientes

externos do Sistema SICAN, o gestor informou:

O atendimento de suporte interno é todo por meio da

intranet. Não há atendimento telefônico. A GESUT não

realiza atendimento ao público externo da CONAB.

Geralmente, o atendimento externo é feito pela área de

negócio responsável pelo sistema, o que não ocorre

atualmente com o SICAN, pela inexistência dessa área de

negócios responsável. Consequentemente, não há histórico

de atendimento e a respectiva base de conhecimento.

Em consequência da falta de estrutura para suporte aos usuários externos, em análise ao

sistema em ambiente de produção e homologação, observou-se que não há instruções que

permita ao usuário comunicar-se com o órgão, por via eletrônica ou telefônica, em caso

de dúvidas técnicas ou procedimentais.

Agrava-se o fato de que parcela dos usuários do Sistema SICAN não possuem domínio

tecnológico adequado. Por isso, o suporte estruturado é especialmente importante.

Ademais, a inexistência de histórico de atendimento e respectiva base de conhecimento

dificulta a obtenção de insumos para a melhoria contínua do sistema.

Assim, ressalta-se que essa situação atenta contra o art. 8º da Lei 12.527/2011

Art. 8º É dever dos órgãos e entidades públicas promover,

independentemente de requerimentos, a divulgação em

local de fácil acesso, no âmbito de suas competências, de

informações de interesse coletivo ou geral por eles

produzidas ou custodiadas.

(...)

§ 2º Para cumprimento do disposto no caput, os órgãos e

entidades públicas deverão utilizar todos os meios e




instrumentos legítimos de que dispuserem, sendo

obrigatória a divulgação em sítios oficiais da rede mundial

de computadores (internet).

§ 3º Os sítios de que trata o § 2º deverão, na forma de

regulamento, atender, entre outros, aos seguintes

requisitos:

(...)

VII – indicar local e instruções que permitam ao

interessado comunicar-se, por via eletrônica ou

telefônica, com o órgão ou entidade detentora do sítio;


##/Fato##

Causa

Indefinição da área gestora do Sistema SICAN, responsável por oferecer serviço de

suporte técnico aos usuários finais do sistema.

##/Causa##




Na mesma linha da proposta de atendimento da

recomendação do item 8, dentro do prazo previsto de 180

(cento e oitenta) dias, a SUOPE espera ver implantadas as

estruturas física e de pessoal necessárias para dar suporte

aos usuários externos do SICAN, tendo em vista a

importância da existência de um canal de comunicação

entre o usuário e a Companhia, no sentido de melhor

orientar e prestar os esclarecimentos de suas dúvidas,

sejam técnicas ou processuais, conforme preocupação

demonstrada na Solicitação de Auditoria sob apreço.






Em síntese, o gestor, em referência ao item 8 do Ofício DIPAI/DIRAB/CONAB nº 082,

informa que somente em 16/03/2016 foi definida a área gestora do Sistema SICAN.

Afirma ainda que a área escolhida, Superintendência de Operações Comerciais (SUOPE),

deve implantar em um prazo de 180 dias as estruturas física e de pessoal necessárias para

dar suporte aos usuários do Sistema SICAN. Assim, o gestor manifesta concordância com

o relatado no fato.


Recomendações:

Recomendação 1: Implementar serviço de suporte técnico aos usuários finais do Sistema

SICAN considerando o grau de instrução e familiaridade dos utilizadores com recursos

computacionais.


Inconsistência na validação de dados de produção dos estabelecimentos rurais e

áreas de exploração.

Fato

Em análise ao Sistema SICAN no ambiente de homologação, observou-se uma

inconsistência na validação de dados de produção dos estabelecimentos rurais/áreas de

exploração. A soma das áreas de produção por produto pode exceder a área de exploração

agropecuária.

Por exemplo, um estabelecimento rural tem área de exploração agropecuária de 1,00 ha.

Nessa área são cultivados milho e feijão, além de possuir criação de frangos para corte.

O sistema permitiu cadastrar área de produção de 1,00 ha para cultivo de feijão, 1,00 ha

para cultivo de milho, 0,50 ha para criação de frango e 1,00 ha para criação de frango

vivo, totalizando 3,5 ha.

Essa situação aponta possível falha na validação dos dados do cadastro. Ressalta-se que

há possibilidade de exceder a área total de produção agropecuária inclusive com produtos

do mesmo CNAE, no caso em exemplo da criação de frangos para corte.




##/Fato##

Causa

Falha na realização de testes para validação dos dados do cadastro do Sistema SICAN.

##/Causa##




Serão analisadas as alterações necessárias para que o

cálculo das áreas de produção por produto não exceda a

área de exploração agropecuária, levando-se em

consideração o calendário civil e o calendário de safras.



Em síntese, o gestor concorda com o fato apresentado sendo que as alterações necessárias

serão avaliadas para implementação da validação em questão. Ressalta-se que pode ter

ocorrido inconsistência no banco de dados decorrente da ausência dessa validação.

Portanto, após a implantação da validação, os dados devem ver verificados para a

restauração da consistência.

No entanto, cumpre destacar que a análise da possível inconsistência demanda

aprofundamento das análises pelo gestor, levando em contas aspectos complicadores

como o uso temporal da terra (calendário civil e calendário de safras), a possibilidade de

culturas consociadas, Integração Lavoura Pecuária Floresta – iLPF, entre outras.


Recomendações:

Recomendação 1: Incluir validação no cadastro de dados de produção de

estabelecimentos rurais e áreas de exploração, em formato de críticas de sistema

relacionadas à soma das áreas de produção por produto não exceda o uso total da área de

exploração agropecuária, levando em consideração o calendário civil, o ano-safra, a

possibilidade de culturas consorciadas/integradas e situações similares.

1.1.1.11 INFORMAÇÃO

Protelação na definição da área gestora do sistema.




Fato

Em análise ao documento de Visão de Projeto do Sistema SICAN, criado em 26/04/2012

e encaminhado por meio do Ofício DIPAI nº 019/2016, observa-se, na seção 3.2.1

(Comitê Gestor da Conab), o registro sobre a necessidade de definir área de negócios

responsável pelo sistema.

Em resposta ao questionamento sobre o motivo pelo qual a SUTIN (Superintendência de

Gestão da Tecnologia da Informação) atua como área gestora (negocial) do Sistema

SICAN, considerando que as superintendências SUINF (Superintendência de

Informações do Agronegócio) e SUOPE (Superintendência de Operações Comerciais)

compuseram o grupo supracitado e aceitaram formalmente o documento de visão de

projeto, o gestor informou por meio do Ofício DIPAI nº 059/2016:

As superintendências SUINF e SUOPE, assim como os

demais membros do Grupo de Trabalho, cumpriram as

atribuições estabelecidas nas Portarias, na definição do

escopo do que viria a ser o sistema. Uma vez desenvolvido

e disponibilizado em produção, coube à direção da Conab

definir a área gestora negocial do SICAN, cujo assunto

compôs, entre outros, a CI Dipai n° 117, de 18/05/2015,

que resultou no Grupo de Trabalho constituído por meio da

Portaria Conab n° 498, de 18/06/2015. Contudo, a área

indicada pelo GT para gestão do SICAN, a Suofi/Gecob,

entendeu, por se tratar de um cadastro técnico, não ser a

área mais adequada para esta função. O assunto, que

compõe o processo administrativo 21200.001072/2015-82,

aguarda deliberação da Presidência da Conab.

Ressalta-se que o primeiro princípio do COBIT 5 é “Atender às Necessidades das Partes

Interessadas”. Segundo esse princípio, as organizações existem para criar valor para suas

partes interessadas, mantendo o equilíbrio entre a realização de benefícios, otimização do

risco e uso dos recursos.

Nesse sentido, o desenvolvimento de um sistema sem área de negócios formalmente

definida pode ocasionar na falta de percepção de realização de benefícios pela TI, riscos

pela inexistência de responsabilização (accountability) da área de negócio pelas decisões

dos requisitos do sistema e a deficiência na otimização da utilização dos recursos.

Mediante Ofício DIPAI nº 062/2016, o gestor informou:




Em aditamento à resposta ao item "c" da "Solicitação de

Auditoria n° 201600102/004", de 16/03/2016,

encaminhada por meio do Ofício Dipai n° 059, de

21/03/2016, informamos que na Redir realizada em

15/03/2016 deliberou-se que fica sob a responsabilidade da

Suope a gestão do sistema SICAN.

Portanto, durante esta auditoria, o gestor definiu a Superintendência de Operações

Comerciais (SUOPE) como área de negócios responsável pela gestão do Sistema SICAN.

##/Fato##

III – CONCLUSÃO

A seguir, são apresentados os resultados alcançados para cada uma das questões avaliadas

pela equipe de auditoria.

1. O sistema avaliado possui razão de existir?

Sim. Conforme documento de visão do projeto, o sistema avaliado foi desenvolvido a

partir da análise de problemas (falta de confiabilidade nas informações dos cadastros de

agentes, informações e operações dos agentes descentralizadas). Porém, cabe ressaltar

somente durante a auditoria houve a definição da área gestora do sistema. Salienta-se que

a participação da área gestora no planejamento e desenvolvimento é essencial para

aumentar o senso de responsabilização e alcançar os objetivos propostos para o sistema.

No entanto, concluiu-se que não houve melhoria no controle de regularidade dos

cadastros dos agentes, tampouco houve simplificação do processo com a utilização dessa

solução na visão do cidadão. Assim, foram recomendadas integração com bases de outros

órgãos e modificações no Sistema SICAN para que as certidões ou documentos

solicitados do cidadão sejam apresentados apenas uma vez durante o período de validade

dos mesmos, independentemente de programa finalístico e quantidade de operações

realizadas.

2. O sistema avaliado é documentado razoavelmente?

Parcialmente. O sistema possui artefatos tais como visão de projeto, regras de negócio e

manual de usuários. Entretanto, não foi formalizado o manual de implantação do sistema,

artefato essencial do sistema.




3. O controle de acesso de usuários ao sistema é realizado apropriadamente?

Parcialmente. O controle de acesso do sistema identifica adequadamente os usuários,

segmenta por perfis e proíbe a utilização de senhas frágeis. No entanto, falhas foram

identificadas na gestão das permissões de acesso: ausência de processo para revisão

periódica dos perfis de acesso e permissão a usuários sem justificativa.

4. O controle de acesso aos ativos que suportam o sistema avaliado é realizado

apropriadamente?

Não. Nos servidores de banco de dados foram constatados empregados com acesso total

sem justificativa. Adicionalmente, inexiste processo de autorização e revisão formal para

a alocação de direitos de acesso privilegiado nesses servidores. Nos servidores de

aplicação foram verificados a inobservância do princípio da necessidade de conhecer e

falhas no processo para revogação de acesso aos usuários desligados da Companhia.

5. O sistema avaliado utiliza apropriadamente ferramentas de criptografia para garantir

o tráfego e armazenamento de informações sensíveis?

Parcialmente. O sistema utiliza protocolos de criptografia para o tráfego de informações

sensíveis. Entretanto, o sistema permitia a utilização de protocolo obsoleto (SSL v3).

Adicionalmente, o certificado utilizado é auto assinado, utilizava o algoritmo de hash

obsoleto SHA-1 e especifica um endereço diferente do qual o sistema se encontra.

Destaque-se que essas falhas foram saneadas pelo gestor, exceção quanto ao certificado

auto assinado.

6. O sistema evita requisitar ao usuário informações passíveis de serem obtidas de outras

bases de dados do governo federal ou públicas?

Parcialmente. O Sistema SICAN está integrado aos sistemas CADIN e SICAF. No

entanto, constatou-se que o sistema onera o cidadão ao solicitar informações já

disponíveis em outras bases do governo federal.

Como exemplo, cita-se informações requisitadas e já disponíveis nas bases de dados da

Receita Federal do Brasil, Controladoria-Geral da União, Ministério do Desenvolvimento

Social e Agrário, Instituto Nacional de Seguridade Social, Caixa Econômica Federal e

Tribunal Superior do Trabalho.




7. Os ativos que suportam o sistema avaliado possuem disponibilidade dentro do

esperado?

Sim. Em análise aos logs dos ativos que suportam o sistema, constatou-se a alta

disponibilidade do sistema sendo que o departamento de TI atua para mantê-la com

redundâncias, virtualizações e outros recursos de infraestrutura. Entretanto, inexiste

evidências de que haja um acordo com a área gestora sobre o nível mínimo de

disponibilidade aceitável pelo negócio.

8. As transações do sistema avaliado são registradas para posterior controle e auditoria?

Sim. O sistema possui logs mantidos pelo sistema, servidores de aplicação e banco de

dados. Entretanto, ressalta-se que inexiste evidências de que o período de retenção desses

logs foi acordado com a área gestora em função das necessidades ou legislação aplicável

ao negócio.

9. Existe monitoramento de possíveis fragilidades ou inconsistências no sistema

avaliado?

Sim. O sistema de monitoração é composto por quatro televisores que reportam em tempo

real a situação de toda a infraestrutura. Em caso de falha o técnico responsável recebe

uma mensagem para resolução. Para monitoramento dos servidores é utilizado o Zabbix

e para monitorar aspectos de segurança é utilizado o AlienVault.

10. O órgão oferece suporte técnico adequado ao usuário do sistema avaliado?

Não. O atendimento ao público externo na CONAB é realizado diretamente por meio da

área gestora do sistema. A área de suporte do departamento de TI oferece apenas

atendimento ao público interno. Devido à indefinição da área gestora até recentemente, o

sistema não possui uma área de suporte ao usuário final. Consequentemente, não há

histórico de atendimento e a respectiva base de conhecimento.

11. O sistema avaliado adota uma linguagem acessível para o público-alvo a que se

destina?




Sim. Conforme análise do sistema, o sistema possui linguagem simples e compreensível,

evitando o uso de siglas, jargões e estrangeirismos. Suplementarmente, o sistema

apresenta os eventuais erros em linguagem não técnica e informa devidamente quais os

procedimentos devem ser seguidos para saná-los.

12. O sistema avaliado adota as principais recomendações de acessibilidade do governo

federal (e-MAG) para permitir o uso por pessoas com deficiência?

Parcialmente. Em análise a um subconjunto com 13 recomendações do guia de

acessibilidade do governo federal (e-MAG), constatou-se o não cumprimento de três

diretrizes: não utilizar tabelas para diagramação, fornecer alternativa em texto para as

imagens da página na internet, fornecer estratégias de segurança específicas ao invés de

CAPTCHA.

13. A gestão de mudanças é realizada apropriadamente no sistema avaliado?

Não. Evidenciou-se que os procedimentos de gestão de mudanças ainda não foram

implementados no sistema auditado.

14. Existe uma estratégia para a continuidade em caso de incidentes com o sistema

avaliado?

Parcialmente. Não há um Plano de Continuidade de Negócios (PCN) formalmente

estruturado. Existem procedimentos de backup instituídos no sistema. Entretanto,

constatou-se a manutenção de cópias de segurança no mesmo ambiente e periodicidade

de backup não acordada com a área de negócio.

Brasília/DF, 14 de outubro de 2016.


Documents

POR QUE O TRABALHO FOI REALIZADO? QUAIS AS … · ABNT NBR ISO/IEC 27002:2013. Essa seção recomenda que as seguintes considerações devem ser observadas na análise crítica dos