BOAS PRÁTICAS: Auditoria do TRE-SE identifica boas práticas em gestão de segurança da informação

em

A avaliação envolveu os aspectos de capacitação em segurança da informação referentes aos integrantes técnicos das equipes de planejamento e fiscalização das contratações



Foi desenvolvida em 2022 auditoria, sob a coordenação do TSE, objetivando avaliar, no âmbito do Tribunal Regional Eleitoral de Sergipe (TRE-SE), a aderência a aspectos legais e a revisão de procedimentos técnicos relativos à Segurança da Informação, tendo em vista as crescentes ameaças de ataques cibernéticos.


A avaliação envolveu os aspectos de capacitação em segurança da informação referentes aos integrantes técnicos das equipes de planejamento e fiscalização das contratações: presença de critérios de segurança da informação nos documentos de planejamento da contratação; gestão, controle e revisão periódica de acesso de contas; estabelecimento e manutenção de política de gestão e de inventário de provedores de serviço; monitoramento quanto à segurança da informação na execução contratual; utilização de normativos e políticas de segurança da informação em contratações de tecnologia da informação e comunicação; formas de autenticação em sistemas e níveis de segurança; e processo de acesso físico.


O principal parâmetro, ou critério, da auditoria foi a estrutura conhecida como CIS Controls, versão 8, que trata de práticas recomendadas em segurança da informação, especificamente, dos controles 15 – Gestão de Provedores de Serviços, 5 – Gestão de Contas; e 6 – Gestão do Controle de Acesso.


No relatório conclusivo desse trabalho, a equipe de auditoria registrou boas práticas acerca da segurança da informação, identificadas em termo de referência de contratação: 1 – detalhamento dos requisitos de proteção de dados pessoais; 2 – previsão de supervisão para segurança de acesso; 3 – previsão de penalidade no descumprimento da observância de confidencialidade, segurança da informação ou proteção de dados pessoais; 4 – previsão, como não conformidade, da violação a políticas de qualidade e segurança.


Tais previsões contribuem para o atendimento das seguintes medidas de segurança previstas no CIS 8: 15.4 – garantir que os contratos envolvendo provedor de serviço incluam requisitos de segurança; 15.5 – avaliar provedores de serviços; e 15.6 – monitorar provedores de serviços.


Portal TRE - SE

Comentários

Postar um comentário