Outubro é considerado o mês da Conscientização da Segurança Cibernética. Diante disso, o Tribunal de Contas de Santa Catarina (TCE/SC), por meio do Comitê Gestor de Segurança da Informação, Privacidade e Proteção de Dados (CGSIPD), reforça a importância da adoção de boas práticas por todos os servidores e colaboradores para garantir a integridade e a segurança da informação e a continuidade dos serviços públicos prestados.

“O TCE/SC está passando por uma transformação digital, ou seja, os processos de trabalho estão cada vez mais digitais, sendo que a segurança da informação e a privacidade são pautas extremamente importantes para mantermos a integridade e a continuidade na prestação do serviço público”, destacou o presidente do Tribunal, conselheiro Herneus João De Nadal.

De acordo com o assessor de Governança Estratégica de Tecnologia da Informação (Aget), que é a liderança executiva de TI no órgão de controle, e coordenador do CGSIPD e do Comitê Gestor de Tecnologia da informação (CGTIC), Jairo Wensing, o Tribunal vem adotando estratégias de transformação digital, para tornar o TCE/SC “seguro e confiável”.

Ele assinalou que são ações voltadas para uma abordagem de imunidade digital e para uma eficaz gestão de riscos, a partir da identificação e da mitigação de possíveis ameaças à integridade e à eficiência da Instituição. “Isso inclui medidas de segurança da informação, privacidade e proteção de dados e uma avaliação contínua dos riscos associados aos sistemas e aos processos utilizados pelo Órgão”.

Segundo Jairo Wensing, tais iniciativas buscam assegurar a conformidade com as leis, as regulamentações e as políticas internas relacionadas à TI, evitando riscos legais e garantindo a adesão aos padrões éticos e de governança estabelecidos. “Tais procedimentos contribuem para a reputação e a credibilidade do TCE/SC, além de mitigar possíveis impactos negativos decorrentes de não conformidades”, afirmou.

Para ele, as ações são imprescindíveis, especialmente em função do aumento significativo de ataques cibernéticos a instituições públicas, a exemplo do que ocorreu nos Tribunais de Contas do Paraná (TCE/PR) e do rio Grande do Sul (TCE/RS), nos Tribunais de Justiça do Distrito Federal (TJDF) e do Rio Grande do Sul (TJRS), no Superior Tribunal de Justiça (STJ), no Supremo Tribunal Federal (STF), no Conselho Nacional de Justiça (CNJ), nos Tribunais Federais da 1ª Região (TRF-1), da 3ª Região (TRF-3) e da 5ª Região (TRF-5), e nos Ministérios da Saúde e da Economia.

Agenda prioritária

A proteção de dados e a segurança da informação são temas prioritários na agenda da Aget, conforme informado pelo encarregado de dados do TCE/SC, Wallace da Silva Pereira. Ele também destacou que o órgão de controle externo tem trabalhado intensamente na adequação de seus processos à Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei 13.709/2018

Como parte das ações, citou o desenvolvimento de uma cartilha educativa, que integra um conjunto de 16 projetos vinculados ao Programa de Conformidade à LGPD, com o objetivo de prevenir incidentes relacionados ao vazamento de dados pessoais. O uso de canais de comunicação oficiais para assuntos de trabalho, do e-mail corporativo, da ferramenta Teams para comunicação interna, das senhas e de equipamentos são alguns exemplos das orientações contempladas no documento.

De acordo com a diretora-geral de Administração, Thais Schmitz Serpa, e com o diretor de Tecnologia da Informação, Rafael Queiroz Gonçalves, o Tribunal de Contas está trabalhando para aumentar a segurança da informação, com investimentos em tecnologia da informação e em comunicação, em revisão de processos e em capacitação e conscientização dos servidores e dos colaboradores do TCE/SC.

O CGSIPD informa que elaborou uma Política de Segurança da Informação, Comunicação, Privacidade e Proteção de Dados (POSICPD) — Resolução N-TC-179/2021 —, que está em sintonia com as normas ISO e com a LGPD. Adianta que, em breve, serão publicadas novas normas e novos procedimentos, para aumentar a segurança da informação e a proteção de dados, a exemplo da Portaria N. TC-316/2020, que estabeleceu uma nova política de senhas para acesso aos recursos corporativos de tecnologia da informação da Instituição — o documento determina que as senhas deverão ter, no mínimo, oito caracteres e serem compostas de letras maiúsculas e minúsculas, números e caracteres especiais. 

O CGSIPD solicita ainda aos usuários dos recursos de Tecnologia da Informação do TCE/SC que adotem as boas práticas sobre o uso seguro da Internet, conforme material disponibilizado pelo Núcleo de Informação e Coordenação do Ponto BR (NIC.br) e do Comitê Gestor da Internet no Brasil (CGI.br), com a curadoria de conteúdo feita pelos especialistas do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) nos sites: fe.seg.br, internetsegura.br  e cartilha.cert.br.

Saiba mais: dicas de segurança (Fonte: cartilha.cert.br)

• Evite utilizar computadores corporativos para atividades pessoais.

• Não utilizar contas de e-mail pessoais para enviar informações do TCE/SC, pois o envio de informações do TCE/SC deverá ser feito, exclusivamente, pelo e-mail corporativo nomedacontadeemail@tcesc.tc.br.

• Não conectar computadores do TCE/SC em redes desconhecidas ou não confiáveis.

• Não compartilhar as senhas utilizadas para acesso aos sistemas e à rede do TCE/SC.

• Não utilizar as senhas de acesso envolvendo assuntos pessoais para acessar assuntos profissionais, e vice-versa, ou seja, as senhas utilizadas no TCE/SC não poderão ser as mesmas que são utilizadas para outras finalidades, como as senhas do Office365, do SEI e do e-Siproc para uso como senha do gmail ou de qualquer outro tipo de sistema.

• Em senhas, evite usar dados pessoais, como nomes, sobrenomes, contas de usuário, datas, números de documentos, placas de carros e números de telefones.

• Em senhas, não utilize dados que possam ser obtidos em redes sociais e páginas web.

• Em senhas, evite usar dados sequências de teclado, como “1qaz2wsx” e “QwerTAsdfG”.

• Em senhas, evite usar palavras que fazem parte de listas publicamente conhecidas, como nomes de músicas, times de futebol, personagens de filmes e dicionários de diferentes idiomas.

• Em senhas, use números aleatórios, grande quantidade de caracteres e diferentes tipos de caracteres.

• Para gerar senha, escolha uma frase e selecione a primeira, a segunda ou a última letra de cada palavra (exemplo de frase: O cravo brigou com a rosa debaixo de uma sacada / exemplo de senha: ?OCbcaRddus).

• Para gerar uma senha, escolha uma frase longa, que seja fácil de ser memorizada e que, se possível, tenha diferentes tipos de caracteres (exemplo de frase: Quando criança, eu sonhava em ser astronauta / exemplo de senha: 1 dia ainda verei os anéis de Saturno!!!).

• Em senhas, invente um padrão de substituição, baseado, por exemplo, na semelhança visual ou de fonética entre os caracteres — podem ser duplicadas as letras “s” e “r”, substituídas as letras “o” por números “0” (exemplo de frase: Sol, astro-rei do Sistema Solar / exemplo de senha “SS0l, asstrr0-rrei d0 SSisstema SS0larr).

• Certifique-se de não estar sendo observado ao digitar as senhas.

• Não deixe as senhas anotadas em locais onde outras pessoas possam vê-las, como em um papel colado no monitor do computador.

• Evite digitar senhas em computadores e em dispositivos móveis de terceiros.

• Não forneça as suas senhas para outra pessoa, em hipótese alguma.

• Fique atento a ligações telefônicas e a e-mails, pelos quais alguém, geralmente falando em nome de alguma instituição, solicite informações pessoais sobre você, inclusive senhas.

• Certifique-se de usar conexões seguras sempre que o acesso envolver senhas.

• Evite salvar as suas senhas no navegador web, usando opções como “Lembre-se de mim” e “Continuar conectado”.

• Evite usar a mesma senha para todos os serviços que você acessa.

• Crie grupos de senhas, de acordo com o risco envolvido.

• Crie senhas únicas e fortes, e use-as onde haja recursos valiosos envolvidos.

• Crie senhas únicas, um pouco mais simples, e use-as onde o valor dos recursos protegidos é inferior.

• Altere suas senhas periodicamente, e imediatamente assim que desconfiar que elas tenham sido descobertas ou que o computador no qual você as usou tenha sido invadido ou infectado.

• Altere suas senhas imediatamente se alguém furtar ou você perder um computador onde elas estejam gravadas.

• Se usar um padrão para a formação de senhas e desconfiar que uma delas tenha sido descoberta, altere também o padrão e as demais senhas elaboradas com ele.

• Se usar uma mesma senha em mais de um lugar e desconfiar que ela tenha sido descoberta em algum deles, altere-a em todos os lugares nos quais é usada.

• Ao adquirir equipamentos acessíveis via rede, como roteadores Wi-Fi e modems ADSL, não utilize a senha padrão, pois poderá ser facilmente obtida na Internet.