GRUPO I - CLASSE V - Plenário

TC 014.147/2002-0 (c/ 2 volumes)

Natureza: Relatório de Auditoria
Órgão: Departamento de Informática do Sistema Único de Saúde
do Ministério da Saúde - Datasus
Responsáveis: Arnaldo Machado de Sousa (CPF: 037.418.778-91),
Diretor do Departamento de Informática do SUS, Oldair José Pinheiro
(CPF: 319.118.117-20), Coordenador de Administração, Antônio Lopes
da Silva (CPF: 491.619.037-87), Coordenador de Administração, Carla
Gomes de Seixas (CPF: 003.192.407-70), Encarregada do Setor
Financeiro, Valdemar da Silva Fagundes (CPF: 222.083.561-87),
Coordenador de Contabilidade, Carlos Alberto Costa (CPF:
097.157.467-72), Chefe do Serviço de Administração

Sumário: Auditoria de Sistemas. Datasus. Avaliação da

confiabilidade e segurança dos sistemas de processamento de dados do
Datasus. Necessidade de aprimoramento das políticas, processos,
procedimentos, sistemas e outros aspectos organizacionais.
Determinações. Remessa de cópia do relatório de auditoria aos
responsáveis e interessados. Arquivamento.

RELATÓRIO

Trata-se de auditoria realizada no Centro Tecnológico de

Informática do Departamento de Informática do Sistema Único de
Saúde do Ministério da Saúde - Datasus, com o objetivo de avaliar a
confiabilidade e a segurança de seus sistemas de processamento de
dados, com base nas definições constantes na norma NBR ISO/IEC
17799 - Código de prática para a gestão da segurança da informação da
Associação Brasileira de Normas Técnica - ABNT e nos Procedimentos
de Auditoria deste Tribunal aplicáveis às fiscalizações na área de
sistemas computacionais (PA-02).
2. Extraio do bem elaborado trabalho produzido pela equipe de
auditoria (fl. 1/33), os seguintes trechos, que sintetizam os achados de
auditoria, e os adoto como parte de meu relatório:
“ESTRUTURA ORGANIZACIONAL
(...) A 15ª Vara do Trabalho de Brasília homologou em 07/06/2002,
nos autos da Ação Civil Pública nº 1044/2001, o Termo de Conciliação
celebrado entre o Ministério Público do Trabalho e a União Federal, às
fls. 43 a 48. O Termo obriga a União a se ajustar ao ordenamento
jurídico, regularizando a situação trabalhista e previdenciária dos
consultores técnicos contratados pela União por meio de Organismos
Internacionais sem garantia de qualquer direito trabalhista.
Considerando a necessidade de estabelecimento de um cronograma que
preserve a integridade dos projetos de cooperação técnica
internacional, o ajuste segue o seguinte:
 - até 31.12.2002: Deveriam ser terceirizadas, mediante licitação
com empresas idôneas (vedada expressamente a participação de
‘cooperativas de mão-de-obra’), as atividades auxiliares, tais como de
conservação, limpeza, segurança, vigilância, transportes, informática
etc. e as funções de nível elementar que não estejam vinculadas com as
finalidades das ações de cooperação internacional.
- até 31.07.2003: Todos os trabalhadores que exerçam funções
temporárias em projetos de cooperação técnica internacional, de
natureza não permanente, seriam contratados por meio da Lei nº
8.745/93.
- até 31.07.2004: Todos os trabalhadores vinculados aos
Organismos Internacionais devem ser substituídos por servidores
públicos efetivos, sejam eles ocupantes de cargos ou empregos
públicos, providos na forma do art. 37, II, da Constituição.
A União fica obrigada a pagar multa de R$ 1.000,00 por servidor
contratado em desacordo com as condições estabelecidas no Termo, a
ser revertida ao Fundo de Amparo ao Trabalhador - FAT.
Visto que o Datasus apresentou 13 (treze) funcionários vinculados
ao PNUD em seu quadro de pessoal no exercício de 2002,
representando 1,5 % da força de trabalho à época (quadro 2),
considera-se pertinente recomendar que o órgão, em conjunto com o
Ministério da Saúde, proceda a estudos para o provimento dos cargos
atualmente ocupados por trabalhadores vinculados ao PNUD por
servidores públicos efetivos, sejam eles ocupantes de cargos ou
empregos públicos, na forma do art. 37, II, da Constituição Federal.
Essa providência consubstanciaria uma forma de garantir o
cumprimento do Termo de Compromisso firmado entre a União e o
Ministério Público do Trabalho, evitando descontinuidades que
inviabilizassem a execução dos projetos atualmente desenvolvidos por
meio do acordo de cooperação técnica com o PNUD.
(...)
5.7. INCONFORMIDADES DE SEGURANÇA ENCONTRADAS
5.7.1. Introdução
O escopo da segurança de informações tem evoluído de modo a
tornar-se mais abrangente. Nessa nova concepção, a abordagem de
segurança evoluiu para uma abordagem de continuidade de negócios,
tornando-se claro que a segurança não é um fim em si, mas um dos
fatores garantidores da continuidade das atividades da organização.
Esse conceito está bem expresso no item 11.1 da norma NBR ISO/IEC
17799, que diz:
‘Convém que o processo de gestão de continuidade seja
implementado para reduzir, para um nível aceitável, a interrupção
causada por desastres ou falhas da segurança (que pode ser resultante
de, por exemplo, desastres naturais, acidentes, falhas de equipamentos
e ações intencionais) através da combinação de ações de prevenção e
recuperação.’
 Também cabe lembrar que a segurança de informações abrange
não somente as informações constantes de sistemas informatizados,
mas todas as informações relevantes da organização, como as
constantes de documentos em papel.
Ao analisar o nível de segurança existente em uma organização,
deve-se levar em conta tanto a política de segurança, que serve para
balizar os procedimentos de segurança de toda a entidade, quanto as
características de segurança efetivamente implementadas no ambiente
computacional e nos sistemas informatizados. Mais especificamente, a
análise de segurança envolve a avaliação de três diferentes fatores:
● confidencialidade: garantia que a informação é acessível
somente por pessoas autorizadas a terem acesso;
● integridade: salvaguarda da exatidão e completeza da
informação e dos métodos de processamento;
● disponibilidade: garantia de que os usuários autorizados
obtenham acesso à informação e aos ativos correspondentes sempre
que necessário.
Esta seção detalha as inconformidades encontradas, tomando como
referências as práticas previstas nos Procedimentos de Auditoria de
Sistemas Computacionais - PA-02, do TCU, e a citada norma NBR
ISO/IEC 17799, que trata da gestão da segurança de informação. As
inconformidades são apresentadas no seguinte formato: um cabeçalho
em negrito, seguido de comentários sobre a situação encontrada. No
cabeçalho são primeiramente listadas as inconformidades previstas nos
Procedimentos de Auditoria de Sistemas do TCU, precedidas do título
‘PA-02:’, e em seguida listados os itens correspondentes da norma NBR
ISO/IEC 17799, precedidos do título ‘NBR 17799:’. Algumas
inconformidades não estão previstas na PA-02, constando apenas da
norma NBR ISO/IEC 17799.
5.7.2. PA-02
200 Segurança Física e Lógica
210 Responsabilidade por segurança física e lógica
211 no organograma não existe gerência designada para tratar de
segurança física e lógica em informática
NBR 17799
4 Segurança organizacional
4.1 Infra-estrutura de segurança de informação
8 Gerenciamento das operações e comunicações
8.1 Procedimentos e responsabilidades operacionais
8.1.4 Segregação de funções
As atividades referentes à segurança de sistemas estão a cargo da
Equipe de Administração de Rede - EARE, vinculada à Coordenação de
Suporte Operacional - Cosop. Assim, o pessoal que presta suporte à
rede de computadores do Datasus acumula também as funções
relacionadas à segurança.
 A atual concepção de segurança de informações considera que ela
excede a área de suporte a sistemas, apontando para uma estrutura
organizacional na qual a gestão de segurança está diretamente ligada à
gestão central da entidade e aos responsáveis por cada sistema. Nesse
sentido, é pertinente transcrever um trecho da norma NBR 17799:
‘4.1.1. Gestão do fórum de segurança da informação
A segurança da informação é uma responsabilidade de negócios
compartilhada por todos os membros da equipe da direção. (...)
4.1.2. Coordenação da segurança da informação (...)
Os proprietários dos ativos de informação podem delegar suas
responsabilidades de segurança a outros gestores ou prestadores de
serviço. Todavia o proprietário continua como responsável final pela
segurança do ativo e convém que seja capaz de determinar se estão
sendo corretamente delegadas as responsabilidades.’
Em resposta às indagações da equipe de auditoria, quando
questionado sobre o cumprimento do item 8.2.6.2 da Decisão - Plenário
- TCU nº 918/2000, o Gestor respondeu que, foi instituída uma gerência
específica para segurança lógica, embora sem cargos compatíveis com
a importância do trabalho, em razão das dificuldades existentes na
obtenção de cargos comissionados (fl. 04 do Vol. II).
Ao analisar a estrutura da Cosop, a equipe verificou que ela conta
com um cargo em comissão, nível 101.3, e com duas funções
gratificadas, níveis FG-1 e FG-3. O cargo em comissão pertence ao
Coordenador da Cosop, restando as funções gratificadas para serem
distribuídas entre a Equipe de Administração de Rede, a Equipe de
Suporte a Hardware e a Gerência de Produção. Logo, não há, pelo
menos formalmente, um cargo específico para a segurança. Tampouco
a área de segurança está prevista no organograma fornecido da Cosop.
Diante do que foi constatado a equipe considera que deve ser
recomendado ao Datasus que continue envidando esforços, inclusive
com gestões junto ao Ministério da Saúde, para a criação de uma
gerência específica de segurança, preferencialmente vinculada à
direção geral.
5.7.3. PA-02
200 Segurança Física e Lógica
210 Responsabilidade por segurança física e lógica
212 não existem políticas de segurança definidas pela organização
NBR 17799
3 Política de Segurança
3.1 Política de segurança da informação
Apesar de constar como recomendação no item 8.2.6.3 da Decisão -
Plenário - TCU nº 918/2000, o Datasus ainda não possui política formal
de segurança de informações. O que existe atualmente são alguns
procedimentos esparsos de segurança, que podem ser considerados
como boas práticas na área.
 No âmbito de projeto PNUD BRA/97-024, o Datasus preparou uma
minuta de edital de concorrência pública para a contratação de serviços
especializados de elaboração de política de segurança de informação.
Segundo informações fornecidas pelo Gestor, a entidade está buscando
os recursos necessários à concretização da concorrência (fls. 146 a 189
do Vol. II).
Embora o Datasus já tenha adotado providências para que uma
política de segurança seja elaborada, como a mesma ainda não foi
formalizada e implementada, acredita-se pertinente a repetição da
recomendação de definir e implementar uma política formal de
segurança, preferencialmente baseada nos ditames da norma NBR
ISO/IEC 17799.
5.7.4. PA-02
200 Segurança Física e Lógica
220 Acesso ao Computador Central
221 não existem procedimentos escritos que definam claramente
as restrições de acesso ao computador central da organização
224 a lista de pessoas autorizadas a ingressar no centro de
processamento de dados não é periodicamente revisada a fim de
constatar se nela existem pessoas que não mais necessitam deste
acesso
NBR 17799
7 Segurança física e do ambiente
7.1 Áreas de segurança
7.1.2 Controles de entrada física
Conforme já foi relatado na seção que trata do ambiente
computacional, não existe apenas um computador central, mas vários
servidores que se concentram em salas-cofre.
A inconformidade relacionada no item 221 do PA-02 está
relacionada com a inexistência de política de segurança. Também foi
constatado que, apesar de haver controle de acesso para a entrada, não
existem procedimentos formais que garantam a atualização da
permissão de ingresso dos profissionais nas salas-cofre. Portanto, torna-
se necessário fazer uma recomendação para sanar essa
inconformidade.
5.7.5. PA-02
200 Segurança Física e Lógica
240 Administração de Password
242 não há procedimentos que exijam a mudança periódica de
password ou não aceitem que determinadas passwords sejam
reutilizadas pelo mesmo usuário
246 a gerência de segurança não revisa ou valida periodicamente
as capacidades de acesso providas aos usuários
247 não há procedimento para cancelar imediatamente o acesso de
usuário cujo contrato de trabalho com a organização foi suspenso ou
terminado
 249 não há, ou não são seguidos, procedimentos formais para inibir
ou desabilitar qualquer tipo de acesso (físico ou lógico) aos recursos
computacionais de pessoas que rescindiram o contrato de trabalho com
a organização
NBR 17799
9 Controle de acesso
9.2 Gerenciamento de acessos do usuário
9.2.3 Gerenciamento de senha dos usuários
O controle de acesso lógico por meio de senhas deve considerar os
diversos ambientes e sistemas existentes no Datasus. Normalmente
existe uma senha para acesso à rede interna, senhas para acesso aos
servidores de base de dados e senhas para acesso ao ambiente de cada
sistema.
A determinação da necessidade da utilização de senhas, com
definição de perfis de usuários do sistema, deve ser realizada levando-
se em conta o nível de confidencialidade das informações com as quais
o sistema opera. Sistemas que manipulam dados sigilosos, como o
prontuário de pacientes, devem necessariamente possuir um maior
grau de segurança, sendo protegidos por senhas, modificadas
periodicamente, que impeçam o acesso ou modificação não autorizada.
Outros sistemas, que trabalham apenas com informações agregadas e
estatísticas, devem ser protegidos apenas para evitar a modificação não
autorizada de informações. Também é importante ressaltar que as
definições de perfis de acesso devem balizar-se em uma política de
segurança global da organização.
A equipe observou que nos sistemas mais recentes, que estão em
fase de desenvolvimento, como é o caso do SCNS e do Sisreg, já há no
projeto previsão específica para a definição de perfis de acesso aos
usuários e a utilização de senhas. Existe, pois, a compreensão da
entidade sobre a necessidade de requisitos de segurança de sistemas,
faltando apenas formalizá-la em um documento próprio. Acredita-se que
os problemas observados em relação aos procedimentos formais de
gerenciamento de senhas serão resolvidos com a adoção e a
disseminação de uma política de segurança adequada, o que já foi
proposto em item anterior dessa seção.
5.7.6. PA-02
200 Segurança Física e Lógica
250 Relatórios de violação de segurança
251 não existem (ou não são devidamente analisados) logs e
relatórios de violações aos procedimentos de segurança
NBR 17799
9 Controle de acesso
9.7 Monitoração do uso e acesso ao sistema
9.7.1 Registro (log) de eventos
9.7.2 Monitoração do uso do sistema
9.7.2.3 Registro e análise crítica dos eventos
 O Tribunal já recomendou que se efetuasse a análise regular de
arquivos de log, no item 8.2.6.9 da Decisão nº 918/2000, e a entidade
afirmou, em resposta a esta equipe de auditoria, que a análise dos
arquivos de log vem sendo regularmente efetuada (fl. 04 do Vol. II).
No entanto, a norma NBR 17799 traz uma orientação mais
detalhada, recomendando a utilização de softwares ferramentais
específicos para a análise dos arquivos de log. O texto da norma, no
item 9.7.2.3, assim propõe:
‘Registros (logs) de sistema normalmente contêm um grande
volume de informações, e muitas das quais não dizem respeito à
monitoração de segurança. Para ajudar a identificar eventos
significativos para propósito de monitoração de segurança, convém a
cópia automática dos tipos de mensagens apropriadas para um segundo
registro (log) e/ou o uso de utilitários de sistema apropriados ou
ferramentas de auditoria para a execução de consulta sejam
considerados.’ (grifos nossos).
Cabe então uma recomendação ao Datasus para que continue
adotando procedimentos de análise regular de logs, utilizando-se,
quando possível, de softwares utilitários específicos para tal análise.
5.7.7. PA-02
200 Segurança Física e Lógica
290 Treinamento em procedimentos de segurança e manuseio da
informação
291 os funcionários do centro de processamento de dados não
receberam treinamento adequado quanto aos procedimentos que
devem seguir ao lidar com situações emergenciais de incêndio,
enchentes, etc
294 não estão definidos procedimentos quanto à destruição,
arquivamento, transporte interno e externo, distribuição e reprodução
da informação, esteja ela contida em papel, meio magnético ou
qualquer outro meio
NBR 17799
6 Segurança em pessoas
6.2 Treinamento de usuários
6.2.1 Educação e treinamento em segurança de informação
Mais uma vez, as inconformidades têm origem na inexistência de
uma política de segurança formal, que deve abranger tanto a segurança
física quanto a lógica. Resta então se recomendar ao Datasus que a
política de segurança a ser implementada contemple a educação e o
treinamento em segurança de informação.
5.7.8. PA-02
910 Plano de contingências
911 não existe na organização um plano de contingências
NBR 17799
11 Gestão da continuidade de negócio
11.1 Aspectos da gestão da continuidade do negócio
 A elaboração de um plano de contingências já havia sido objeto de
recomendação da Decisão - Plenário - TCU nº 918/2000, em seu item
8.2.6.1. Como resposta ao questionamento da equipe de auditoria a
respeito do assunto, o Gestor manifestou-se respondendo que a
elaboração do plano é uma das tarefas previstas no Projeto PNUD
BRA/97-024 (fl. 03 do Vol. II). De fato, o Datasus preparou uma minuta
de edital de concorrência pública para a contratação de serviços
especializados de elaboração de política de segurança de informação,
que prevê, no item 5.2, alínea ‘g’, a elaboração de um plano de
contingências.
O plano de contingências destina-se a não permitir a interrupção
das atividades do negócio e proteger os processos críticos contra
efeitos de falhas ou desastres significativos, constituindo-se em um
importante fator de diminuição do risco de acidentes ou falhas
resultarem em paralisação das atividades. Pela importância que o plano
de contingências possui para uma organização, a equipe de auditoria
considera, mesmo sabendo que as providências para a confecção do
plano já estão sendo tomadas, que é adequado repetir e detalhar a
recomendação já realizada ao Datasus.
Assim, recomenda-se ao Datasus a confecção e posterior
divulgação de um plano formal de contingências, que contemple os
seguintes aspectos, conforme preceitua a norma NBR 17799, em seu
item 11.1.4:
a) as condições para ativação do plano que compreendam a
avaliação dos requisitos para que se ponham em execução as ações
previstas;
b) os procedimentos de emergência que descrevam as ações a
serem tomadas após a ocorrência de um incidente que coloque em risco
as operações do negócio;
c) os procedimentos de recuperação que descrevam as ações
necessárias para a transferência das atividades essenciais do negócio
ou os serviços de infra-estrutura para localidades alternativas
temporárias e para reativação dos processos de negócio no prazo
necessário;
d) os procedimentos de recuperação que descrevam as ações a
serem adotadas quando do restabelecimento das operações;
e) uma programação de manutenção que especifique quando e
como o plano deverá ser testado e a forma de se proceder à
manutenção do plano;
f) o desenvolvimento de atividades educativas e de conscientização
com o propósito de criar o entendimento do processo de continuidade
do negócio e assegurar que os processos continuem a ser efetivos; e
g) a designação das responsabilidades individuais, indicando quem
é responsável pela execução de cada item do plano.
5.7.9. NBR 177995Classificação e controle dos ativos de
informação
 5.2 Classificação da informação
5.2.1 Recomendações para classificação
5.2.2 Rótulos e tratamento da informação
12 Conformidade
12.1 Conformidade com requisitos legais
12.1.4 Proteção de dados e privacidade da informação pessoal
Um requisito fundamental para a implantação da política de
segurança em uma organização é a catalogação dos ativos de
informação, que devem ter seu nível de controle de acesso devidamente
classificado e identificado. No caso do Datasus os dados mais críticos,
cujo acesso deve ser mais rigorosamente controlado, são as
informações pessoais dos pacientes atendidos pelo SUS, eis que a
necessidade de proteção desses dados deriva do preceito insculpido no
inciso X do art. 5º da Constituição Federal, no qual é estabelecida a
inviolabilidade da intimidade e da vida privada.
Considerando que o Datasus já vem desenvolvendo um projeto
para centralizar suas tabelas de dados, o projeto ‘Repositório’, a equipe
de auditoria entende ser conveniente recomendar à entidade que, no
âmbito do projeto ‘Repositório’, promova a necessária classificação do
nível de segurança e controle de acesso aos dados.
5.7.10. NBR 17799
8 Gerenciamento das operações e comunicações
8.1 Procedimentos e responsabilidades operacionais
8.1.6 Gestão de recursos terceirizados
As dificuldades encontradas pelo Datasus em realizar concursos
públicos para recompor seu quadro de servidores têm levado a entidade
a terceirizar serviços relacionados à sua atividade-fim e a contratar
mão-de-obra terceirizada. Conforme exposto no Quadro 2 do item 5.3
apresentado anteriormente, 25,3% de todo o pessoal que trabalha nas
instalações do Datasus é terceirizado, contratado por meio do PNUD e
de empresas prestadoras de serviços de informática. Os profissionais
contratados por meio do PNUD, apesar de representarem uma pequena
parcela do quadro de pessoal, desenvolvem atividades chave, estando
envolvidos com a gerência de diversos projetos. Além disso, existe um
acordo firmado entre Governo Federal e o Ministério Público de
Trabalho, que prevê até 31.07.2004 a substituição dos profissionais
contratados por intermédio de Organismos Internacionais por
funcionários públicos concursados.
Observa-se, pois, que a terceirização, do modo como atualmente
está sendo realizada, pode comprometer seriamente a continuidade dos
negócios da organização. Pode também ocorrer um aumento do grau de
exposição da segurança, se não houver uma monitoração e controle
adequados das atividades a cargo de terceiros.
A regularização do quadro de pessoal é medida que não depende
somente do Datasus, sendo responsabilidade de instâncias superiores
do Governo Federal. Entretanto, a entidade deve envidar esforços para
alterar o modelo de terceirização adotado e para estabelecer
procedimentos formais de controle das atividades terceirizadas.
É desaconselhável que as atividades de gerência e supervisão de
projetos fiquem, em caráter não eventual, a cargo de profissionais que
não fazem parte da organização. Idealmente, o núcleo gerencial do
negócio deve ficar exclusivamente a cargo de membros efetivos da
organização, deixando-se aos profissionais terceirizados a parte
executiva dos projetos.
Ante o exposto, a equipe de auditoria considera que, em relação à
gestão da terceirização, são cabíveis duas recomendações: a primeira,
para que se busque preservar o núcleo gerencial do negócio,
priorizando-se a alocação de funcionários efetivos à supervisão e
gerência de projetos, e a segunda, no sentido de que a entidade
estabeleça mecanismos formais de monitoração, supervisão e controle
das atividades terceirizadas.”
3. Os trabalhos incluíram, ainda, a avaliação do cumprimento, por
parte do Datasus, das recomendações feitas em outra auditoria de
sistemas realizada naquele órgão em 2000 (TC 005.230/2000-3 -
Decisão nº 918/2000 - Plenário). Conforme relatado pela equipe, as
recomendações expedidas ao órgão, em geral, “foram atendidas ou
estão em processo de atendimento”.
4. Em face do exposto, a equipe de auditoria, consignou a seguinte
proposta de encaminhamento, que contou com a anuência do diretor
técnico e do titular da unidade:
“Ante o exposto, submetemos os autos à consideração superior
propondo, preliminarmente, com fulcro no art. 43, inciso I, da Lei nº
8.443/92 c/c o art. 250, inciso II, do Regimento Interno do TCU, seja
determinado:
I. ao Centro Tecnológico de Informática do Ministério da Saúde -
Datasus, que promova:
a) a formalização e implementação de uma política de segurança
de informações formal e, preferencialmente, baseada nos ditames da
norma NBR ISO/IEC 17799 (itens 5.6, 5.7.3, 5.7.5 e 5.7.7);
b) em conjunto com o Ministério da Saúde, estudos para o
provimento dos cargos atualmente ocupados por trabalhadores
vinculados ao PNUD por servidores públicos efetivos, sejam eles
ocupantes de cargos ou empregos públicos, na forma do art. 37, II, da
Constituição Federal (item 5.7.2);
c) a elaboração de lista de pessoas autorizadas a ter acesso aos
servidores centrais, bem como, a sua revisão periódica (item 5.7.4);
d) a análise regular de arquivos logs com utilização, sempre que
possível, de softwares utilitários específicos, para monitoramento do
uso dos sistemas (item 5.7.6);
e) a elaboração e implementação de um Plano de Contingências de
acordo com o item 11.1.4 da NBR ISO/IEC 17799 (item 5.7.8);
 f) a classificação do nível de segurança e controle de acesso aos
dados, no âmbito do Projeto “Repositório” (item 5.7.9);
g) o estabelecimento de mecanismos formais de monitoração,
supervisão e controle das atividades terceirizadas; e a preservação do
conhecimento do núcleo gerencial do negócio, dando prioridade à
alocação de funcionários efetivos na supervisão e gerência de projetos
(item 5.7.10);
h) estudos com vistas à criação de uma gerência específica de
segurança, preferencialmente vinculada à direção geral (item 4.1);
II. à Adfis e à 4ª Secex que incluam em Plano de Fiscalização,
quando oportuno, o monitoramento da conclusão do atendimento às
recomendações 8.2.6.1, 8.2.6.3, 8.2.6.6, 8.2.6.7, 8.2.6.8, 8.2.11.1 e
8.2.11.2 da Decisão 918/2000 (item 4.1) e do atendimento às
recomendações do item I acima;
III. o arquivamento do presente processo.”

É o relatório.

VOTO

A presente auditoria vem complementar os trabalhos já

desenvolvidos no âmbito do TC 005.230/2000-3 (Decisão nº 918/2000 -
Plenário). Ambas auditorias se dedicaram à verificação dos aspectos de
segurança, qualidade e controles dos sistemas de processamento de
dados do Datasus, sendo que o presente trabalho teve foco nos aspectos
de consistência, confiabilidade e segurança dos sistemas, adotando
como padrão de referência as definições constantes da norma NBR
ISO/IEC 17799 da Associação Brasileira de Normas Técnicas - ABNT e
dos Procedimentos de Auditoria (PA-02) aplicáveis às fiscalizações na
área de sistemas computacionais.
2. Conforme dados do relatório de auditoria, são seis os principais
sistemas de responsabilidade do Datasus:
a) o Sistema de Informação Ambulatorial - SIA possibilita aos
gestores estaduais e municipais o cadastramento, controle
orçamentário, controle e cálculo dos serviços prestados. No exercício
de 2001 foram processados 74.386 registros no SIA, representando um
valor total de R$ 1.947.351.488,99, além de mais 287.961 registros, no
valor de R$ 803.485.705,65, processados por força de mandados
judiciais;
b) o Sistema de Informação Hospitalar - SIH é responsável pelo
pagamento dos serviços hospitalares prestados pelos hospitais do SUS.
No exercício de 2001, houve 226.444 registros processados, num valor
total de R$ 2.068.013.967,30. Neste caso, os mandados judiciais
responderam por outros 54.706 registros processados, no valor de R$
343.115.313,68.
 c) o Sistema do Cartão Nacional de Saúde possibilita a manutenção
de base de dados com informações dos procedimentos realizados no
âmbito do Sistema Único de Saúde (SUS), de seus beneficiários, dos
profissionais envolvidos e também da unidade de saúde onde ocorreu o
atendimento;
d) o Sistema de Ressarcimento, que inclui diversos sub-sistemas,
destina-se a criar e manter o Cadastro Nacional de Beneficiários de
Operadoras de Planos Privados de Assistência, provendo a Agência
Nacional de Saúde Suplementar - ANS das informações gerenciais
necessárias para a regulação do setor, além de permitir o
ressarcimento, aos cofres públicos, das despesas de beneficiários de
planos de saúde privados que utilizem-se de unidades médicas e
hospitalares da rede pública;
e) o Sistema de Informações sobre Orçamento Público em Saúde -
Siops possibilita o acesso descentralizado a informações orçamentárias
e financeiras na área de saúde, sendo um instrumento de controle e
planejamento na aplicação de recursos;
f) o Sistema de Central de Regulação - Sisreg é um sistema de
informações on-line para o gerenciamento e operação das Centrais de
Regulação, que podem ser de dois tipos: centrais de marcação de
consultas e exames especializados (CMC) e centrais de internação
(CIH).
3. Como pode ser visto, os sistemas geridos pelo Datasus assumem
grande relevância, tanto por seu interesse social, quanto pelo
expressivo volume de recursos geridos. Infelizmente, conforme
demonstrado no presente trabalho, a confiabilidade desses sistemas
revelou-se ainda insuficiente, incompatível com a sua importância,
apesar de muitas deficiências de segurança apontadas na auditoria
anterior terem sido corrigidas.
4. É necessário, portanto, que o Datasus continue aprimorando a
segurança das informações sob a sua custódia, pois, apesar de ter sido
constatada a existência de iniciativas isoladas tanto no aspecto da
segurança física quando de acesso lógico, não existem, atualmente,
procedimentos formais que implementem uma política de segurança
adequada no órgão.
5. Nesse sentido, revela-se como altamente recomendável a criação
de uma gerência específica de segurança, preferencialmente vinculada
à direção geral do Datasus.
6. Quanto às outras questões apontadas no relatório de auditoria,
considero adequada a extensão do exame conduzido, pelo que
abstenho-me de fazer maiores considerações sobre o tema e incorporo
a análise realizada às minhas razões de decidir.
7. O encaminhamento proposto também me parece apropriado.
Observo que alguns itens, por sua natureza, poderiam ser expedidos
sob a forma de recomendação. A utilização, entretanto, de
determinações revela-se mais conveniente ao caso, já que se procura
corrigir ou evitar situações potencialmente gravosas ao órgão.
8. Acolho, dessa forma, a proposta de encaminhamento consignada
pela unidade técnica e estabeleço um prazo para seu atendimento,
necessário em face da desejada tempestividade na adoção das medidas
pertinentes pelo órgão.
7. Nesse sentido, as medidas ora determinadas, juntamente com as
expedidas na Decisão nº 918/2000 - Plenário e ainda não inteiramente
atendidas, deverão ser objeto de monitoramento, a ser desenvolvido em
processo autônomo.

Assim sendo, acolho os pareceres uniformes da Unidade Técnica,

congratulando-a pelo trabalho realizado e Voto por que o Tribunal
adote o Acórdão que ora submeto a este Colegiado.

TCU, Sala das Sessões, em 28 de abril de 2004.

MARCOS VINICIOS VILAÇA

Ministro-Relator

ACÓRDÃO 461/2004 - Plenário - TCU

1. Processo nº TC 014.147/2002-0 (c/ 2 volumes)

2. Grupo I, Classe de Assunto V - Relatório de Auditoria
3. Entidade: Departamento de Informática do Sistema Único de
Saúde do Ministério da Saúde - Datasus
4. Responsáveis: Arnaldo Machado de Sousa (CPF: 037.418.778-
91), Oldair José Pinheiro (CPF: 319.118.117-20), Antônio Lopes da Silva
(CPF: 491.619.037-87), Carla Gomes de Seixas (CPF: 003.192.407-70),
Valdemar da Silva Fagundes (CPF: 222.083.561-87), Carlos Alberto
Costa (CPF: 097.157.467-72)
5. Relator: Ministro Marcos Vinicios Vilaça
6. Representante do Ministério Público: não atuou
7. Unidade Técnica: Adfis
8. Advogados constituídos nos autos: não há

9. ACÓRDÃO:
VISTOS, relatados e discutidos estes autos de auditoria nos
sistemas do Departamento de Informática do Sistema Único de Saúde
do Ministério da Saúde - Datasus.
ACORDAM os Ministros do Tribunal de Contas da União, reunidos
em sessão plenária, e diante das razões expostas pelo Relator em:
9.1. determinar, com fundamento no art. 43, inciso I, da Lei
8.443/92 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao
Centro Tecnológico de Informática do Ministério da Saúde - Datasus,
que promova, no prazo máximo de um ano:
 9.1.1. a concepção e implementação de uma política de segurança
de informações formal e, preferencialmente, baseada nos ditames da
norma NBR ISO/IEC 17799;
9.1.2. em conjunto com o Ministério da Saúde, estudos para o
provimento, por servidores públicos efetivos, ocupantes de cargos ou
empregos públicos, dos cargos atualmente ocupados por trabalhadores
vinculados ao PNUD, consoante previsto no art. 37, II, da Constituição
Federal;
9.1.3. a elaboração de lista de pessoas autorizadas a ter acesso aos
servidores centrais, bem como, a sua revisão periódica;
9.1.4. a análise regular de arquivos logs com utilização, sempre
que possível, de softwares utilitários específicos, para monitoramento
do uso dos sistemas;
9.1.5. a elaboração e implementação de um Plano de Contingências
de acordo com o item 11.1.4 da NBR ISO/IEC 17799;
9.1.6. a classificação do nível de segurança e controle de acesso
aos dados, no âmbito do Projeto “Repositório”;
9.1.7. o estabelecimento de mecanismos formais de monitoração,
supervisão e controle das atividades terceirizadas; e a preservação do
conhecimento do núcleo gerencial do negócio, dando prioridade à
alocação de funcionários efetivos na supervisão e gerência de projetos;
9.1.8. estudos com vistas à criação de uma gerência específica de
segurança, preferencialmente vinculada à direção geral;
9.2. determinar à Secretaria Adjunta de Fiscalização - Adfis e à 4ª
Secex que incluam, oportunamente, no Plano de Fiscalização o
monitoramento tanto das determinações acima quanto das
recomendações exaradas no âmbito da Decisão nº 918/2000 - Plenário;
9.3. encaminhar cópia do Relatório de Auditoria de fl. 01/33, bem
como deste Acórdão, acompanhado do Relatório e Voto que o
fundamentam, ao Ministro da Saúde, à Secretaria Executiva do
Ministério da Saúde, à Secretaria de Assistência à Saúde/MS e ao
Departamento de Informática do SUS;
9.4. arquivar o presente processo.

10. Ata nº 13/2004 - Plenário

11. Data da Sessão: 28/4/2004 - Ordinária
12. Especificação do quórum:
12.1. Ministros presentes: Valmir Campelo (Presidente), Marcos
Vinicios Vilaça (Relator), Humberto Guimarães Souto, Adylson Motta,
Guilherme Palmeira, Ubiratan Aguiar, Benjamin Zymler e os Ministros-
Substitutos Lincoln Magalhães da Rocha e Augusto Sherman
Cavalcanti.
12.2. Auditor presente: Marcos Bemquerer Costa.

VALMIR CAMPELO
Presidente
MARCOS VINICIOS VILAÇA
Ministro-Relator

Fui presente:
LUCAS ROCHA FURTADO
Procurador-Geral