O papel da CGU na governança de dados do Poder Executivo Federal
O Decreto nº 9.637, de 26 de dezembro de 2018, instituiu a Política Nacional de Segurança da Informação - PNSI, no âmbito da administração pública federal, com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação em âmbito nacional, bem como dispôs sobre a governança da segurança da informação, entre outros.
Segundo o referido Decreto, a segurança da informação abrange: a segurança cibernética; a defesa cibernética; a segurança física e a proteção de dados organizacionais; e as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação.
Entre os princípios da PNSI, destaca-se o respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação; e o dever dos órgãos, das entidades e dos agentes públicos de garantir o sigilo das informações imprescindíveis à segurança da sociedade e do Estado e a inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas.
O Decreto nº 9.637/2018 ainda instituiu o Comitê Gestor da Segurança da Informação, atualmente composto por 21 Ministérios, a AGU e o Banco Central, com atribuição de assessorar o Gabinete de Segurança Institucional da Presidência da República nas atividades relacionadas à segurança da informação. A CGU integra supracitado Comitê e lhe compete auditar a execução das ações da PNSI de responsabilidade dos órgãos e das entidades da administração pública federal.
Independentemente da atuação do Comitê Gestor da Segurança da Informação, o referido Decreto atribuiu a todos os órgãos e entidades da administração pública federal, em seu âmbito de atuação:
I - implementar a PNSI;
II - elaborar sua política de segurança da informação e as normas internas de segurança da informação, observadas as normas de segurança da informação editadas pelo Gabinete de Segurança Institucional da Presidência da República;
III - designar um gestor de segurança da informação interno, indicado pela alta administração do órgão ou da entidade;
IV - instituir comitê de segurança da informação ou estrutura equivalente, para deliberar sobre os assuntos relativos à PNSI;
V - destinar recursos orçamentários para ações de segurança da informação;
VI - promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação;
VII - instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais, que comporá a rede de equipes formada pelos órgãos e entidades da administração pública federal, coordenada pelo Centro de Tratamento de Incidentes de Redes do Governo do Gabinete de Segurança Institucional da Presidência da República;
VIII - instituir e implementar equipe de prevenção, tratamento e resposta a incidentes cibernéticos, que comporá a rede de equipes dos órgãos e das entidades da administração pública federal, coordenada pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República; (Redação dada pelo Decreto nº 10.641, de 2021)
IX - coordenar e executar as ações de segurança da informação no âmbito de sua atuação;
X - consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação; e
XI - aplicar as ações corretivas e disciplinares cabíveis nos casos de violação da segurança da informação.
Quanto a tais obrigações, importa salientar que a CGU:
I - possui uma Política de Segurança da Informação e diversas normas internas acerca do tema;
II - tem gestor da segurança da informação formalmente designado e atuante;
III - tem o Comitê Gerencial de Segurança Corporativa - CGSC formalmente designado;
IV - destina orçamento para ações de segurança da informação;
V - realiza várias capacitações para servidores de todos os níveis e setores da CGU acerca do tema, inclusive sobre a LGPD;
VI - possui Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR devidamente constituída;
VII - a Portaria que irá instituir a Equipe de Tratamento e Resposta a Incidentes Cibernéticos encontra-se em aprovação pela CGSC;
VIII - possui diversas ações estabelecidas nos Planos Operacionais da CGU;
IX - tem uma coordenação específica na CGU para fazer auditoria de TI, incluindo ações de segurança da informação.
Portanto, a CGU conta com praticamente todos os itens atribuídos pelo Decreto nº 9.637, de 2018, em seu âmbito de atuação, já regulamentados ou em fase de regulamentação.