GRUPO II - CLASSE III - Primeira CâmaraTC 018.133/2002-3Natureza: Relatório de AuditoriaUnidades:- Centro de Pagamento do Exército - CPEx;- Centro Integrado de Telemática do Exército - CITEx;- Centro de Desenvolvimento de Sistemas do Exército - CDS.Responsáveis:- Antônio César Gonçalves Menin (CPF 423.819.168-49), Chefe do CPEx;- Carlos Almir Mendes Balata (CPF 498.988.097-87), Ordenador de Despesas por

Delegação do CPEx;- Fernando Butters Colombiano (CPF 703.328.357-15), Ordenador de Despesas

Substituto por Delegação do CPEx;- César Lopes Coelho (CPF 499.173.667-68), Ordenador de Despesas do CITEx;- Sócrates Flamarion Moraes Varjão (CPF 498.979.347-15), Ordenador de Despesas

por Delegação do CITEx;- Enio Antônio Alves dos Anjos (CPF 233.411.577-00), Ordenador de Despesas por

Delegação do CITEx;- Lourival dos Santos (CPF 499.164.677-49), Ordenador de Despesas por Delegação

do CITEx.

Sumário: Relatório de Auditoria realizada no sistema de pagamento de pessoal do Exército. Falhas de segurança do sistema. Parte dos problemas já detectada em auditoria anterior do Tribunal. Determinações. Apensamento às contas.

Trata-se de Relatório de Auditoria realizada no Centro de Pagamento do Exército - CPEx e no Centro Integrado de Telemática do Exército - CITEx, a fim de verificar a consistência, a confiabilidade, a segurança e a regularidade do Sistema Automático de Pagamento de Pessoal do Exército - Siappes.

2.Preliminarmente à exposição dos achados de auditoria, a Unidade encarregada da fiscalização traçou um retrospecto dos trabalhos anteriormente executados na área, conforme transcrevo a seguir (fls. 08/12):

“4.1 AUDITORIA REALIZADA EM MARÇO E ABRIL DE 1997 TC 006.026/1997-4

A fiscalização no Sistema Automático de Pagamento de Pessoal do Exército - Siappes foi incluída no Plano de Auditorias do TCU no primeiro semestre de 1997, aprovado pela Decisão Plenária n° 846/96, e consubstanciou-se no processo TC 006.026/1997-4. A proposta de realização da auditoria foi apresentada ao Plenário pela 3ª Secretaria de Controle Externo, tendo a coordenação dos trabalhos ficado a cargo dessa Secretaria. Os exames in loco realizaram-se no período entre 12/03/97 e 16/04/97, tendo a equipe visitado o Centro de Pagamento do Exército - CPEx e o Centro de Informática n° 11 - Cinfor/11, ambos sediados em Brasília.

(...)Como resultado das observações efetuadas, foi efetuada a seguinte proposta:“4.1.1 (...) que sejam encaminhadas ao Chefe do Centro de Informática n° 11 -

CInfor/11, por meio da Diretoria de Informática / MEX, Unidade Gestora a que se subordina aquele centro, as determinações a seguir:

a) adotar providências com vistas a sanar as seguintes deficiências relacionadas à segurança lógica do Sistema Automático de Pagamento de Pessoal - Siappes:

a.1) ausência de segregação de funções de profissionais de processamento de dados ligados à manutenção e operação do sistema;

a.2) inadequação dos níveis de autoridade de acesso aos recursos computacionais concedidos aos diversos profissionais de informática que lidam com o sistema; e

a.3) inexistência de controle de versões de programas;b) ajustar o pagamento realizado por meio do Siappes a título de Gratificação de

Condição Especial de Trabalho aos exatos valores fixados na Lei n° 9.442, de 14/03/1997, efetuando o acerto dos valores pagos em discordância com a legislação desde a instituição da referida gratificação;

4.1.2Que sejam encaminhadas ao Chefe do Centro de Informática n° 11, por meio da Diretoria de Informática/MEX, as seguintes recomendações:

a) aprimorar a estrutura da entidade no que tange à segurança física proporcionada por suas instalações, estudando, inclusive, a possibilidade de se instituir gerência ou comissão de servidores dedicada ao assunto;

b) providenciar a implantação da fitoteca de segurança a ser instalada em edificação alternativa, possibilitando, assim, o restabelecimento operativo do Siappes ante a eventual ocorrência de sinistros nas dependências do ambiente computacional que venham a destruir parcial ou totalmente seu acervo de softwares e dados;

c) formalizar plano de contingências que possibilite a utilização alternativa de outro centro de processamento de dados para a operação do Siappes quando da eventual ocorrência de fatos que impossibilitem o uso dos recursos computacionais do ambiente de informática;

d) aprimorar e sistematizar os procedimentos administrativos de elaboração de normas e padrões de processamento de dados;

e) organizar e manter atualizada a documentação do Siappes (manuais de usuários, manuais de operação, descrição lógica de programas, a descrição e layout de arquivos, dicionário de dados, entre outros); e

f) revisar os programas de crítica de entrada de dados, de cálculo de direitos remuneratórios e de geração de relatórios, com vistas a eliminar erros, omissões e inconsistências.

4.1.3Seja recomendado aos responsáveis pelo Centro de Pagamento do Exército e pela Diretoria de Informática do MEX a priorização dos projetos de modernização do Siappes em plataforma computacional compatível com aquelas em que estão sendo desenvolvidos os demais aplicativos do MEX, principalmente os relacionados ao gerenciamento de recursos humanos, possibilitando, dessa forma, a integração dos sistemas, com conseqüente eliminação de redundâncias e inconsistências de dados.

4.1.4Considerada a materialidade das despesas com servidores e pensionistas militares realizadas pelo Ministério do Exército, sejam contempladas, nos próximos planos de auditoria do Tribunal de Contas da União, Unidade Gestoras daquele ministério, a serem selecionadas criteriosamente com base em informações obtidas e a serem obtidas junto ao Sistema Automático de Pagamento de Pessoal - Siappes.

4.1.5Seja encaminhada ao Centro de Pagamento do Exército, à Diretoria de Informática e ao Centro de Informática n° 11 o teor da decisão que vier a ser adotada neste processo.”

A proposta daquela equipe de auditoria foi integralmente acolhida pelo Tribunal, em sessão da 2ª Câmara - Relação n° 27/98 - Ata 18/98, realizada em 18/06/98.

(...)”3.A seguir, reproduzo os trechos mais significativos do restante do relatório (fls.

08/35):

“5. ACHADOS DE AUDITORIA

5.1 ESTRUTURA E FUNCIONAMENTO DO CPExO Centro de Pagamento do Exército (CPEx), órgão de apoio e de execução,

diretamente subordinado à Secretaria de Economia e Finanças (SEF), foi criado pelo Decreto n° 86.979, de 03/03/1982, e teve seu funcionamento regulamentado pela Portaria Ministerial n° 592, de 23/06/1988. Ele tem por finalidade executar as atividades de pagamento centralizado no Ministério do Exército, mediante a utilização plena dos meios de informática.

(...)5.2 FUNCIONAMENTO DO SISTEMA DE PAGAMENTO DO EXÉRCITOO gerenciamento do Siappes é feito pelo Centro de Pagamento do Exército - CPEx.

Para desempenhar suas atribuições, o CPEx tem um estreito relacionamento com o Centro Integrado de Telemática do Exército - CITEx, contando com o auxílio de pessoal especializado em informática, assim como equipamentos de processamento.

O Centro Integrado de Telemática do Exército - CITEx, entidade integrante da estrutura da Secretaria de Tecnologia da Informação do Exército sediado em Brasília-DF, é originário da fusão do Serviço Rádio do Ministério do Exército - SRMEx, que pertencia à Diretoria de Telecomunicações - D TELECOM e do Centro de Informática n° 11 - CInfor/11. Ele foi ativado em 13/03/1998 e tem como missão superintender ações com vistas a instalar, operar e manter a base física e lógica dos Sistemas de Comunicações e Informática de interesse do Sistema de Comando e Controle do Exército no seu nível mais elevado, coordenando as atividades de seus órgãos subordinados, de modo a atender necessidades específicas dos Comandos Militares de Área, a fim de proporcionar uma perfeita integração operacional. Além disso, o CITEx é responsável pela manutenção e produção de Sistemas Corporativos tais como, dentre outros, o Sistema Automatizado de Pagamento de Pessoal - Siappes, o Sistema de Serviço Militar - SERMIL, o Serviço de Avaliação de Militares - AVAMIL, o Sistema de Inspeção Anual de Munição do Exército - IAMEx, o Sistema de Acompanhamento Financeiro do Exército - ACOMFINEx, o Sistema de Controle de Despesa do Fundo de Saúde do Exército - DAS-FUSEx e o Sistema de Cadastro de Beneficiários - CAD BEN.

A partir das normas emanadas do CPEx, as mais de 500 Organizações Militares espalhadas por todo o País geram os direitos dos militares e servidores civis sob seus comandos. Mensalmente, essas unidades administrativas encaminham ao CPEx, sediado em Brasília, via intranet ou, em caso de indisponibilidade da rede, via correio eletrônico da internet, fax, malote ou rádio, as informações necessárias ao regular processamento da folha de pagamento. São informações cadastrais, benefícios financeiros, descontos regulamentares, dentre outras próprias deste tipo de atividade, associadas ao meio militar.

As informações referentes a um beneficiário só são transmitidas pela Organização Militar caso haja alguma modificação no pagamento desse militar, como é o caso de inclusão de parcelas de pagamento ou aumento no valor de parcelas (promoção), sendo

também transmitidas as informações de beneficiários a serem incluídos ou excluídos de Siappes. Caso não haja nenhuma alteração nas parcelas de pagamento do militar, o próprio Siappes calcula as parcelas devidas com base nos valores do mês anterior.

Para gerar esses direitos, as unidades utilizam-se do programa FAP Digital, baseado na plataforma Microsoft Windows 98 e no gerenciador de bancos de dados Microsoft Access, e disponibilizado em rede. O nome FAP provém das antigas Fichas de Alteração de Pagamento, utilizadas antes da existência do programa. De acordo com códigos estabelecidos nos regulamentos internos, o usuário insere ou altera (módulos de Inclusão e Alteração do FAP) as informações de seus comandados, gerando um arquivo de banco de dados. Feitos os devidos lançamentos, a unidade aguarda o momento de envio do arquivo de banco de dados para o computador de grande porte situado no CITEx.

O Siappes, por sua vez, é executado em um equipamento IBM S/390 Multiprise, sob o sistema operacional OS 390. O computador possui 1.365 Mb de memória principal, 640 Mb de memória cache e 324 Gb de disco. As rotinas do sistema são escritas em linguagem COBOL (Common Business Oriented Language).

As entidades consignatárias, isto é, as entidades autorizadas a receber valores descontados em consignação na folha de pagamento dos militares e pensionistas, contam com o “Sisco”, um programa que, baseando-se na mesma plataforma do programa FAP Digital, automatiza a entrada dos dados de desconto. Esses dados, após serem inseridos por meio do programa, são transmitidos por correio eletrônico ao CPEx.

Como se pode verificar, a geração dos direitos e obrigações dá-se de maneira descentralizada, em mais de 500 unidades independentes, já o processamento da folha de pagamento do Exército é centralizado no CITEx, com a gerência do CPEx.

(...)No momento, o Centro de Desenvolvimento de Sistemas trabalha na confecção de um

novo sistema informatizado de pagamento, o Sistema de Pagamento de Pessoal do Exército - SISPAG. O novo sistema deverá utilizar como plataforma o sistema operacional Windows 2000 Server e o gerenciador de bancos de dados Oracle 8.17, possuindo, por isso, um arsenal de recursos de segurança consideravelmente superior ao Siappes.

(...)A entrada em funcionamento do novo sistema certamente poderá trazer um ganho de

segurança no funcionamento do processo de pagamento dos militares do Exército. Entretanto, cabe lembrar que a adoção de novas plataformas, por si só, não resultará em um aumento do nível de segurança se ela não for acompanhada de uma mudança cultural da organização, que implique em um novo planejamento dos procedimentos de segurança. Para exemplificar o que foi exposto, pode-se afirmar que não adiantará o novo sistema funcionar em uma plataforma que provenha maior segurança em seu sistema de senhas, se não houver uma conscientização dos usuários para que eles protejam suas senhas. Portanto, falhas de segurança existentes podem propagar-se para o SISPAG, caso não haja um planejamento adequado.

5.2.1 Controles Internos5.2.1.1 Relatórios das Críticas (Corridas)Os dados de pagamento inseridos no Siappes sofrem, em cada subsistema,

processamentos iniciais de controle, chamados “corridas”. Cada uma das três corridas utiliza rotinas próprias para verificar erros e inconsistências nas informações de pagamento. Ao final do processamento de cada corrida, é gerado um relatório contendo as inconsistências encontradas.

Os relatórios de crítica são analisados pelo CPEx, que procede à correção dos dados rejeitados por simples erros de digitação ou por outros problemas apontados. Em se tratando de erros que mereçam maiores esclarecimentos, o CPEx tenta corrigir as informações interagindo com as OMs por meio de contatos telefônicos. Nessa fase, é comum a ocorrência de ocupação constante das linhas telefônicas à disposição do CPEx. A comunicação via rádio também é largamente utilizada.

A segunda corrida é feita para a crítica das correções comandadas pelo CPEx. Assim, enquanto a primeira corrida destina-se basicamente a detectar os erros provenientes das OMs, a segunda busca detectar os erros nos dados corrigidos ou inseridos pelo CPEx.

A terceira corrida funciona como um controle de qualidade, buscando a detecção de eventuais inconsistências remanescentes da primeira e da segunda corridas.

Além dessas críticas realizadas durante os cronogramas mensais da folha de pagamento, a Secretaria de Economia e Finanças utiliza-se de outros procedimentos de fiscalização e controle do processo de geração da folha de pagamento. Entre esses está o Exame de Contracheques.

5.2.1.2 Exame de ContrachequesAtualmente estão vigorando as Instruções Reguladoras do Exame de Contracheques

de Pessoal (IR 12-11), aprovadas pela Portaria nº 005/SEF, de 19 de agosto de 1999.O exame de contracheques tem por finalidade a fiscalização e o controle da atividade

de pagamento de pessoal por meio do confronto dos documentos comprobatórios da geração de direitos e obrigações com os saques e descontos.

O exame é executado por uma equipe previamente designada pelo Ordenador de Despesa de cada Organização Militar, a qual analisa mensalmente, de fevereiro a novembro, 10% do total de pessoal pago através de depósito bancário, incluindo, em quantidades proporcionais, militares na ativa e inatividade, servidores civis em exercício e na inatividade, e pensionistas. Deste modo, ao fim dos dez meses, o universo de pessoas terá sido analisado.

5.2.1.3 Exame de Pagamento de PessoalEm substituição ao Exame de Contracheques está sendo estudada a implantação do

chamado Exame de Pagamento de Pessoal.Basicamente, a proposta desse novo Exame é de que se façam verificações nos

contracheques daqueles beneficiados que tiveram alterações em seus pagamentos no mês anterior, bem como daqueles que foram incluídos e excluídos no sistema.

5.3 FRAUDES OCORRIDAS NO SISTEMA DE PAGAMENTO DO EXÉRCITOConforme relato contido na resposta à requisição formulada ao Centro de Pagamento

do Exército, no exercício de 2002 foram instaurados dois Inquéritos Policiais Militares relacionados com fraudes no Siappes.

O primeiro IPM foi instaurado em 07/05/2002, por meio da Portaria nº 006-SG1.1-AJG/SEF. Apurou-se a implantação, no sistema de pagamento, de 51 pensionistas irregulares, havendo a alteração dos códigos dos programas no sentido de que as informações não passassem pelo crivo das rotinas da crítica e de que não fossem expedidos contracheques. Estas irregularidades foram constatadas em perícia técnica.

Constatou-se, pela perícia contábil, que a fraude atingiu o montante de R$ 1.767.924,13 (um milhão, setecentos e sessenta e sete mil, novecentos e vinte e quatro reais e treze centavos). Desse total, foram recuperados, e revertidos à Conta Única da União, R$ 971.886,23 (novecentos e setenta e um mil, oitocentos e oitenta e seis reais e vinte e três

centavos), restando como prejuízo o valor de R$ 796.037,90 (setecentos e noventa e seis mil e trinta e sete reais e noventa centavos).

Para a devida apuração dos fatos ocorridos, o Comando do Exército solicitou que o IPM fosse acompanhado pelo Ministério Público Militar. Desta maneira, puderam ser quebrados os sigilos bancário e telefônico dos sete indiciados. Cabe salientar que quatro dos indiciados trabalhavam diretamente no processamento do pagamento.

No âmbito da Secretaria de Economia e Finanças foram tomadas as devidas providências, inclusive a imputação de responsabilidades aos militares envolvidos, sendo determinado o desconto de valores na remuneração e recomendada à Justiça Militar a tomada de medidas constritivas de bens e direitos aplicáveis ao caso, visando ao integral ressarcimento dos valores desviados.

Findos os procedimentos, os autos foram encaminhados à Auditoria da 11ª Circunscrição Judiciária Militar (11ª CJM), em 12 de julho de 2002, estando no Ministério Público Militar para possível oferecimento de denúncia.

Quanto ao segundo IPM, ele foi instaurado por meio da Portaria nº 012-SG1.1-AJG/SEF, em 05/08/2002. Neste caso, foi constatado que houve o pagamento de Pecuniária - parcela devida aos militares temporários quando de seu licenciamento do Exército - a treze titulares de contas correntes que não possuíam nenhum vínculo com a Força. Esta irregularidade somente foi possível mediante o resgate, no sistema, do cadastro de ex-militares que haviam recebido a citada vantagem em 1996, quando dos seus desligamentos.

Quanto aos aspectos relacionados com a área de informática, verificou-se que a fraude somente foi possível porque foi realizada após a geração do Relatório de Crítica da Pecuniária.

Os valores envolvidos somam R$ 342.079,84 (trezentos e quarenta e dois mil e setenta e nove reais e oitenta e quatro centavos), sendo recuperados R$ 258.666,10 (duzentos e cinqüenta e oito mil, seiscentos e sessenta e seis reais e dez centavos), com um prejuízo de R$ 83.413,74 (oitenta e três mil, quatrocentos e treze reais e setenta e quatro centavos).

Os indiciados totalizaram quatorze pessoas, sendo um militar, também envolvido na primeira fraude, e treze civis que aliciaram os correntistas “laranjas” ou foram beneficiados diretamente, mediante provas nos autos.

Em 27 de novembro de 2002, portanto, no transcorrer dos trabalhos desta equipe de auditoria do TCU, os autos estavam sendo encaminhados para Auditoria da 11ª Circunscrição Judiciária Militar (11ª CJM), para as devidas providências.

5.4 INCONFORMIDADES DE SEGURANÇA ENCONTRADAS NO SIAPPES(...)5.4. - no organograma não existe gerência designada para tratar de segurança física e

lógica em informática.No organograma da entidade mantenedora do sistema, o CITEx, não existe uma

gerência específica para tratar de segurança de informações, e tampouco existe uma definição formal detalhada das responsabilidades quanto às tarefas que envolvem aspectos de segurança. Uma proposta de atualização do regimento interno do CITEx que foi apresentada à equipe de auditoria prevê o cometimento de algumas tarefas relacionadas à segurança a uma divisão, a Divisão de Operação.

A atual concepção de segurança de informações considera que ela excede a área de suporte a sistemas, apontando para uma estrutura organizacional na qual a gestão de

segurança está diretamente ligada à gestão central da entidade, ou entidades mantenedoras e usuárias do sistema. Nesse sentido, é pertinente transcrever um trecho da norma NBR 17799: (...)

No caso do Siappes, como há mais de uma entidade responsável pela operação, uso e desenvolvimento do sistema, convém que exista um organismo específico, hierarquicamente superior ao CPEx, ao CITEx e ao Centro de Desenvolvimento de Sistemas - CDS, que seja responsável a gestão da segurança do sistema, ou que se modifique o regimento do CPEx para que suas atribuições de gestor de segurança do sistema de pagamento estejam claramente definidas.

Portanto, a equipe de auditoria considera conveniente a adoção das seguintes medidas:

a) a redefinição do regimento interno do CPEx, de modo que suas atribuições, responsabilidades e poderes como gestor de segurança do sistema de pagamento do Exército sejam claramente definidas; e

b) a designação formal de um membro do CPEx como gestor do sistema Siappes, e futuramente, do sistema SISPAG.

5.4.3 - não existem políticas de segurança definidas pela organização.Ainda não existe uma política de segurança formalmente definida, seja para o CPEx,

seja para o CITEx. O que existe são orientações esparsas relativas à segurança do sistema Siappes, que se traduzem basicamente em definições de níveis de acesso.

O novo sistema de pagamento, o SISPAG, está sendo desenvolvido em uma plataforma mais robusta em termos de segurança, o gerenciador de bancos de dados Oracle versão 8.17. Essa plataforma de desenvolvimento já oferece um suporte de segurança mais adequado à definição de níveis de segurança de acesso.

Entretanto, importa destacar que o planejamento da política de segurança, como definido na norma NBR/ISO IEC 17799, deve ser focado não somente nos sistemas de informação, mas na totalidade da organização, ou no caso concreto, das organizações envolvidas com o processo de pagamento de soldos dos militares do Exército. Várias deficiências de segurança, como as relacionadas com a segurança física do ambiente de processamento ou como a ausência de segregação de funções, independem do sistema operacional e do gerenciador de bancos de dados que está sendo utilizado. Desse modo, o aumento de segurança na migração para o novo sistema de pagamento, o SISPAG, deve envolver não somente uma mudança de plataforma computacional, mas também uma mudança na cultura e nos procedimentos das entidades envolvidas com o processo de pagamento.

Assim, convém que a seja realizada a formalização da política de segurança de informação do sistema de pagamento, de maneira integrada pelo CPEx, CIPEx e CDS.

5.4.4 - não existem procedimentos escritos que definam claramente as restrições de acesso ao computador central da organização;

- a lista de pessoas autorizadas a ingressar no centro de processamento de dados não é periodicamente revisada a fim de constatar se nela existem pessoas que não mais necessitam deste acesso.

A segurança física do ambiente computacional do Siappes pouco evoluiu desde a auditoria realizada em 1997. Foi constatado que inexiste regulamentação formal referente ao acesso ao ambiente de informática do Siappes. O próprio controle de acesso é bastante deficiente, se resumindo ao controle realizado na portaria principal do CITEx. Nas salas onde estão localizados os servidores, inclusive os servidores de rede e o computador onde é

executado o Siappes, bem como na sala da fitoteca, não há qualquer barreira física que impeça a entrada de pessoal não autorizado.

Como a correção inconformidade já foi objeto de recomendação, cabe a realização de audiência aos gestores responsáveis do CITEx para que apresentem razões de justificativa a respeito.

5.4.5 - a gerência de segurança não revisa ou valida periodicamente as capacidades de acesso providas aos usuários;

- não há procedimento para cancelar imediatamente o acesso de usuário cujo contrato de trabalho com a organização foi suspenso ou terminado;

- não há, ou não são seguidos, procedimentos formais para inibir ou desabilitar qualquer tipo de acesso (físico ou lógico) aos recursos computacionais de pessoas que rescindiram o contrato de trabalho com a organização.

Apesar de haver um controle informal das capacidades de acesso providas aos usuários, o CITEx ainda não definiu formalmente procedimentos padrão que determinem a revisão periódica dessas capacidades. Tampouco há procedimentos formalmente definidos para o cancelamento de acesso de pessoas que se desligam da entidade.

O controle de acesso por meio de senhas deve considerar os diversos ambientes e sistemas existentes no CITEx. Normalmente existe uma senha para acesso à rede interna, senhas para acesso aos servidores de base de dados e senhas para acesso ao ambiente de cada sistema.

Como o acesso indevido de usuários ao sistema representa um considerável risco de segurança, convém que seja recomendada ao CITEx a adoção de procedimentos formais de concessão e de validação periódica de senhas de usuários, e de cancelamento de acesso de usuários que são desligados da entidade.

5.4.6 - não existem (ou não são devidamente analisados) logs e relatórios de violações aos procedimentos de segurança.

Não existe procedimento sistemático para análise dos logs de acesso ao sistema operacional ou ao próprio Siappes. A análise crítica desses registros (logs) é uma importante ferramenta, de caráter tanto preventivo quanto corretivo, para a identificação de vulnerabilidades nos sistemas. Por meio da análise logs podem ser identificados acessos ou modificações indevidas, bem como podem ser identificas as falhas do sistema que permitiram tais acessos.

Os logs de sistema normalmente contêm um grande volume de informações, e muitas das quais não dizem respeito à monitoração de segurança. Para ajudar a identificar eventos significativos para propósito de monitoração de segurança, convém a cópia automática dos tipos de mensagens apropriadas para um segundo registro (log) e/ou o uso de utilitários de sistema apropriados ou ferramentas de auditoria para a execução de consulta sejam considerados.

Nesse sentido, entende-se conveniente realizar ao CITEx as seguintes recomendações:

a) que, no âmbito do planejamento de segurança do sistema de pagamento do Exército, seja incluída a análise regular e sistemática dos registros (logs) de sistema operacional e do próprio sistema de pagamento;

b) que, para a análise dos registros (logs) de sistema a serem efetuadas, sejam preferencialmente utilizadas ferramentas de auditoria, como softwares especializados.

5.4.7 - não há uma divisão de responsabilidades entre as diversas funções dentro do ambiente de informática. Por exemplo, os analistas e programadores de sistemas costumam ter acesso aos dados e programas em produção.

Em relação à segregação de funções, foram encontradas falhas na entidade operadora do Siappes, o CPEx. Apesar de, nas entrevistas realizadas, o corpo dirigente da entidade haver demonstrado já estar consciente da importância da segregação, ela não tem sido posta em prática, sendo comuns os casos de usuários que possuem permissões para modificar o código fonte do sistema, inserir e consultar dados. Essa inconformidade foi um elemento facilitador das duas fraudes detectadas no sistema, relatadas no item 5.3.

Apesar das limitações de recursos materiais e de pessoal freqüentemente existentes nas organizações públicas, dentre as quais as unidades do Exército não constituem exceção, a norma da ABNT preconiza que a segregação de atividades deve ser aplicada tão logo possível e praticável. Na política de informações a ser definida para os sistemas informatizados de pagamento de pessoal do Exército, deve ser incluído um esquema de segregação de funções e atividades, incluindo a separação dos ambientes de desenvolvimento, teste e produção, de modo a minimizar a possibilidade de ocorrência de fraudes.

A inconformidade citada já foi objeto de determinação ao CInfor/11, atual CITEx, oriunda de auditoria realizada no Siappes em 1997. A equipe de auditoria entende que, considerando o CPEx como gestor de segurança do Siappes, este tópico deve ser objeto de determinação ao CPEx.

5.4.8 - os funcionários do centro de processamento de dados não receberam treinamento adequado quanto aos procedimentos que devem seguir ao lidar com situações emergenciais de incêndio, enchentes, etc.;

- não é disseminada a importância da segurança de informação para os funcionários da organização;

- não estão definidos procedimentos quanto à destruição, arquivamento, transporte interno e externo, distribuição e reprodução da informação, esteja ela contida em papel, meio magnético ou qualquer outro meio.

A equipe de auditoria requereu às entidades responsáveis pela gestão e pela operação do sistema de pagamento uma lista dos treinamentos que foram realizados a partir do exercício de 2001. O CPEx não apresentou resposta, e o CITEx apresentou os contratos de treinamento que firmou a partir do exercício de 2001. Foram apresentados três contratos, englobando cursos de cabeamento estruturado, administração de redes de computadores e de sistemas operacionais OS390 e Linux. Dentre os cursos contratados, há um que trata especificamente de segurança, o curso “Segurança na Internet e Implementação de Firewall”, enquanto os demais tratam de segurança como um tópico de seu conteúdo programático.

Embora a iniciativa do CITEx em proporcionar a seus servidores vários treinamentos de qualidade seja louvável, é possível perceber que existem vários aspectos de segurança, notadamente de segurança física, que ainda não foram cobertos pelos treinamentos realizados.

É importante destacar que a existência de uma política de segurança formal e de um planejamento de contingências são fatores decisivos para a compreensão da necessidade da realização de cursos na área da segurança. No momento em que o CPEx, conjuntamente com o CITEx, formalizar sua política de segurança, tornar-se-á mais evidente a necessidade de treinamentos na área, para disseminar as regras contidas nessa política.

Portanto, propõe-se que seja recomendada ao CPEx e ao CITEx a adoção de um programa de treinamento específico para a área de segurança, com treinamentos enfocando aspectos de segurança física e lógica e a reação dos funcionários frente à ocorrência de contingências que possam afetar a continuidade dos serviços.

5.4.9 - a fitoteca não está localizada em área segura de incêndios, alagamento e/ou sabotagem, sendo de acesso livre a qualquer pessoa;

- os backups dos arquivos de dados não são enviados regularmente para a fitoteca localizada fora do centro de processamento de dados (off-site storage).

A cópia de dados efetuada em fitas magnéticas, o chamado “backup”, garante que, em caso de falha no funcionamento do sistema, causada por sinistros ou mesmo por ações intencionais, as informações nele contidas possam ser devidamente recuperadas. Sendo elemento fundamental para a recuperação do sistema, as fitas de backup devem ser guardadas em local seguro, preferencialmente distante dos computadores onde o sistema está sendo executado, para que um incidente que ocorra no centro de processamento, como incêndio ou alagamento, não as torne inutilizáveis.

A implantação de um ambiente seguro, distante do centro de processamento, destinado à guarda das fitas magnéticas, já foi objeto de recomendação deste Tribunal, como resultado da auditoria realizada no Siappes em 1997. Apesar da recomendação, nada foi feito nesse sentido. A fitoteca permanece em uma sala ao lado dos computadores onde o sistema é executado, sem nenhuma segurança adicional para a proteção das fitas nela guardadas.

Tal fato enseja a realização de audiência junto aos gestores responsáveis, para que sejam apresentadas razões de justificativa a respeito.

5.4.10 - a documentação dos programas não contém descrição lógica, objetivos a serem atingidos, diagrama de fluxo, descrição de arquivos, layouts de relatórios e outros itens considerados importantes na área de desenvolvimento de sistemas.

Essa inconformidade, já citada no item 4 deste relatório, diz respeito à insuficiência de documentação descritiva do Siappes. A inadequação da documentação do sistema possui estreita relação com a deficiência no controle das modificações de rotinas do sistema, ou seja, no controle de versões. Quanto maior o descontrole na alteração dos programas e dos arquivos que definem a estrutura da organização dos dados do Siappes, mais difícil torna-se manter uma documentação atualizada, refletindo fielmente o que faz e o que contém cada um deles. Contribui para a inadequação da documentação o fato do Siappes ser escrito em uma linguagem não estruturada, o COBOL.

A inconformidade persiste apesar da recomendação realizada a respeito, proveniente da auditoria anterior realizada no Siappes. Cabe, portanto, a realização de audiência para que os gestores responsáveis se pronunciem a respeito.

5.4.11 - não existe na organização um plano de contingências.O plano de contingências destina-se a não permitir a interrupção das atividades do

negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, que podem ser resultantes de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais. Logo, constitui-se em um importante fator de diminuição do risco de acidentes ou falhas resultarem em paralisação das atividades.

O CITEx ainda não conta com um plano de contingências. Como a adoção de tal plano já foi recomendada pelo Tribunal, em decisão originada da fiscalização realizada no Siappes no ano de 1997, é cabível a realização de audiência aos gestores responsáveis, para que apresentem as devidas razões de justificativa pela não implantação de um planejamento

de contingências para o sistema de pagamento do Exército, deixando-o à mercê de incidentes que podem resultar em dano para a continuidade dos serviços.

5.4.12 - ausência de classificação e controle dos ativos de informação;Um requisito fundamental para a implantação da política de segurança em uma

organização é a catalogação dos ativos de informação, que devem ter seu nível de controle de acesso devidamente classificado e identificado. Se essa catalogação é importante para qualquer sistema, ela assume importância ainda maior no caso do sistema de pagamento do Exército, pela criticidade e confidencialidade das informações que ele contém.

A proteção dos ativos de informação não se restringe somente à atribuição de diferentes níveis de acesso aos usuários do sistema. A classificação dos ativos de informação e a conseqüente definição do grau de proteção a ser concedido a cada ativo devem anteceder a definição dos níveis de acesso ao sistema concedidos aos usuários. A classificação serve, pois, como base para a definição do nível de acesso a ser concedido a cada classe de usuários, sendo porém mais abrangente, já que objetiva a proteção da informação em qualquer mídia em que ela estiver sendo veiculada ou armazenada, como o papel ou a fita magnética.

Um importante aspecto a ressaltar é que, ao definir regulamentos classificando os ativos de informação, a organização também poderá definir com maior facilidade as devidas sanções aos funcionários que incorrerem em utilização indevida dos dados do sistema.

A tarefa de rotular os ativos de informação cabe à entidade a quem tais dados pertencem, ou seja, à entidade responsável por gerir tais ativos. Apesar da manutenção do ambiente computacional ser tarefa do CITEx, é o CPEx que é responsável pelos dados contidos no sistema de pagamento. Portanto, a responsabilidade pela classificação dos ativos de informação é do CPEx. Entretanto, é fortemente recomendável que o CITEx participe ativamente do processo de classificação dos ativos de informação.

Pelo exposto, sugere-se que seja recomendada ao CPEx a formulação, com o auxílio do CITEx, de um inventário de ativos de informação, compreendendo a classificação do nível de confidencialidade de cada ativo e a definição procedimentos para garantir a segurança nas diversas mídias nas quais a informação é armazenada ou pelas quais é transmitida, como o papel, as fitas magnéticas e as redes local e externa.

5.4.13 - falta de segurança nos processos de desenvolvimento e suporte, bem como nos procedimentos de controle de mudanças.

Um dos fatores que facilitou a ocorrência da fraudes no Siappes foi a falta de controle no desenvolvimento e modificação do código-fonte do sistema. Rotinas do sistema tinham seu código freqüentemente alterado, sem que houvesse um controle dos usuários que haviam realizado as alterações e da data e hora em que elas foram efetuadas. Essa deficiência no controle de alterações facilitou a inserção de código estranho ao funcionamento regular do sistema, como a geração de pagamentos indevidos e a burla dos controles existentes no código do Siappes.

O problema já havia sido detectado na auditoria realizada pelo TCU em 1997, gerando uma conseqüente determinação para a sua correção. A persistência da falha enseja a realização de audiência aos gestores responsáveis, para que se pronunciem a respeito do não cumprimento da determinação, apresentando razões de justificativa a respeito.

5.5 INCONFORMIDADES DE SEGURANÇA ENCONTRADAS NA MANIPULAÇÃO DE DADOS E NO PROGRAMA FAP DIGITAL

(...)

5.5.2- dados incorretos não são rejeitados pelas transações em processamento.Diversos dados contidos no Siappes poderiam ter sua confiabilidade incrementada se

houvesse o batimento de informações com outros sistemas. O Departamento Geral de Pessoal do Exército gere um sistema de controle do efetivo da força, que contém informações como nome e graduação do militar. A validade dos códigos de CPF poderia ser aferida com a consulta às bases de dados da Receita Federal. Outro cruzamento, de fundamental valia para a descoberta de fraudes, é com as informações sobre pagamentos recebidos oriunda dos bancos, como CPF, nome do correntista e valor depositado.

Assim, recomenda-se a realização, pelo CPEx, com o auxílio do CITEx, de conferência periódica dos dados existentes no Siappes com os contidos em outros cadastros informatizados, como, por exemplo, os do Departamento Geral de Pessoal do Exército, da Receita Federal, da Dataprev e dos bancos nos quais é depositado o pagamento de militares.

5.5.3 - deficiências procedimentos para tratamento de informação.Após o processamento e as conferências mensais realizadas pelo Siappes são geradas

fitas, posteriormente encaminhadas à rede bancária, com as informações para o crédito do valor de pagamento devido a cada militar. As informações são gravadas em arquivo texto, podendo por isso ser facilmente consultadas e alteradas, sem que o executor das alterações seja identificado. Não há como garantir que elas correspondam exatamente ao que está registrado no Siappes. Excepcionam-se desse processo os militares correntistas do Banco do Brasil, cujas informações de pagamento são transmitidas diretamente ao banco.

Como solução para essa brecha de segurança, recomenda-se ao CPEx a formalização de um esquema de segurança especial para guarda e manipulação das fitas, com a criação de um ambiente de acesso restrito para o seu armazenamento, visando a garantir que a informação nelas contida não seja consultada ou alterada indevidamente.

5.5.4 - ausência de política de mesa limpa e tela limpa.Foi constatado, nas salas das Seções do CPEx, que, devido à insuficiência de

armários, existe um grande acúmulo de documentos que ficam permanentemente à mostra em cima das mesas e dos demais móveis. As informações constantes desses documentos ficam portanto mais vulneráveis a consultas indevidas, a incidentes na manipulação dos documentos que podem resultar em comprometimento das informações neles contidas e a sinistros.

Para evitar a exposição indevida ou perda dessas informações, a norma NBR ISO/IEC 17799, em seu item 7.3.1, prescreve:

‘As informações deixadas em mesas de trabalho são alvos prováveis de danos ou destruição em um desastre como incêndio, inundações e explosões. Recomenda-se que os seguintes controles sejam considerados:

a) Onde for apropriado, convém que papéis e mídias de computador sejam guardados, quando não estiverem sendo utilizados, em gavetas adequadas, com fechaduras e/ou outras formas seguras de mobiliário, especialmente fora do horário normal de trabalho.

b) Informações sensíveis ou críticas ao negócio, quando não forem requeridas, devem ser guardadas, em local distante, de forma segura e fechada (de preferência em cofre ou arquivo resistente ao fogo), especialmente quando o escritório estiver vazio.

c) Computadores pessoais, terminais de computador e impressoras não devem ser deixados ligados quando não assistidos e devem ser protegidos por senhas, chaves ou outros controles quando não estiverem em uso.

d) Pontos de recepção e envio de correspondências e máquinas de fax e telex não assistidas devem ser protegidos.

e) Copiadoras devem ser travadas (ou de alguma forma protegidas contra o uso não autorizado) fora do horário normal de trabalho.

f) Informações sensíveis e classificadas, quando impressas, devem ser imediatamente retiradas da impressora.’

Conforme está escrito na norma, a equipe sugere a realização de uma recomendação ao CPEx, para que os papéis e documentos que contenham informações relevantes sobre o pagamento de pessoal sejam adequadamente guardados em armários ou gavetas, com fechaduras ou outras formas de proteção, especialmente fora do horário normal de serviço.

5.5.5 - falta de política de utilização dos serviços da rede.Conforme foi descrito no item 5.2 deste relatório, as OMs acumulam, ao longo do

mês, as modificações e inserções de informações de pagamentos de seus militares, para, num período específico, transmiti-las de uma só vez ao CPEx. Essas informações são guardadas, até a transmissão, em um arquivo no formato do Banco de Dados Microsoft Access, que é protegido por uma senha local.

O sistema operacional que roda nos microcomputadores das OMs é o Microsoft Windows. As versões do sistema Windows baseados na tecnologia NT, como o Windows 2000 e Windows NT, já possuem um esquema de segurança que não permite o acesso de um usuário aos arquivos de outro usuário. Entretanto, a versão padrão de sistema Windows que é utilizada nas OMs, e para o qual o programa FAP Digital foi projetado, é a Windows 98, que não conta com esse esquema de proteção de acesso a arquivos. Assim, um qualquer usuário da OM pode ter acesso aos dados que vão sendo inseridos ao longo do mês pelo usuário designado para preencher as informações de pagamento.

Como o arquivo onde são guardados os dados inseridos é codificado no formato do aplicativo Microsoft Access, ele pode ser diretamente acessado por esse aplicativo, além do acesso normal realizado por meio do programa FAP Digital. Para dificultar o acesso de usuários não autorizados, o programa FAP Digital possui um sistemas de senhas, e o próprio arquivo de dados utiliza-se de um recurso de segurança provido pelo aplicativo Microsoft Access, que necessita do fornecimento de uma senha para ser aberto.

No entanto, tanto o sistema de senhas do FAP Digital quanto o recurso de segurança provido pelo Access são frágeis. O programa FAP Digital, logo após a instalação no microcomputador, solicita a definição de uma senha de administrador. O administrador é um usuário especial, com acesso irrestrito aos dados de pagamento e com capacidade para cadastrar outros usuários. Assim, uma pessoa não autorizada pode, utilizando o microcomputador destinado à acumulação das informações sobre pagamento, fazer uma nova instalação do FAP Digital e assim ganhar privilégios de acesso de administrador.

Quanto à utilização do Microsoft Access para abrir diretamente o arquivo de dados, a equipe de auditoria constatou que a senha para abertura do arquivo pode ser facilmente quebrada com a utilização de programas de recuperação de senhas disponíveis na Internet.

O processo de transmissão das informações de pagamento das OMs ao CPEx também é frágil em termos de segurança. Os dados, convertidos em arquivos texto, são transmitidos pela Intranet e pela Internet. Caso não haja disponibilidade de “link” para a transmissão direta, eles são enviados por meios alternativos, dentre os quais correio eletrônico, rádio, fax ou malote. Nos meios de eletrônicos de transmissão citados, existe a possibilidade dos dados serem capturados, tanto no computador local da OM, quanto em seu tráfego pela rede.

Uma solução simples e eficaz para aumentar a segurança do processo de armazenamento e transmissão de informações pelas OMs é a utilização de recursos de

criptografia e de validação digital. A encriptação dos arquivos gerados pelo programa FAP Digital dificultaria sobremaneira a consulta e modificação indevidas das informações de pagamento. Cabe então a realização de uma recomendação ao CPEx e ao CDS para que, nas futuras versões do programa FAP Digital que disponibilizarem, considerem a utilização de recursos de criptografia e validação digital na proteção dos arquivos a serem gerados pelo programa.

6. CONSIDERAÇÕES ADICIONAIS6.1 NOVOS TRABALHOS DE AUDITORIAA realização deste trabalho de fiscalização tornou clara para a equipe a necessidade

de se conferir a correção dos procedimentos que são realizados para a geração das rubricas de pagamento de cada militar. Não adianta o Exército contar com um sistema informatizado de pagamento que seja seguro, se os dados nele contidos são incorretos, ou seja, se, por exemplo, um benefício for indevidamente creditado a um militar por falha na interpretação da legislação pertinente. Urge que seja realizado um trabalho de fiscalização na área pessoal, para aferir a correção desses procedimentos.

Logo, propõe-se a realização de uma auditoria na área de pessoal, a cargo da Secretaria de Fiscalização de Pessoal, destinada a verificar a correção dos procedimentos realizados para a concessão das parcelas salariais aos militares e pensionistas militares do Exército.

7. PROPOSTA DE ENCAMINHAMENTO(...)Ante o exposto, submetemos os autos à consideração superior propondo,

preliminarmente, com fulcro no art. 43, parágrafo II, da Lei nº 8.443/92 c/c o art. 250, inciso IV, do Regimento Interno do TCU, a realização de audiência, para que os responsáveis, Sr. César Lopes Coelho, Sr. Sócrates Flamarion Moraes Varjão, Sr. Enio Antônio Alves dos Anjos e Sr. Lourival dos Santos, Ordenador e ex-Ordenadores de Despesas por delegação, todos do Centro Integrado de Telemática do Exército, apresentem, no prazo de 15 (quinze) dias a contar do recebimento da notificação, suas razões de justificativa a respeito da não adoção de medidas corretivas para sanar as seguintes falhas:

a) deficiências na segurança física e no controle de acesso do ambiente central de processamento do Siappes, conforme descrito no item 5.4.4 deste relatório;

b) deficiência na guarda das fitas magnéticas de “backup” do Siappes, conforme descrito no item 5.4.9 deste relatório;

c) insuficiência e desatualização da documentação referente ao Siappes, conforme descrito no item 5.4.10 deste relatório;

d) inexistência de um planejamento de contingências, conforme descrito no item 5.4.11 deste relatório; e

e) falta de um adequado controle de alterações no código-fonte do Siappes, conforme descrito no item 5.4.13 deste relatório.”

É o Relatório.

PROPOSTA DE DELIBERAÇÃO

A avaliação feita pela Adfis na gestão do Sistema Automático de Pagamento de Pessoal do Exército - Siappes resultou na conclusão de que a segurança do sistema revelou-se insuficiente e incompatível com a materialidade dos recursos geridos via processamento

de dados, correspondentes à cifra de, aproximadamente, 10 bilhões de reais, referentes ao pagamento de militares ativos, inativos e pensionistas no exercício de 2003.

2.Parte das falhas encontradas pela equipe tem origem em questões administrativas existentes no âmbito do Centro Integrado de Telemática do Exército - CITEx e Centro de Pagamento do Exército - CPEx, unidades encarregadas de manter e gerir o Siappes. Sobre esse ponto em particular, cabe citar impropriedades como a estrutura organizacional inadequada, a falta de segregação de funções e o treinamento insuficiente do pessoal técnico.

3.Os demais problemas constatados vinculam-se mais diretamente à segurança e situam-se em dois níveis. Na base, verifica-se a existência de falhas estruturais, exemplificadas pela ausência de políticas de segurança, de regulamentação formal e de plano de contingências. No nível seguinte, encontram-se as falhas procedimentais, que são causadas pelas deficiências estruturais existentes na base, como o descontrole no acesso aos sistemas e às instalações, a ausência de análise dos relatórios de acesso, o tratamento impróprio de arquivos de backup, a documentação de sistemas incompleta, a ausência de classificação dos ativos de informação para fins de controle de acesso, a inexistência de controle de versões de programas e de alterações nas bases de dados, bem como a falta de validação de informações constantes dos cadastros informatizados.

4.É de se notar que algumas das falhas agora detectadas já haviam sido objeto de determinação deste Tribunal dirigidas ao CITEx por ocasião da apreciação do relatório de fiscalização realizada em 1997. Por este motivo, a equipe de auditoria propôs ouvir em audiência os gestores, além de ter formulado proposta de determinações a serem expedidas quando do exame de mérito do processo.

5.De fato, a situação apresentada desperta preocupação. Como já explicitado, o Siappes se constitui em instrumento destinado a gerir informações que fundamentam a realização de despesas vultosas. Apesar desse aspecto crítico do sistema, ficou demonstrado que não há garantias sólidas de que as informações armazenadas estejam devidamente protegidas contra acessos indevidos e incidentes, tais como alagamento ou incêndio. Em conseqüência, há um risco sempre crescente de manipulação dolosa - já verificado em outras oportunidades, com apuração em andamento (item 5.3 do relatório) - ou de perda de informação, com a concretização de prejuízos aos cofres públicos em ambos os casos.

6.Devo, todavia, discordar do encaminhamento proposto pela Unidade Técnica.7.Embora algumas das falhas ora relatadas já tenham motivado a expedição de

determinações saneadoras pelo Tribunal, entendo que não cabe examinar, agora, a possibilidade de aplicar sanções aos gestores por um eventual descumprimento de decisão desta Corte, conforme sugerido no item 7 do relatório. Isso porque as referidas falhas são, em sua maioria, de natureza procedimental e, portanto, sua solução depende da prévia implementação de medidas estruturais e administrativas, como a elaboração de políticas, a expedição de normas e a reestruturação administrativa das unidades responsáveis pelo sistema. Nesse contexto, há de ser considerado que a autorização para adoção de medidas desse gabarito não recai unicamente na esfera de competência dos dirigentes do CITEx, mas também em um nível hierárquico mais elevado. Logo, não vejo como responsabilizar os gestores pela persistência dos problemas anteriormente detectados, posto que a sua superação sujeitava-se à tomada de decisão em outros setores, que não foram acionados à época.

8.Por conseguinte, penso que as providências a serem adotadas neste caso devem observar esse escalonamento de responsabilidades. Assim, em primeiro lugar, cabe reiterar

as determinações já feitas ao CITEx, bem como lançar novas determinações corretivas ao CPEx, cujo atendimento deverá ser objeto de acompanhamento nas contas das unidades envolvidas. A seguir, cumpre dar conhecimento da situação encontrada ao Ministério da Defesa e ao Comando do Exército, alertando sobre a necessidade de propiciar as condições necessárias para que as unidades subordinadas solucionem as falhas de segurança constadas no Siappes, sob pena de se ver a materialização de graves danos ao erário.

9.Além disso, acato a sugestão de determinar à Secretaria de Fiscalização de Pessoal - Sefip a realização de trabalho de fiscalização destinado a verificar a correção dos procedimentos de geração das rubricas de pagamento aos militares ativos, inativos e pensionistas, visto que a lisura na utilização do sistema é garantida tanto pela segurança e pelo controle de acesso, como também pela qualidade dos dados armazenados.

Com essas considerações, submeto a este Colegiado o Acórdão que ora apresento.

Sala das Sessões, em 13 de abril de 2004.

Augusto Sherman CavalcantiRelator

ACÓRDÃO 782/2004 - Primeira Câmara - TCU

1. Processo: TC 018.133/2002-3.2. Grupo: II - Classe de Assunto: III - Relatório de Auditoria.3. Responsáveis: - Antônio César Gonçalves Menin (CPF 423.819.168-49), Chefe do

CPEx; Carlos Almir Mendes Balata (CPF 498.988.097-87), Ordenador de Despesas por Delegação do CPEx; Fernando Butters Colombiano (CPF 703.328.357-15), Ordenador de Despesas Substituto por Delegação do CPEx; César Lopes Coelho (CPF 499.173.667-68), Ordenador de Despesas do CITEx; Sócrates Flamarion Moraes Varjão (CPF 498.979.347-15), Ordenador de Despesas por Delegação do CITEx; Enio Antônio Alves dos Anjos (CPF 233.411.577-00), Ordenador de Despesas por Delegação do CITEx; Lourival dos Santos (CPF 499.164.677-49), Ordenador de Despesas por Delegação do CITEx.

4. Unidades: Centro de Pagamento do Exército - CPEx; Centro Integrado de Telemática do Exército - CITEx; Centro de Desenvolvimento de Sistemas do Exército - CDS.

5. Relator: Auditor Augusto Sherman Cavalcanti.6. Representante do Ministério Público: não atuou.7. Unidade Técnica: Adfis.8. Advogado constituído nos autos: não há.

9. Acórdão:VISTOS, relatados e discutidos estes autos de Relatório de Auditoria realizada no

Centro de Pagamento do Exército - CPEx e no Centro Integrado de Telemática do Exército - CITEx a fim de verificar a consistência, a confiabilidade, a segurança e a regularidade do Sistema Automático de Pagamento de Pessoal do Exército - Siappes;

ACORDAM os Ministros do Tribunal de Contas da União, reunidos em Sessão da 1ª Câmara, com fundamento no art. 43, inciso I, da Lei n° 8.443/92 e no art. 250, inciso II, do Regimento Interno, em:

9.1. reiterar ao Centro Integrado de Telemática do Exército - CITEx as determinações contidas nos itens 4.1.1.a) e 4.1.2 da deliberação adotada na Relação n° 27/98 - Ata n° 18/98 - Sessão da 2ª Câmara, de 18/06/1998, comunicada à unidade pelo Ofício n° 318/98/3ª Secex, de 29/06/1998;

9.2. determinar ao CITEx que:9.2.1. adote procedimentos formais de concessão e de validação periódica de senhas

de usuários de sistemas informatizados, bem como de cancelamento de acesso de usuários que são desligados da unidade;

9.2.2. inclua, no âmbito do planejamento de segurança do sistema de pagamento de pessoal do Exército, a análise regular e sistemática dos registros (logs) de sistema operacional e do próprio sistema de pagamento;

9.2.3. utilize, preferencialmente, ferramentas de auditoria, como softwares especializados, na análise dos registros (logs) de sistema a serem efetuadas;

9.2.4. adote um programa de treinamento específico para a área de segurança de sistemas, enfocando aspectos de segurança física e lógica, bem assim a reação dos funcionários frente à ocorrência de contingências que possam afetar a continuidade dos serviços;

9.3. determinar ao Centro de Pagamento do Exército - CPEx que:9.3.1. envide esforços para proceder à redefinição do regimento interno da unidade,

de modo que fiquem claramente explicitadas suas atribuições, responsabilidades e poderes como gestor de segurança do sistema informatizado de pagamento de pessoal do Exército;

9.3.2. adote providências para designar formalmente um membro do CPEx como gestor do sistema Siappes, e futuramente, do sistema Sispag;

9.3.3. adote providências para elaborar um esquema de segregação de funções e atividades, incluindo a separação dos ambientes de desenvolvimento, teste e produção, de modo a minimizar a possibilidade de ocorrência de fraudes ocasionadas pelo fato de um mesmo usuário ser detentor de permissões para modificar o código fonte do sistema, inserir e consultar dados;

9.3.4. adote um programa de treinamento específico para a área de segurança de sistemas, enfocando aspectos de segurança física e lógica, bem assim a reação dos funcionários frente à ocorrência de contingências que possam afetar a continuidade dos serviços;

9.3.5. formule, com o auxílio do CITEx, o inventário de ativos de informação, compreendendo a classificação do nível de confidencialidade de cada ativo e a definição de procedimentos para garantir a segurança nas diversas mídias nas quais a informação é armazenada ou pelas quais é transmitida, como o papel, as fitas magnéticas e as redes local e externa;

9.3.6. realize, com o auxílio do CITEx, a conferência periódica dos dados existentes no sistema informatizado de pagamento de pessoal com os contidos em outros cadastros informatizados, como os do Departamento Geral de Pessoal do Exército, da Receita Federal, da Dataprev e dos bancos nos quais é depositado o pagamento de militares;

9.3.7. formalize um esquema de segurança especial para guarda e manipulação das fitas, com a criação de um ambiente de acesso restrito para o seu armazenamento, visando garantir que a informação nelas contida não seja consultada ou alterada indevidamente;

9.3.8. adote providências para que os papéis e documentos que contenham informações relevantes sobre o pagamento de pessoal sejam adequadamente guardados em

armários ou gavetas, com fechaduras ou outras formas de proteção, especialmente fora do horário normal de serviço;

9.3.9. estude, em conjunto com o Centro de Desenvolvimento de Sistemas do Exército - CDS, a possibilidade de utilizar recursos de criptografia e validação digital na proteção dos arquivos a serem gerados pelo programa FAP Digital em suas futuras versões;

9.4. determinar ao Centro de Pagamento do Exército - CPEx, ao Centro Integrado de Telemática do Exército - CITEx e ao Centro de Desenvolvimento de Sistemas do Exército - CDS que, de maneira integrada, formalizem a política de segurança de informação do sistema informatizado de pagamento de pessoal do Exército;

9.5. enviar cópia deste Acórdão, bem como do Relatório e da Proposta de Deliberação que o fundamentam, ao Ministério da Defesa e ao Comando do Exército, alertando sobre a necessidade de propiciar as condições necessárias para que o CPEx e o CITEx cumpram as determinações constantes dos itens 9.1 a 9.4 desta deliberação, a fim de eliminar as falhas de segurança constadas no sistema informatizado de pagamento de pessoal do Exército;

9.6. determinar à Secretaria de Fiscalização de Pessoal - Sefip que realize fiscalização com o objetivo de verificar a correção dos procedimentos adotados no âmbito do sistema informatizado de pagamento de pessoal do Exército para a geração das rubricas referentes à concessão das parcelas salariais aos militares ativos, inativos e pensionistas do Exército;

9.7. juntar, oportunamente, cópia deste Acórdão, bem como do Relatório e da Proposta de Deliberação que o fundamenta, às contas do Centro Integrado de Telemática do Exército - CITEx, referentes ao exercício de 2003;

9.8. apensar, oportunamente, este processo às contas do Centro de Pagamento do Exército - CPEx, referentes ao exercício de 2003;

9.9. determinar à 3ª Secex que proceda ao acompanhamento das determinações ora expedidas nas contas das respectivas unidades.

10. Ata nº 11/2004 - Primeira Câmara11. Data da Sessão: 13/4/2004 - Ordinária12. Especificação do quórum:12.1. Ministros presentes: Marcos Vinicios Vilaça (Presidente), Humberto Guimarães

Souto, Walton Alencar Rodrigues e Guilherme Palmeira.12.2. Auditores presentes: Augusto Sherman Cavalcanti (Relator) e Marcos

Bemquerer Costa.

MARCOS VINICIOS VILAÇAPresidente

AUGUSTO SHERMAN CAVALCANTIRelator

Fui presente:PAULO SOARES BUGARINSubprocurador-Geral