SEI/ANAC - 9366577

Conforme estabelecido no artigo 9°, inciso V, do Regimento Interno da ANAC, compete à Diretoria da ANAC analisar, discutir e decidir, em instância administrativa final, as matérias de competência da Agência, bem como aprovar procedimentos administrativos de licitação. Além disso, o art. 3º, inciso III, da Instrução Normativa nº 29, de 20 de outubro de 2009, dispõe que cabe à Diretoria decidir sobre a aquisição, alienação e locação de bens e contratação de obras e serviços com valores acima de R$ 1.000.000,00 (um milhão de reais).

Nesse sentido, resta evidente a competência deste Colegiado para deliberação e revisão normativa proposta.

Conforme apontado no Relatório (SEI! 9366575), trata-se de pedido submetido pela Superintendência de Administração e Finanças - SAF para autorização de realização de licitação, na modalidade de pregão, na forma eletrônica, do tipo menor preço por grupo, objetivando a contratação de solução de tecnologia da informação e comunicação visando à aquisição de equipamentos de firewall de próxima geração (NGFW), compreendendo gerência centralizada, instalação e configuração da solução, com garantia e suporte técnico pelo período de 60 (sessenta) meses, e o fornecimento de atualização de licenças de uso, garantia e suporte técnico para a solução BIG-IP F5 implantada no ambiente tecnológico da ANAC (SEI! 9358040)

De acordo com os estudos técnicos preliminares (SEI! 9238964 e 9238967), no "ano de 2018, a ANAC passou por um processo de renovação da sua infraestrutura de soluções de segurança, que já se encontrava obsoleta e sem assistência técnica." No âmbito do processo SEI! 00058.503192/2016-11, foram celebrados os Contratos n^os 30/2018 (SEI! 2259169), 31/2018 (SEI! 2259175) e 37/2018 (SEI! 2486068), cujos objetos trataram de "aquisição de Solução de Segurança da Informação, de forma a substituir, modernizar e aprimorar os atuais recursos de segurança da ANAC, incluindo fornecimento, instalação, configuração, além de suporte e garantia pelo prazo de 60 (sessenta) meses". O Contrato 31 tratou da aquisição de equipamentos de "firewall de aplicação (WAF - Web Application Firewall)", enquanto os outros dois objetivaram a aquisição de equipamentos de "firewalls de borda, das soluções de proteção de ameaças avançadas e de endpoints".

Em relação à soluções indicadas pela Equipe de Planejamento da Contratação, para o casos dos equipamentos de Web Application Firewall (WAF), optou-se pela "contratação de serviço de renovação das licenças de software, suporte técnico e garantia para 4 equipamentos (appliances) e os respectivos softwares da F5 Networks utilizados pela ANAC", visto que a "solução em uso na ANAC atende de forma satisfatória as necessidades da Agência, sendo reconhecidamente uma das melhores ferramentas de proteção de aplicações WEB disponíveis no mercado" (SEI! 9238964). Já quanto aos outros equipamentos adquiridos, a equipe detacou que a "renovação das condições de suporte técnico e garantia da solução não se mostrou viável, diante da publicação pelo fabricante dos prazos de fim de suporte das soluções de firewall, que se encerram em Dezembro de 2025. Dessa forma, entende-se que tecnicamente a melhor estratégia é buscar junto ao mercado soluções que atendam aos requisitos tecnológicos da ANAC e à dinâmica da área de segurança da informação, considerando um panorama de 60 meses de garantia e suporte técnico" (SEI! 9238967).

Para um melhor entendimento das finalidades dos equipamentos existentes e dos que se pretende adquirir, destacam-se as explicaões contidas nos subitens 3.3 e 3.4 do Termo de Referência (SEI! 9356717):

"3.3 A solução de firewall de próxima geração (NGFW - Next Generation Firewall) realizará a inspeção e o filtro do tráfego, protegendo a rede de dados interna do órgão contra ataques oriundos da rede externa e da própria rede interna, utilizando funcionalidades com IPS (Intrusion Prevention System), proteção contra ameaça avançadas, filtro web, controle de aplicação, além de prover serviço de VPN (Virtual Private Network) para acesso seguro a partir do ambiente externo

3.4 Quanto á solução BIG-IP F5, trata-se de solução de WAF (Web Application Firewall) já adquirida e em uso na ANAC para fins de proteção das aplicações web disponibilizadas pela Agência a partir do controle e monitoramento de tráfego HTTP e HTTPS. Com ela, é possível criar um conjunto de regras de análise de tráfego instantânea para que ameaças como Cross-Site Scripting, SQL injections, DDoS, entre outras, sejam identificadas e tratadas antes de chegarem à aplicação. Essas regras de proteção estão alinhadas as recomendações do Consorcio WASP, descrita na categoria OWASP Top 10 (https://owasp.org/wwwproject-top-ten/). Dessa forma, a proposta é a atualização das licenças de uso, garantia premium e suporte técnico para esse produto."

Em relação à importância desses equipamentos e soluções de TI, destaca-se a "proteção cibernéticas do ambiente tecnológico da ANAC frente a exposição de acessos pela internet" ou "eventuais ameaças internas". Além disso, ressalta-se que essas soluções "são fundamentais para o funcionamento da rede de dados da ANAC e disponibilização de todos os serviços de TI, incluindo correio eletrônico, e sistemas como SEI, CHT Digital, SACI e Santos Dumont" e que os "cenários de riscos de falhas desses equipamentos e soluções precisam ser mitigados com a manutenção de contratos de suporte técnico e garantia sempre vigentes" (SEI! 9238967).

No que se refere à análise jurídica, a Procuradoria Federal junto à ANAC, por meio do Parecer nº 180 (SEI! 9337259), se manifestou pela "viabilidade jurídica da licitação que se pretende realizar, tendo em vista que, sob os aspectos formais e de legalidade, não foram vislumbrados óbices", mas destacando a "necessidade da observância das recomendações (destacadas em negrito) constantes no texto" do parecer, que foram analisadas, atendidas ou justificadas pela STI e pela SAF, conforme Notas Técnicas 248 e 258 (SEI! 9340982 e 9355370) e Parecer 50 (SEI! 9358030).

Durante a análise dos documentos submetidos pela Nota Técnica 393 (SEI! 9358040), não foram identificados ajustes necessários, não havendo óbice de minha parte quanto à autorização da abertura do procedimento licitatório.

Diante do exposto, VOTO FAVORAVELMENTE pela autorização de realização de licitação, na modalidade de pregão, na forma eletrônica, do tipo menor preço por grupo, objetivando a contratação de solução de tecnologia da informação e comunicação visando à aquisição de equipamentos de firewall de próxima geração (NGFW), compreendendo gerência centralizada, instalação e configuração da solução, com garantia e suporte técnico pelo período de 60 (sessenta) meses, e o fornecimento de atualização de licenças de uso, garantia e suporte técnico para a solução BIG-IP F5 implantada no ambiente tecnológico da ANAC, nos termos propostos pela Superintendência de Administração e Finanças.

Documento assinado eletronicamente por Ricardo Bisinotto Catanant, Diretor-Presidente, Substituto, em 24/11/2023, às 09:52, conforme horário oficial de Brasília, com fundamento no art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020.

A autenticidade deste documento pode ser conferida no site https://sei.anac.gov.br/sei/autenticidade, informando o código verificador 9366577 e o código CRC 4F3FA074.