SEI/ANAC - 11375997 - Nota Técnica

Contratação de serviços técnicos especializados de Segurança da Informação para a implantação de um Security Operation Center - SOC, envolvendo serviços de gerenciamento, monitoramento, detecção e resposta a incidentes de segurança, de gestão de vulnerabilidades, de gestão de ativos e configuração segura, de gestão de conta, controle de acesso e auditoria, de apoio à gestão de segurança, serviços de inteligência de ameaças cibernéticas e de testes de invasão.

Trata-se da solicitação de apreciação pela Diretoria Colegiada da Anac da presente proposta de contratação por meio de procedimento licitatório.

O processo de contratação, deflagrado pelo Documento de Formalização de Demanda - DFD (sei! 8206616) da Superintendência de Tecnologia e Transformação Digital (STD), trouxe a seguinte justificativa para a contratação:

2.4. Nos últimos anos a ANAC tem dedicado especial atenção ao assunto da segurança cibernéticas dos seus serviços de TI e ativos de informação. Em 2019, foi revisada a Política de Segurança da Informação e operacionalizado o Comitê de Segurança da Informação – CSIP. Desde então, diversos esforços já foram feitos no desenvolvimento de normas internas, renovação e aquisição de novas ferramentas de segurança de redes, e operacionalização de processos de trabalhos. Chegou-se ao ponto que para evoluir a maturidade nos processos e ferramentas relacionadas é necessário dispor de novos investimentos em mão de obra especializada e ferramentas avançadas de monitoração, prevenção e tratamento de incidentes cibernéticos. Além disso, a atenção do TCU, GSI/PR e SGD/ME tem sido reforçada nesse assunto. O GSI junto com a Presidência da República tem revisado e editada novas normas, instruções normativas e decretos. O TCU estabeleceu em 2020 a “Estratégia de Fiscalização do TCU em Segurança da Informação e Segurança Cibernética 2020-2023”. A SGD/ME estabeleceu em 2022 o Programa de Privacidade e Segurança da Informação (PPSI).

2.5. Nesse caminho, as exigências impostas à APF são substancialmente maiores que a capacidade da equipe de TI da ANAC, e para suprir essa necessidade é comum no mercado e em órgãos da APF se recorrer a contratação de serviços especializados de segurança.

2.7. A ANAC/STI atualmente não dispõe de um ou mais contratos para lidar com uma parte significativa do grande arcabouço de disciplinas e tarefas operacionais relacionas a segurança cibernética e segurança da informação. Sendo assim, dado todo o contexto anterior da importância da segurança da informação, é imprescindível que a STI/ANAC disponha de contrato de serviço técnico especializado que possa complementar e permitir que a STI/ANAC evolua a abrangência e maturidade dos processos relacionados ao tema.
2.8. Cumpre ainda esclarecer que a STI/ANAC dispõem no contrato de suporte de infraestrutura de TI (Contrato n° 21/ANAC/2021) do serviço de NOC, ou Network Operation Center, que opera em regime 24x7 e que tem o principal objetivo de monitorar a disponibilidade de serviços de TI e reagir no caso de incidentes diversos no sentido de reativar os serviços. Esse serviço, contudo, não tem o mister para lidar com ataques cibernéticos, pois requer equipe de TI com habilidades específicas.
2.9. Para a defesa cibernéticas, a prevenção, tratamento e resposta a incidentes cibernéticos (equipe ETIR), faz-se mister dispor de serviço em regime de 24x7 que possa monitorar os serviços e a infraestrutura de TI da ANAC. Este serviço é geralmente denominado SOC. O SOC, ou Security Operations Center (Centro de operações de segurança, em tradução livre), tem por objetivo maior o de responder a quaisquer incidentes que venham a ocorrer, fazendo uso de uma gama de soluções e tecnologias, desde sistemas de gerenciamento de eventos (SIEM), SOAR (Security Orchestration, Automation and response) até firewalls para detecção de invasão. Com esse tipo de monitoramento a mitigação das ocorrências acontecem de forma muito eficaz. Além disso, o SOC tem como atividade a execução contínua de verificação de vulnerabilidades da rede em busca de ameaças e fraquezas do sistema verificado. Dentre as vantagens do SOC, podem ser destacados: monitoramento em tempo real; eficiência no tratamento de incidentes; equipe de segurança especializada; redução de custos/danos; e serviço personalizável, de acordo com nas necessidades de cada empresa.

Para o atendimento dessa demanda constituiu-se a Equipe de Planejamento da Contratação pela Portaria nº 15003, de 10 de julho de 2024 (sei! 10278111).

Como resultado de seu trabalho, a Equipe de Planejamento da Contratação indicou no Estudo Técnico Preliminar (ETP) 21/2023 (sei! 11356310) e no Termo de Referência (TR) 9/2024 (sei! 11356293) a contratação pelo valor de referência R$ 9.184.874,58 (nove milhões, cento e oitenta e quatro mil oitocentos e setenta e quatro reais e cinquenta e oito centavos), adotando-se a vigência contratual de 24 (vinte e quatro) meses. Anota-se que o valor da contratação relaciona-se com o período total de vigência (24 meses), conforme detalhado no quadro a seguir:

A proposta de licitação, na modalidade Pregão, na forma eletrônica, do tipo Menor Preço, foi submetida à Procuradoria Federal Especializada junto à Anac, vide Nota Técnica nº 364/2024/GTLC/GEST/SAF (sei! 10477900), que se manifestou junto ao Parecer nº 9/2025/PROT/PFEANAC/PGF/AGU (sei! 11121537), aprovado pelo Despacho nº 4/2025/CMA/PFEANAC/PGF/AGU (sei! 11121545) e Despacho nº 18/2025/GAB/PFEANAC/PGF/AGU (sei! 11121548).

Os apontamentos registrados no predito parecer foram atendidos, de acordo com as respectivas competências, na Nota Técnica nº 29/2025/GEIT/STD (sei! 11148458) e no Parecer nº 4/2025/GTLC/GEST/SAF (sei! 11143093).

Ao fim, julga-se que, diante do relatado, a proposta de contratação figura-se apta para a submissão à Diretoria Colegiada desta Agência Reguladora, nos termos do inciso V, art. 9º, do Regimento Interno c/c art. 3º da IN ANAC nº 29/2009 e alterações.

Pelo exposto, mediante a anuência subscrita do Gerente Técnico de Licitações e Contratos, solicita-se o encaminhamento dos autos à Gerente de Gestão Estratégica de Recursos para anuência, e posteriormente a remessa do processo ao Superintendente de Administração e Finanças, para que autorize o encaminhamento do processo à Assessoria Técnica (ASTEC), com vistas a submeter a contratação e a minuta de edital e seus anexos à apreciação da Diretoria Colegiada, com a subsequente autorização para abertura da licitação, com fulcro no inciso III, do art. 3º, da Instrução Normativa Nº 29, de 20 de outubro de 2009, bem como no inciso V do art. 9º da Resolução nº 381, de 14 de junho de 2016.

Posteriormente, para a continuidade da contratação, faz-se necessário o retorno do processo a esta GTLC/SAF.

Documento assinado eletronicamente por Fabiano Benedito de Siqueira Bento, Analista Administrativo, em 04/04/2025, às 13:39, conforme horário oficial de Brasília, com fundamento no art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020.

Documento assinado eletronicamente por Laerte Gimenes Rodrigues, Gerente Técnico, em 04/04/2025, às 14:37, conforme horário oficial de Brasília, com fundamento no art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020.

Documento assinado eletronicamente por Silvia de Souza Barbosa, Gerente, em 04/04/2025, às 15:51, conforme horário oficial de Brasília, com fundamento no art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020.

Documento assinado eletronicamente por Alberto Eduardo Romeiro Júnior, Superintendente de Administração e Finanças, em 07/04/2025, às 16:59, conforme horário oficial de Brasília, com fundamento no art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020.

A autenticidade deste documento pode ser conferida no site https://sei.anac.gov.br/sei/autenticidade, informando o código verificador 11375997 e o código CRC 57EEFB3A.

VALOR DE REFERÊNCIA PARA CONTRATAÇÃO DE SERVIÇOS TÉCNICOS ESPECIALIZADOS DE SEGURANÇA DA INFORMAÇÃO PARA A IMPLANTAÇÃO DE UM SECURITY OPERATION CENTER - SOC (Portaria SGD/MGI nº 1.070, de 2023)
Grupo	Item	Objeto	Custo mensal	Custo unitário	Custo 2 anos	Observação
1	1	Apoio à Gestão de Segurança	R$ 40.529,86		R$ 972.716,64
	2	Gestão de Ativos e Configuração Segura	R$ 19.554,94		R$ 469.318,56
	3	Gestão de Conta, Controle de Acesso e Auditoria	R$ 19.554,94		R$ 469.318,56
	4	Gestão de incidentes de segurança da informação (Blue Team)	R$ 46.529,04		R$ 1.116.697,06
	5	Monitoramento e correlação de eventos de segurança da informação	R$ 47.158,19		R$ 1.131.796,56
	6	Serviço de contratação de pacotes adicionais de 500 EPS da ferramenta SIEM por 12 meses	R$ 3.333,33	R$ 8.000,00	R$ 80.000,00	Contratação por demanda. Custo mensal estimado.
	7	Gestão de Vulnerabilidades	R$ 27.488,50		R$ 659.724,00
	8	Solução de gerenciamento de vulnerabilidades de segurança	R$ 6.000,00		R$ 144.000,00
	9	Segurança de Redes	R$ 27.488,50		R$ 659.724,00
	10	Segurança de Aplicação	R$ 27.488,50		R$ 659.724,00
		TOTAL GRUPO 1	R$ 265.125,81		R$ 6.363.019,38
2	11	Inteligência de Ameaças Cibernéticas	R$ 32.000,00		R$ 768.000,00
3	12	Testes de Invasão	R$ 85.577,30	R$ 8.557,73	R$ 2.053.855,20	Contratação por demanda. Custo mensal estimado.
		VALOR TOTAL	R$ 382.703,11		R$ 9.184.874,58