SEI/ANAC - 11419192

Conforme estabelecido no artigo 9°, inciso V, do Regimento Interno da ANAC, compete à Diretoria da ANAC analisar, discutir e decidir, em instância administrativa final, as matérias de competência da Agência, bem como aprovar procedimentos administrativos de licitação. Além disso, o art. 3º, inciso III, da Instrução Normativa nº 29, de 20 de outubro de 2009, dispõe que cabe à Diretoria decidir sobre a aquisição, alienação e locação de bens e contratação de obras e serviços com valores acima de R$ 1.000.000,00 (um milhão de reais).

Nesse sentido, resta evidente a competência deste Colegiado para deliberação sobre a proposta de realização de licitação para a contratação de serviços técnicos especializados de Segurança da Informação para a implantação de um Security Operation Center - SOC, envolvendo serviços de gerenciamento, monitoramento, detecção e resposta a incidentes de segurança, de gestão de vulnerabilidades, de gestão de ativos e configuração segura, de gestão de conta, controle de acesso e auditoria, de apoio à gestão de segurança, serviços de inteligência de ameaças cibernéticas e de testes de invasão, cujo valor estimado no termo de referência (SEI! 11356293) é de R$ 9.184.874,58 (nove milhões cento e oitenta e quatro mil oitocentos e setenta e quatro reais e cinquenta e oito centavos) para um período de 24 meses.

De acordo com o Estudo Técnico Preliminar - ETP (SEI! 11356310), a "ANAC conta com uma robusta e complexa infraestrutura de TI (...), cujo funcionamento, em níveis de excelência, [requer] caráter ininterrupto para a boa e regular realização de suas atividades", sendo que, para realizar a gestão da segurança da informação dessa infraestrutura, é necessário um elevado nível de especialização, em quantidade adequada de profissionais. Sobre esse ponto, é destacado que o reduzido quadro de servidores alocados na Superintendência de Tecnologia e Transformação Digital - STD tem pouca capacidade operacional e disponibilidade para execução desse tipo de atividades e que, essencialmente, suas atividades estão mais relacionadas ao exercício dos papéis e das ações de planejamento, definição, coordenação, supervisão, gestão e controle das atividades de Tecnologia da Informação em âmbito institucional.

Adicionalmente, o Documento de Formalização da Demanda - DFD (SEI! 8206616) ressalta que a segurança cibernética e a segurança da informação são atualmente fatores preponderantes para efetividade da entrega de serviços públicos em toda Administração Pública e que o Governo Brasileiro lançou o Programa de Privacidade e Segurança da Informação (PPSI)^[1], desenvolvido com base em frameworks, normas e padrões de organizações do mercado que criaram uma série de políticas e procedimentos, tais como os "padrões ISO 27000, o Framework de Cibersegurança do NIST, a norma PCI DSS e os Controles Críticos de Segurança para Efetiva Defesa Cibernética do Center for Internet Security (CIS Controls)".

Conforme se verifica na Portaria SGD/MGI nº 852, de 28 de março de 2023, instituidora do programa, o PPSI tem por objetivo "elevar a maturidade e a resiliência dos órgãos e entidades, em termos de privacidade e segurança da informação, no âmbito do [Sistema de Administração dos Recursos de Tecnologia da Informação -] SISP" e se caracteriza como "um conjunto de projetos e processos distribuídos nas áreas temáticas de governança, maturidade, metodologia, pessoas e tecnologia". A mesma Portaria também instituiu o "Framework de Privacidade e Segurança da Informação, composto por um conjunto de controles, metodologias e ferramentas de apoio", sendo importante salientar que o art. 7º, §1º, dispõe que os "controles dispostos no framework deverão ser considerados controles internos da gestão, nos termos do inciso V do art. 2º da Instrução Normativa Conjunta CGU/MPOG nº 1, de 10 de maio de 2016^[2]", da qual considero importante citar os arts. 3º, 4º e 5º:

"Art. 3º Os órgãos e entidades do Poder Executivo federal deverão implementar, manter, monitorar e revisar os controles internos da gestão, tendo por base a identificação, a avaliação e o gerenciamento de riscos que possam impactar a consecução dos objetivos estabelecidos pelo Poder Público. Os controles internos da gestão se constituem na primeira linha (ou camada) de defesa das organizações públicas para propiciar o alcance de seus objetivos. Esses controles são operados por todos os agentes públicos responsáveis pela condução de atividades e tarefas, no âmbito dos macroprocessos finalísticos e de apoio dos órgãos e entidades do Poder Executivo federal. A definição e a operacionalização dos controles internos devem levar em conta os riscos que se pretende mitigar, tendo em vista os objetivos das organizações públicas. Assim, tendo em vista os objetivos estabelecidos pelos órgãos e entidades da administração pública, e os riscos decorrentes de eventos internos ou externos que possam obstaculizar o alcance desses objetivos, devem ser posicionados os controles internos mais adequados para mitigar a probabilidade de ocorrência dos riscos, ou o seu impacto sobre os objetivos organizacionais.

Art. 4º Os controles internos da gestão devem integrar as atividades, planos, ações, políticas, sistemas, recursos e esforços de todos que trabalhem na organização, sendo projetados para fornecer segurança razoável de que a organização atingirá seus objetivos e missão.

Art. 5º Os controles internos da gestão não devem ser implementados de forma circunstancial, mas como uma série de ações que permeiam as atividades da organização. Essas ações se dão em todas as operações da organização de modo contínuo, inerentes à maneira pela qual o gestor administra a organização."

Com base na metodologia contida no Framework de Privacidade e Segurança da Informação, em 2023, a Diretoria Colegiada aprovou (SEI! 8197232) a revisão dos parâmetros de acompanhamento, indicadores e metas estratégicos da ANAC para, dentre outras alterações, incluir o indicador estratégico 11.5, denominado "Índice de maturidade em segurança da informação - iSeg", vinculado ao Objetivo Estratégico "OE 11- Aprimorar a gestão da informação para tomada de decisão". Conforme se verifica nos autos, a contratação proposta tem correlação direta com o desenvolvimento desse indicador, sendo essencial para a evolução da maturidade da Agência no campo da segurança da informação.

Em relação ao conteúdo dos documentos apresentados, foram identificadas necessidades pontuais de ajustes na minuta de edital, no Termo de Referência e no Anexo I ao termo de referência (Especificações Técnicas), sinalizadas às Superintendências de Administração e Finanças - SAF e de Tecnologia e Transformação Digital - STD pelo e-mail SEI! 11418449 (anexo SEI! 11418459), de forma que os documentos ajustados foram incluídos no processo, conforme "Edital de Licitação - Minuta revisada (11419905)", "Termo de Referência (11424231)" e "Anexos do Termo de Referência (11424243)".

Por fim, considerando a regularidade jurídica do procedimento atestada pela Procuradoria Federal junto à ANAC - PF-ANAC (SEI! 11121537), tendo suas recomendações analisadas pela Equipe de Planejamento da Contratação (SEI! 11148458) e pela Gerência Técnica de Licitações e Contratos (SEI! 11143093), resultando em ajustes nas propostas iniciais, conforme destacado no subitem 1.7 do Relatório de Diretoria (SEI! 11419187), e as adequações posteriores, realizadas após revisão promovida por esta relatoria sobre os documentos contidos nos autos, entendendo não haver mais qualquer ajuste necessário, manifesto concordância com a continuidade do procedimento de contratação, considerando as justificativas, itens, quantitativos e prazos indicados.

Diante do exposto, VOTO FAVORAVELMENTE pela autorização de realização de licitação para a contratação de serviços técnicos especializados de Segurança da Informação para a implantação de um Security Operation Center - SOC, envolvendo serviços de gerenciamento, monitoramento, detecção e resposta a incidentes de segurança, de gestão de vulnerabilidades, de gestão de ativos e configuração segura, de gestão de conta, controle de acesso e auditoria, de apoio à gestão de segurança, serviços de inteligência de ameaças cibernéticas e de testes de invasão, nos termos propostos pela Superintendência de Administração e Finanças e ajustes promovidos, conforme indicado no subitem 2.5 desta Voto.

Documento assinado eletronicamente por Roberto José Silveira Honorato, Diretor-Presidente, Substituto, em 22/04/2025, às 15:57, conforme horário oficial de Brasília, com fundamento no art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020.

A autenticidade deste documento pode ser conferida no site https://sei.anac.gov.br/sei/autenticidade, informando o código verificador 11419192 e o código CRC EDA657ED.