Análise do cenário atual. Conforme definido pelo Decreto nº 10.463, de 14 de agosto de 2020, a Diretoria de Tecnologia da Informação (DTI) encontra-se subordinada à Secretaria-Executiva do MCTI. À DTI, de acordo com o artigo 7° do referido Decreto, dentre outros pontos, compete: Com a edição da Medida Provisória nº 980, de 10 de junho de 2020, o Ministério da Ciência, Tecnologia, Inovação e Comunicações (MCTIC) foi desmembrado em 2 (dois) ministérios: Ministério da Ciência, Tecnologia e Inovações (MCTI) e Ministério das Comunicações (MCOM). Portanto, a presente contratação visa a contratação de empresa especializada para o fornecimento de licenças de softwares aplicativos e sistemas operacionais Microsoft, destinados aos usuários finais, à camada cliente/servidor e banco de dados, em atendimento às necessidades do Ministério das Comunicações. O histórico de contratações para aquisição e manutenção de licenças MICROSOFT aponta que o MCTIC investiu regularmente nessa plataforma entre os anos de 2017 a 2020, totalizando um dispêndio total de R$ 8.369.359,92 (processo 01250.040011/2018-81). Além disso, dada a reestruturação do MCOM, com um quadro de pessoas mais enxuto, assim como a forte tendência do mercado de Tecnologia da Informação de utilização de ferramentas e tecnologias de cloud computing (nuvem) e, também, a precária situação de defasagem do parque tecnológico herdado (equipamentos obsoletos e/ou fora da garantia), há uma demanda crescente de utilização de um modelo híbrido de serviços (hospedagem mista entre nuvem pública e privada).
Análise do cenário atual. 3.1 Histórico de contratações do Ministério da Educação Descrevemos a seguir um revê histórico das últimas contratações realizadas pelo Ministério da Educação tendo por escopo as necessidades em análise.
Análise do cenário atual. A partir da publicação da Medida Provisória nº 980, de 10 de junho de 2020, o Ministério das Comunicações – MCOM foi criado e o então Ministério da Ciência, Tecnologia, Inovações e Comunicações – MCTIC, extinto. As competências do MCOM abrangem as seguintes áreas:
Análise do cenário atual. Atualmente o Ministério da Educação não dispõe de uma ferramenta capaz de prover as informações necessárias para analisar em tempo real a estrutura de dados nos bancos de dados e auditá-las. Assim, por vezes, acessos direto, LEGÍTIMOS, a Banco de Dados ocorrem por demanda da equipe de sistemas para que possam sustentar e desenvolver melhorias nos sistemas. Esses acessos apresentam as bases de dados como elas são incluindo os dados reais. Essa exibição proporciona uma falha grave de segurança da informação, pois dados sensíveis não poderiam ser acessados por qualquer pessoa, mesmo essas pessoas fazendo parte das equipes técnicas do MEC. Além disso, acessos não legítimos podem ocorrer a qualquer tempo por meio da ação de atacantes que tem como objetivo obter acesso às informações sensíveis e/ou danificar a base de dados. O uso da Tecnologia da Informação e Comunicação como recurso para a otimização dos serviços públicos possibilita a Administração Pública prover medidas que torne seus procedimentos cada vez mais ágeis, seguros, integrados, eficientes e, sobretudo, acessíveis à toda a população brasileira. Os dados sensíveis dos bancos de dados no Ministério da Educação estão sendo condensados na infraestrutura de SGBD (Gerenciamento de Banco de Dados ou Database Management System - DBMS), porém a capacidade nativa de segurança destes SGBD é insuficiente para gerir os riscos crescentes de ameaças, sejam elas internas e externas. De acordo com o GARTNER2, 96% dos registros de violação de dados se deram em resultado de servidores de banco de dados comprometidos. Além disso, a gestão de SGBD cria um aumento da complexidade do gerenciamento de riscos para toda a estrutura organizacional de segurança da informação. Devido a não homogeneidade da estrutura de banco de dados atual do Ministério da Educação, e em parte porque os controles nativos dos SGBD utilizados não oferecerem suporte ou capacidade de gerenciamento centralizado para outros SGBD, entendemos haver situação de potencial fragilidade nessas estruturas – em termos de capacidades de auditoria e de segurança, levando a risco de falhas potencialmente críticas na estratégia de segurança de banco de dados heterogêneos. Ademais muitas funcionalidades nativas dos SGBD não possuem algumas das mais importantes funcionalidades e dispositivos de segurança, tal como políticas de segurança para auditoria de acessos suspeitos. Unificar os SGBD não seria uma solução, haja visto que as diversas tecnologias utilizadas e...