Tópico: “BASES DE DATOS Y MINERÍA DE DATOS: HERRAMIENTAS Y TÉCNICAS EMPLEADAS
POR LAS EFS”
1. ¿En la EFS el almacenamiento de las bases de datos de información misional o de negocio,
se encuentra local, en la Nube o híbrido?
R.: Las informaciones para el funcionamiento del negocio son almacenadas en servidores
localizados en la propia institución.
2. ¿La EFS hace explotación de datos y/o extracción de información para transformar en
conocimiento útil y ayudar en la toma de decisiones? ¿A través de qué medio y/o
herramienta?
R.: El TCU recibe, analiza y correlaciona un gran volumen de informaciones a partir del acceso y
recepción periódica de diversas bases de datos de órganos y entidades de la Administración
Pública federal (relacionadas con pagos, adquisiciones, licitaciones, convenios, etc.). Los datos
son recibidos por medio de archivos con formatos predefinidos que alimentan nuestras bases
de datos (modelos relacionales) por medio de procedimientos de cargas periódicos. Para la
manipulación de esas informaciones se utilizan directamente lenguajes de consulta
estructurada (SQL - Structured Query Language) y herramientas de elaboración de informes
basados en esas consultas.
También existen trabajos de auditoría que involucran el recibimiento de datos para la ejecución
de trabajos puntuales de enfoque delimitado por los objetivos de cada auditoría. En esos casos,
los datos son trabajados usando herramientas específicas de manipulación de datos, como el
ACL, el Access y el Excel, entre otros.
3. ¿La EFS ha tenido dificultades con respecto a la recolección de la información por la falta
de estandarización en su presentación? ¿Cuáles? (por ejemplo, diferentes formas de
presentación, formatos como Pdf, Excel, Word, texto plano, etc.).
R.: Diversos sistemas en la Administración Pública federal tornan disponible informaciones
estructuradas por el envío de copias de sus bases de datos (bases de datos relacionales, en la
mayoría de los casos). En casos específicos son encaminados archivos en formato predefinido
(texto con un layout específico, XML, etc.). En la mayoría de los casos, sin embargo, los órganos
de la Administración Pública enfrentan dificultades para cumplir con esa demanda por layouts
predefinidos, y por ese motivo encaminan al TCU copias integrales de sus bases de datos.
Consecuentemente, los archivos recibidos se presentan en diversos formatos (MS-SQL Server,
Oracle, PostgreSQL,…) y layouts inestables, lo que exige un esfuerzo adicional por parte del TCU
para analizar los datos recibidos y cargarlos en una base de datos única antes de poder
utilizarlos.
Para la manipulación de documentos, tales como los publicados en Diarios Oficiales (que
contienen sólo textos) son utilizadas herramientas de indexación para búsquedas puntuales. El
Tribunal inició también una búsqueda, en conjunto con empresas del mercado en el área de
análisis de datos, de soluciones tecnológicas capaces de tratar grandes volúmenes de
informaciones almacenadas de una forma no estructurada.
6. ¿Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia?
R.: Actualmente, diversas unidades de fiscalización del Tribunal han incorporado acciones de
inteligencia en sus actividades de control, principalmente para la escogencia de temas y
objetos de fiscalización, por medio de análisis de informaciones basadas en sistemas de
información distribuidos en los órganos y entidades fiscalizados. El uso de esos sistemas
permite también la profundización de actividades y procedimientos ejecutados durante las
auditorías. Esa es una actividad que debe aumentar con el tiempo.
Tópico: “INFORMACIÓN PUBLICADA EN INTERNET O COMPARTIDA ENTRE EFS.”
1. ¿La EFS publica información misional a través de Internet?
R.: No entendí qué se quiso decir con “información misional”. Se refiere a la competencia
primaria del Tribunal [control externo]? En caso afirmativo, la respuesta también es positiva.
En el Portal hay secciones denominadas “Fiscalização e controle” y “Responsabilização”, con
contenido relacionado a estas áreas de actuación del TCU. Aún, desde el Portal se puede buscar
la base de jurisprudencia y publicaciones técnicas de la Corte, así como acceder a servicios
direccionados a los en jurisdicción y a la sociedad en general.
2. ¿La EFS ofrece servicios web a través de su propio portal de Internet?
R.: Son ofrecidos varios servicios por nuestro portal, que son utilizando tanto por los
reclamantes como por los más diversos actores de la sociedad (funcionarios públicos actuando
en actividad de control, periodistas, ciudadanos, etc.). Por ejemplo, consulta a informes de
auditoría, bases de datos de empresas o personas consideradas no idóneas, bases de datos de
personas consideradas inelegibles, etc.
3. ¿La EFS considera tener controlados todos los incidentes de seguridad que han ocurrido en
la red de datos?
Sin respuesta
4. ¿La EFS propende por el correcto y seguro funcionamiento de las instalaciones de
procesamiento de la información y medios de comunicación?
Sin respuesta
5. ¿Existe un plan a nivel nacional para ingreso a IPv6 en la que esté involucrada la EFS?
Sin respuesta
6. ¿Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia?
Sin respuesta
Tópico: “SEGURIDAD INFORMÁTICA-SI”
1. ¿En la EFS la información del proceso auditor se maneja digitalmente a través de
expedientes electrónicos con niveles de seguridad como firmas electrónicas?
R.: Sí. Desde el año 2010 la manipulación de los procesos de control externo del TCU ocurre por
medio digital, con los autos procesales autenticados a través de certificación electrónica, lo
que, además de garantizar las propiedades inherentes a esa tecnología, les da validez jurídica.
2. ¿En la EFS se utiliza cifrado de datos para almacenamiento en bases de datos y/o
transmisión de los mismos?
Sin respuesta
3. ¿En la EFS a nivel de aplicaciones, qué seguridad se está aplicando?
Sin respuesta
4. ¿La EFS cuenta con procedimientos estandarizados para adquisición, desarrollo y/o
mantenimiento de software, que garanticen niveles de seguridad de la(s) aplicación(es)?
¿Cuáles?
Sin respuesta
5. ¿La EFS cuenta con mecanismos de seguimiento, evaluación y control al cumplimiento de
los procedimientos definidos? Especifique.
Sin respuesta
6. ¿Existen leyes nacionales para reglamentar la recolección, uso y procesamiento de la
información personal?
Sin respuesta
7. ¿A nivel nacional existen leyes o códigos aplicables que contengan los requerimientos
generales de seguridad para los proveedores de servicios de “hosting” de información digital
y de nube?
Sin respuesta
8. ¿Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia?
Sin respuesta
Tópico: “BUENAS PRÁCTICAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN”
1. ¿Existe una Política de seguridad adoptada institucionalmente por la EFS? ¿Desde qué
año?
R.: Sí, actualmente la Política Corporativa de Seguridad de la Información del TCU (PCSI/TCU)
está dispuesta en el Decreto -TCU 210 del 14 de agosto de 2014. El Tribunal posee una Política
Corporativa de Seguridad de la Información desde el año 1999.
2. ¿La EFS cuenta con una metodología para gestión de incidentes de seguridad? ¿Cuál?
R.: No
3. ¿La EFS cuenta con una metodología para el análisis de vulnerabilidades y gestión de
riesgo? ¿Cuál?
R.: Sí. La metodología de evaluación de riesgos en seguridad de la información se basa en el
método FRAAP (Facilitated Risk Analysis and Assessment Process). El modelo está compuesto
de 5 etapas: Introducción de la Gestión de Riesgo en Seguridad de la Información; Presentación
de la Metodología y Procesos o Servicios evaluados; Identificación de Riesgos; Clasificación de
los Riesgos; Plan de Tratamiento de Riegos.
4. ¿La EFS ha realizado pruebas de la efectividad del Plan de Continuidad del Negocio y
recuperación de desastres?
R.: Con respecto a la Continuidad y Recuperación de desastres de TI, sí. Se ha realizado una
prueba plena de continuidad y recuperación en 2014. En cuanto a la Continuidad de Negocios
del área corporativa, no. Nunca se han realizado pruebas relacionadas con los Planes de
Continuidad corporativos.
5. Según las pruebas de la pregunta 4. ¿En la EFS cuál es el tiempo promedio para restablecer
la operación de la infraestructura tecnológica y dar continuidad al Negocio?
R.: El tiempo promedio para recuperar el funcionamiento de la infraestructura de TI en el TCU
es de 24 horas.
6. ¿La EFS tiene clasificada la información producida y recibida (Confidencial, publica, etc.)?
R.: Sí, el TCU reglamentó la aplicación de la Ley de Acceso a la Información de Brasil
(12.527/2011), más específicamente su manejo para la clasificación de la información, por
medio de la Resolución TCU-254 del 10 de abril de 2013. Desde entonces, el Tribunal hace la
clasificación de la información producida por sus Auditores. Las informaciones recibidas son
clasificadas por la entidad que las ha producido.
7. ¿La EFS cuenta con Acuerdos de privacidad, niveles de servicio (NDA, SLA), etc.?
R.: El Tribunal de Cuentas de la Unión adopta buenas prácticas de SI, tomando como ejemplo la
previsión de acuerdos de nivel de servicio (SLA), aplicables externamente en contratos de
prestación de servicios al Tribunal e internamente, en el contexto de la planificación interna,
con el fin de garantizar calidad al suporte a las actividades de negocio de la organización. Del
mismo modo, términos de confidencialidad (NDA) y de responsabilidad se prevén en proceso de
contratación de bienes y acceso la red TCU.
8. ¿La EFS tiene establecido un Plan de respuesta a incidentes?
R.: No
9. ¿En la EFS se realiza Auditoría externa/interna a la gestión de incidentes de seguridad
informática?
R.: Sí, ya se han realizado dos auditorías internas para verificar la existencia y madurez del
proceso de gestión de incidentes de seguridad en TI.
10. ¿Existe el compromiso de la alta dirección de la EFS con respecto a la seguridad de la
información?
R.: Sí, a partir de 2015 el sector responsable del tema pasó a integrar la Secretaría de
Planificación, Gestión y Gobernanza (Seplan), con acceso directo al Gabinete de la Presidencia.
Además, el Secretario de la Seplan, responsable del área, participa en los principales comités
decisorios del Tribunal.
11. ¿Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia?
R.: A partir de nuestra experiencia, podemos afirmar que tanto el proceso de Seguridad de la
Información como de Continuidad de Negocios deben ser perfeccionados continuamente, ya
que, mientras surgen nuevas tecnologías e procedimientos para la gestión de estos procesos,
nuevos riesgos y amenazas aparecen.
Además, hemos podido inferir por medio de nuestra experiencia que el avance en la
implementación de los procesos de Seguridad de Información debe llevarse a cabo de forma
incremental.
Es necesario empezar por las actividades que pueden ser implementadas en el momento y, a
partir de esto, evolucionar de forma gradual, implementando nuevos procedimientos y
actividades, tanto de gestión de riesgo e incidentes de seguridad, como de continuidad de
negocio.
Tratar de implementar un proceso completo de una vez puede ser frustrante, ya que cuenta
con demasiada resistencia de los colegas de trabajo (que tienen su rutina de trabajo
modificada), y de la máxima administración (que tendrá que costear los gastos asociados al
cambio)
Específicamente con respecto al modelo de gestión del TCU, nuestra gran diferencia es que
estamos estructurados en dos áreas: una con enfoque corporativo y otra con enfoque en
tecnología. Eso tanto para la Seguridad de la Información como para la Gestión de Continuidad
de Negocios. Los trabajos son complementares y en conjunto. Tener dos áreas permite que
ninguno de los abordajes deje de recibir inversiones y prioridad, y aspectos diversos de la
Seguridad de la Información se desarrollen.
Tópico: “EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA (CSIRT-
COMPUTER SECURITY INCIDENT & RESPONSE TEAM)”
1. ¿La EFS cuenta con personal especializado en seguridad informática?
R.: Sí. Hay expertos en seguridad informática, direccionados a eventos relacionados
directamente a la Tecnología de la Información (infraestructura de red y seguridad de
sistemas), como también expertos en seguridad de la información, con un abordaje más amplio
de la información en la EFS y enfoque corporativo, direccionado a la definición de políticas de
seguridad de la información y continuidad de negocio, en el ámbito estratégico de la
institución.
2. ¿Se encuentra implementado un grupo de seguridad de la información para realizar
monitoreo y/o atención de incidentes?
R.: El monitoreo y la respuesta a incidentes de seguridad de la información (contexto TI) queda
a cargo del Centro de Operaciones de Seguridad, servicio ofrecido por empresa contratada y
gestionada por el equipo especializado en seguridad de la información en TI.
3. ¿Se encuentra institucionalizado el grupo de seguridad de la EFS?
R.: Existe el Servicio de Seguridad en Ti, que compone la estructura jerárquica de la Secretaría
de Infraestructura de TI, y la Dirección de Seguridad de la Información subordinada a la
Secretaría de Planificación, Gobernanza y Gestión del TCU.
4. ¿Qué plataformas se utilizan para seguridad perimetral, monitoreo y/o correlación de
eventos de seguridad de la información?
R.: La seguridad perimetral en la red del Tribunal de Cuentas de la Unión (red TCU) contempla
diversas plataformas tecnológicas. La mayoría se encuentra integrada en forma de servicios
gestionados de seguridad estructurados en una central de operaciones de seguridad
(MSS/SOC). Dicha estructura hace el monitoreo de seguridad de la información de forma
continua. (24x7). Se incluyen en el rol de tecnologías las siguientes plataformas corporativas:
Firewalls, distribuidos en puntos específicos de la red, delimitando zona desmilitarizada (DMZ),
perímetro de acceso a través de red inalámbrica (WIFI) y acceso a cada unidad estadual (SECEX
estaduales). Sistemas de Prevención de Intrusión (IPS), distribuidos en diversos puntos
específicos internos y externos a la red (WAN). Firewall de aplicación (WAF – web application
firewall), específico para la inspección de tráfico en la capa de aplicación (capa 7). Antispam,
destinado a la filtración y bloqueo de mensajes de correo electrónico recibidos y enviados.
Solución de gestión de vulnerabilidades, para que se haga una lista pasiva de vulnerabilidades
en activos (asset management) y en aplicaciones (WAS – web application scannig). Filtro de
contenido (web filter), para inspección y bloqueo de accesos a la red externa (internet).
Correlación y consolidación de eventos (SIEM – Security Information and event manegement),
para que se almacene y se agregue los registros de eventos (logs) de diferentes soluciones de
seguridad, incluyendo las gestionadas por el Tribunal, tomando como ejemplo la solución
corporativa de antivirus y gestión, inventario (asset management) y actualización de activos
(patch management). Las soluciones son gestionadas por procesos de trabajo, los cuales
permean el MSS/SOC y básicamente todas las áreas de la infraestructura de TI, tanto en el
papel de autoridad (accountable), como ejecutor (responsable), consultado o informado.
Métricas de seguridad de la información son adoptadas para el monitoreo y evaluación de
cada proceso de trabajo, para priorizar acciones de seguridad e establecer línea de base para
cada solución (baseline), tomando como ejemplo dos boletines e indicadores de seguridad.
Incidentes de seguridad y demandas (incidentes de acuerdo con ITIL) son utilizados para el
tratamiento de acciones identificadas por los diferentes procesos de trabajo. La estructura
presentada se sustenta por las iniciativas asociadas a la identificación y tratamiento de riesgos
de seguridad de la información, auditorías periódicas e seguimiento de servicios de TI (disaster
recovery). Por último, otras tecnologías han sido recientemente prospectadas como
oportunidades de mejora del monitoreo de perímetro de seguridad, tomando como ejemplo las
plataformas de protección en contra de APT (advanced persistent threats), contra DDOS
(distributed denial of service) y anti-bot.
La correlación de eventos es tratada en uno de los procesos de seguridad de la información,
denominada correlación y consolidación de eventos, este proceso demanda participación del
área de seguridad de la información del Tribunal y el MSS/SOC. Puede que demande otras
áreas de la infraestructura de TI, de acuerdo con el caso. De acuerdo a lo mencionado
anteriormente, se utiliza solución de SIEM para agregar registros de eventos (logs) producidos
por las soluciones de seguridad y por soluciones en producción en la infraestructura de TI.
Eventos considerados sospechosos o que representen riesgo a la seguridad de la red son
tratados como incidentes de seguridad de la información en TI. Conforme la naturaleza del
incidente, se abarcan diferentes áreas del Tribunal, incluso externos al área de TI. Registros de
eventos pueden ser utilizados en el contexto de análisis y preservación de evidencias, en
atención a solicitudes internas o externas. Este proceso, así como los otros procesos
gestionados por el área de seguridad de la información del Tribunal, se supedita a revisión
periódica (follow up) y mejorías.
5. ¿La infraestructura de monitoreo y seguridad que posee la EFS se encuentra: tercerizada,
en la nube, local, otra (Especifique)?
R.: El monitoreo es local (con equipamientos y software propios) y utiliza servicios y equipo
tercerizados para la operación de las soluciones de seguridad, bajo la gestión de personas que
pertenecen a la plantilla de funcionarios de la EFS.
6. ¿La EFS cuenta con un equipo de respuesta a incidentes de seguridad Informática
(CSIRTComputer Security Incident & Response Team)?
R.: Aunque haya un equipo experto en seguridad de la información en TI, el CSIRT no es
institucionalizado.
7. ¿Se tienen identificados los servicios que va a prestar el CSIRT?
R.: No, porque no hay CSIRT.
8. ¿Se tiene identificado el entorno y el grupo de clientes que atenderá el CSIRT?
R.: No, porque no hay CSIRT.
9. En caso de no contar con un equipo de respuesta a Incidentes de Seguridad Informática,
¿la EFS cuenta con procedimientos de monitoreo a incidentes de Seguridad Informática?
R.: Sí. Como mencionado antes, hay equipo y procedimientos de monitoreo de incidentes de
seguridad tanto de TI como de seguridad de la información en el ámbito institucional.
10. ¿Se realiza seguimiento a los incidentes de seguridad que se han presentado en la EFS?
R.: Sí.
11. ¿Se toman acciones preventivas a los incidentes de seguridad registrados en la EFS?
R.: Sí. Además de diversas acciones educativas con el objetivo de formar la conciencia y la
cultura de seguridad de la información, se busca repasar periódicamente las lecciones
aprendidas para los responsables de la operación y proveer los activos de información.
12. ¿La información de los incidentes de seguridad es reportada a nivel de la Alta Dirección
en la EFS?
R.: Sí. Al empezar el tratamiento de un incidente, se realiza una clasificación que verifica el
impacto del incidente en el negocio de la Institución, especialmente en sus actividades críticas,
y la urgencia para su tratamiento. De esta manera, incidentes clasificados como más graves
pueden llegar más rápidamente a la máxima dirección de la EFS.
13. ¿La EFS cuenta con la figura de Oficial de Seguridad Informática?
R.: No.
14. ¿Existe en el país una estrategia o política pública para implementar un mecanismo de
ciberseguridad / ciberdefensa?
R.: Sí. El Gabinete de Seguridad Institucional de la Presidencia de la República (GSI/PR)
recientemente ha publicado la Estrategia de Seguridad de la Información y Comunicaciones y
de Seguridad Cibernética de la Administración Pública Federal para el trienio 2015/2018.
15. ¿Existe a nivel nacional un equipo de respuesta a incidentes de seguridad informática
(CSIRT)?
Sin respuesta
16. ¿Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia?
R.: A partir de nuestra experiencia, podemos afirmar que la implementación de un SOC
(Security Operations Center) trajo un avance considerable en el monitoreo y gestión de
incidentes en seguridad de la información. Dicha solución permitió identificar y tratar
incidentes de forma más tempestiva y efectiva.
Tópico: “MECANISMOS DE SEGURIDAD PARA INTERCAMBIO DE INFORMACIÓN”
1. ¿A efectos de evitar la acción de amenazas ocasionadas por la proliferación de software
malicioso como virus, malware, troyanos, spam, etc., ¿qué medidas de prevención, ha
adoptado o implementado la EFS?
R.: En el TCU se adoptan diversas medidas preventivas para que se suavice la acción de
softwares maliciosos. Tales medidas contemplan herramientas de Ti y concientización de los
usuarios.
Entre las herramientas de TI, se puede mencionar la instalación de antivirus en todas las
máquinas del Tribunal, firewall y filtro antispam en la red con cable e inalámbrica, así como
una herramienta SOC (Security Operations Center) responsable de gestionar todas las otras.
Además, el Tribunal realiza un trabajo intenso y continuo de concientización de los usuarios
internos y externos con relación a las amenazas y riesgos referentes a la proliferación de
softwares maliciosos.
2. ¿La EFS realiza intercambio de información sensible a través de la red de datos interna o
web Institucional?
R.: Sí. Con la implementación del proceso electrónico (por medio de la herramienta e-TCU) a
partir del año 2009, hubo un aumento significativo en el cambio de informaciones sensibles por
medio de la red de datos interna e intranet.
3. ¿Se ha concientizado al usuario final interno y externo de la EFS sobre la seguridad en
Internet?
R.: Sí, el proceso de concientización con respecto a la Seguridad de la Información es muy fuerte
en el Tribunal de Cuentas de la Unión. Internamente, el proceso es continuo y frecuente y
cuenta con recursos como la publicación de informaciones sobre concientización en el periódico
interno de la institución, cursos de capacitación, e incluso un evento de Quiz anual, con la
distribución de premios, en el cual se deben contestar preguntas sobre seguridad de la
información.
Con respecto al público externo, anualmente el TCU realiza el Día de Seguridad de la
Información, el cual invita a diversos expertos en el área para tratar de este tema con enfoque
en la Administración Pública. Se invita el público externo a participar del evento y cooperar con
conferencias técnicas. Además, se ofrecen cursos de capacitación en el área de seguridad de la
información también para los usuarios externos, incluso para la OLACEFS.
4. ¿Conoce el usuario final interno y externo de la EFS sobre las diferentes modalidades de
robo de datos o de información a través de la WEB?
R.: Sí. De forma general, el usuario se muestra consciente sobre las diversas formas de robo de
datos e informaciones a través de la web.
5. ¿Existe una cultura de seguridad informática al interior de la EFS?
R.: Sí, desde la creación de la primera Política Corporativa de Seguridad de la Información en
1999 esta cultura ha sido desarrollada e asimilada por los funcionarios públicos y las
autoridades de la institución.
Con la implementación del proceso electrónico (por medio de la herramienta e-TCU), se ha
avanzado en términos de cultura de seguridad de la información, con una protección más
efectiva a las informaciones producidas y recibidas por el Tribunal.
6. ¿Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia?
R.: Nuestra experiencia nos ha mostrado que el proceso de concientización del usuario interno y
externo es esencial para la minimización de los riesgos de seguridad de la información. Las
herramientas de TI son útiles para proteger a la institución de ataques y vulnerabilidades
externas, pero sin la cooperación de los usuarios, su eficacia se reduce.
Además de eso, también percibimos la necesidad de trabajarse en conjunto con los usuarios
externos, ya que el Tribunal depende directamente de la información de ellos para su trabajo.
Si la información no está segura o clasificada en el origen, todo el proceso de seguridad es
perjudicado.
Tópico: “CONVENIOS DE COOPERACIÓN O INTERADMINISTRATIVOS DE INTERCAMBIO DE
INFORMACIÓN”
1. ¿Existen convenios interadministrativos para el intercambio de información entre
Entidades de Control en el país?
R.: Para el intercambio formal de informaciones e integración de acciones de control, el
Tribunal utiliza “Acuerdos de Cooperación Técnica”, tomando como ejemplo el firmado con la
CGU (http://portal3.tcu.gov.br/portal/pls/portal/docs/2027712.PDF). Para la identificación de
otros acuerdos de cooperación de TCU, efectúe la siguiente búsqueda en Google:
‘site:tcu.gov.br "acordo de cooperação técnica"’
2. ¿Existe normatividad que reglamente el tema de intercambio de información entre las
entidades de Control del país?
R.: Para el intercambio de datos, los propios “Acuerdos de Cooperación Técnica” definen
formatos específicos, o predicen que eso será discutido en el [ámbito de cada acuerdo.
También existen obligaciones normativas, impuestas por el TCU a órganos/entidades en
consecuencia de sus prerrogativas constitucionales, de seguimiento de informaciones que no
envuelven bases de datos, como: a la CGU (ejemplo: seguimiento de actos de personal, por
ejemplo). Para más detalles, recomiendo solicitar dichas informaciones a la Segecex o a la
Adgecex.
3. ¿La EFS de su país realiza intercambio de información almacenada en base de datos con
otras EFS? ¿De qué tipo?
R.: Hay intercambios de informaciones hechos con tribunales de cuentas de los estados, con
participantes de la “Estrategia Nacional de Combate a la Corrupción y Lavado de Dinero”
(ENCCLA), por ejemplo. Para más detalles del ENCCLA ver: http://enccla.camara.leg.br/quem-
somos
4. ¿La EFS de su país realiza intercambio de información almacenada en base de datos con
otros organismos internacionales? ¿De qué tipo?
R.: No.
5. ¿Existe intercambio de información sensible de la EFS desde/hacia entidades
gubernamentales? ¿De qué tipo?
Top Related