Tópico: “BASES DE DATOS Y MINERÍA DE DATOS: HERRAMIENTAS Y TÉCNICAS EMPLEADAS

POR LAS EFS”

1. ¿En la EFS el almacenamiento de las bases de datos de información misional o de negocio,

se encuentra local, en la Nube o híbrido?

R.: Las informaciones para el funcionamiento del negocio son almacenadas en servidores

localizados en la propia institución.

2. ¿La EFS hace explotación de datos y/o extracción de información para transformar en

conocimiento útil y ayudar en la toma de decisiones? ¿A través de qué medio y/o

herramienta?

R.: El TCU recibe, analiza y correlaciona un gran volumen de informaciones a partir del acceso y

recepción periódica de diversas bases de datos de órganos y entidades de la Administración

Pública federal (relacionadas con pagos, adquisiciones, licitaciones, convenios, etc.). Los datos

son recibidos por medio de archivos con formatos predefinidos que alimentan nuestras bases

de datos (modelos relacionales) por medio de procedimientos de cargas periódicos. Para la

manipulación de esas informaciones se utilizan directamente lenguajes de consulta

estructurada (SQL - Structured Query Language) y herramientas de elaboración de informes

basados en esas consultas.

También existen trabajos de auditoría que involucran el recibimiento de datos para la ejecución

de trabajos puntuales de enfoque delimitado por los objetivos de cada auditoría. En esos casos,

los datos son trabajados usando herramientas específicas de manipulación de datos, como el

ACL, el Access y el Excel, entre otros.

3. ¿La EFS ha tenido dificultades con respecto a la recolección de la información por la falta

de estandarización en su presentación? ¿Cuáles? (por ejemplo, diferentes formas de

presentación, formatos como Pdf, Excel, Word, texto plano, etc.).

R.: Diversos sistemas en la Administración Pública federal tornan disponible informaciones

estructuradas por el envío de copias de sus bases de datos (bases de datos relacionales, en la

mayoría de los casos). En casos específicos son encaminados archivos en formato predefinido

(texto con un layout específico, XML, etc.). En la mayoría de los casos, sin embargo, los órganos

de la Administración Pública enfrentan dificultades para cumplir con esa demanda por layouts

predefinidos, y por ese motivo encaminan al TCU copias integrales de sus bases de datos.

Consecuentemente, los archivos recibidos se presentan en diversos formatos (MS-SQL Server,

Oracle, PostgreSQL,…) y layouts inestables, lo que exige un esfuerzo adicional por parte del TCU

para analizar los datos recibidos y cargarlos en una base de datos única antes de poder

utilizarlos.

Para la manipulación de documentos, tales como los publicados en Diarios Oficiales (que

contienen sólo textos) son utilizadas herramientas de indexación para búsquedas puntuales. El

Tribunal inició también una búsqueda, en conjunto con empresas del mercado en el área de

análisis de datos, de soluciones tecnológicas capaces de tratar grandes volúmenes de

informaciones almacenadas de una forma no estructurada.

6. ¿Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia?

R.: Actualmente, diversas unidades de fiscalización del Tribunal han incorporado acciones de

inteligencia en sus actividades de control, principalmente para la escogencia de temas y

objetos de fiscalización, por medio de análisis de informaciones basadas en sistemas de

información distribuidos en los órganos y entidades fiscalizados. El uso de esos sistemas

permite también la profundización de actividades y procedimientos ejecutados durante las

auditorías. Esa es una actividad que debe aumentar con el tiempo.

Tópico: “INFORMACIÓN PUBLICADA EN INTERNET O COMPARTIDA ENTRE EFS.”

1. ¿La EFS publica información misional a través de Internet?

R.: No entendí qué se quiso decir con “información misional”. Se refiere a la competencia

primaria del Tribunal [control externo]? En caso afirmativo, la respuesta también es positiva.

En el Portal hay secciones denominadas “Fiscalização e controle” y “Responsabilização”, con

contenido relacionado a estas áreas de actuación del TCU. Aún, desde el Portal se puede buscar

la base de jurisprudencia y publicaciones técnicas de la Corte, así como acceder a servicios

direccionados a los en jurisdicción y a la sociedad en general.

2. ¿La EFS ofrece servicios web a través de su propio portal de Internet?

R.: Son ofrecidos varios servicios por nuestro portal, que son utilizando tanto por los

reclamantes como por los más diversos actores de la sociedad (funcionarios públicos actuando

en actividad de control, periodistas, ciudadanos, etc.). Por ejemplo, consulta a informes de

auditoría, bases de datos de empresas o personas consideradas no idóneas, bases de datos de

personas consideradas inelegibles, etc.

3. ¿La EFS considera tener controlados todos los incidentes de seguridad que han ocurrido en

la red de datos?

Sin respuesta

4. ¿La EFS propende por el correcto y seguro funcionamiento de las instalaciones de

procesamiento de la información y medios de comunicación?

Sin respuesta

5. ¿Existe un plan a nivel nacional para ingreso a IPv6 en la que esté involucrada la EFS?

Sin respuesta

6. ¿Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia?

Sin respuesta

Tópico: “SEGURIDAD INFORMÁTICA-SI”

1. ¿En la EFS la información del proceso auditor se maneja digitalmente a través de

expedientes electrónicos con niveles de seguridad como firmas electrónicas?

R.: Sí. Desde el año 2010 la manipulación de los procesos de control externo del TCU ocurre por

medio digital, con los autos procesales autenticados a través de certificación electrónica, lo

que, además de garantizar las propiedades inherentes a esa tecnología, les da validez jurídica.

2. ¿En la EFS se utiliza cifrado de datos para almacenamiento en bases de datos y/o

transmisión de los mismos?

Sin respuesta

3. ¿En la EFS a nivel de aplicaciones, qué seguridad se está aplicando?

Sin respuesta

4. ¿La EFS cuenta con procedimientos estandarizados para adquisición, desarrollo y/o

mantenimiento de software, que garanticen niveles de seguridad de la(s) aplicación(es)?

¿Cuáles?

Sin respuesta

5. ¿La EFS cuenta con mecanismos de seguimiento, evaluación y control al cumplimiento de

los procedimientos definidos? Especifique.

Sin respuesta

6. ¿Existen leyes nacionales para reglamentar la recolección, uso y procesamiento de la

información personal?

Sin respuesta

7. ¿A nivel nacional existen leyes o códigos aplicables que contengan los requerimientos

generales de seguridad para los proveedores de servicios de “hosting” de información digital

y de nube?

Sin respuesta

8. ¿Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia?

Sin respuesta

Tópico: “BUENAS PRÁCTICAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN”

1. ¿Existe una Política de seguridad adoptada institucionalmente por la EFS? ¿Desde qué

año?

R.: Sí, actualmente la Política Corporativa de Seguridad de la Información del TCU (PCSI/TCU)

está dispuesta en el Decreto -TCU 210 del 14 de agosto de 2014. El Tribunal posee una Política

Corporativa de Seguridad de la Información desde el año 1999.

2. ¿La EFS cuenta con una metodología para gestión de incidentes de seguridad? ¿Cuál?

R.: No

3. ¿La EFS cuenta con una metodología para el análisis de vulnerabilidades y gestión de

riesgo? ¿Cuál?

R.: Sí. La metodología de evaluación de riesgos en seguridad de la información se basa en el

método FRAAP (Facilitated Risk Analysis and Assessment Process). El modelo está compuesto

de 5 etapas: Introducción de la Gestión de Riesgo en Seguridad de la Información; Presentación

de la Metodología y Procesos o Servicios evaluados; Identificación de Riesgos; Clasificación de

los Riesgos; Plan de Tratamiento de Riegos.

4. ¿La EFS ha realizado pruebas de la efectividad del Plan de Continuidad del Negocio y

recuperación de desastres?

R.: Con respecto a la Continuidad y Recuperación de desastres de TI, sí. Se ha realizado una

prueba plena de continuidad y recuperación en 2014. En cuanto a la Continuidad de Negocios

del área corporativa, no. Nunca se han realizado pruebas relacionadas con los Planes de

Continuidad corporativos.

5. Según las pruebas de la pregunta 4. ¿En la EFS cuál es el tiempo promedio para restablecer

la operación de la infraestructura tecnológica y dar continuidad al Negocio?

R.: El tiempo promedio para recuperar el funcionamiento de la infraestructura de TI en el TCU

es de 24 horas.

6. ¿La EFS tiene clasificada la información producida y recibida (Confidencial, publica, etc.)?

R.: Sí, el TCU reglamentó la aplicación de la Ley de Acceso a la Información de Brasil

(12.527/2011), más específicamente su manejo para la clasificación de la información, por

medio de la Resolución TCU-254 del 10 de abril de 2013. Desde entonces, el Tribunal hace la

clasificación de la información producida por sus Auditores. Las informaciones recibidas son

clasificadas por la entidad que las ha producido.

7. ¿La EFS cuenta con Acuerdos de privacidad, niveles de servicio (NDA, SLA), etc.?

R.: El Tribunal de Cuentas de la Unión adopta buenas prácticas de SI, tomando como ejemplo la

previsión de acuerdos de nivel de servicio (SLA), aplicables externamente en contratos de

prestación de servicios al Tribunal e internamente, en el contexto de la planificación interna,

con el fin de garantizar calidad al suporte a las actividades de negocio de la organización. Del

mismo modo, términos de confidencialidad (NDA) y de responsabilidad se prevén en proceso de

contratación de bienes y acceso la red TCU.

8. ¿La EFS tiene establecido un Plan de respuesta a incidentes?

R.: No

9. ¿En la EFS se realiza Auditoría externa/interna a la gestión de incidentes de seguridad

informática?

R.: Sí, ya se han realizado dos auditorías internas para verificar la existencia y madurez del

proceso de gestión de incidentes de seguridad en TI.

10. ¿Existe el compromiso de la alta dirección de la EFS con respecto a la seguridad de la

información?

R.: Sí, a partir de 2015 el sector responsable del tema pasó a integrar la Secretaría de

Planificación, Gestión y Gobernanza (Seplan), con acceso directo al Gabinete de la Presidencia.

Además, el Secretario de la Seplan, responsable del área, participa en los principales comités

decisorios del Tribunal.

11. ¿Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia?

R.: A partir de nuestra experiencia, podemos afirmar que tanto el proceso de Seguridad de la

Información como de Continuidad de Negocios deben ser perfeccionados continuamente, ya

que, mientras surgen nuevas tecnologías e procedimientos para la gestión de estos procesos,

nuevos riesgos y amenazas aparecen.

Además, hemos podido inferir por medio de nuestra experiencia que el avance en la

implementación de los procesos de Seguridad de Información debe llevarse a cabo de forma

incremental.

Es necesario empezar por las actividades que pueden ser implementadas en el momento y, a

partir de esto, evolucionar de forma gradual, implementando nuevos procedimientos y

actividades, tanto de gestión de riesgo e incidentes de seguridad, como de continuidad de

negocio.

Tratar de implementar un proceso completo de una vez puede ser frustrante, ya que cuenta

con demasiada resistencia de los colegas de trabajo (que tienen su rutina de trabajo

modificada), y de la máxima administración (que tendrá que costear los gastos asociados al

cambio)

Específicamente con respecto al modelo de gestión del TCU, nuestra gran diferencia es que

estamos estructurados en dos áreas: una con enfoque corporativo y otra con enfoque en

tecnología. Eso tanto para la Seguridad de la Información como para la Gestión de Continuidad

de Negocios. Los trabajos son complementares y en conjunto. Tener dos áreas permite que

ninguno de los abordajes deje de recibir inversiones y prioridad, y aspectos diversos de la

Seguridad de la Información se desarrollen.

Tópico: “EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA (CSIRT-

COMPUTER SECURITY INCIDENT & RESPONSE TEAM)”

1. ¿La EFS cuenta con personal especializado en seguridad informática?

R.: Sí. Hay expertos en seguridad informática, direccionados a eventos relacionados

directamente a la Tecnología de la Información (infraestructura de red y seguridad de

sistemas), como también expertos en seguridad de la información, con un abordaje más amplio

de la información en la EFS y enfoque corporativo, direccionado a la definición de políticas de

seguridad de la información y continuidad de negocio, en el ámbito estratégico de la

institución.

2. ¿Se encuentra implementado un grupo de seguridad de la información para realizar

monitoreo y/o atención de incidentes?

R.: El monitoreo y la respuesta a incidentes de seguridad de la información (contexto TI) queda

a cargo del Centro de Operaciones de Seguridad, servicio ofrecido por empresa contratada y

gestionada por el equipo especializado en seguridad de la información en TI.

3. ¿Se encuentra institucionalizado el grupo de seguridad de la EFS?

R.: Existe el Servicio de Seguridad en Ti, que compone la estructura jerárquica de la Secretaría

de Infraestructura de TI, y la Dirección de Seguridad de la Información subordinada a la

Secretaría de Planificación, Gobernanza y Gestión del TCU.

4. ¿Qué plataformas se utilizan para seguridad perimetral, monitoreo y/o correlación de

eventos de seguridad de la información?

R.: La seguridad perimetral en la red del Tribunal de Cuentas de la Unión (red TCU) contempla

diversas plataformas tecnológicas. La mayoría se encuentra integrada en forma de servicios

gestionados de seguridad estructurados en una central de operaciones de seguridad

(MSS/SOC). Dicha estructura hace el monitoreo de seguridad de la información de forma

continua. (24x7). Se incluyen en el rol de tecnologías las siguientes plataformas corporativas:

Firewalls, distribuidos en puntos específicos de la red, delimitando zona desmilitarizada (DMZ),

perímetro de acceso a través de red inalámbrica (WIFI) y acceso a cada unidad estadual (SECEX

estaduales). Sistemas de Prevención de Intrusión (IPS), distribuidos en diversos puntos

específicos internos y externos a la red (WAN). Firewall de aplicación (WAF – web application

firewall), específico para la inspección de tráfico en la capa de aplicación (capa 7). Antispam,

destinado a la filtración y bloqueo de mensajes de correo electrónico recibidos y enviados.

Solución de gestión de vulnerabilidades, para que se haga una lista pasiva de vulnerabilidades

en activos (asset management) y en aplicaciones (WAS – web application scannig). Filtro de

contenido (web filter), para inspección y bloqueo de accesos a la red externa (internet).

Correlación y consolidación de eventos (SIEM – Security Information and event manegement),

para que se almacene y se agregue los registros de eventos (logs) de diferentes soluciones de

seguridad, incluyendo las gestionadas por el Tribunal, tomando como ejemplo la solución

corporativa de antivirus y gestión, inventario (asset management) y actualización de activos

(patch management). Las soluciones son gestionadas por procesos de trabajo, los cuales

permean el MSS/SOC y básicamente todas las áreas de la infraestructura de TI, tanto en el

papel de autoridad (accountable), como ejecutor (responsable), consultado o informado.

Métricas de seguridad de la información son adoptadas para el monitoreo y evaluación de

cada proceso de trabajo, para priorizar acciones de seguridad e establecer línea de base para

cada solución (baseline), tomando como ejemplo dos boletines e indicadores de seguridad.

Incidentes de seguridad y demandas (incidentes de acuerdo con ITIL) son utilizados para el

tratamiento de acciones identificadas por los diferentes procesos de trabajo. La estructura

presentada se sustenta por las iniciativas asociadas a la identificación y tratamiento de riesgos

de seguridad de la información, auditorías periódicas e seguimiento de servicios de TI (disaster

recovery). Por último, otras tecnologías han sido recientemente prospectadas como

oportunidades de mejora del monitoreo de perímetro de seguridad, tomando como ejemplo las

plataformas de protección en contra de APT (advanced persistent threats), contra DDOS

(distributed denial of service) y anti-bot.

La correlación de eventos es tratada en uno de los procesos de seguridad de la información,

denominada correlación y consolidación de eventos, este proceso demanda participación del

área de seguridad de la información del Tribunal y el MSS/SOC. Puede que demande otras

áreas de la infraestructura de TI, de acuerdo con el caso. De acuerdo a lo mencionado

anteriormente, se utiliza solución de SIEM para agregar registros de eventos (logs) producidos

por las soluciones de seguridad y por soluciones en producción en la infraestructura de TI.

Eventos considerados sospechosos o que representen riesgo a la seguridad de la red son

tratados como incidentes de seguridad de la información en TI. Conforme la naturaleza del

incidente, se abarcan diferentes áreas del Tribunal, incluso externos al área de TI. Registros de

eventos pueden ser utilizados en el contexto de análisis y preservación de evidencias, en

atención a solicitudes internas o externas. Este proceso, así como los otros procesos

gestionados por el área de seguridad de la información del Tribunal, se supedita a revisión

periódica (follow up) y mejorías.

5. ¿La infraestructura de monitoreo y seguridad que posee la EFS se encuentra: tercerizada,

en la nube, local, otra (Especifique)?

R.: El monitoreo es local (con equipamientos y software propios) y utiliza servicios y equipo

tercerizados para la operación de las soluciones de seguridad, bajo la gestión de personas que

pertenecen a la plantilla de funcionarios de la EFS.

6. ¿La EFS cuenta con un equipo de respuesta a incidentes de seguridad Informática

(CSIRTComputer Security Incident & Response Team)?

R.: Aunque haya un equipo experto en seguridad de la información en TI, el CSIRT no es

institucionalizado.

7. ¿Se tienen identificados los servicios que va a prestar el CSIRT?

R.: No, porque no hay CSIRT.

8. ¿Se tiene identificado el entorno y el grupo de clientes que atenderá el CSIRT?

R.: No, porque no hay CSIRT.

9. En caso de no contar con un equipo de respuesta a Incidentes de Seguridad Informática,

¿la EFS cuenta con procedimientos de monitoreo a incidentes de Seguridad Informática?

R.: Sí. Como mencionado antes, hay equipo y procedimientos de monitoreo de incidentes de

seguridad tanto de TI como de seguridad de la información en el ámbito institucional.

10. ¿Se realiza seguimiento a los incidentes de seguridad que se han presentado en la EFS?

R.: Sí.

11. ¿Se toman acciones preventivas a los incidentes de seguridad registrados en la EFS?

R.: Sí. Además de diversas acciones educativas con el objetivo de formar la conciencia y la

cultura de seguridad de la información, se busca repasar periódicamente las lecciones

aprendidas para los responsables de la operación y proveer los activos de información.

12. ¿La información de los incidentes de seguridad es reportada a nivel de la Alta Dirección

en la EFS?

R.: Sí. Al empezar el tratamiento de un incidente, se realiza una clasificación que verifica el

impacto del incidente en el negocio de la Institución, especialmente en sus actividades críticas,

y la urgencia para su tratamiento. De esta manera, incidentes clasificados como más graves

pueden llegar más rápidamente a la máxima dirección de la EFS.

13. ¿La EFS cuenta con la figura de Oficial de Seguridad Informática?

R.: No.

14. ¿Existe en el país una estrategia o política pública para implementar un mecanismo de

ciberseguridad / ciberdefensa?

R.: Sí. El Gabinete de Seguridad Institucional de la Presidencia de la República (GSI/PR)

recientemente ha publicado la Estrategia de Seguridad de la Información y Comunicaciones y

de Seguridad Cibernética de la Administración Pública Federal para el trienio 2015/2018.

15. ¿Existe a nivel nacional un equipo de respuesta a incidentes de seguridad informática

(CSIRT)?

Sin respuesta

16. ¿Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia?

R.: A partir de nuestra experiencia, podemos afirmar que la implementación de un SOC

(Security Operations Center) trajo un avance considerable en el monitoreo y gestión de

incidentes en seguridad de la información. Dicha solución permitió identificar y tratar

incidentes de forma más tempestiva y efectiva.

Tópico: “MECANISMOS DE SEGURIDAD PARA INTERCAMBIO DE INFORMACIÓN”

1. ¿A efectos de evitar la acción de amenazas ocasionadas por la proliferación de software

malicioso como virus, malware, troyanos, spam, etc., ¿qué medidas de prevención, ha

adoptado o implementado la EFS?

R.: En el TCU se adoptan diversas medidas preventivas para que se suavice la acción de

softwares maliciosos. Tales medidas contemplan herramientas de Ti y concientización de los

usuarios.

Entre las herramientas de TI, se puede mencionar la instalación de antivirus en todas las

máquinas del Tribunal, firewall y filtro antispam en la red con cable e inalámbrica, así como

una herramienta SOC (Security Operations Center) responsable de gestionar todas las otras.

Además, el Tribunal realiza un trabajo intenso y continuo de concientización de los usuarios

internos y externos con relación a las amenazas y riesgos referentes a la proliferación de

softwares maliciosos.

2. ¿La EFS realiza intercambio de información sensible a través de la red de datos interna o

web Institucional?

R.: Sí. Con la implementación del proceso electrónico (por medio de la herramienta e-TCU) a

partir del año 2009, hubo un aumento significativo en el cambio de informaciones sensibles por

medio de la red de datos interna e intranet.

3. ¿Se ha concientizado al usuario final interno y externo de la EFS sobre la seguridad en

Internet?

R.: Sí, el proceso de concientización con respecto a la Seguridad de la Información es muy fuerte

en el Tribunal de Cuentas de la Unión. Internamente, el proceso es continuo y frecuente y

cuenta con recursos como la publicación de informaciones sobre concientización en el periódico

interno de la institución, cursos de capacitación, e incluso un evento de Quiz anual, con la

distribución de premios, en el cual se deben contestar preguntas sobre seguridad de la

información.

Con respecto al público externo, anualmente el TCU realiza el Día de Seguridad de la

Información, el cual invita a diversos expertos en el área para tratar de este tema con enfoque

en la Administración Pública. Se invita el público externo a participar del evento y cooperar con

conferencias técnicas. Además, se ofrecen cursos de capacitación en el área de seguridad de la

información también para los usuarios externos, incluso para la OLACEFS.

4. ¿Conoce el usuario final interno y externo de la EFS sobre las diferentes modalidades de

robo de datos o de información a través de la WEB?

R.: Sí. De forma general, el usuario se muestra consciente sobre las diversas formas de robo de

datos e informaciones a través de la web.

5. ¿Existe una cultura de seguridad informática al interior de la EFS?

R.: Sí, desde la creación de la primera Política Corporativa de Seguridad de la Información en

1999 esta cultura ha sido desarrollada e asimilada por los funcionarios públicos y las

autoridades de la institución.

Con la implementación del proceso electrónico (por medio de la herramienta e-TCU), se ha

avanzado en términos de cultura de seguridad de la información, con una protección más

efectiva a las informaciones producidas y recibidas por el Tribunal.

6. ¿Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia?

R.: Nuestra experiencia nos ha mostrado que el proceso de concientización del usuario interno y

externo es esencial para la minimización de los riesgos de seguridad de la información. Las

herramientas de TI son útiles para proteger a la institución de ataques y vulnerabilidades

externas, pero sin la cooperación de los usuarios, su eficacia se reduce.

Además de eso, también percibimos la necesidad de trabajarse en conjunto con los usuarios

externos, ya que el Tribunal depende directamente de la información de ellos para su trabajo.

Si la información no está segura o clasificada en el origen, todo el proceso de seguridad es

perjudicado.

Tópico: “CONVENIOS DE COOPERACIÓN O INTERADMINISTRATIVOS DE INTERCAMBIO DE

INFORMACIÓN”

1. ¿Existen convenios interadministrativos para el intercambio de información entre

Entidades de Control en el país?

R.: Para el intercambio formal de informaciones e integración de acciones de control, el

Tribunal utiliza “Acuerdos de Cooperación Técnica”, tomando como ejemplo el firmado con la

CGU (http://portal3.tcu.gov.br/portal/pls/portal/docs/2027712.PDF). Para la identificación de

otros acuerdos de cooperación de TCU, efectúe la siguiente búsqueda en Google:

‘site:tcu.gov.br "acordo de cooperação técnica"’

2. ¿Existe normatividad que reglamente el tema de intercambio de información entre las

entidades de Control del país?

R.: Para el intercambio de datos, los propios “Acuerdos de Cooperación Técnica” definen

formatos específicos, o predicen que eso será discutido en el [ámbito de cada acuerdo.

También existen obligaciones normativas, impuestas por el TCU a órganos/entidades en

consecuencia de sus prerrogativas constitucionales, de seguimiento de informaciones que no

envuelven bases de datos, como: a la CGU (ejemplo: seguimiento de actos de personal, por

ejemplo). Para más detalles, recomiendo solicitar dichas informaciones a la Segecex o a la

Adgecex.

3. ¿La EFS de su país realiza intercambio de información almacenada en base de datos con

otras EFS? ¿De qué tipo?

R.: Hay intercambios de informaciones hechos con tribunales de cuentas de los estados, con

participantes de la “Estrategia Nacional de Combate a la Corrupción y Lavado de Dinero”

(ENCCLA), por ejemplo. Para más detalles del ENCCLA ver: http://enccla.camara.leg.br/quem-

somos

4. ¿La EFS de su país realiza intercambio de información almacenada en base de datos con

otros organismos internacionales? ¿De qué tipo?

R.: No.

5. ¿Existe intercambio de información sensible de la EFS desde/hacia entidades

gubernamentales? ¿De qué tipo?

Ver la respuesta 3.

6. ¿Qué aportes considera que la EFS puede hacer, con relación al tema, desde su propia

experiencia?

Sin respuesta.