João Cosme José Wilson Rafael Neves

Transcrição

1 Sarbanes-Oxley Impactos para a Segurança da Informação João Cosme José Wilson Rafael Neves

2 AGENDA Histórico A lei Sarbanes-Oxley Análise inicial do SOX PCABO e COSO Processo de adequação ao SOX Conclusão Bibliografia

3 Histórico No final da década de 90, o mercado norteamericano enfrenta uma forte crise. - Empresas como Enron, Tyco, HealthSouth e WorldCom entraram em processo de falência em decorrência dos graves escândos contábeis, gerando uma forte crise no mercado de capitais norte-americano. - Eron Corporation: Acusa de fraudar os balanços contábeis em conjunto com empresas de Auditoria. As perdas para os acionistas foram estimadas em 62,8 bilhões. - HealthSouth: Acusada de falsificação de informações financeiras e corrupção ativa por parte do CEO. - Tyco: CEO e CFO acusados de favorecimento irregular, corrupção ativa, falsificação contábil e furto de mais de 600 milhões

4 Histórico Mercado de capitais perde a credibilidade. Todas as autoridades são unânimes na criação de uma nova legislação. A lei Sarbanes-Oxley. Principal objetivo da lei Sarbanes-Oxley: - Recuperar a credibilidade do mercado de capitais e evitar a incidência de novos erros como os que contribuiram para a quebra de grandes empresas.

5 Sarbanes-Oxley Transformada em lei em 30 de julho de Estabelece que os CEO's e CFO's devem certificar a apresentação trimestral e anual de relatórios financeiros para a Securities and Exchange Commission (SEC). Indícios de falsificação ou irregularidades podem resultar em penas legais, chegando até a prisão dos executivos responsáveis.

6 Análise inicial do SOX A questão do controles internos - O SOX define o estabelecimento de vários pontos de controle nas operações das organizações. - Não existe uma precisão estabelecida de como esses controles internos devem ser implementados e que pontos críticos devem ser protegidos - Por outro lado, é exigido que uma empresa independente faça auditoria periódica dos controles internos estabelecidos

7 PCABO e COSO A seção 404 do SOX: PCABO (PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD) - Órgão não governamental e independente sem finalidade de lucros. Constituído por membros de diversas atividades profissionais. Tem como principais funções interferir diretamente em práticas adotadas por auditores independentes. COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TRADEWAY COMMISSION) - Trata-se de uma iniciativa privada de 5 grupos com o objetivo de auxiliar a alta direção da empresa para melhoria de controle internos. Criou-se o COSO Report.

8 PCABO e COSO COSO Report - Define controles para as operações de negócio e processos relacionados aos relatórios financeiros. - Não faz nenhuma referência específica a controles em TI. Aplicação do COSO Report em TI - O Controls Objectives for Information and Related Technologies (COBIT) possui desde o final de 2003 um apêndice relacionado ao seus controles como COSO Report. - Boas práticas também podem ser encontradas em: ISO17799, ITIL

9 Processo de adequação ao SOX Componentes de controle específico do COSO Report : - Controle do ambiente - Análise de risco - Atividades de controle - Informação e comunicação - Monitoramento Dentro de TI, esses componentes podem ser consolidadas em três aspectos: - Segurança de Infra-Estrutura - Controle de acesso - Plano de contingência

10 Processo de adequação ao SOX Segurança de Infra-Estrutura - Devem ser implementados controles destinados a proteger a rede corporativa e todos seus componentes. - Esses controles devem ser extensivos aos parceiros de negócio da organização. - Deve ser dada atenção especial a relatórios de atividades e logs de equipamentos. - A política de segurança deve definir de forma clara as funções, responsabilidades e processos. - Exceções devem ser evitadas ao máximo, e caso ocorram devem ser devidamente documentadas.

11 Processo de adequação ao SOX Controle de acesso - Deve ser aplicado de forma extensiva usando o princípio de menos privilégio, especialmente quando envolver dados financeiros. Quatro tópicos devem ser especialmente analisados e trabalhados: - Concessão de acesso - Manutenção de contas - Término de acesso - Gerenciamento de senhas

12 Processo de adequação ao SOX Plano de contingência - O objetivo é garantir a continuidade das informações financeiras e dos processos que as suportam evitando qualquer impacto na disponibilidade e integridade das mesmas. - Teoricamente basta garantir a continuidade da infraestrutura de TI para os processos de negócio. - Na prática, o envolvimento de todas as áreas funcionais no escopo é fundamental.

13 Conclusão O SOX é mais um padrão de controles para a Segurança da informação, que é perfeitamente permeável por padrões consagrados no mercado há décadas. Se a organização tiver um processo de gerenciamento da segurança da informação, o impacto é mínimo. O SOX tornar os princípios de uma boa governança corporativa em leis evitando assim o surgimento de novas fraudes na empresa.

14 Bibliografia ary_derivatives_usage.htm A Lei Sarbanes-Oxley. Disponível em ticia=0014

15 OBRIGADO!