Sarbanes-Oxley e TI

publicado por Evandro Ribeiro

Entendendo um pouco sobre esta lei; transformada em lei em 30 de julho de 2002, estabelece que os CEOs e CFOs devem certificar a apresentao trimestral e anual de relatrios financeiros para a Securities and Exchange Commission (SEC). Indcios de falsificao ou irregularidades podem resultar em penas legais , chegando at a priso dos executivos responsveis.

Com relao aos controles internos:

O SOX define o estabelecimento de vrios pontos de controle nas operaes das organizaes. No existe uma preciso estabelecida de como esses controles internos devem ser implementados e que pontos crticos devem ser protegidos Por outro lado, exigido que uma empresa independente faa auditoria peridica dos controles int ernos estabelecidos

A seo 404 da SOX:

Seu objetivo ajudar a esclarecer uma srie de questes importantes relacionadas ao processo de certificao da administrao conforme requerido pela SOX 404. Especificamente, este artigo tem como objetivo responder s perguntas mais freqentes, oferecendo orientaes gerais que podem ser utilizadas pela administrao no planejamento e na avaliao da eficcia dos controles internos relacionados elaborao das demonstraes financeiras. importante que os leitores entendam que a administrao responsvel pelo cumprimento das disposies da Lei Sarbanes-Oxley e, mais especificamente, da Seo 404. A administrao deve consultar seus advogados, auditores e outros profissionais que julgarem necessrios, com o objetivo de satisfazer essas obrigaes. As normas e guias de boas praticas como a ISO 17799, COSO e o COBIT, do um bom suporte no que se refere a certificao SOX.

O Processo de adequao ao SOX

Segurana de Infra-Estrutura - Devem ser implementados controles destinados a proteger rede corporativa e todos seus componentes. - Esses controles devem ser extensivos aos parceiros de negcio da organizao.

- Deve ser dada ateno especial a relatrios de atividades e logs de equipamentos. - A poltica de segurana deve definir de forma clara as funes, responsabilidades e processos. - Excees devem ser evitadas ao mximo, e caso ocorram devem ser devidamente documentadas.

Exemplos de controles do COSO:

Componentes de controle especfico do COSO Report :
- Controle do ambiente - Anlise de risco - Atividades de controle - Informao e comunicao - Monitoramento

Dentro de TI, esses componentes podem ser consolidadas em trs aspectos:

- Segurana de Infra-Estrutura - Controle de acesso - Plano de contingncia

Controle de acesso
- Deve ser aplicado de forma extensiva usando o princpio de menos privilgio, especialmente quando envolver dados financeiros. Quatro tpicos devem ser especialmente analisados e trabalhados: - Concesso de acesso - Manuteno de contas - Trmino de acesso - Gerenciamento de senhas

Como a ISO 17799 pode ajudar?

As normas para gesto da segurana da informao, atendem muito bem os requisitos para certificao dos seus processos , como podemos ver mais abaixo.

9.6 Controle de Acesso s Aplicaes

Objetivo: Impedir acesso no autorizado s informaes mantidas nos sistemas de informao. Os recursos de segurana devem ser usados para restringir o acesso dentro dos sistemas aplicativos. O acesso lgico ao software e s informaes deve ser restrito aos usurios autorizados. Os sistemas aplicativos devem:

1. 2. 3. 4.

controlar o acesso dos usurios s informaes e funes do sistema aplicativo, de acordo com uma poltica de controle de acesso definida; fornecer proteo contra acesso no autorizado para qualquer software utilitrio e de sistema operacional que seja capaz de fazer override nos controles do sistema ou aplicativo; no comprometer a segurana de outros sistemas com os quais sejam compartilhados recursos de informao; ter capacidade de fornecer acesso s informaes apenas para o proprietrio, outros indivduos nomeados autorizados ou grupos de usurios definidos.

9.6.1 Restrio de acesso s informaes

Usurios de sistemas aplicativos, incluindo a equipe de suporte, devem receber acesso s informaes e funes dos sistemas aplicativos de acordo com uma poltica predefinida de controle de acesso, baseada nos requisitos individuais das aplicaes do negcio e consistente com a poltica organizacional de acesso a informaes (ver 9.1 da norma). A aplicao dos seguintes controles deve ser considerada de forma a suportar as exigncias de restrio de acesso: 1. 2. 3. 4. fornecer menus para controlar o acesso a funes dos sistemas aplicativos; restringir o conhecimento dos usurios sobre informaes ou funes dos sistemas aplicativos que eles no esto autorizados a acessar, com censura apropriada da do cumentao de usurio; controlar os direitos de acesso dos usurios, como ler, gravar, apagar ou executar; garantir que as sadas produzidas pelos sistemas aplicativos, que tratam informaes sensveis, contenham apenas as informaes que so relevantes para o uso das sadas e sejam enviadas apenas para terminais e locais autorizados, incluindo reviso peridica de tais sadas para garantir que informaes redundantes sejam removidas.

9.6.2 Isolamento de sistemas sensveis

Sistemas sensveis podem exigir um ambiente computacional dedicado (isolado). Alguns sistemas aplicativos so suficientemente sensveis a perdas potenciais a ponto de exigir tratamento especial. A sensibilidade pode indicar que o sistema aplicativo deve ser executado em um computador dedicado, deve compartilhar recursos apenas com sistemas aplicativos confiveis ou no ter limitaes. As seguintes consideraes se aplicam: 1. 2. A sensibilidade de um sistema aplicativo deve ser explicitamente identificada e documentada pelo proprietrio da aplicao (ver 4.1.3 da norma). Quando uma aplicao sensvel executada em um ambiente compartilhado, os sistemas aplicativos com os quais ela compartilhar recursos devem ser identificados e acordados com o proprietrio da aplicao sensvel. A SOX mais um padro de controles para a Segurana da informao, que perfeitamente permevel por padres consagrados no mercado h dcadas, que auxiliam para que os controles e resultados apresentados sejam realmente confiveis, evitando assim fraudes no sistema financeiro.