Sarbanes-Oxley e TI

Entendendo um pouco sobre esta lei; transformada em lei em 30 de julho de 2002, estabelece que os CEO’s e CFO’s devem certificar a apresentação trimestral e anual de relatórios financeiros para a Securities and Exchange Commission (SEC).

Indícios de falsificação ou irregularidades podem resultar em penas legais , chegando até a prisão dos executivos responsáveis.

Com relação aos controles internos:

• O SOX define o estabelecimento de vários pontos de controle nas operações das organizações.

• Não existe uma precisão estabelecida de como esses controles internos devem ser implementados e que pontos críticos devem ser protegidos

• Por outro lado, é exigido que uma empresa independente faça auditoria periódica dos controles internos estabelecidos

A seção 404 da SOX:

Seu objetivo é ajudar a esclarecer uma série de questões importantes relacionadas ao processo de certificação da administração conforme requerido pela SOX 404.

Especificamente, este artigo tem como objetivo responder às perguntas mais freqüentes, oferecendo orientações gerais que podem ser utilizadas pela administração no planejamento e na avaliação da eficácia dos controles internos relacionados à elaboração das demonstrações financeiras.

É importante que os leitores entendam que a administração é responsável pelo cumprimento das disposições da Lei Sarbanes-Oxley e, mais especificamente, da Seção 404.

A administração deve consultar seus advogados, auditores e outros profissionais que julgarem necessários, com o objetivo de satisfazer essas obrigações.

As normas e guias de boas praticas como a ISO 17799, COSO e o COBIT, dão um bom suporte no que se refere a certificação SOX.

O Processo de adequação ao SOX

Segurança de Infra-Estrutura

– Devem ser implementados controles destinados a proteger rede corporativa e todos seus componentes.

– Esses controles devem ser extensivos aos parceiros de negócio da organização.

– Deve ser dada atenção especial a relatórios de atividades e logs de equipamentos.

– A política de segurança deve definir de forma clara as funções, responsabilidades e processos.

– Exceções devem ser evitadas ao máximo, e caso ocorram devem ser devidamente documentadas.

Exemplos de controles do COSO:

Componentes de controle específico do COSO Report :

– Controle do ambiente

– Análise de risco

– Atividades de controle

– Informação e comunicação

– Monitoramento

Dentro de TI, esses componentes podem ser consolidadas em três aspectos:

– Segurança de Infra-Estrutura

– Controle de acesso

– Plano de contingência

Controle de acesso

– Deve ser aplicado de forma extensiva usando o princípio de menos privilégio, especialmente quando envolver dados financeiros.

Quatro tópicos devem ser especialmente analisados e trabalhados:

– Concessão de acesso

– Manutenção de contas

– Término de acesso

– Gerenciamento de senhas

Como a ISO 17799 pode ajudar?

As normas para gestão da segurança da informação, atendem muito bem os requisitos para certificação dos seus processos , como podemos ver mais abaixo.

9.6 Controle de Acesso às Aplicações

Objetivo: Impedir acesso não autorizado às informações mantidas nos sistemas de informação. Os recursos de segurança devem ser usados para restringir o acesso dentro dos sistemas aplicativos.

O acesso lógico ao software e às informações deve ser restrito aos usuários autorizados. Os sistemas aplicativos devem:

1. controlar o acesso dos usuários às informações e funções do sistema aplicativo, de acordo com uma política de controle de acesso definida;
2. fornecer proteção contra acesso não autorizado para qualquer software utilitário e de sistema operacional que seja capaz de fazer override nos controles do sistema ou aplicativo;
3. não comprometer a segurança de outros sistemas com os quais sejam compartilhados recursos de informação;
4. ter capacidade de fornecer acesso às informações apenas para o proprietário, outros indivíduos nomeados autorizados ou grupos de usuários definidos.

9.6.1 Restrição de acesso às informações

Usuários de sistemas aplicativos, incluindo a equipe de suporte, devem receber acesso às informações e funções dos sistemas aplicativos de acordo com uma política predefinida de controle de acesso, baseada nos requisitos individuais das aplicações do negócio e consistente com a política organizacional de acesso a informações (ver 9.1 da norma).

A aplicação dos seguintes controles deve ser considerada de forma a suportar as exigências de restrição de acesso:

1. fornecer menus para controlar o acesso a funções dos sistemas aplicativos;
2. restringir o conhecimento dos usuários sobre informações ou funções dos sistemas aplicativos que eles não estão autorizados a acessar, com “censura” apropriada da documentação de usuário;
3. controlar os direitos de acesso dos usuários, como ler, gravar, apagar ou executar;
4. garantir que as saídas produzidas pelos sistemas aplicativos, que tratam informações sensíveis, contenham apenas as informações que são relevantes para o uso das saídas e sejam enviadas apenas para terminais e locais autorizados, incluindo revisão periódica de tais saídas para garantir que informações redundantes sejam removidas.

9.6.2 Isolamento de sistemas sensíveis

Sistemas sensíveis podem exigir um ambiente computacional dedicado (isolado).

Alguns sistemas aplicativos são suficientemente sensíveis a perdas potenciais a ponto de exigir tratamento especial. A sensibilidade pode indicar que o sistema aplicativo deve ser executado em um computador dedicado, deve compartilhar recursos apenas com sistemas aplicativos confiáveis ou não ter limitações. As seguintes considerações se aplicam:

1. A sensibilidade de um sistema aplicativo deve ser explicitamente identificada e documentada pelo proprietário da aplicação (ver 4.1.3 da norma).
2. Quando uma aplicação sensível é executada em um ambiente compartilhado, os sistemas aplicativos com os quais ela compartilhará recursos devem ser identificados e acordados com o proprietário da aplicação sensível.

A SOX é mais um padrão de controles para a Segurança da informação, que é perfeitamente permeável por padrões consagrados no mercado há décadas, que auxiliam para que os controles e resultados apresentados sejam realmente confiáveis, evitando assim fraudes no sistema financeiro.