Administrao Segura de

Usurios e Perfis
Value for Business Comercial Tecnologia e Informtica Ltda.
Contato: Edgardo Kondratiuk edgardok@v4b.com.br
Tel: (11) 5105-3120 / 3121 Cel: (11) 9102-8201
Sarbanes-Oxley Act Viso Geral

Controles/Segurana Conceitos Errados &
Desafios

Soluo que resolva as questes-chaves de
segurana e controle Controle Contnuo
de Conformidade
Quem foi?

Agenda
A Lei Sarbanes-Oxley de 2002 reescreveu, literalmente, as regras para
a governana corporativa, relativas divulgao e emisso de
relatrios financeiros.

Contudo, sob a infinidade de pginas da Lei, repletas de legalismos,
reside uma premissa simples, a boa governana corporativa e as
prticas ticas do negcio no so mais requintes agora so Leis.

A Lei Sarbanes-Oxley torna Diretores Executivos e Diretores
Financeiros explicitamente responsveis por estabelecer, avaliar e
monitorar a eficcia dos controles internos sobre relatrios financeiros e
divulgao.




Sobre a Sarbanes-Oxley Act
Um dos destaques da nova Lei, a sua aplicabilidade s empresas
estrangeiras que possuem valores mobilirios registrados na Securities and
Exchange Commission (SEC), o que estende de forma considervel o
escopo de aplicao da legislao norte-americana de mercado de capitais.

A nata das companhias brasileiras (atualmente 38 empresas) possuem
aes na bolsa de valores norte-americanas, passando consequentemente,
a estarem sujeitas nova Lei, bem como a sua regulamentao.

Assim, em caso de violao da Lei Sarbanes Oxley, os diretores, auditores
e consultores dessas empresas estaro sujeitos a pena dessa Lei, que vo
de 10 a 20 anos de priso e multa de at US$ 5 milhes.
Sobre a Sarbanes-Oxley Act
Fonte: Finanas & Mercados
Como resultado dos maiores escndalos financeiros e seus efeitos
negativos subsequentes no mercado de aes e na confiana do
investidor, o Sarbanes-Oxley Act foi assinado como uma lei !

A legislao Sarbanes-Oxley estabeleceu um novo paradigma para
contabilidades corporativas. Responsabilidades do comit de auditoria,
CEO e CFO foram claramente estabelecidas.

Foi criado tambm um novo padro para o desenho de implementao e
operao da estrutura Interna de Controle.



Controles Internos no so agora apenas
Best Practices Agora a lei !
Fatores que conduziram
Ao Sarbanes-Oxley
SEO REQUERIMENTOS
301 O comit de auditoria deve estabelecer procedimentos para o confidencial, submisses
annimas por empregados do emissor das preocupaes relativas a contabilidade
questionvel ou assuntos de auditoria.
302 Responsabilidade sobre o gerenciamento de controles efetivos revelados e
procedimentos sobre relatrios financeiros, operaes e conformidade.
Revelao de deficincias significantes no controle interno para o comit de
auditores e auditores externos.
Certificao do contedo dos relatrios de SEC pelo CEO e CFO
401 Incluir em relatrios financeiros todo o material corrigindo ajustes que tenham sido
identificados por auditores externos.
Fornecer aos investidores um entendimento claro do balano da empresa e seus
efeitos materiais.
404 Relatrio anual deve incluir um relatrio de gerenciamento de eficcia dos controles
internos sobre relatrios financeiros
Documentao do desenho de controle e teste de eficcia
Revelao de qualquer material que exponha os pontos fracos
Atestao por auditores externos
Nota: Demais requerimentos peridicos de revelaes esto cobertos sob a Seo 302
409 Informaes atualizadas e rpidas com respeito a mudanas em condies ou
operaes financeiras,
incluindo tendncias e informaes qualitativas para proteo dos investidores e de
interesse pblico
Sesses Relevantes com respeito a
Software no Sarbanes-Oxley Act
Seo 302
Requer trimestralmente certificao do CEO / CFO de todas as
empresas pblicas americanas no arquivamento de relatrios
peridicos sob a seo 13 (a) ou 15 (d) com respeito Securities
Exchange Act of 1934 relativo ao seu preenchimento e
acuracidade de tais relatrios bem como a natureza e eficcia
dos controles internos que suportam a qualidade da informao
includa nos mesmos.

Seo 404
Requer uma afirmao da eficcia da estrutura e procedimentos
dos Controles Internos para os relatrios financeiros e um
relatrio emitido pelos Auditores externos atestando a
acuracidade da afirmao do gerenciamento.

Sarbanes-Oxley Act
Componentes Chaves
A Legislao Brasileira e o Sarbanes-
Oxley Act
Art. 302 e 906
Certificao de relatrio anual e de
monstraes financeiras pelo CEO e
pelo CFO
Lei n 6.404/76 Conflito de Interesses,
Art. 156, 157, 158, 177
Art. 404, 406, 407, 408, 409 - Maior
publicidade das informaes e
fiscalizao pela SEC
Lei n 6.404/76,
Art. 157
Instruo CVM N0 31, 69, 202, 229,
299, 358

Sarbanes-Oxley Act Viso Geral

Controles/Segurana Conceitos Errados &
Desafios

Soluo que resolva as questes-chaves de
segurana e controle Controle Contnuo de
Conformidade
Quem foi?


Agenda
Modificar Role,
Acesso de
Usurio
Auditar
Teste & Uso
Anlises de Role
& Usurios
Revisar Relatrio
da Auditoria
Upgrades,
Novos
Mdulos
Usurio Normal
& Solicitao de
Mudana de
Role
Novas Leis,
como SOX,
HIPPA etc.
Mudanas de
Regras (Z
Trans, SAP
Release)
Time de
Segurana &
Controle
Desafios na Segurana & Controle Reinventando a roda
Empresas gastam milhes, milhes e milhes

Precisamos realmente de uma mudana de
paradigma na rea de Controle & Segurana .
para que isso seja possvel temos que rever
nossos conceitos
Eliminando a reinveno da roda em
Controle & Segurana
Controle 24 x 7 & Conformidade Sarbanes-Oxley
misso impossvel ?
Computadores no futuro no devem pesar mais do que 1.5 toneladas
(Popular Mechanics, forecasting the relentless march of science, 1949)

Eu acredito que exista no mundo mercado para talvez 5 computadores"
(Thomas Watson, chairman of IBM, 1943)

No existem razes para que algum queira um computador em casa"
(Ken Olson, president, chairman & founder of DEC 1977)

Mquinas voadoras mais pesadas que o ar so impossveis"
(Lord Kelvin, president, Royal Society, 1895)
Conceitos Errados
(do passado)
Ns somos diferentes. No corremos riscos..

Ns acreditamos em nossos empregados.

Ns estamos ocupados com novas implementaes,
upgradese nos preocuparemos com controles mais tarde.

Controles & Segurana so um mal necessrio. Voc precisa
apenas viver com isso

Sarbanes-Oxley assunto sobre Finanas. CIO & TI no
precisam se preocupar com isso.

Controles 24x7 (Auditoria / Segregao de
Funes) conformidade impossvel
Conceitos Errados nos dias de hoje
(relativo a Controles & Segurana)
Violando
tantos
controles ?
Isso
muito
feio
Por que voc
nunca pode
tomar suas
decises em
conjunto ?
VOC QUER
ME VER NA
PRISO ?
Auditores
Gerentes
Time de
Controle &
Segurana
Eu preciso
SAP_ALL
Por que voc
no me deixa
fazer meu
trabalho ?

Eu preciso
XK01 agora !
J !!!!!
Usurios
Time de Controle & Segurana - O dilema continua
Falha de comunicao entre Proprietrios de Roles,
Administradores de Segurana, Aprovadores de Acesso,
Auditores

Conformidade com Auditoria sem gastar toneladas de dinheiro

Manuteno de Roles em um ciclo sem fim

Falta de ferramentas para reforar as Melhores Prticas

Automatizar tarefas laboriosas de Segurana & Controles

Visibilidade Segurana & Controles, a ltima coisa em mente
nas pessoas

Ns iremos pensar sobre controles aps o go-live,upgrade

Conformidade com o Sarbanes-Oxley
Desafios -Chaves de Segurana
Definio
Desenvolvimento
Testes
Fase
A maioria dos clientes detectam problemas de SOD aqui
Quando / Onde voc deveria resolver
seus problemas de audit/SOD ??
Produo
Quanto mais tarde voc
resolver seu problema,
mais custoso ser.
Definio
Desenvolvimento
Testes
Quanto mais tarde voc
resolver seu problema, mais
custoso e lento ser.
Fase
Proprietrio
de Role
Usurio
Proprietrio
de Role
Proprietrio
de Role
Administrador de
Segurana
Usurios Finais
Auditores
Proprietrio
de Role
Administrador de
Segurana
Administrador de
Segurana
Produo
Quando / Onde voc deveria resolver
seus problemas de audit/SOD ??

Sarbanes-Oxley Act Viso Geral

Controles/Segurana Conceitos Errados &
Desafios

Soluo que resolva as questes-chaves de
segurana e controle Controle Contnuo de
Conformidade


Quem foi?
Agenda
Precisa auxiliar todas as pessoas-chaves de Segurana
Precisa oferecer capacidade de anlise pro ativa
Precisa oferecer capacidades de Anlise Corretiva
Precisa facilitar anlises no mais recente ciclo/fase
Precisa auxiliar na conformidade com Sarbanes-Oxley
Precisa ser no-intrusivo (Sem updates, sem efeitos
colaterais)
Precisa representar ROI & custo-efetivo
Uma soluo ideal de Auditoria/SOD e
Resolver todos os desafios-chaves de segurana
Eliminar completamente a reinveno da roda
Ajudar a alcanar conformidade com Sarbanes-Oxley
Desenhado para os profissionais-chaves de segurana
Role Builder para construir roles automaticamente



Benefcios
Modificar Role,
Acesso de
Usurios
Auditoria
(Mit. Controls)
Teste & Uso
SECURINFO
Relatrio de
Auditoria
LIMPO
Security & Controls
key stake holders
Aps implementar a Conformidade Contnua,
a reinveno da roda eliminada
Gastar milhes nunca mais;
Voc est em conformidade para sempre
Sees 302 & 404

CEO & CFO precisam certificar a cada 90 dias de que os controles
no esto apenas implementados, mas que estes estejam realmente
operando efetivamente

Documentao apropriada dos Controles

Audit Trail de atividades sensveis e crticas


Conscientizao dos Controles & Educao
Requerimentos Chaves de Controles
no Sarbanes-Oxley
Sees 302 & 404

CEO & CFO precisam certificar a cada 90 dias de que os controles
no esto apenas implementados, mas que estes estejam realmente
operando efetivamente

Documentao apropriada dos Controles

Audit Trail de atividades sensveis e crticas


Conscientizao dos Controles & Educao
Requerimentos Chaves de Controles
no Sarbanes-Oxley
Conformidade
Mitigating Controls, Monitors, Aprovers
Transaes Crticas Realmente Executadas, logs
Educational, Online, Policies & Procedures

Sarbanes-Oxley Act Viso Geral

Controles/Segurana Conceitos
Errados & Desafios

Soluo que resolva as questes-
chaves de segurana e controle
Controle Contnuo de Conformidade
Quem foi?


Agenda
Sarbanes-Oxley um processo, no um evento

Conformidade de controle contnuo a nica opo
com um custo-efetivo

Conformidade contnua possvel ! No reinvente a
roda nem gaste milhes

Melhor horrio para iniciar: ONTEM
Resumo
Resumindo o desafio

O sistema SAP o corao de qualquer informao vital.
Ele armazena todos os dados de produo, compras, vendas, marketing, finanas, fornecedores
clientes e empregados. Tambm armazena registros crticos como informaes salariais, mdicas
e de previdncia.
Qualquer mudana ou acesso no autorizado a estas informaes pode
resultar em danos milionrios, processos legais ou danos na imagem da
corporao.
Proteja o ambiente SAP de acessos no autorizados
e saiba quem fez o que e quando dentro do sistema. No somente para estar de acordo com as
leis mas para, mais do que nunca, prevenir futuros problemas.
Estatsticas: Ameaas em nmeros
Roubo de identidade
uma preocupao?
81% SIM / 19%No
(Security Pipeline)
As estatsticas do FBI confirmam:
65% de todas as quebras de
segurana so feitas por
funcionrios ou ex funcionrios!!

Ataques com senhas
adivinhadas : 14%
(InfoWorld 2003)
82% das senhas esto
escritas (SAP-Info
Online)
40% comparte as
senhas (Source:
Rainbow)
95% resultam em significantes
perdas financeiras (Source
Gartner)
92% das empresas e rgos
governamentais identificaram
falhas de segurana nos sistemas
de informtica nos ltimos 12
meses
75% reconhecem perdas
financeiras devidas a estas falhas
(Computer Security Institute 2003)
Somente neste ano, US$ 48bi sero perdidos em fraudes
(CSO Magazine, Cover Page, March 2004)
H 3 maneiras de proteger o
acesso aos dados :
1. O que voc conhece
2. O que voc tem
3. O que voc
As 3 formas de proteo (1)
O que voc conhece
Senhas / PIN / Cdigos
O que voc tem
Smart Cards / Tokens / Chaves
O que voc
Biometria Digitais etc.
As 3 formas de proteo (2)
Biometria a nica proteo real, j que o usurio
CERTA E UNICAMENTE IDENTIFICADO!!!
Smart Cards e Tokens podem ser roubados, e o usurio
no pode ser identificado e responsabilizado
As senhas so historicamente aceitas como
proteo dos sistemas informatizados
As 3 formas de proteo (3)

Mas oferecem proteo limitada e nenhuma
identificao real!!!
Altamente inseguras
Inconvenientes
Custo administrativo
A verdade em relao s senhas
Conseqentemente a nossa misso acabar com
estas falhas de segurana. Como?
Usando novas tecnologias.
A nossa soluo
=
+
Is Fingerprint James
Bond stuff?
Digital coisa de James Bond ?
NO!!!
Not in an
Audi A8
Se voc dirige um Audi A8
um sensor de digital controla todas as
regulagens pessoais do carro
Mais usos de digitais .
Isto parece familiar ?
82%
De todos os usurios de TI tem suas
senhas perto do computador
(SAP-Info Online)
Nvel I
SAP
Autorizao de acesso
e controle de funes
com digitais
Overview
SEGURANA
Nvel II
Nvel III
Creating a
Template
Start Enrollment
em 5 Segundos!
Logon autorizado

Logon
bloqueado

Logon
verifica
regras
de autenticao

user/
function
solicita a digital
A digital comparada com as tabelas

templates
A biometria vai identificar com total segurana o usurio e
salvar as informaes no Log do SAP:
Thomas1 se conectou como BIOTEST1 - 2/25/04 s
4:05PM
Controles e auditoria
SAP logon com biometria
Transaes SAP com biometria
EXEMPLO Imprimir/Mostrar o balano
biometria
verifica a
Proteo
Solicitao da
transao

user/
function
solicita a digital
A digital verificada

templates

Transao bloqueada
Presen
ting
balanc
e
sheet
Balance Sheet displayed!!!

Uma entrada no log SAP identifica a pessoa de forma nica
independentemente do usurio SAP utilizado !!
Segurana adicional, Identidade e gerenciamento de riscos com auditoria
Biotest1 foi identificado como APRIL e executou HR Infotype
167
Biotest1 foi identificado como Alexander e foi REJEITADO
Perguntas & Respostas
Obrigado
Value for Business Comercial Tecnologia e Informtica Ltda.
Rua Andr Ampre, 153 Cj. 155 Brooklin Novo
04562-080 -So Paulo SP
Contato: Edgardo Kondratiuk edgardok@v4b.com.br
Tel: (11) 5105-3121 / 3120 Cel: (11) 9102-8201