Sarbanes-Oxley

Impactos para a Segurança

da Informação

João Cosme
José Wilson
Rafael Neves
 AGENDA

• Histórico
• A lei Sarbanes-Oxley
• Análise inicial do SOX
• PCABO e COSO
• Processo de adequação ao SOX
• Conclusão
• Bibliografia
 Histórico

• No final da década de 90, o mercado norte-

americano enfrenta uma forte crise.
- Empresas como Enron, Tyco, HealthSouth e WorldCom entraram em
processo de falência em decorrência dos graves escândos contábeis,
gerando uma forte crise no mercado de capitais norte-americano.
- Eron Corporation: Acusa de fraudar os balanços contábeis em
conjunto com empresas de Auditoria. As perdas para os acionistas foram
estimadas em 62,8 bilhões.

- HealthSouth: Acusada de falsificação de informações financeiras e

corrupção ativa por parte do CEO.

- Tyco: CEO e CFO acusados de favorecimento irregular, corrupção

ativa, falsificação contábil e furto de mais de 600 milhões
 Histórico
• Mercado de capitais perde a credibilidade. Todas
as autoridades são unânimes na criação de uma
nova legislação. A lei Sarbanes-Oxley.

• Principal objetivo da lei Sarbanes-Oxley:

- Recuperar a credibilidade do mercado de capitais e evitar a
incidência de novos erros como os que contribuiram para a quebra de
grandes empresas.
 Sarbanes-Oxley
• Transformada em lei em 30 de julho de 2002.

• Estabelece que os CEO's e CFO's devem

certificar a apresentação trimestral e anual de
relatórios financeiros para a Securities and
Exchange Commission (SEC).

• Indícios de falsificação ou irregularidades podem

resultar em penas legais , chegando até a prisão
dos executivos responsáveis.
 Análise inicial do SOX

• A questão do controles internos

- O SOX define o estabelecimento de vários pontos de
controle nas operações das organizações.
- Não existe uma precisão estabelecida de como esses
controles internos devem ser implementados e que pontos
críticos devem ser protegidos
- Por outro lado, é exigido que uma empresa independente
faça auditoria periódica dos controles internos estabelecidos
 PCABO e COSO
A seção 404 do SOX:

• PCABO (PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD)

- Órgão não governamental e independente sem finalidade
de lucros. Constituído por membros de diversas atividades
profissionais. Tem como principais funções interferir
diretamente em práticas adotadas por auditores
independentes.

• COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE

TRADEWAY COMMISSION)
- Trata-se de uma iniciativa privada de 5 grupos com o objetivo
de auxiliar a alta direção da empresa para melhoria de controle
internos. Criou-se o COSO Report.
 PCABO e COSO

• COSO Report
- Define controles para as operações de negócio e
processos relacionados aos relatórios financeiros.
- Não faz nenhuma referência específica a controles em TI.

• Aplicação do COSO Report em TI

- O Controls Objectives for Information and Related
Technologies (COBIT) possui desde o final de 2003 um
apêndice relacionado ao seus controles como COSO Report.
- Boas práticas também podem ser encontradas em:
ISO17799, ITIL
Processo de adequação ao
SOX
• Componentes de controle específico do COSO
Report :
- Controle do ambiente
- Análise de risco
- Atividades de controle
- Informação e comunicação
- Monitoramento

• Dentro de TI, esses componentes podem ser

consolidadas em três aspectos:
- Segurança de Infra-Estrutura
- Controle de acesso
- Plano de contingência
Processo de adequação ao
SOX
• Segurança de Infra-Estrutura
- Devem ser implementados controles destinados a proteger
a rede corporativa e todos seus componentes.

- Esses controles devem ser extensivos aos parceiros de

negócio da organização.

- Deve ser dada atenção especial a relatórios de atividades e

logs de equipamentos.

- A política de segurança deve definir de forma clara as

funções, responsabilidades e processos.

- Exceções devem ser evitadas ao máximo, e caso ocorram

devem ser devidamente documentadas.
Processo de adequação ao
SOX
• Controle de acesso
- Deve ser aplicado de forma extensiva usando o princípio de
menos privilégio, especialmente quando envolver dados
financeiros.

• Quatro tópicos devem ser especialmente

analisados e trabalhados:
- Concessão de acesso
- Manutenção de contas
- Término de acesso
- Gerenciamento de senhas
Processo de adequação ao
SOX
• Plano de contingência
- O objetivo é garantir a continuidade das informações
financeiras e dos processos que as suportam evitando
qualquer impacto na disponibilidade e integridade das
mesmas.

- Teoricamente basta garantir a continuidade da infra-

estrutura de TI para os processos de negócio.

- Na prática, o envolvimento de todas as áreas funcionais no

escopo é fundamental.
 Conclusão
• O SOX é mais um padrão de controles para a
Segurança da informação, que é perfeitamente
permeável por padrões consagrados no mercado há
décadas.

• Se a organização tiver um processo de gerenciamento

da segurança da informação, o impacto é mínimo.

• O SOX tornar os princípios de uma boa governança

corporativa em leis evitando assim o surgimento de
novas fraudes na empresa.
 Bibliografia

• http://en.wikipedia.org/wiki/Sarbanes-Oxley
•http://www.coso.org/publications/executive_summ
ary_derivatives_usage.htm
• A Lei Sarbanes-Oxley. Disponível em
http://www.kpmg.com.br
•http://www.itxl.com.br/v06/noticias_full.php?id_no
ticia=0014
• http://www.boucinhasconti.com.br
OBRIGADO!