Projeto Sox

2,759 views
2,671 views

Published on

Trabalho academico sobre o projeto sox

Published in: Technology, Economy & Finance
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,759
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
45
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Projeto Sox

  1. 1. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 1 Governança de TI . Professor: Fredson Andrade Aluno: Eduardo Cardoso Pinheiro ThalysonGonzáles Aguinaldo Neto Isaac Cohen
  2. 2. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 2 Introdução Introdução à Sarbanes-Oxley (SOX) A Sarbanes-Oxley é uma lei dos EUA assinada em 30 de julho de 2002. Foi proposta pelo senador Paul Sarbanes e pelo deputado Michael Oxley, por isto é também conhecida como lei SOX. Motivada por escândalos financeiros coorporativos (dentre eles o da Enron, que acabou por afetar drasticamente a empresa de auditoria Arthur Andersen), essa lei foi redigida com o objetivo de evitar o esvaziamento dos investimentos financeiros e a fuga dos investidores causada pela aparente insegurança a respeito da governança adequada das empresas. O conjunto de requisitos desta lei busca garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês e comissões encarregados de supervisionar suas atividades e operações de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou ter meios de identificar quando elas ocorrem, garantindo a transparência na gestão das empresas. A SOX é uma lei é voltada principalmente para companhias de capital aberto com ações nas bolsas de valores ou com negociação na Nasdaq. Muitas de suas regulamentações dizem respeito à responsabilidade corporativa pela veracidade de conteúdo dos relatórios financeiros produzidos e pelo gerenciamento e avaliação dos controles internos. Profissionais de TI de empresas que devem cumprir e se alinhar à SOX precisam conhecer mais sobre esta lei e como a área da Tecnologia da Informação deve se adaptar aos controles internos.
  3. 3. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 3 Eletro Manaus – TI (Projeto Sox) Importância da segurança da informação para a empresa Amazonas Energia. No atual ambiente globalizado de negócios, crescimentos e risco estão mais interligados do que nunca; assim, não surpreende que as melhores oportunidades venham acompanhadas dos maiores riscos. Na prática, o sucesso de estratégias globais jamais foi tão dependente de um gerenciamento de risco eficaz. Além disso, pequenas e médias empresas têm hoje as mesmas oportunidades de participar de negócios globais que grandes organizações, uma vez que o comercio eletrônico permite uma concorrência mais uniforme. Também é preciso levar em consideração que as empresas que se expandem para novos mercados e instalam operações em economias em rápido desenvolvimento enfrentam riscos de negócios, exponencialmente maiores, incluindo riscos relacionados a informações vitais da empresa e dados sobre clientes. A grande oportunidade de hoje pode se transformar rapidamente no pesadelo de amanhã, principalmente se isso envolver a perda ou a deterioração de informações da companhia, o roubo de segredos de negócio, a exposição de informações sobre clientes ou a invasão de sistemas. Felizmente, muitas empresas são bem sucedidas em reduzir esses riscos fortalecendo, para tanto, a segurança das informações. Nos últimos anos, houve investimentos significativos em segurança da informação, incluindo investimento em: Pessoas – mais executivos nas funções centralizadas e descentralizadas de Segurança da Informação. Processos – mais procedimentos formais, documentados e certificados; e Tecnologia – mais hardware e software para controle de acesso, detecção de invasão e proteção contra vírus. Maior envolvimento da diretoria. Atualmente, a segurança da informação ocupa uma posição de maior destaque na agenda das empresas e nas preocupações dos conselhos de administração, uma vez que a mídia tem divulgado a freqüência e a seriedade dos incidentes relacionados à segurança da informação. Maturidade das lideranças. A segurança da informação está amadurecendo na sua capacitação geral e em relação ao seu impacto sobre o cumprimento regulatório e sobre a reputação das empresas. Melhoria continua Ao olhar para o futuro, notamos que a importância das informações para as empresas tende a crescer. Os regulamentos sobre dados financeiros, proteção de privacidade e confidencialidade serão mais detalhados.
  4. 4. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 4 Além disso, empresas de todo o mundo continuarão a fortalecer seus sistemas, uma vez que agora que conhecem melhor os riscos e os impactos para o negócio. Paralelamente, organizações precisarão fortalecer sua infra-estrutura de trabalho para que tenham condições de atingir suas metas. Projeto SOX EletroEnergia e a Lei Sarbanes Oxley A EletroEnergia para lançamento de títulos no mercado financeiro dos Estados Unidos precisa estar aderente às obrigações impostas pela seção 404 da Lei Sarbanes Oxley (SOX). A EletroEnergia somente obterá a certificação de aderência à lei SOX, se as empresas significativas sob seu controle também estiverem em conformidade. A lei Sarbanes-Oxley torna Diretores Executivos e Diretores Financeiros explicitamente responsáveis por estabelecer, avaliar e monitorar a eficácia dos controles internos sobre relatórios financeiros e divulgações. Controle São políticas, procedimentos, práticas ou estruturas desenhadas de forma a prover uma garantia razoável de que os objetivos de negócio serão atingidos e que eventos indesejáveis serão prevenidos ou detectados e corrigidos. Participação de TI em SOX É de plena ciência que a TI possui um papel significativo no processo SOX, pois as informações contábil-financeiras dependem de infra-estrutura e sistemas. Cenário de Integração: SOX e TI Diante de tamanha insegurança financeiro-contábil, foi promulgado, em 2002, o ato constitucional de implantação da SOX, onde grande parte da discussão sobre a lei concentra-se nas seções 302 (área contábil e financeira) e 404 (contendo pautas que envolvem a participação da área de TI na implantação da SOX). Com esta lei, surgia a garantia da transparência e legitimidade. Com isto, as organizações americanas tiveram que correr contra o tempo ao cumprimento desta transparência empresarial e cumprir os prazos na prestação de contas assim exigidas. Com a SOX muitas adaptações e/ou alterações ocorrem, mas saliento que, de quebra a melhoria vem na carona. Aqui cito alguns itens:  Permitiu explorar ou melhorar, de forma acentuada, os recursos oferecidos pelos ERPs, uma vez que surgem novas exigências de demonstrações financeiras;  Eliminação de processos redundantes;  Auxílio na identificação dos pontos fracos dos controles internos, a fim de prover a solução, ou seja, aumento na supervisão e monitoramento dos controles;  Criação, atuação e independência do comitê/conselho.  Aumento quanto ao nível de responsabilidade e comprometimento por parte do gestor. A função do administrador torna-se uma atividade de maior
  5. 5. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 5 responsabilidade, uma vez que, diante da SOX, tais profissionais são responsabilizados pelos resultados apresentados pelas áreas (contábil e financeira) da companhia. Enfim, perceba que a governança está diretamente ligada ao crescimento, à evolução, às melhores práticas e que, diante da aplicação da SOX, fica estabelecida a credibilidade e a transparência nos processos contábeis e demonstrativos financeiros. O que já foi implantado na empresa no quesito segurança TIGC. Projeto SOX TIGC – Controle Gerais de Tecnologia. Segurança no Ambiente Geral do Físico CPD Documentação das Rotinas e procedimentos dos Sistemas Corporativos. Criação do Comitê para deliberação de política de segurança da informação da Mesa Controle de acesso em nível de usuário até o maior nível de poder Administrador Administração de usuários - Rede Administração de usuários - Banco de Dados Administração de usuários - SIG Administração de usuários - Ajuri Gerencia de Configuração - Banco de dados Gerencia de Configuração – SIG Gerencia de Configuração – Ajuri Gerencia de Configuração de Segurança de Redes Gerencia de Segurança de Redes Gerencia de Configuração de Sistemas Operacionais Gerencia de Configuração – Inventario de HW e SW Gerencia de Configuração de Antivírus Batch Interface Administração e Controle de Backup e Restore – SIG/Ajuri Gerenciamento de Log de Sistema Mudança de Controle – SIG Mudança de Controle – Ajuri Implementações em andamento Aprovação de Instrução Normativa serie informática Adquirir software e Hardware para ampliação dos ambientes SIG e Ajuri. Treinamento de colaboradores para manutenção preventiva e corretivas no-breaks. Criação de um cadastro com informações do RH para o AIN, para revogação de acessos à rede e os aplicativos. Inventário de Hardware e Software.
  6. 6. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 6 Objetivo da Área de Controle SOX Estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a Segurança da Informação; Assegurar que os procedimentos de segurança da informação suportam os requisitos de negócio; Identificar e endereçar requisitos legais e regulatórios e obrigações de segurança contratuais; Manter a segurança adequada pela aplicação correta de todos os controles implementados. Conduzir revisões quando necessário, e reagir adequadamente aos resultados destas revisões; e onde exigido, melhorar a efetividade da Segurança da Informação.
  7. 7. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 7 Planejamento Estratégico Meta: A empresa Eletro Manaus tem que está de acordo com as normas exigidas pela Lei do Sox ate no ano de 2011. Ações: 1º Primeiramente será determinado quais pessoas que serão responsáveis pelo desenvolvimento do projeto e aplicação. 2º Com as pessoas selecionadas será feita a capacitação delas, para a Lei do Sox. 3º Será desenvolvido um Projeto de Implantação do Sox na área de TI 4º Normas do Sox serão implementas na TI 5º Depois do processo de implantação, a auditoria interna da empresa ira verificar se está tudo de acordo com a norma.. 6º Se o resultado for negativo, a empresa terá mais uma chance para mitigar os erros e risco 7º Será feito novamente a auditoria 8º Com o resultado positivo, uma auditoria externa irá verificar as normas do sox na empresa. 9º Se o resultado for positivo, a empresa recebera um certificado por estar de acordo com todas as normas exigidas pelo Sox.
  8. 8. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 8 Conclusão A empresa Amazonas Energia esta em fase de implementação, para que, futuramente seja feita uma avaliação pela auditoria interna na empresa. A empresa terá direito de fazer um teste e um reteste para saber se ela estar apta a ser avaliada por um auditoria externa, da qual o resultado sendo positivo, ela estará dentro das leis do SOX e automaticamente recebera o certificado de que a empresa está dentro dos requisitos do SOX.
  9. 9. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 9 Bibliografia: http://pt.wikipedia.org/wiki/Lei_Sarbanes-Oxley http://www.tiexames.com.br/curso_SOX.php http://www.sarbanes-oxley.com/

×