Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Projeto Sox

2,897 views

Published on

Trabalho academico sobre o projeto sox

Published in: Technology, Economy & Finance
  • Be the first to comment

Projeto Sox

  1. 1. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 1 Governança de TI . Professor: Fredson Andrade Aluno: Eduardo Cardoso Pinheiro ThalysonGonzáles Aguinaldo Neto Isaac Cohen
  2. 2. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 2 Introdução Introdução à Sarbanes-Oxley (SOX) A Sarbanes-Oxley é uma lei dos EUA assinada em 30 de julho de 2002. Foi proposta pelo senador Paul Sarbanes e pelo deputado Michael Oxley, por isto é também conhecida como lei SOX. Motivada por escândalos financeiros coorporativos (dentre eles o da Enron, que acabou por afetar drasticamente a empresa de auditoria Arthur Andersen), essa lei foi redigida com o objetivo de evitar o esvaziamento dos investimentos financeiros e a fuga dos investidores causada pela aparente insegurança a respeito da governança adequada das empresas. O conjunto de requisitos desta lei busca garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês e comissões encarregados de supervisionar suas atividades e operações de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou ter meios de identificar quando elas ocorrem, garantindo a transparência na gestão das empresas. A SOX é uma lei é voltada principalmente para companhias de capital aberto com ações nas bolsas de valores ou com negociação na Nasdaq. Muitas de suas regulamentações dizem respeito à responsabilidade corporativa pela veracidade de conteúdo dos relatórios financeiros produzidos e pelo gerenciamento e avaliação dos controles internos. Profissionais de TI de empresas que devem cumprir e se alinhar à SOX precisam conhecer mais sobre esta lei e como a área da Tecnologia da Informação deve se adaptar aos controles internos.
  3. 3. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 3 Eletro Manaus – TI (Projeto Sox) Importância da segurança da informação para a empresa Amazonas Energia. No atual ambiente globalizado de negócios, crescimentos e risco estão mais interligados do que nunca; assim, não surpreende que as melhores oportunidades venham acompanhadas dos maiores riscos. Na prática, o sucesso de estratégias globais jamais foi tão dependente de um gerenciamento de risco eficaz. Além disso, pequenas e médias empresas têm hoje as mesmas oportunidades de participar de negócios globais que grandes organizações, uma vez que o comercio eletrônico permite uma concorrência mais uniforme. Também é preciso levar em consideração que as empresas que se expandem para novos mercados e instalam operações em economias em rápido desenvolvimento enfrentam riscos de negócios, exponencialmente maiores, incluindo riscos relacionados a informações vitais da empresa e dados sobre clientes. A grande oportunidade de hoje pode se transformar rapidamente no pesadelo de amanhã, principalmente se isso envolver a perda ou a deterioração de informações da companhia, o roubo de segredos de negócio, a exposição de informações sobre clientes ou a invasão de sistemas. Felizmente, muitas empresas são bem sucedidas em reduzir esses riscos fortalecendo, para tanto, a segurança das informações. Nos últimos anos, houve investimentos significativos em segurança da informação, incluindo investimento em: Pessoas – mais executivos nas funções centralizadas e descentralizadas de Segurança da Informação. Processos – mais procedimentos formais, documentados e certificados; e Tecnologia – mais hardware e software para controle de acesso, detecção de invasão e proteção contra vírus. Maior envolvimento da diretoria. Atualmente, a segurança da informação ocupa uma posição de maior destaque na agenda das empresas e nas preocupações dos conselhos de administração, uma vez que a mídia tem divulgado a freqüência e a seriedade dos incidentes relacionados à segurança da informação. Maturidade das lideranças. A segurança da informação está amadurecendo na sua capacitação geral e em relação ao seu impacto sobre o cumprimento regulatório e sobre a reputação das empresas. Melhoria continua Ao olhar para o futuro, notamos que a importância das informações para as empresas tende a crescer. Os regulamentos sobre dados financeiros, proteção de privacidade e confidencialidade serão mais detalhados.
  4. 4. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 4 Além disso, empresas de todo o mundo continuarão a fortalecer seus sistemas, uma vez que agora que conhecem melhor os riscos e os impactos para o negócio. Paralelamente, organizações precisarão fortalecer sua infra-estrutura de trabalho para que tenham condições de atingir suas metas. Projeto SOX EletroEnergia e a Lei Sarbanes Oxley A EletroEnergia para lançamento de títulos no mercado financeiro dos Estados Unidos precisa estar aderente às obrigações impostas pela seção 404 da Lei Sarbanes Oxley (SOX). A EletroEnergia somente obterá a certificação de aderência à lei SOX, se as empresas significativas sob seu controle também estiverem em conformidade. A lei Sarbanes-Oxley torna Diretores Executivos e Diretores Financeiros explicitamente responsáveis por estabelecer, avaliar e monitorar a eficácia dos controles internos sobre relatórios financeiros e divulgações. Controle São políticas, procedimentos, práticas ou estruturas desenhadas de forma a prover uma garantia razoável de que os objetivos de negócio serão atingidos e que eventos indesejáveis serão prevenidos ou detectados e corrigidos. Participação de TI em SOX É de plena ciência que a TI possui um papel significativo no processo SOX, pois as informações contábil-financeiras dependem de infra-estrutura e sistemas. Cenário de Integração: SOX e TI Diante de tamanha insegurança financeiro-contábil, foi promulgado, em 2002, o ato constitucional de implantação da SOX, onde grande parte da discussão sobre a lei concentra-se nas seções 302 (área contábil e financeira) e 404 (contendo pautas que envolvem a participação da área de TI na implantação da SOX). Com esta lei, surgia a garantia da transparência e legitimidade. Com isto, as organizações americanas tiveram que correr contra o tempo ao cumprimento desta transparência empresarial e cumprir os prazos na prestação de contas assim exigidas. Com a SOX muitas adaptações e/ou alterações ocorrem, mas saliento que, de quebra a melhoria vem na carona. Aqui cito alguns itens:  Permitiu explorar ou melhorar, de forma acentuada, os recursos oferecidos pelos ERPs, uma vez que surgem novas exigências de demonstrações financeiras;  Eliminação de processos redundantes;  Auxílio na identificação dos pontos fracos dos controles internos, a fim de prover a solução, ou seja, aumento na supervisão e monitoramento dos controles;  Criação, atuação e independência do comitê/conselho.  Aumento quanto ao nível de responsabilidade e comprometimento por parte do gestor. A função do administrador torna-se uma atividade de maior
  5. 5. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 5 responsabilidade, uma vez que, diante da SOX, tais profissionais são responsabilizados pelos resultados apresentados pelas áreas (contábil e financeira) da companhia. Enfim, perceba que a governança está diretamente ligada ao crescimento, à evolução, às melhores práticas e que, diante da aplicação da SOX, fica estabelecida a credibilidade e a transparência nos processos contábeis e demonstrativos financeiros. O que já foi implantado na empresa no quesito segurança TIGC. Projeto SOX TIGC – Controle Gerais de Tecnologia. Segurança no Ambiente Geral do Físico CPD Documentação das Rotinas e procedimentos dos Sistemas Corporativos. Criação do Comitê para deliberação de política de segurança da informação da Mesa Controle de acesso em nível de usuário até o maior nível de poder Administrador Administração de usuários - Rede Administração de usuários - Banco de Dados Administração de usuários - SIG Administração de usuários - Ajuri Gerencia de Configuração - Banco de dados Gerencia de Configuração – SIG Gerencia de Configuração – Ajuri Gerencia de Configuração de Segurança de Redes Gerencia de Segurança de Redes Gerencia de Configuração de Sistemas Operacionais Gerencia de Configuração – Inventario de HW e SW Gerencia de Configuração de Antivírus Batch Interface Administração e Controle de Backup e Restore – SIG/Ajuri Gerenciamento de Log de Sistema Mudança de Controle – SIG Mudança de Controle – Ajuri Implementações em andamento Aprovação de Instrução Normativa serie informática Adquirir software e Hardware para ampliação dos ambientes SIG e Ajuri. Treinamento de colaboradores para manutenção preventiva e corretivas no-breaks. Criação de um cadastro com informações do RH para o AIN, para revogação de acessos à rede e os aplicativos. Inventário de Hardware e Software.
  6. 6. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 6 Objetivo da Área de Controle SOX Estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a Segurança da Informação; Assegurar que os procedimentos de segurança da informação suportam os requisitos de negócio; Identificar e endereçar requisitos legais e regulatórios e obrigações de segurança contratuais; Manter a segurança adequada pela aplicação correta de todos os controles implementados. Conduzir revisões quando necessário, e reagir adequadamente aos resultados destas revisões; e onde exigido, melhorar a efetividade da Segurança da Informação.
  7. 7. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 7 Planejamento Estratégico Meta: A empresa Eletro Manaus tem que está de acordo com as normas exigidas pela Lei do Sox ate no ano de 2011. Ações: 1º Primeiramente será determinado quais pessoas que serão responsáveis pelo desenvolvimento do projeto e aplicação. 2º Com as pessoas selecionadas será feita a capacitação delas, para a Lei do Sox. 3º Será desenvolvido um Projeto de Implantação do Sox na área de TI 4º Normas do Sox serão implementas na TI 5º Depois do processo de implantação, a auditoria interna da empresa ira verificar se está tudo de acordo com a norma.. 6º Se o resultado for negativo, a empresa terá mais uma chance para mitigar os erros e risco 7º Será feito novamente a auditoria 8º Com o resultado positivo, uma auditoria externa irá verificar as normas do sox na empresa. 9º Se o resultado for positivo, a empresa recebera um certificado por estar de acordo com todas as normas exigidas pelo Sox.
  8. 8. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 8 Conclusão A empresa Amazonas Energia esta em fase de implementação, para que, futuramente seja feita uma avaliação pela auditoria interna na empresa. A empresa terá direito de fazer um teste e um reteste para saber se ela estar apta a ser avaliada por um auditoria externa, da qual o resultado sendo positivo, ela estará dentro das leis do SOX e automaticamente recebera o certificado de que a empresa está dentro dos requisitos do SOX.
  9. 9. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 9 Bibliografia: http://pt.wikipedia.org/wiki/Lei_Sarbanes-Oxley http://www.tiexames.com.br/curso_SOX.php http://www.sarbanes-oxley.com/

×