SlideShare uma empresa Scribd logo

Projeto Sox

E
edutaito

O documento discute a importância da Lei Sarbanes-Oxley (SOX) para a empresa Amazonas Energia e seu departamento de TI. A empresa está implementando controles internos para estar em conformidade com a SOX até 2011, incluindo a designação de responsáveis, capacitação, desenvolvimento de projeto de implantação e auditorias internas e externas.

TecnologiaEconomia e finanças
1 de 9
Baixar para ler offline
CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Governança de TI . Professor: Fredson Andrade Aluno: Eduardo Cardoso Pinheiro Thalyson Gonzáles Aguinaldo Neto Isaac Cohen 1
CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Introdução Introdução à Sarbanes-Oxley (SOX) A Sarbanes-Oxley é uma lei dos EUA assinada em 30 de julho de 2002. Foi proposta pelo senador Paul Sarbanes e pelo deputado Michael Oxley, por isto é também conhecida como lei SOX. Motivada por escândalos financeiros coorporativos (dentre eles o da Enron, que acabou por afetar drasticamente a empresa de auditoria Arthur Andersen), essa lei foi redigida com o objetivo de evitar o esvaziamento dos investimentos financeiros e a fuga dos investidores causada pela aparente insegurança a respeito da governança adequada das empresas. O conjunto de requisitos desta lei busca garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês e comissões encarregados de supervisionar suas atividades e operações de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou ter meios de identificar quando elas ocorrem, garantindo a transparência na gestão das empresas. A SOX é uma lei é voltada principalmente para companhias de capital aberto com ações nas bolsas de valores ou com negociação na Nasdaq. Muitas de suas regulamentações dizem respeito à responsabilidade corporativa pela veracidade de conteúdo dos relatórios financeiros produzidos e pelo gerenciamento e avaliação dos controles internos. Profissionais de TI de empresas que devem cumprir e se alinhar à SOX precisam conhecer mais sobre esta lei e como a área da Tecnologia da Informação deve se adaptar aos controles internos. 2
CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Eletro Manaus – TI (Projeto Sox) Importância da segurança da informação para a empresa Amazonas Energia. No atual ambiente globalizado de negócios, crescimentos e risco estão mais interligados do que nunca; assim, não surpreende que as melhores oportunidades venham acompanhadas dos maiores riscos. Na prática, o sucesso de estratégias globais jamais foi tão dependente de um gerenciamento de risco eficaz. Além disso, pequenas e médias empresas têm hoje as mesmas oportunidades de participar de negócios globais que grandes organizações, uma vez que o comercio eletrônico permite uma concorrência mais uniforme. Também é preciso levar em consideração que as empresas que se expandem para novos mercados e instalam operações em economias em rápido desenvolvimento enfrentam riscos de negócios, exponencialmente maiores, incluindo riscos relacionados a informações vitais da empresa e dados sobre clientes. A grande oportunidade de hoje pode se transformar rapidamente no pesadelo de amanhã, principalmente se isso envolver a perda ou a deterioração de informações da companhia, o roubo de segredos de negócio, a exposição de informações sobre clientes ou a invasão de sistemas. Felizmente, muitas empresas são bem sucedidas em reduzir esses riscos fortalecendo, para tanto, a segurança das informações. Nos últimos anos, houve investimentos significativos em segurança da informação, incluindo investimento em: Pessoas – mais executivos nas funções centralizadas e descentralizadas de Segurança da Informação. Processos – mais procedimentos formais, documentados e certificados; e Tecnologia – mais hardware e software para controle de acesso, detecção de invasão e proteção contra vírus. Maior envolvimento da diretoria. Atualmente, a segurança da informação ocupa uma posição de maior destaque na agenda das empresas e nas preocupações dos conselhos de administração, uma vez que a mídia tem divulgado a freqüência e a seriedade dos incidentes relacionados à segurança da informação. Maturidade das lideranças. A segurança da informação está amadurecendo na sua capacitação geral e em relação ao seu impacto sobre o cumprimento regulatório e sobre a reputação das empresas. Melhoria continua Ao olhar para o futuro, notamos que a importância das informações para as empresas tende a crescer. Os regulamentos sobre dados financeiros, proteção de privacidade e confidencialidade serão mais detalhados. 3
CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Além disso, empresas de todo o mundo continuarão a fortalecer seus sistemas, uma vez que agora que conhecem melhor os riscos e os impactos para o negócio. Paralelamente, organizações precisarão fortalecer sua infra-estrutura de trabalho para que tenham condições de atingir suas metas. Projeto SOX EletroEnergia e a Lei Sarbanes Oxley A EletroEnergia para lançamento de títulos no mercado financeiro dos Estados Unidos precisa estar aderente às obrigações impostas pela seção 404 da Lei Sarbanes Oxley (SOX). A EletroEnergia somente obterá a certificação de aderência à lei SOX, se as empresas significativas sob seu controle também estiverem em conformidade. A lei Sarbanes-Oxley torna Diretores Executivos e Diretores Financeiros explicitamente responsáveis por estabelecer, avaliar e monitorar a eficácia dos controles internos sobre relatórios financeiros e divulgações. Controle São políticas, procedimentos, práticas ou estruturas desenhadas de forma a prover uma garantia razoável de que os objetivos de negócio serão atingidos e que eventos indesejáveis serão prevenidos ou detectados e corrigidos. Participação de TI em SOX É de plena ciência que a TI possui um papel significativo no processo SOX, pois as informações contábil-financeiras dependem de infra-estrutura e sistemas. Cenário de Integração: SOX e TI Diante de tamanha insegurança financeiro-contábil, foi promulgado, em 2002, o ato constitucional de implantação da SOX, onde grande parte da discussão sobre a lei concentra-se nas seções 302 (área contábil e financeira) e 404 (contendo pautas que envolvem a participação da área de TI na implantação da SOX). Com esta lei, surgia a garantia da transparência e legitimidade. Com isto, as organizações americanas tiveram que correr contra o tempo ao cumprimento desta transparência empresarial e cumprir os prazos na prestação de contas assim exigidas. Com a SOX muitas adaptações e/ou alterações ocorrem, mas saliento que, de quebra a melhoria vem na carona. Aqui cito alguns itens: • Permitiu explorar ou melhorar, de forma acentuada, os recursos oferecidos pelos ERPs, uma vez que surgem novas exigências de demonstrações financeiras; • Eliminação de processos redundantes; • Auxílio na identificação dos pontos fracos dos controles internos, a fim de prover a solução, ou seja, aumento na supervisão e monitoramento dos controles; • Criação, atuação e independência do comitê/conselho. • Aumento quanto ao nível de responsabilidade e comprometimento por parte do gestor. A função do administrador torna-se uma atividade de maior 4
CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO responsabilidade, uma vez que, diante da SOX, tais profissionais são responsabilizados pelos resultados apresentados pelas áreas (contábil e financeira) da companhia. Enfim, perceba que a governança está diretamente ligada ao crescimento, à evolução, às melhores práticas e que, diante da aplicação da SOX, fica estabelecida a credibilidade e a transparência nos processos contábeis e demonstrativos financeiros. O que já foi implantado na empresa no quesito segurança TIGC. Projeto SOX TIGC – Controle Gerais de Tecnologia. Segurança no Ambiente Geral do Físico CPD Documentação das Rotinas e procedimentos dos Sistemas Corporativos. Criação do Comitê para deliberação de política de segurança da informação da Mesa Controle de acesso em nível de usuário até o maior nível de poder Administrador Administração de usuários - Rede Administração de usuários - Banco de Dados Administração de usuários - SIG Administração de usuários - Ajuri Gerencia de Configuração - Banco de dados Gerencia de Configuração – SIG Gerencia de Configuração – Ajuri Gerencia de Configuração de Segurança de Redes Gerencia de Segurança de Redes Gerencia de Configuração de Sistemas Operacionais Gerencia de Configuração – Inventario de HW e SW Gerencia de Configuração de Antivírus Batch Interface Administração e Controle de Backup e Restore – SIG/Ajuri Gerenciamento de Log de Sistema Mudança de Controle – SIG Mudança de Controle – Ajuri Implementações em andamento Aprovação de Instrução Normativa serie informática Adquirir software e Hardware para ampliação dos ambientes SIG e Ajuri. Treinamento de colaboradores para manutenção preventiva e corretivas no-breaks. Criação de um cadastro com informações do RH para o AIN, para revogação de acessos à rede e os aplicativos. Inventário de Hardware e Software. 5
CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Objetivo da Área de Controle SOX Estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a Segurança da Informação; Assegurar que os procedimentos de segurança da informação suportam os requisitos de negócio; Identificar e endereçar requisitos legais e regulatórios e obrigações de segurança contratuais; Manter a segurança adequada pela aplicação correta de todos os controles implementados. Conduzir revisões quando necessário, e reagir adequadamente aos resultados destas revisões; e onde exigido, melhorar a efetividade da Segurança da Informação. 6
CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Planejamento Estratégico Meta: A empresa Eletro Manaus tem que está de acordo com as normas exigidas pela Lei do Sox ate no ano de 2011. Ações: 1º Primeiramente será determinado quais pessoas que serão responsáveis pelo desenvolvimento do projeto e aplicação. 2º Com as pessoas selecionadas será feita a capacitação delas, para a Lei do Sox. 3º Será desenvolvido um Projeto de Implantação do Sox na área de TI 4º Normas do Sox serão implementas na TI 5º Depois do processo de implantação, a auditoria interna da empresa ira verificar se está tudo de acordo com a norma.. 6º Se o resultado for negativo, a empresa terá mais uma chance para mitigar os erros e risco 7º Será feito novamente a auditoria 8º Com o resultado positivo, uma auditoria externa irá verificar as normas do sox na empresa. 9º Se o resultado for positivo, a empresa recebera um certificado por estar de acordo com todas as normas exigidas pelo Sox. 7
CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Conclusão A empresa Amazonas Energia esta em fase de implementação, para que, futuramente seja feita uma avaliação pela auditoria interna na empresa. A empresa terá direito de fazer um teste e um reteste para saber se ela estar apta a ser avaliada por um auditoria externa, da qual o resultado sendo positivo, ela estará dentro das leis do SOX e automaticamente recebera o certificado de que a empresa está dentro dos requisitos do SOX. 8
CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Bibliografia: http://pt.wikipedia.org/wiki/Lei_Sarbanes-Oxley http://www.tiexames.com.br/curso_SOX.php http://www.sarbanes-oxley.com/ 9

Recomendados

Projeto Sox
Projeto SoxProjeto Sox
Projeto Soxedutaito
 
Compliance
ComplianceCompliance
ComplianceWillian Fellipe
 
Indyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Bruno Luiz A. de Pai Paiva
 
IT2S Group
IT2S GroupIT2S Group
IT2S GroupGustavo Sana
 
CONARH Dados Colaboradores AEcheverria IBGC
CONARH Dados Colaboradores AEcheverria IBGCCONARH Dados Colaboradores AEcheverria IBGC
CONARH Dados Colaboradores AEcheverria IBGCAndré Echeverria
 
Caso de Sucesso WK - Unimax
Caso de Sucesso WK - Unimax Caso de Sucesso WK - Unimax
Caso de Sucesso WK - Unimax WK Sistemas
 

Recomendados

Projeto Sox
Projeto SoxProjeto Sox
Projeto Soxedutaito
 
Compliance
ComplianceCompliance
ComplianceWillian Fellipe
 
Indyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Bruno Luiz A. de Pai Paiva
 
IT2S Group
IT2S GroupIT2S Group
IT2S GroupGustavo Sana
 
CONARH Dados Colaboradores AEcheverria IBGC
CONARH Dados Colaboradores AEcheverria IBGCCONARH Dados Colaboradores AEcheverria IBGC
CONARH Dados Colaboradores AEcheverria IBGCAndré Echeverria
 
Caso de Sucesso WK - Unimax
Caso de Sucesso WK - Unimax Caso de Sucesso WK - Unimax
Caso de Sucesso WK - Unimax WK Sistemas
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosCarlos Henrique Martins da Silva
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Trabalho De SASI
Trabalho De SASITrabalho De SASI
Trabalho De SASICristiano Garcia
 
Indicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoIndicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoMarcelo Martins
 
Política de segurança da informação Fícticia
Política de segurança da informação FícticiaPolítica de segurança da informação Fícticia
Política de segurança da informação FícticiaVitor Melo
 
Palestra de Marcos Assi GRM 2011
Palestra de Marcos Assi GRM 2011Palestra de Marcos Assi GRM 2011
Palestra de Marcos Assi GRM 2011MASSI Consultoria e Treinamento
 
Aula 6 - 5 Auditoria de Sistemas
Aula 6 - 5 Auditoria de SistemasAula 6 - 5 Auditoria de Sistemas
Aula 6 - 5 Auditoria de SistemasSecretaria de Estado da Tributação do RN
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoTI Infnet
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Fernando Palma
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisAdriano Lima
 
Whitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptWhitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptLafaiete Alves Ferreira Netto
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Guia de Trabalho a distância
Guia de Trabalho a distânciaGuia de Trabalho a distância
Guia de Trabalho a distânciaESET Brasil
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 prontoAngélica Mancini
 
Cobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informaçãoCobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informaçãoMarcio Henning
 
Projeto Sox
Projeto SoxProjeto Sox
Projeto Soxedutaito
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Leonardo Couto
 
Governança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTIGovernança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTICEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 

Mais conteúdo relacionado

Mais procurados

Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Indicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoIndicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoMarcelo Martins
 
Política de segurança da informação Fícticia
Política de segurança da informação FícticiaPolítica de segurança da informação Fícticia
Política de segurança da informação FícticiaVitor Melo
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoTI Infnet
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Fernando Palma
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisAdriano Lima
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Guia de Trabalho a distância
Guia de Trabalho a distânciaGuia de Trabalho a distância
Guia de Trabalho a distânciaESET Brasil
 
Cobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informaçãoCobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informaçãoMarcio Henning
 

Mais procurados (19)

Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Trabalho De SASI
Trabalho De SASITrabalho De SASI
Trabalho De SASI
 
Indicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoIndicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da Informação
 
Política de segurança da informação Fícticia
Política de segurança da informação FícticiaPolítica de segurança da informação Fícticia
Política de segurança da informação Fícticia
 
Palestra de Marcos Assi GRM 2011
Palestra de Marcos Assi GRM 2011Palestra de Marcos Assi GRM 2011
Palestra de Marcos Assi GRM 2011
 
Aula 6 - 5 Auditoria de Sistemas
Aula 6 - 5 Auditoria de SistemasAula 6 - 5 Auditoria de Sistemas
Aula 6 - 5 Auditoria de Sistemas
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes gerais
 
Whitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptWhitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-pt
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Guia de Trabalho a distância
Guia de Trabalho a distânciaGuia de Trabalho a distância
Guia de Trabalho a distância
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Cobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informaçãoCobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informação
 

Semelhante a Projeto Sox

Projeto Sox
Projeto SoxProjeto Sox
Projeto Soxedutaito
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Leonardo Couto
 
Jeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de Sistemas
Jeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de SistemasJeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de Sistemas
Jeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de SistemasJeneffer Ferreira Ribeiro
 
TeamNews 13 - TeamAudit Risk & Compliance Cases
TeamNews 13 - TeamAudit Risk & Compliance Cases TeamNews 13 - TeamAudit Risk & Compliance Cases
TeamNews 13 - TeamAudit Risk & Compliance Cases VIXTEAM
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Por que adotar o compliance
Por que adotar o compliancePor que adotar o compliance
Por que adotar o complianceEduardo Saraiva
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
Compliance em Fundações
Compliance em FundaçõesCompliance em Fundações
Compliance em FundaçõesCompanyWeb
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...Fabio Marques, PMP
 
OAB - SEGURANÇA CORPORATIVA - Guia de Referência
OAB - SEGURANÇA CORPORATIVA - Guia de ReferênciaOAB - SEGURANÇA CORPORATIVA - Guia de Referência
OAB - SEGURANÇA CORPORATIVA - Guia de ReferênciaSymantec Brasil
 
Apresentação Active System
Apresentação Active SystemApresentação Active System
Apresentação Active SystemLadocriativo
 
14 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 201614 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 2016Renato Paço
 
Compliance uma questao de cultura
Compliance uma questao de culturaCompliance uma questao de cultura
Compliance uma questao de culturaPriscila Stuani
 
Introdução a Governanca corporativa e Controles Internos nas Pequenas e Méid...
Introdução a Governanca corporativa e Controles Internos nas Pequenas e Méid...Introdução a Governanca corporativa e Controles Internos nas Pequenas e Méid...
Introdução a Governanca corporativa e Controles Internos nas Pequenas e Méid...HSCE Ltda.
 

Semelhante a Projeto Sox (20)

Projeto Sox
Projeto SoxProjeto Sox
Projeto Sox
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...
 
Governança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTIGovernança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTI
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Jeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de Sistemas
Jeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de SistemasJeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de Sistemas
Jeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de Sistemas
 
TeamNews 13 - TeamAudit Risk & Compliance Cases
TeamNews 13 - TeamAudit Risk & Compliance Cases TeamNews 13 - TeamAudit Risk & Compliance Cases
TeamNews 13 - TeamAudit Risk & Compliance Cases
 
LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO
 
Sarbanes Oxley
Sarbanes OxleySarbanes Oxley
Sarbanes Oxley
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Por que adotar o compliance
Por que adotar o compliancePor que adotar o compliance
Por que adotar o compliance
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Compliance em Fundações
Compliance em FundaçõesCompliance em Fundações
Compliance em Fundações
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
 
OAB - SEGURANÇA CORPORATIVA - Guia de Referência
OAB - SEGURANÇA CORPORATIVA - Guia de ReferênciaOAB - SEGURANÇA CORPORATIVA - Guia de Referência
OAB - SEGURANÇA CORPORATIVA - Guia de Referência
 
Analise_processos_com_foco_em_Riscos
Analise_processos_com_foco_em_RiscosAnalise_processos_com_foco_em_Riscos
Analise_processos_com_foco_em_Riscos
 
Apresentação Active System
Apresentação Active SystemApresentação Active System
Apresentação Active System
 
14 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 201614 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 2016
 
Compliance uma questao de cultura
Compliance uma questao de culturaCompliance uma questao de cultura
Compliance uma questao de cultura
 
Introdução a Governanca corporativa e Controles Internos nas Pequenas e Méid...
Introdução a Governanca corporativa e Controles Internos nas Pequenas e Méid...Introdução a Governanca corporativa e Controles Internos nas Pequenas e Méid...
Introdução a Governanca corporativa e Controles Internos nas Pequenas e Méid...
 

Projeto Sox

  • 1. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Governança de TI . Professor: Fredson Andrade Aluno: Eduardo Cardoso Pinheiro Thalyson Gonzáles Aguinaldo Neto Isaac Cohen 1
  • 2. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Introdução Introdução à Sarbanes-Oxley (SOX) A Sarbanes-Oxley é uma lei dos EUA assinada em 30 de julho de 2002. Foi proposta pelo senador Paul Sarbanes e pelo deputado Michael Oxley, por isto é também conhecida como lei SOX. Motivada por escândalos financeiros coorporativos (dentre eles o da Enron, que acabou por afetar drasticamente a empresa de auditoria Arthur Andersen), essa lei foi redigida com o objetivo de evitar o esvaziamento dos investimentos financeiros e a fuga dos investidores causada pela aparente insegurança a respeito da governança adequada das empresas. O conjunto de requisitos desta lei busca garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês e comissões encarregados de supervisionar suas atividades e operações de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou ter meios de identificar quando elas ocorrem, garantindo a transparência na gestão das empresas. A SOX é uma lei é voltada principalmente para companhias de capital aberto com ações nas bolsas de valores ou com negociação na Nasdaq. Muitas de suas regulamentações dizem respeito à responsabilidade corporativa pela veracidade de conteúdo dos relatórios financeiros produzidos e pelo gerenciamento e avaliação dos controles internos. Profissionais de TI de empresas que devem cumprir e se alinhar à SOX precisam conhecer mais sobre esta lei e como a área da Tecnologia da Informação deve se adaptar aos controles internos. 2
  • 3. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Eletro Manaus – TI (Projeto Sox) Importância da segurança da informação para a empresa Amazonas Energia. No atual ambiente globalizado de negócios, crescimentos e risco estão mais interligados do que nunca; assim, não surpreende que as melhores oportunidades venham acompanhadas dos maiores riscos. Na prática, o sucesso de estratégias globais jamais foi tão dependente de um gerenciamento de risco eficaz. Além disso, pequenas e médias empresas têm hoje as mesmas oportunidades de participar de negócios globais que grandes organizações, uma vez que o comercio eletrônico permite uma concorrência mais uniforme. Também é preciso levar em consideração que as empresas que se expandem para novos mercados e instalam operações em economias em rápido desenvolvimento enfrentam riscos de negócios, exponencialmente maiores, incluindo riscos relacionados a informações vitais da empresa e dados sobre clientes. A grande oportunidade de hoje pode se transformar rapidamente no pesadelo de amanhã, principalmente se isso envolver a perda ou a deterioração de informações da companhia, o roubo de segredos de negócio, a exposição de informações sobre clientes ou a invasão de sistemas. Felizmente, muitas empresas são bem sucedidas em reduzir esses riscos fortalecendo, para tanto, a segurança das informações. Nos últimos anos, houve investimentos significativos em segurança da informação, incluindo investimento em: Pessoas – mais executivos nas funções centralizadas e descentralizadas de Segurança da Informação. Processos – mais procedimentos formais, documentados e certificados; e Tecnologia – mais hardware e software para controle de acesso, detecção de invasão e proteção contra vírus. Maior envolvimento da diretoria. Atualmente, a segurança da informação ocupa uma posição de maior destaque na agenda das empresas e nas preocupações dos conselhos de administração, uma vez que a mídia tem divulgado a freqüência e a seriedade dos incidentes relacionados à segurança da informação. Maturidade das lideranças. A segurança da informação está amadurecendo na sua capacitação geral e em relação ao seu impacto sobre o cumprimento regulatório e sobre a reputação das empresas. Melhoria continua Ao olhar para o futuro, notamos que a importância das informações para as empresas tende a crescer. Os regulamentos sobre dados financeiros, proteção de privacidade e confidencialidade serão mais detalhados. 3
  • 4. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Além disso, empresas de todo o mundo continuarão a fortalecer seus sistemas, uma vez que agora que conhecem melhor os riscos e os impactos para o negócio. Paralelamente, organizações precisarão fortalecer sua infra-estrutura de trabalho para que tenham condições de atingir suas metas. Projeto SOX EletroEnergia e a Lei Sarbanes Oxley A EletroEnergia para lançamento de títulos no mercado financeiro dos Estados Unidos precisa estar aderente às obrigações impostas pela seção 404 da Lei Sarbanes Oxley (SOX). A EletroEnergia somente obterá a certificação de aderência à lei SOX, se as empresas significativas sob seu controle também estiverem em conformidade. A lei Sarbanes-Oxley torna Diretores Executivos e Diretores Financeiros explicitamente responsáveis por estabelecer, avaliar e monitorar a eficácia dos controles internos sobre relatórios financeiros e divulgações. Controle São políticas, procedimentos, práticas ou estruturas desenhadas de forma a prover uma garantia razoável de que os objetivos de negócio serão atingidos e que eventos indesejáveis serão prevenidos ou detectados e corrigidos. Participação de TI em SOX É de plena ciência que a TI possui um papel significativo no processo SOX, pois as informações contábil-financeiras dependem de infra-estrutura e sistemas. Cenário de Integração: SOX e TI Diante de tamanha insegurança financeiro-contábil, foi promulgado, em 2002, o ato constitucional de implantação da SOX, onde grande parte da discussão sobre a lei concentra-se nas seções 302 (área contábil e financeira) e 404 (contendo pautas que envolvem a participação da área de TI na implantação da SOX). Com esta lei, surgia a garantia da transparência e legitimidade. Com isto, as organizações americanas tiveram que correr contra o tempo ao cumprimento desta transparência empresarial e cumprir os prazos na prestação de contas assim exigidas. Com a SOX muitas adaptações e/ou alterações ocorrem, mas saliento que, de quebra a melhoria vem na carona. Aqui cito alguns itens: • Permitiu explorar ou melhorar, de forma acentuada, os recursos oferecidos pelos ERPs, uma vez que surgem novas exigências de demonstrações financeiras; • Eliminação de processos redundantes; • Auxílio na identificação dos pontos fracos dos controles internos, a fim de prover a solução, ou seja, aumento na supervisão e monitoramento dos controles; • Criação, atuação e independência do comitê/conselho. • Aumento quanto ao nível de responsabilidade e comprometimento por parte do gestor. A função do administrador torna-se uma atividade de maior 4
  • 5. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO responsabilidade, uma vez que, diante da SOX, tais profissionais são responsabilizados pelos resultados apresentados pelas áreas (contábil e financeira) da companhia. Enfim, perceba que a governança está diretamente ligada ao crescimento, à evolução, às melhores práticas e que, diante da aplicação da SOX, fica estabelecida a credibilidade e a transparência nos processos contábeis e demonstrativos financeiros. O que já foi implantado na empresa no quesito segurança TIGC. Projeto SOX TIGC – Controle Gerais de Tecnologia. Segurança no Ambiente Geral do Físico CPD Documentação das Rotinas e procedimentos dos Sistemas Corporativos. Criação do Comitê para deliberação de política de segurança da informação da Mesa Controle de acesso em nível de usuário até o maior nível de poder Administrador Administração de usuários - Rede Administração de usuários - Banco de Dados Administração de usuários - SIG Administração de usuários - Ajuri Gerencia de Configuração - Banco de dados Gerencia de Configuração – SIG Gerencia de Configuração – Ajuri Gerencia de Configuração de Segurança de Redes Gerencia de Segurança de Redes Gerencia de Configuração de Sistemas Operacionais Gerencia de Configuração – Inventario de HW e SW Gerencia de Configuração de Antivírus Batch Interface Administração e Controle de Backup e Restore – SIG/Ajuri Gerenciamento de Log de Sistema Mudança de Controle – SIG Mudança de Controle – Ajuri Implementações em andamento Aprovação de Instrução Normativa serie informática Adquirir software e Hardware para ampliação dos ambientes SIG e Ajuri. Treinamento de colaboradores para manutenção preventiva e corretivas no-breaks. Criação de um cadastro com informações do RH para o AIN, para revogação de acessos à rede e os aplicativos. Inventário de Hardware e Software. 5
  • 6. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Objetivo da Área de Controle SOX Estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a Segurança da Informação; Assegurar que os procedimentos de segurança da informação suportam os requisitos de negócio; Identificar e endereçar requisitos legais e regulatórios e obrigações de segurança contratuais; Manter a segurança adequada pela aplicação correta de todos os controles implementados. Conduzir revisões quando necessário, e reagir adequadamente aos resultados destas revisões; e onde exigido, melhorar a efetividade da Segurança da Informação. 6
  • 7. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Planejamento Estratégico Meta: A empresa Eletro Manaus tem que está de acordo com as normas exigidas pela Lei do Sox ate no ano de 2011. Ações: 1º Primeiramente será determinado quais pessoas que serão responsáveis pelo desenvolvimento do projeto e aplicação. 2º Com as pessoas selecionadas será feita a capacitação delas, para a Lei do Sox. 3º Será desenvolvido um Projeto de Implantação do Sox na área de TI 4º Normas do Sox serão implementas na TI 5º Depois do processo de implantação, a auditoria interna da empresa ira verificar se está tudo de acordo com a norma.. 6º Se o resultado for negativo, a empresa terá mais uma chance para mitigar os erros e risco 7º Será feito novamente a auditoria 8º Com o resultado positivo, uma auditoria externa irá verificar as normas do sox na empresa. 9º Se o resultado for positivo, a empresa recebera um certificado por estar de acordo com todas as normas exigidas pelo Sox. 7
  • 8. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Conclusão A empresa Amazonas Energia esta em fase de implementação, para que, futuramente seja feita uma avaliação pela auditoria interna na empresa. A empresa terá direito de fazer um teste e um reteste para saber se ela estar apta a ser avaliada por um auditoria externa, da qual o resultado sendo positivo, ela estará dentro das leis do SOX e automaticamente recebera o certificado de que a empresa está dentro dos requisitos do SOX. 8
  • 9. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Bibliografia: http://pt.wikipedia.org/wiki/Lei_Sarbanes-Oxley http://www.tiexames.com.br/curso_SOX.php http://www.sarbanes-oxley.com/ 9