Auditoria SOX

databse2Imprevistos e brechas de segurança podem causar uma enorme dor de cabeça à empresa, além de prejudicar sua imagem e a perda da confiança da equipe de T.I.

O que é SOX&FILE:

É um serviço focado em melhoria em segurança da informação, o foco da implantação é de acordo com a necessidade e tem como objetivo garantir diretamente o controle de acesso as pastas e diretórios que são compartilhadas na rede entre os departamentos;

Conhecido como SOX&FILE contempla um controle total dos acessos a diretórios na rede corporativa, onde atende as conformidades da Lei SOX, ISO 27000 e ITIL;
A SOX&FILE transforma o acesso atual que é concedido manualmente em diretórios no servidor de arquivos em permissões automáticas de acordo com o cargo do funcionário.

Como é feito:

A CPDINFRA analisa a estrutura de Domínio (Active Directory) do cliente, entrevista as áreas da empresa identificando suas necessidades, sugere a gerência um parque de acesso adotando um padrão de acordo com a necessidade e a política interna.

Qual objetivo:

A metodologia SOX&FILE é focada diretamente para evitar a fraude contábil nas empresas e atender normas vigentes como a ISO27000, ISO27001, SOX e ITIL;
Cria métodos onde o usuário acessará os diretórios da rede somente o necessário evitando acessos inadequados;

Porque devo fazer esse procedimento:

Esse controle de acessos é fundamental para a empresa em caso de auditoria externa;
Diminui em aproximadamente 98% a possibilidade de ocorrer erros humanos, em caso de acessos de usuários a diretórios corporativos não autorizados;
Fortalece a confiabilidade de investidores ou acionistas em saber que podem investir em uma empresa segura que possui métodos que evitam a falência, vazamento de informações e descontrole de todos os documentos confidenciais da empresa;
Os investidores da Bolsa de Nova York somente investem dinheiro em empresas que possuem segurança SOX em T.I.;
Essa solução traz tranqüilidade em auditorias, com um simples relatório torna possível informar quem vez qualquer tipo de alteração em um determinado arquivo.

Qual tecnologia é usada:

O projeto SOX&FILE é desenvolvido usando a metodologia da Microsoft chamada AGGDLP (Accounts Intro Global Groups Intro Domain Local Permissions);
Esse processo atende as regras ITIL e ISO 27000, melhorando as políticas de boas práticas e o fluxo de comunicação da empresa entre RH e o departamento de TI.
Treinamento de plano de continuidade de negócio:
Após a implantação do SOX&FILE a equipe de T.I. do cliente recebe um treinamento para dar andamento na continuidade de negócio do projeto.

Saiba mais sobre a norma internacional que para nós tornou-se uma regra essencial para a Segurança da Informação:

Resumo de Norma Sox para área de T.I.

A Sarbanes-Oxley, ou simplesmente Sox, é uma lei criada nos Estados Unidos para aperfeiçoar os controles financeiros das empresas que possuem capital na Bolsa de Nova York, incluindo cerca de 70 empresas brasileiras. Esta lei veio em decorrência dos escândalos financeiros das empresas Enron, Worldcom e outras que pulverizaram as economias pessoais de muitos americanos. A lei foi promulgada em 30 de julho de 2002 e prevê multas que variam de 1 milhão a 5 milhões de dólares e penas de reclusão entre 10 e 20 anos para os CEOs (Chief Executive Officer) e CFOs (Chief Finance Officer) das empresas. Estima-se que as empresas americanas gastarão entre 2 e 5 milhões de dólares para a adequação de seus controles internos a Sox.

Uma das premissas da Sox é que as empresas demonstrem eficiência na governança corporativa. Uma referência nessa área é o modelo de governança COSO (www.coso.org), criada em 1985 por iniciativa da National Comminsion on Fraudulent Financial Reporting para definir processos para o controle interno das empresas. O COSO define que o controle interno é um processo, e deve ser exercido por todos os níveis da empresas. Os processos devem ser desenhados para atingir os seguintes objetivos: (1) efetividade e eficiência na operação; (2) dar confiabilidade nos relatórios financeiros; (3) atender as leis e regulamentações dos órgãos públicos.

Nesse contexto, a área de Tecnologia da Informação (TI) tem um papel importante, onde o próprio COSO faz um comentário especial. A área de TI deve cobrir todos os aspectos de segurança e controle das informações digitais da empresa, devendo desenhar processos de controle das aplicações para assegurar a confiabilidade do sistema operacional, a veracidade dos dados de saída e a proteção de equipamentos e arquivos. Para cumprir essas exigências os CIOs devem rever todos os processos internos cobrindo desde as metodologias de desenvolvimento de sistemas até as áreas de operações de computadores. Além disso, promover uma conscientização nas áreas usuárias de seus recursos sobre os aspectos de segurança e cuidados na manipulação das informações, tais como: e-mails, compartilhamento de diretórios nos PCs, compartilhamento de senhas de acesso aos aplicativos, etc. Estes aspectos de engenharia social também devem ser reforçadas para o pessoal de TI, que as vezes não conseguem determinar os riscos de segurança em suas soluções.

Para atender aos novos desafios da governança corporativa, as áreas de TI contam com alguns modelos de gestão que se aplicados asseguram a conformidade com as melhores práticas de processos e segurança da informação. Podem-se listar os seguintes modelos: (1) CobiT para a governança de TI; (2) ITIL para a gestão de serviços de TI; (3) DRI para a especificação e operação de planos de continuidade de negócios; (4) ISO 149977(ou a BS-7799) para a gestão de segurança da informação; (5) CMM que define um modelo de gestão para o desenvolvimento de software.
Entendo que a adequação a esses padrões internacionais traga um custo extra às empresas, podem significar a perda de competitividade no mercado no curto prazo. Entretanto, no médio e longo prazo esses controles passarão a ser um diferencial positivo para atrair novos investimentos e segurança aos acionistas.