Tuesday, 19 August 2008

SOX vs. Segurança da Informação

...riscos, por conta do conflito permanente com a área de negócio, que sempre achou que as mesmas iriam inibir as atividades que efetivamente geram receita para a empresa (as quais justificam a própria existência da empresa). Na prática, os profissionais de segurança da informação sempre encontraram dificuldades em demonstrar o famoso "ROI" ou retorno de investimento dos seus projetos e, quando comparados com projetos de ampliação da produção ou campanhas de marketing, sempre acabaram tendo seus projetos preteridos. É claro que isto não foi sempre assim em todas as organizações e conheço algumas empresas de grande porte em que os CSOs têm acesso direto à alta direção de suas empresas, nas quais há uma consciência clara da necessidade de investimentos em Segurança da Informação, para garantia da sobrevivência das empresas. Mas a luta por recursos sempre foi um desafio para as organizações de Segurança da Informação.

 
 

Muitos especialistas de segurança da informação ficavam à espera de um "11 de setembro" em Segurança da Informação ou algo parecido que demonstrasse a importância de sua atividade, para então receber autorização para colocar em ação todas as regras e normas, junto com uma parafernália de ferramentas, as quais achavam essenciais para garantir a segurança de suas organizações.

 
 

Com o advento da Lei Sarbanes-Oxley, muito acharam que finalmente seria possível acabar com todos os problemas de segurança da informação, na base da exigência legal para que as empresas mantivessem suas ações no mercado mobiliário norte-americano (o que obviamente não é o caso de todas as empresas brasileiras). Porém, o que se esqueceu neste caso é que a Lei Sarbanes-Oxley na realidade veio para gerar maior credibilidade nas demonstrações financeiras das empresas listadas nas bolsas norte-americanas e nos controles internos que amparam as mesmas. Em outras palavras, a Lei Sarbanes-Oxley não está preocupada com todo o processo de segurança da informação das empresas, mas apenas com aquela parte do processo que tem a ver com a geração dos relatórios financeiros, dentro de uma visão clara de risco e relevância financeira.

 
 

Processos de Tecnologia da Informação que são essenciais para a continuidade do negócio e para o resguardo da confidencialidade de suas informações, de importância estratégica para a sobrevivência das empresas, na realidade tem pouco impacto na fidelidade do relatório financeiro, uma vez que este esteja publicado. A pergunta que se faz, do ponto de vista da Sox (sigla comumente associada à Lei Sarbanes-Oxley), é a seguinte: se este controle interno falhar, seria possível ocorrer um erro ou uma fraude num valor tal que seria necessário republicar o balanço? E quando se faz esta pergunta em relação ao correio eletrônico, por exemplo, que normalmente não tem nenhuma interface direta com o ERP corporativo, é claro que fica difícil associar algum risco de impacto material sobre os relatórios financeiros, por conta de uma falha de segurança dentro do gerenciamento do correio eletrônico. Mas nem por isto vamos dizer que a segurança associada à administração do correio eletrônico não seja vital para a garantia da confidencialidade das informações da empresa.

 
 

Então, ficamos com a indagação: porque a SOx não veio apoiar os profissionais de Segurança da Informação nos seus processos de gestão num sentido mais amplo do que simplesmente a integridade e confiabilidade do Relatório Financeiro?

 
 

Na realidade, a SOx até chegou a apoiar diversas iniciativas de melhoria nos controles de TI das organizações, sendo que a maioria passou a utilizar como base metodológica o COBIT – Control Objectives for Information and Related Technologies, framework de controles de Tecnologia da Informação gerado e mantido pelo IT Governance Institute, órgão associado ao ISACA – Information Systems Audit and Control Association. As organizações que adotam o COBIT como padrão de controles de TI na realidade estão aproveitando a base de conhecimento de melhores práticas de Segurança da Informação, conforme detalhado na Norma ISO/IEC 17799:2000, assim como a biblioteca de melhores práticas de gestão de TI contido no ITIL, posto que ambos os documentos são referenciados no COBIT. Porém, o COBIT tem uma visão de governança sobre o processo de gestão da TI, no sentido de identificar os resultados esperados pelo negócio e o que a TI precisa fazer para alcançá-los.

 
 

Em sendo assim, podemos dizer que a SOx veio ajudar as organizações de TI a rever seus processos internos, dentro de uma visão de que a TI é parte importante do processo de garantia da integridade e confiabilidade dos relatórios financeiros, assim como dos controles internos implementados dentro dos sistemas de informação, porém há vários processos muito importantes para a Segurança da Informação que são essenciais para as organizações, mas que não podem ser colocados como exigência da SOx, por conta da leitura detalhada da Lei, em particular da sua seção 404, junto com as interpretações da SEC e do PCAOB. Para estes processos, é necessário que os profissionais de Segurança da Informação saibam comunicar os riscos e os controles necessários para a administração de suas organizações, sem usar a muleta da SOx.


 

Por: Alfred Bacon
Consultor Sênior Petrobras - Financeiro Corporativo - Controles Internos

No comments:

Post a Comment

Digite seu comentario