A Gestão da Segurança da Informação e o SOX
Diligence and hard working: these are the safest securities.
Jean de La Fontaine, Fables
O Sarbanes-Oxley Act (intitulado oficialmente de Public Company Accounting Reform and Investor Protection Act) impõe um conjunto de exigências às empresas cotadas em Bolsas norte-americanas ao nível da protecção da informação financeira.
O SOX estabelece requisitos de como a informação financeira deve ser gerada, auditada, guardada e disponibilizada publicamente. Por exemplo, segundo o SOX os auditores devem manter os documentos de trabalho da auditoria durante 5 anos (Title VIII: Corporate and Criminal Fraud Accountability Act of 2002).
Paralelamente, as sessões 302 e 404 do SOX definem que a Administração de cada empresa deve avaliar e registar a eficácia dos seus controlos internos relativamente à informação financeira.
Como se pode deduzir, estes requisitos ao nível da informação financeira têm uma implicação directa nos sistemas de informação das empresas. No caso destas organizações possuírem uma gestão integrada de segurança, parte das medidas de protecção implementadas e monitorizadas pela gestão da segurança, podem ser correlacionadas com os controlos necessários para o SOX.
Para esta combinação entre o SOX e a gestão da segurança (tal como definida pelos standards ISO 27000 e ISO 17799) ser possível, é conveniente que o âmbito da gestão de segurança inclua a área financeira. Por outro lado, se o âmbito do sistema de gestão de segurança não tiver nenhuma relação com o domínio de aplicação do SOX, os dois sistemas – SOX e gestão da segurança – podem coexistir independentemente um do outro.
Partindo, deste pressuposto de sobreposição do domínio de aplicação da gestão da segurança e do SOX (isto é, processo de produção, salvaguarda e auditoria de informação financeira), é possível existir um reaproveitamento de controlos de um sistema para outro.
Neste âmbito de correlação entre SOX e ISO 17799 (catálogo de medidas de protecção de gestão de segurança) merece destaque o seguinte artigo de Haworth e Pietron, disponível aqui.
O SOX estabelece requisitos de como a informação financeira deve ser gerada, auditada, guardada e disponibilizada publicamente. Por exemplo, segundo o SOX os auditores devem manter os documentos de trabalho da auditoria durante 5 anos (Title VIII: Corporate and Criminal Fraud Accountability Act of 2002).
Paralelamente, as sessões 302 e 404 do SOX definem que a Administração de cada empresa deve avaliar e registar a eficácia dos seus controlos internos relativamente à informação financeira.
Como se pode deduzir, estes requisitos ao nível da informação financeira têm uma implicação directa nos sistemas de informação das empresas. No caso destas organizações possuírem uma gestão integrada de segurança, parte das medidas de protecção implementadas e monitorizadas pela gestão da segurança, podem ser correlacionadas com os controlos necessários para o SOX.
Para esta combinação entre o SOX e a gestão da segurança (tal como definida pelos standards ISO 27000 e ISO 17799) ser possível, é conveniente que o âmbito da gestão de segurança inclua a área financeira. Por outro lado, se o âmbito do sistema de gestão de segurança não tiver nenhuma relação com o domínio de aplicação do SOX, os dois sistemas – SOX e gestão da segurança – podem coexistir independentemente um do outro.
Partindo, deste pressuposto de sobreposição do domínio de aplicação da gestão da segurança e do SOX (isto é, processo de produção, salvaguarda e auditoria de informação financeira), é possível existir um reaproveitamento de controlos de um sistema para outro.
Neste âmbito de correlação entre SOX e ISO 17799 (catálogo de medidas de protecção de gestão de segurança) merece destaque o seguinte artigo de Haworth e Pietron, disponível aqui.
O texto da legislação norte-americana pode ser descarregado aqui.
Texto de Paulo Coelho
Consultor de Segurança Informação
Labels: Segurança da Informação
Data 22.2.06
