Baixe o app para aproveitar ainda mais
Prévia do material em texto
Regulamentações em Segurança .......................................................... 3 Regulamentações ......................................................................................... 4 Lei Graham-Leach-Billy (GBL) ........................................................................ 7 PIPEDA (Lei de Proteção à Informação Pessoal e Documentos Eletrônicos) (Canadá) ..................................................................................................... 9 FISMA (Lei Federal de Gestão de Segurança de Informação) ........................ 10 SOX (Lei Sarbanes-Oxley) ou Sarbox ........................................................... 11 Visão geral da estrutura da SOX ......................................................... 12 PCAOB (Public Company Accounting Oversight Board) .................................. 12 Independência do auditor ........................................................................... 13 Responsabilidades da empresa .................................................................... 13 Aprimoramento das divulgações financeiras ................................................. 14 Acordo de Basiléia ...................................................................................... 16 Normas em Segurança da informação.......................................................... 17 NIST (Instituto Nacional de Normas e Tecnologia) ........................................ 18 Visão geral da família de normas ISO 27K .................................................... 19 SOX ........................................................................................................... 23 Visão geral dos principais títulos da Lei de Sarbanes Oxley ............... 24 Título 1: PCAOB: ........................................................................................ 24 Título 2: Independência do auditor .............................................................. 24 Título 3: Responsabilidades da empresa: ..................................................... 25 Título 4: Aprimoramento das divulgações financeiras .................................... 25 Título 8: Responsabilidade por fraude corporativa ou criminal: ...................... 26 Título 9: Aumento das penalidades para crimes de colarinho branco.............. 26 Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) .......................................................................................................... 27 Norma ISO 27001 ...................................................................................... 29 Anexos da Norma 27001 ............................................................................ 30 Norma ISO 27002 ...................................................................................... 31 Compliance ................................................................................................ 32 Qual a diferença entre ser compliance e estar compliance? ........................... 33 Diferença entre auditoria e compliance ........................................................ 33 Governança, Risco e Compliance ................................................................. 34 Regulamentações em Segurança A evolução tecnológica e a Internet trouxeram um novo pensamento, um novo comportamento no cenário mundial. Neste contexto da sociedade da informação, existe a necessidade de reflexões sobre da importância da existência de marco jurídico que permita a livre circulação de bens e serviços, além de garantir a liberdade dos cidadãos. No contexto mundial várias discussões estão sendo travadas para se atingir um denominador comum nas políticas de novas tecnologias de informação, a qual só pode ser assegurada por leis que permitam a regulamentação de cada país, a regulamentação entre empresas privadas e públicas e inclusive a regulamentação entre as pessoas físicas. A evolução tecnológica e a Internet trouxeram um novo pensamento, um novo comportamento no cenário mundial. Na sociedade da informação, existe a necessidade de reflexões sobre da importância da existência de marco jurídico que permita a livre circulação de bens e serviços, além de garantir a liberdade dos cidadãos. Neste sentido várias leis e normas foram promulgadas ou criadas com o objetivo de disciplinar esta nova forma de relacionamento entre governos, empresas e pessoas físicas. Norma Uma norma é um “documento estabelecido por consenso e aprovado por um organismo reconhecido que fornece para uso comum e repetido, regras, diretrizes ou características para atividades ou seus resultados, visando à obtenção de um grau ideal de ordenação em um dado contexto” e que podem ser seguidas ou não. Podem ser jurídicas, técnica, de segurança, etc. Exemplo de norma: ISO 27002 Regulamento Um regulamento é uma exigência imposta pelo governo que especifica características do produto, processo ou serviço, inclusive as cláusulas administrativas aplicáveis com as quais a conformidade é obrigatória. Ou seja, é a legislação vigente de um determinado assunto. Exemplo de regulamento: LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012 (Carolina Dickmann) É importante que os profissionais que atuam na área de segurança da informação conheçam as diferentes regulamentações e normas existentes sobre o assunto de forma que possam compreender quando e onde aplica-las. Cada país desenvolve e implementa regulamentações específicas, existe ainda regulamentações porém existem Analisaremos algumas das Regulamentações disponíveis na área: Regulamentações HIPAA (Lei de Proteção à Privacidade da Informação de Pacientes)164.310 Lei federal dos Estados Unidos, criada em 1999, criada com o intuito de melhorar a eficiência e eficácia do sistema de cuidados de saúde. HIPAA é um acrônimo de Health Insurance Portability e Accountability Act. Seu principal objetivo é proteger a privacidade e a segurança das informações dos indivíduos na área de saúde. Ela especifica normas rígidas quanto à liberação de informações sobre a saúde de um indivíduo sem autorização e é aplicável a todas as empresas de saúde, segurados e centros de processamento de informações nos EUA. As informações de saúde protegidas (PHI), são informações de saúde que possibilitam a identificação do paciente e coletadas ao longo da utilização do sistema de cuidados à saúde. São consideradas informações de saúde protegidas: Para atender aos requisitos da HIPAA, as empresas de saúde devem proteger as informações de ameaças previsíveis proporcionando segurança e integridade, e evitando o uso ou divulgação não autorizada dessas informações. Devem também assegurar que todos os envolvidos nos processos de trabalho cumpram com os requisitos e que o sigilo seja mantido. Desta forma, ela fornece orientações sobre a utilização das PHI de forma que os funcionários com acesso aos dados do paciente somente possam: Utilizar ou divulgar estas informações apenas em uma "necessidade de saber". Caso contrário, estas informações são confidenciais. Acessar ou usar essas informações somente quando necessário para realizar o trabalho. Fornecer as informações mínimas necessárias ao responder a pedidos de informação. Não discutir essas informações com outras pessoas, a menos que seja administrativa ou clinicamente necessário fazê-lo . Não usar meios eletrônicos para copiar ou transmitir informações a menos que esteja especificamente autorizado a fazê-lo . A regra de privacidade da HIPPA não tem o objetivo de proibir a troca de informações entre prestadorese/ou pacientes, já que muitas vezes estas comunicações são inevitáveis e pertinentes, como por exemplo: A fim de tratar um paciente. Justificando o pagamento para o tratamento de um paciente. Certos atos administrativos, financeiros, legais e de melhoria da qualidade atividades em saúde. Estabelece ainda que a PHI, poderá ser divulgada dentro dos limites da lei, para as situações abaixo e qualquer outra situação necessitará de autorização por escrito ou do próprio paciente: Autoridades de saúde pública e órgãos de fiscalização de saúde Legistas, médicos legistas e diretores de funeral Captação de órgãos Responder a ordens judiciais e intimações Para fins de pesquisa na área de saúde os procedimentos específicos podem permitir que as PHI sejam utilizadas ou divulgadas de forma específica, ou seja, parte dela e sem a possibilidade de identificação do paciente. Para alcançar os objetivos propostos pela HIPPA as seguintes ações estão previstas: Lei Graham-Leach-Billy (GBL) A Lei Gramm -Leach- Billey exige que as instituições financeiras expliquem suas práticas de compartilhamento de informações e proteção de dados sensíveis para os seus clientes. Esta lei obriga as instituições financeiras a garantir a segurança e confidencialidade deste tipo de informação. Um ponto importante para as empresas é determinar quais informações devem ser recolhidas e armazenadas e se são relevante aos seus negócios. Entendemos como instituições financeiras, empresas que oferecem aos consumidores produtos ou serviços financeiros, como empréstimos , aconselhamento financeiro ou de investimento , ou ainda de seguros. Na verdade, a regra se aplica a todas as empresas, independentemente do tamanho, que estão envolvidas no fornecimento de produtos ou serviços financeiros. Também faz parte de sua implementação uma Regra de Salvaguardas, que exige que as instituições financeiras tenham medidas locais para manter informações de clientes segura: PIPEDA (Lei de Proteção à Informação Pessoal e Documentos Eletrônicos) (Canadá) Lei canadense, promulgada em 13 de abril de 2000 que visa à proteção de informações pessoais e documentos eletrônicos. Ela estabelece regras básicas de como organizações do setor privado e público podem coletar, usar ou divulgar informações pessoais no decurso das suas atividades comerciais. As informações pessoais incluem qualquer informação factual ou subjetiva, registrada ou não, sobre um indivíduo identificável. Ela concede ao indivíduo o direito de decidir para quem suas informações pessoais serão fornecidas, além da finalidade de sua utilização. Entre outras ações descritas: Obtenção do consentimento de uma pessoa quando coletar, usar ou divulgar informações pessoais do indivíduo. O indivíduo tem o direito de acesso a informações pessoais na posse de uma organização e pode questionar sua precisão, se for necessário. Informações pessoais só podem ser utilizadas para os fins para os quais foram coletadas. Se ocorrer mudanças de uso, o consentimento deve ser obtido novamente. Indivíduos também deve ter certeza de que suas informações serão protegidas por garantias específicas, incluindo medidas tais como armários trancados, senhas de computador ou criptografia. FISMA (Lei Federal de Gestão de Segurança de Informação) A FISMA (Federal Information Security Management Act) é uma lei federal dos Estados Unidos que rege as atividades de segurança da informação dos órgãos federais para o processo de certificação e acreditação. É aplicável a as agências federais ou organizações que atuam em nome do governo. Desta forma a FISMA orienta o estabelecimento de um programa de segurança de informação integrado, baseado no risco e aderente aos requisitos de alto nível das organizações. Neste sentido a FISMA estabelece as seguintes atividades: Avaliação do nível atual de risco associado aos sistemas de informação e da informação Definição dos controles para proteção dos sistemas de informação Implementação de políticas e procedimentos para a redução do risco percebido Teste e avaliação periódica dos controles Treinamento de pessoal sobre as políticas e procedimentos de segurança da informação Gerenciamento de incidentes (resposta a incidentes de plano / processo). SOX (Lei Sarbanes-Oxley) ou Sarbox Lei criada em 30 de Julho de 2002 com o objetivo de evitar a fuga de investidores causada pela insegurança e perda de confiança em relação as ações contábeis e aos princípios da governança. Foi criada a partir de fraudes e escândalos contábeis, que atingiram grandes corporações nos Estados Unidos. As penalidades pelo descumprimento desta lei preveem multas de até USD 1.000.000 e/ou a reclusão por até 10 anos. Quando o descumprimento da lei for intencional (normalmente com finalidades fraudulentas) a multa aumenta para até USD 5.000.000 e a reclusão pode chegar a 20 anos. É aplicável a todas as empresas, sejam elas americanas ou estrangeiras, que tenham ações registradas na SEC (Securities and Exchange Comission, o equivalente americano da CVM brasileira) e está estruturada em onze títulos (capítulos), com um número variável de seções cada um, totalizando 69 seções (Artigos). As seções consideradas as mais importantes são: Entre outras ações a SOx obriga as empresas a reestruturarem processos para aumentar os controles, a segurança e a transparência na condução dos negócios, na administração financeira, nas escriturações contábeis e na gestão e divulgação das informações. Ela prevê a criação de mecanismos de auditoria e segurança confiáveis, definindo regras para a criação de comitês encarregados de supervisionar suas atividades e operações, formados em boa parte por membros independentes. Define também como padrão de auditoria que seja considerado nos processos de auditoria o mapeamento dos fluxos de transações atentando para como são: Iniciados Autorizados Registrados Processados Reportados Ela torna os Diretores Executivos e Diretores Financeiros explicitamente responsáveis por estabelecer e monitorar a eficácia dos controles internos em relação aos relatórios financeiros e a divulgação de informações. Desta forma fica claro que as confiabilidades nos relatórios financeiros dependem diretamente de um ambiente de TI com controles eficientes e efetivos. Assim o cumprimento da SOX deve ser abordada de forma metódica, através de estudo e análise adequado e implementado como um projeto normal. Deve cobrir todos os aspectos de segurança e controle das informações digitais da empresa. E deve desenhar processos de controle das aplicações para assegurar: A confiabilidade do sistema operacional, A veracidade dos dados de saída A proteção de equipamentos e arquivos. Visão geral da estrutura da SOX PCAOB (Public Company Accounting Oversight Board) Seção 101: Cria o Public Company Accounting Oversight Board. Seção 102: Trata da organização do PCAOB e de suas atribuições Seção 103: Define regras e padrões de auditoria, controle de qualidade e independência Seção 104: Determina que o PCAOB crie um programa permanente de inspeção nas empresas de auditoria registradas na SEC Seção 105: Define o financiamento e taxas de funcionamento do PCAOB. Independência do auditor Seção 201: Define serviços que são proibidos para os auditores dentro das companhias que auditam.Seção 202: Determina a necessidade da aprovação prévia do comitê de auditoria para qualquer outro serviço prestado pelos auditores independentes da companhia Seção 203: Determina a rotatividade a cada 5 anos do sócio responsável por cada cliente, em empresa de auditoria. Seção 204: Cria regras para comunicação entre os auditores contratados e o comitê de auditoria da companhia. Responsabilidades da empresa Seção 301: Define as funções atribuídas e nível de independência do comitê de auditoria em relação à direção da empresa. Seção 302: Determina a responsabilidade dos diretores das empresas, que devem assinar os relatórios certificando que as demonstrações e outras informações financeiras incluídas no relatório do período, apresentam todos os fatos materiais e que não contém nenhuma declaração falsa ou que fatos materiais tenham sido omitidos. Também devem declarar que divulgaram todas e quaisquer deficiências significativas de controles, insuficiências materiais e atos de fraude ao seu Comitê de Auditoria. Seção 303: Proíbe a conduta imprópria de auditor por influência fraudulenta, coação ou manipulação, não importando se intencional ou por negligência. Proíbe diretores e funcionários da empresa de tomar qualquer medida para influenciar os auditores. Seção 305: Define as responsabilidades e penalidades a cargo dos diretores da empresa. Seção 307: Cria regras de responsabilidade para advogados obrigando-os a relatar evidências de violação importante da companhia para a qual prestam serviços, devendo reportar-se ao comitê de auditoria, se não forem ouvidos pela diretoria. Aprimoramento das divulgações financeira Seção 401: Obriga a divulgação das informações trimestrais e anuais sobre todo fato material não relacionado com o balanço, patrimonial, tais como: transações, acordos, obrigações realizadas com entidades não consolidadas, contingências e outras. Também exige a divulgação de informações financeiras não relacionadas com as normas geralmente aceitas. Seção 402: Obriga a divulgação das principais transações envolvendo a diretoria e os principais acionistas da companhia. Nenhum diretor ou funcionário graduado de companhia aberta poderá receber, direta ou indiretamente, empréstimos em companhia aberta. Seção 404: Determina uma avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros. O auditor independente deve emitir um relatório distinto que ateste a asserção da administração sobre a eficácia dos controles internos e dos procedimentos executados para a emissão dos relatórios financeiros. Seção 402: Obriga a divulgação das principais transações envolvendo a diretoria e os principais acionistas da companhia. Nenhum diretor ou funcionário graduado de companhia aberta poderá receber, direta ou indiretamente, empréstimos em companhia aberta. Seção 404: Determina uma avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros. O auditor independente deve emitir um relatório distinto que ateste a asserção da administração sobre a eficácia dos controles internos e dos procedimentos executados para a emissão dos relatórios financeiros. Seção 406: Define o Código de ética para os administradores, alta gerência e gerência. Seção 409: Obriga a divulgação imediata e atual de informações adicionais relativas a mudanças importantes na situação financeiras ou nas operações da companhia. 1. Analista de conflito de interesse 2. Comissão de recursos e autoridades 3. Estudos e relatórios 4. Responsabilidade por fraude corporativa ou criminal Seção 802: Define as penalidades criminais por alteração / destruição / falsificação de documentos a serem utilizados nas vistorias da SEC. Seção 806: Cria os meios de proteção aos funcionários de empresas de capital aberto que denunciarem fraude na companhia em que trabalham. Seção 807: Define as penalidades criminais por prejudicar acionistas minoritários de empresas de capital aberto com informações inverídica 5. Aumento das penalidades para crimes de colarinho branco Seção 906: Aumenta a responsabilidade da diretoria sobre as demonstrações financeiras e define as penalidades para as infrações. 6. Declaração fiscal corporativa 7. Fraudes corporativa e responsabilidade Acordo de Basiléia Após instabilidades e distúrbios nos mercados financeiros internacionais os responsáveis pela supervisão bancária nos países do G-10 decidiram criar o Comitê de Regulamentação Bancária e Práticas de Supervisão, sediado no Banco de Compensações Internacionais - BIS, em Basiléia, na Suíça. Assim surgiu o Comitê de Basiléia. Este comitê é constituído por representantes dos bancos centrais dos países membros do G-10 que discutem questões relacionadas à indústria bancária, com o objetivo de melhorar a qualidade da supervisão bancária e fortalecer a segurança do sistema bancário internacional. O acordo de Basiléia ou Basiléia I definiu mecanismos para mensuração do risco de crédito com o objetivo de reforçar a solidez e a estabilidade do sistema bancário internacional e minimizar as desigualdades competitivas entre os bancos internacionalmente ativos: Em junho de 2004, o Comitê propôs revisão no acordo, conhecido por Basiléia II, com os seguintes objetivos: Promover a estabilidade financeira Fortalecer a estrutura de capital das instituições; Favorecer a adoção das melhores práticas de gestão de riscos Estimular maior transparência e disciplina de mercado Desta forma propõe um enfoque mais flexível para exigência de capital e mais abrangente com relação ao fortalecimento da supervisão bancária e ao estímulo para maior transparência na divulgação das informações ao mercado, baseado em três grandes premissas: Fortalecimento da estrutura de capitais das instituições; Estímulo à adoção das melhores práticas de gestão de riscos Redução da assimetria de informação e favorecimento da disciplina de mercado Com a ocorrência de novas crises financeiras que demonstraram que os acordos de Basileia I e II mostraram-se insuficientes, em dezembro de 2010, o Comitê de Basileia dois novos documentos : Framework global de regulação para bancos e sistemas bancários mais resilientes Framework internacional para medição de risco de liquidez, padrões e monitoramento Estes documentos ficaram conhecidos como Basileia III e visa ao aperfeiçoamento da capacidade das instituições financeiras absorverem choques provenientes do próprio sistema financeiro ou dos demais setores da economia, reduzindo o risco de transferência de crises financeiras para a economia real. Normas em Segurança da informação As normas de segurança da informação foram criadas para fornecer as melhores práticas, diretrizes e princípios gerais para a implementação de sua gestão para qualquer organização. Com o crescimento da utilização da informática pelas organizações, na década de 80 e 90, o Departamento de Defesa (DoD – Department of Defense), disponibilizou uma série de publicações com padrões e orientações sobre segurança da informação que ficaram conhecidas como “Rainbow Series” ou “Rainbow Books”. No Reino Unido na década de 90 surgiram as normas BS (British Standard). No contexto da segurança da informação, em 95 foi publicada a BS7799 que anos mais tarde iria se transformar na ISO 27002 e 27001. Inspirada no “Orange Book” foi publicada a norma Norma ISO 15408, que trata do desenvolvimento de softwareseguro e publicada a RFC 2196, do IETF, que é um guia para desenvolvimento de políticas de segurança de computador e procedimentos para sites que têm seus sistemas na Internet. Como podemos concluir existem várias instituições reconhecidas que produzem padrões na área de segurança da informação: ISO – International Standardization Organization. IEC – International Electrotechnical Comission. ABNT – Associação Brasileira de Normas Técnicas. IETF – Internet Engineering Task Force IEEE – Institute of Electrical and Electronics Engineers NIST (Instituto Nacional de Normas e Tecnologia) O NIST é uma agência de tecnologia, do governo americano, que trabalha em conjunto com a indústria para o desenvolvimento e aplicação de tecnologia, metrologia e padrões. Ele possui um departamento dedicado a segurança da informação e possui uma vasta quantidade de publicações relevantes na área, entre as quais destaca-se: NIST Special Publications (SPs): Orientações em segurança e privacidade,recomendações e materiais de referência. SP 800 subseries – Segurança na computação SP 1800 subseries – Cybersegurança SP 500 series – Tecnologia da Informação ( relevantes para a segurança e privacidade da computação/Cyber/informação) Visão geral da família de normas ISO 27K No nosso país, quem é responsável por manter as Normas de Gestão de Segurança da Informação (ISO 27000) é a ABNT, representante da ISO no Brasil e responsável por normatizar essa questão. • ISO 27000 – Revisão dos termos e definições comumente utilizados em sistemas de gestão em segurança da informação. ISO 27000 ISO 27001 ISO 27006 ISO 27009 • ISO 27006 • ISO 27009 ISO 27010 ISO 27011 ISO TR 27015 ISO 27017 ISO 27018 ISO TR 27019 ISO 27799 ISO 27002 ISO 27003 ISO 27004 ISO 27005 ISO 27007 ISO TR 27008 ISO TR 27013 ISO 27014 ISO TR 27016 ISO 27021 • ISO 270023 ISO 27031-39 ISO 27041-3 ISO 27050 • ISO 27001 - Especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. Inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização. • ISO 27002 - Diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. • ISO 27003 - Foca os aspectos críticos necessários para a implantação e projeto bem sucedidos de um Sistema de Gestão da Segurança da Informação (SGSI), de acordo com a ABNT NBR ISO IEC 27001:2005. Descreve o processo de especificação e projeto do SGSI desde a concepção até a elaboração dos planos de implantação. • ISO 27004 - Diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e dos controles ou grupos de controles, conforme especificado na ABNT NBR ISO/IEC 27001. • ISO 27005 - Diretrizes para o processo de gestão de riscos de segurança da informação. • ISO 27006 - Requisitos para auditorias externas em um Sistema de Gerenciamento de Segurança da Informação - Especifica como o processo de auditoria de um sistema de gerenciamento de segurança da informação deve ocorrer. • ISO 27007 - Diretrizes sobre como gerenciar um programa de auditoria de sistemas de gestão da segurança da informação (SGSI) e sobre como executar as auditorias e a competência de auditores de SGSI. • ISO 27008 - Diretrizes sobre a análise da implementação e operação dos controles, incluindo a verificação de conformidade técnica dos controles com as normas de segurança da informação estabelecidas pela organização. • ISO 27009 - Define os requisitos para a utilização da ISO 27001 em um setor específico e como incluir novos controles. • ISO 27010 - Diretrizes para a gestão da segurança da informação através das comunicações Inter Empresariais. Provê controles e orientações especificamente relacionadas em como iniciar, implementar, manter e melhorar a segurança da informação em comunicações inter- organizacionais e inter-setoriais. • ISO 27011 -Diretrizes que suportem a implementação da gestão de segurança da informação em organizações de telecomunicações. • ISO 27013 - Guia para implementar a ISO 27001 em uma organização de forma integrada com a ISO 20000. • ISO 27014 - Orientação sobre conceitos e princípios para a governança de segurança da informação, pela qual as organizações podem avaliar, dirigir, monitorar e comunicar as atividades relacionadas com a segurança da informação dentro da organização. • ISO 27015 - Provê informações para a implementação da ISO 27001, ou seja, a gestão da segurança da informação, em empresas que prestam serviços financeiros. • ISO 27016 - Fornece orientações sobre como uma organização pode tomar decisões para proteger a informação e compreender as consequências econômicas dessas decisões no contexto das necessidades de seus concorrentes. • ISO 27017 - Fornece diretrizes para os controles de segurança da informação aplicáveis à prestação e utilização de serviços em nuvem. • ISO 27019 - Complementa a norma ISO 27017. Diretrizes para a implementação de proteção especificamente de informação pessoalmente identificável em serviços em nuvem. • ISO 27031 - Conceitos e princípios da prontidão esperada para a tecnologia de comunicação e informação (TIC) na continuidade dos negócios e fornece uma estrutura de métodos e processos para identificar e especificar todos os aspectos (como critérios de desempenho, projeto e implementação) para fornecer esta premissa nas organizações e garantir a continuidade dos negócios. • ISO 27032 - Diretrizes para a Cibersegurança. Contêm diretrizes para a preservação da confidencialidade, integridade e disponibilidade da informação no Cyberspace. • ISO 27033 - Técnicas de segurança - segurança de rede - Parte 1: Visão geral e conceitos. • ISO 27033-2 -Técnicas de segurança - segurança de rede - Parte 2: Diretrizes para a concepção e implementação de segurança de rede. • ISO 27033-3 - Técnicas de segurança - segurança de rede – Parte 3: Cenários de rede de referência - Ameaças, técnicas de design e problemas de controle • ISO 27033-4 - Técnicas de segurança - segurança de rede – Parte 4: Protegendo as comunicações entre redes usando gateways de segurança. • ISO 27033-5 - Técnicas de segurança - segurança de rede – Parte 5: Rede de comunicação segura usando redes privadas virtuais (VPNs). • ISO 27033-6 - Técnicas de segurança - segurança de rede – Parte 6: Protegendo rede IP sem fio. • ISO 27034 - Técnicas de segurança - segurança da aplicação - Parte 1: Visão geral e conceitos. • ISO 27035 - Técnicas de segurança - Gerenciamento de incidentes de segurança das informações. • ISO 27037 - Diretrizes para atividades específicas no manuseio de evidências digitais que são a identificação, coleta, aquisição e preservação de evidência digital que possam possuir valor probatório. • ISO 27036 - Diretrizes para atividades específicas no manuseio de evidências digitais que são a identificação, coleta, aquisição e preservação de evidência digital que possam possuir valorprobatório. • ISO 27038 -Especifica características de técnicas para realizar a redação digital em documentos digitais. Especifica requisitos para ferramentas de software para redação e métodos para testar se a produção digital foi seguramente concluída. SOX Como vimos no capítulo anterior a SOX tem por objetivo coibir a fraude, aumentar a responsabilidade corporativa e a revelação de informações relevantes nas demonstrações financeiras. Está estruturada em onze títulos (capítulos), com um número variável de seções cada um, totalizando 69 seções (artigos). A primeira parte ou título da lei estabelece uma nova agência, o Public Company Acconting Oversight Board (PCAOB), que tem o encargo de supervisionar, regulamentar, inspecionar e disciplinar as empresas de auditoria externa em seus papéis de auditores de companhias abertas. Nos demais capítulos , a SOx obriga as empresas a reestruturarem seus processos para aumentar os controles, a segurança e a transparência na condução dos negócios, na administração financeira, nas escriturações contábeis e na gestão e divulgação das informações. Na prática ela define por lei uma série de medidas que já são consideradas, no mundo todo, como práticas de boa governança corporativa. Ela prevê a criação, nas empresas, de mecanismos de auditoria e segurança confiáveis, definindo regras para a criação de comitês encarregados de supervisionar as atividades e operações, formados em boa parte por membros independentes. Isso com o intuito explícito de evitar a ocorrência de fraudes e criar meios de identificá-las quando ocorrem, reduzindo os riscos nos negócios e garantindo a transparência na gestão. Visão geral dos principais títulos da Lei de Sarbanes Oxley Título 1: PCAOB: Seção 101: Cria o Public Company Accounting Oversight Board. Seção 102: Trata da organização do PCAOB e de suas atribuições. Seção 103: Define regras e padrões de auditoria, controle de qualidade e independência. Seção 104: Determina que o PCAOB crie um programa permanente de inspeção nas empresas de auditoria registradas na SEC. Seção 109: Define o financiamento e taxas de funcionamento do PCAOB. Título 2: Independência do auditor Artigo 201: Define serviços que são proibidos para os auditores dentro das companhias que auditam. Seção 202: determina a necessidade da aprovação prévia do comitê de auditoria para qualquer outro serviço prestado pelos auditores independentes da companhia. Seção 203: determina a rotatividade a cada 5 anos do sócio responsável por cada cliente, em empresa de auditoria. Seção 204: cria regras para comunicação entre os auditores contratados e o comitê de auditoria da companhia. Título 3: Responsabilidades da empresa: Seção 301: Define as funções atribuídas e nível de independência do comitê de auditoria em relação à direção da empresa. Seção 302: . Determina a responsabilidade dos diretores das empresas, que devem assinar os relatórios certificando que as demonstrações e outras informações financeiras incluídas no relatório do período, apresentam todos os fatos materiais e que não contém nenhuma declaração falsa ou que fatos materiais tenham sido omitidos. Também devem declarar que divulgaram todas e quaisquer deficiências significativas de controles, insuficiências materiais e atos de fraude ao seu Comitê de Auditoria. Seção 303: Proíbe a conduta imprópria de auditor por influência fraudulenta, coação ou manipulação, não importando se intencional ou por negligência. Proíbe diretores e funcionários da empresa de tomar qualquer medida para influenciar os auditores. Seção 305: Define as responsabilidades e penalidades a cargo dos diretores da empresa. Seção 307: Cria regras de responsabilidade para advogados obrigando-os a relatar evidências de violação importante da companhia para a qual prestam serviços, devendo reportar-se ao comitê de auditoria, se não forem ouvidos pela diretoria. Título 4: Aprimoramento das divulgações financeiras Seção 401: Obriga a divulgação das informações trimestrais e anuais sobre todo fato material não relacionado com o balanço, patrimonial, tais como: transações, acordos, obrigações realizadas com entidades não consolidadas, contingências e outras. Também exige a divulgação de informações financeiras não relacionadas com as normas geralmente aceitas. Seção 402: Obriga a divulgação das principais transações envolvendo a diretoria e os principais acionistas da companhia. Nenhum diretor ou funcionário graduado de companhia aberta poderá receber, direta ou indiretamente, empréstimos em companhia aberta. Seção 404: Determina uma avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros. Além disso, o auditor independente deve emitir um relatório distinto que ateste a asserção da administração sobre a eficácia dos controles internos e dos procedimentos executados para a emissão dos relatórios financeiros. Seção 406: Define o Código de ética para os administradores, alta gerência e gerência. Seção 409: Obriga a divulgação imediata e atual de informações adicionais relativas a mudanças importantes na situação financeiras ou nas operações da companhia. Título 8: Responsabilidade por fraude corporativa ou criminal: Seção 802: Define as penalidades criminais por alteração / destruição / falsificação de documentos a serem utilizados nas vistorias da SEC. Seção 806: Cria os meios de proteção aos funcionários de empresas de capital aberto que denunciarem fraude na companhia em que trabalham. Seção 807: Define as penalidades criminais por prejudicar acionistas minoritários de empresas de capital aberto com informações inverídicas. Título 9: Aumento das penalidades para crimes de colarinho branco Seção 906: Aumenta a responsabilidade da diretoria sobre as demonstrações financeiras e define as penalidades para as infrações. Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) O PCI DSS foi desenvolvido pela empresas do ramo, American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc., para incentivar e aprimorar a segurança dos dados dos portadores de cartão de crédito. O objetivo é oferecer um conjunto de requisitos técnicos e operacionais para a proteção dos dados do portador do cartão durante o processo de pagamento realizado pelo cliente. É aplicável a todas as entidades envolvidas nos processos de pagamento do cartão – inclusive comerciantes, processadores, adquirentes, emissores e prestadores de serviço, bem como todas as entidades que armazenam, processam ou transmitem os dados do portador do cartão (CHD) e/ou dados de autenticação confidenciais (SAD). Estabelece ainda que os dados de autenticação confidencial não podem ser armazenados. Ele é constituído de seis seções, subdividas em 12 requerimentos: Seção Requerimento Construir e manter a segurança de rede e sistemas 1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão 2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança Proteger os dados do Titular do cartão 1. Proteger os dados armazenados do titular do cartão 2. Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas Manter um programa de gerenciamento de vulnerabilidades 1. Usar e atualizar regularmente o software ou programas antivírus2. Desenvolver e manter sistemas e aplicativos seguros Implementar 1. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de medidas rigorosas de controle de acesso conhecimento para o negócio 2. Identificar e autenticar o acesso aos componentes do sistema 3. Restringir o acesso físico aos dados do titular do cartão Monitorar e testar as redes regularmente 1. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão 2. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão Manter uma política de segurança das informações 1. Manter uma política que aborde a segurança das informações para todas as equipes Norma ISO 27001 A norma ISO 27001 tem como objetivo oferecer um modelo para que as organizações possam estabelecer, implementar, operar , monitorar e analisar criticamente um Sistema de Gestão de Segurança da Informação (SGSI). Fonte: norma 27001 A primeira a abordar segurança da informação com uma visão sistêmica de gestão e não somente como recomendações de instalação de controles de segurança isolados. Anexos da Norma 27001 A.5 Políticas de segurança da informação: controles sobre como as políticas são escritas e revisadas A.6 Organização da segurança da informação: controles sobre como as responsabilidades são designadas; também inclui os controles para dispositivos móveis e trabalho remoto A.7 Segurança em recursos humanos: controles para antes da contratação, durante e após a contratação A.8 Gestão de ativos: controles relacionados ao inventário de ativos e uso aceitável, e também para a classificação de informação e manuseio de mídias A.9 Controle de acesso: controles para a política de controle de acesso, gestão de acesso de usuários, controle de acesso a sistemas e aplicações, e responsabilidades dos usuários A.10 Criptografia: controles relacionados a gestão de chaves criptográficas A.11 Segurança física e do ambiente: controles definindo áreas seguras, controles de entrada, proteção contra ameaças, segurança de equipamentos, descarte seguro, política de mesa limpa e tela limpa, etc. A.12 Segurança nas operações: vários controles relacionados a gestão da produção de TI: gestão de mudança, gestão de capacidade, software malicioso, cópia de segurança, registro de eventos, monitoramento, instalação, vulnerabilidades, etc. A.13 Segurança nas comunicações : controles relacionados a segurança em rede, segregação, serviços de rede, transferência de informação, mensageiria, etc. A.14 Aquisição, desenvolvimento e manutenção de sistemas: controles definindo requisitos de segurança e segurança em processos de desenvolvimento e suporte A.15 Relacionamento na cadeia de suprimento: controles sobre o que incluir em acordos e como monitorar os fornecedores A.16 Gestão de incidentes de segurança da informação: controles para reportar eventos e fraquezas, definindo responsabilidades, procedimentos de resposta e coleta de evidências A.17 Aspectos da segurança da informação na gestão da continuidade do negócio: controles requisitando o planejamento da continuidade do negócio, procedimentos, verificação e revisão e redundância da TI A.18 Conformidade: controles requisitando a identificação de leis e regulamentações aplicáveis, proteção da propriedade intelectual, proteção de dados pessoais e revisões da segurança da informação. Norma ISO 27002 A norma ISO 27002, apresenta um conjunto de melhores práticas a serem seguidas pelas organizações. Em seu capítulo introdutório, ela apresenta os conceitos básicos sobre segurança da informação e como estabelecer os requisitos de segurança nas organizações. Estes requisitos são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação e para a implementação dos controles selecionados para a proteção contra os riscos. Com os requisitos de segurança e os riscos identificados e as decisões para o tratamento dos riscos tomadas, as organizações devem selecionar e implementar os controles apropriados para que as organizações possam assegurar que os riscos sejam reduzidos a um nível aceitável. Esta norma pode ser o ponto de partida para a implementação da segurança da informação pelas organizações. Está estruturada em 11 seções: a) Política de Segurança da Informação b) Organizando a Segurança da Informação c) Gestão de ativos d) Segurança em recursos Humanos e) Segurança Física e do Ambiente f) Gestão das Operações e Comunicações g) Controle de Acesso h) Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação i) Gestão de Incidentes de Segurança da Informação j) Gestão da continuidade do Negócio k) Conformidade Compliance O termo “Compliance” é utilizado para designar o conjunto de atividades empresariais, permanentes e independentes, voltadas a: a) Propagar a lei, seus princípios e regulamentos internos; b) Orientar como essas normas devem ser cumpridas; c) Fiscalizar a execução dessas normas; d) Promover, internamente, os meios necessários à aplicação de sanções a eventuais infratores; tendo por finalidade salvaguardar os ativos materiais e imateriais da empresa. Podemos concluir então que compliance é o dever de cumprir, estar em conformidade e fazer cumprir regulamentos internos e externos impostos às atividades da instituição. Qual a diferença entre ser compliance e estar compliance? Ser compliance é conhecer as normas da organização, seguir os procedimentos recomendados, agir em conformidade e sentir quanto é fundamental a ética e a idoneidade em todas as nossas atitudes. Enquanto estar em compliance é estar em conformidade com leis e regulamentos internos e externos. Desta forma o compliance vai além das barreiras legais e regulamentares, incorporando princípios de integridade e conduta ética. Diferença entre auditoria e compliance Auditoria Compliance Realiza seus trabalhos de forma aleatória e temporal, por meio de amostragens, a fim de certificar o cumprimento das normas e processos instituídos pela Alta Administração. Realiza suas atividades de forma rotineira e permanente, sendo responsável por monitorar e assegurar de maneira corporativa e tempestiva que as diversas unidades da Instituição estejam respeitando as regras aplicáveis a cada negócio, por meio do cumprimento das normas, dos processos internos, da prevenção e do controle de riscos envolvidos em cada atividade. Para que a “Função de Compliance” seja eficaz nas organizações, é necessário o comprometimento da Alta Administração e que esta faça parte da cultura organizacional, contando com o comprometimento de todos os funcionários. Todos são responsáveis por compliance. O Compliance Officer é o responsável pela supervisão e gerenciamento do compliance da companhia. Tem como missão garantir que todos os procedimentos realizados pelos funcionários estão de acordo com os regulamentos internos e com as leis externas à empresa. É muito comum que seja um profissional formado em Direito, já que suas responsabilidades estão diretamente ligadas às questões jurídicas. A organização deverá ainda criar normas de conduta, criar um canal sigiloso para que os funcionários se sintam seguros de comunicar eventuais desvios e dotar a área de compliance de recursos humanos, materiais e tecnológicos paraproceder as investigações. Fazem parte das tarefas do Compliance Officer, a criação e disseminação do programa de compliance, para garantir que todos os detalhes que compõem os processos de trabalho do dia a dia tenham sido previstos e, portanto, orientados em um código de conduta. Governança, Risco e Compliance Integrar as atividades de Governança Corporativa, Gestão de Riscos e compliance (GRC) significa entender as exigências dos “stakeholders” de uma instituição e de seus investimentos, em termos de desempenho e conformidade, e alinhar a instituição e seus investimentos na entrega desses objetivos, em retribuição ao apetite pelo risco e à tolerância ao risco da instituição. As pessoas, os processos e a tecnologia devem ser desenhados e direcionados de tal maneira que o alcance dos objetivos seja mensurado, os riscos sejam avaliados e melhorias contínuas sejam realizadas para apoiar a prática da Governança Corporativa, a atividade de Gestão de Riscos e a de compliance de forma eficaz. Desta forma O Governança, Risco e Conformidade é uma proposta única e uma área está relacionada à outra na busca pela maior eficiência, transparência e melhores resultados para todos envolvidos na empresa. Neste sentido será essencial que os envolvidos tenham conhecimento sobre: Os processos internos da organização na área de atuação da empresa as funções exercidas por cada profissional o conhecimento do mercado o conhecimento do desempenho atual (indicadores de desempenho) o conhecimento dos planos futuros (orçamento empresarial e projeções financeiras) Com uma análise profunda das necessidades e dos riscos da organização, será possível traçar objetivos e estratégias que contribuam para uma maior eficiência e para melhores resultados. Desta forma é possível mapear o modelo operacional interno e adequá-lo aos mecanismos legais e aos objetivos da organização.
Compartilhar