A Lei Sarbanes-Oxley (SOX) está associada principalmente à transparência da empresa e ao uso de controles contábeis e financeiros para proteger os investidores de relatórios financeiros fraudulentos. No entanto, é sempre importante lembrar o papel fundamental cada vez maior que a segurança cibernética desempenha na SOX à medida que a digitalização continua a acelerar e ameaças de segurança cibernética, relatórios financeiros e auditores se cruzam.

Afinal, dados financeiros são dados confidenciais e o setor financeiro viu ataques crescentes de agentes de ameaças em 2020, aumentando 238% somente em 2020. 

Além disso, o relatório Gartner Hot Spots de 2021 nomeia as vulnerabilidades cibernéticas como uma área primordial de risco que os auditores precisam abordar, afirmando que a ameaça foi amplificada ainda mais pelo “trabalho remoto em larga escala”.

Com os reguladores levando em consideração essas novas e emergentes ameaças aos investidores, as empresas e os auditores precisam estar cientes dos requisitos em evolução para acompanhar a conformidade com a SOX e as práticas de segurança cibernética para se proteger dos riscos dessa esfera. 

Mesmo as empresas que não operam nos EUA ou se envolvem com clientes dos EUA devem tomar notas, pois a SOX está se tornando cada vez mais global, com o Conselho de Relatórios Financeiros do Reino Unido (FRC) trabalhando em um equivalente no Reino Unido.

Continue a leitura do texto e saiba o que é preciso fazer para alcançar a conformidade com a Lei Sarbanes-Oxley usando os controles de segurança cibernética. 

O que é conformidade SOX?

A Lei Sarbanes-Oxley foi introduzida nos EUA em 2002. Os congressistas Paul Sarbanes e Michael Oxley uniram a lei de compliance para melhorar a governança corporativa e a prestação de contas. Isso foi feito como uma resposta a alguns dos grandes escândalos financeiros que ocorreram nos anos anteriores.

Os detalhes da conformidade com a SOX são complexos. A conformidade SOX refere-se a auditorias anuais que ocorrem em empresas de capital aberto, dentro das quais elas são obrigadas por lei a mostrar evidências de relatórios financeiros precisos e seguros.

Essas empresas são obrigadas a cumprir a SOX tanto financeiramente quanto em TI. Os departamentos de TI foram afetados pela SOX, pois a Lei mudou a maneira como os registros eletrônicos corporativos eram armazenados e tratados. 

Os controles de segurança interna da SOX exigem práticas e processos de segurança de dados e visibilidade completa das interações com registros financeiros ao longo do tempo. O descumprimento da SOX é um fato grave, muitas vezes resultando em grandes multas ou potencialmente prisão dos responsáveis pela organização.

Quem deve cumprir com a conformidade SOX?

Todas as empresas de capital aberto nos EUA devem cumprir a SOX, bem como quaisquer subsidiárias integrais e empresas estrangeiras que sejam negociadas publicamente e façam negócios com os EUA. 

Quaisquer firmas de contabilidade que sejam empresas de auditoria vinculadas ao cumprimento da SOX também são, por procuração, obrigadas a cumprir. Outras empresas, incluindo privadas e sem fins lucrativos, geralmente não precisam cumprir a SOX, embora aderir a ela seja uma boa prática de governança corporativa. 

Existem outras razões, além do bom senso comercial, para cumprir a SOX mesmo que sua empresa não esteja listada em bolsa de valores. A SOX tem alguns artigos que afirmam que, se qualquer empresa destruir ou falsificar conscientemente dados financeiros, ela poderá ser punida de acordo com a lei.

As empresas que planejam abrir o capital, talvez por meio de um IPO (Oferta Pública Inicial), devem se preparar para se comprometerem com a SOX.

Quais benefícios da conformidade SOX?

A SOX fornece a estrutura que as empresas precisam seguir para administrar melhor seus registros financeiros, o que, por sua vez, melhora muitos outros aspectos da empresa.

As empresas que atuam em conformidade com SOX relatam que suas finanças são mais previsíveis, o que deixa os acionistas satisfeitos. As empresas também relatam que têm acesso mais fácil aos mercados de capitais devido à melhoria de seus relatórios financeiros.

Ao implementar a SOX, as empresas estão mais seguras contra ataques cibernéticos e as caras consequências de uma violação de dados. As violações de dados são difíceis de gerenciar e remediar, e as empresas podem nunca recuperar os danos à suas marcas.

A conformidade SOX constrói uma equipe interna coesa e melhora a comunicação entre as equipes envolvidas nas auditorias. Os benefícios de um programa para toda a empresa como a SOX podem ter outros efeitos tangíveis na empresa – como melhor comunicação e cooperação interfuncional.

Em suma, os benefícios da conformidade SOX são:

•  Um ambiente de controle reforçado
•  Documentação aprimorada
•  Maior envolvimento do Comitê de Auditoria
•  Oportunidades de convergência
•  Processos padronizados
•  Complexidade reduzida
•  Minimização do erro humano
  
  

O que cabe à segurança cibernética na SOX?

As empresas precisam lembrar que o escopo da SOX inclui apenas controles financeiros e, portanto, os testes são limitados a aplicativos financeiros, servidores, sistemas operacionais e bancos de dados dentro do escopo de produção. 

Existem muitos outros servidores e dispositivos não revisados ​​para conformidade com SOX que podem ser comprometidos e, por sua vez, afetar os relatórios financeiros. Assim, é fundamental adotar uma abordagem holística de segurança e auditoria interna que inclua prevenção, detecção e controles corretivos para lidar com os riscos de segurança cibernética.

Para começar, os auditores internos devem incorporar riscos cibernéticos em suas avaliações anuais de risco de auditoria e devem entrevistar os principais funcionários de segurança cibernética durante o processo. Agora que os conselhos estão fazendo mais perguntas sobre riscos cibernéticos e esforços de mitigação, há valor em agendar essas reuniões com ainda mais frequência. 

Depois que os riscos cibernéticos são identificados e os controles são projetados, é importante basear os controles SOX e cibernéticos de sua empresa com uma estrutura de segurança cibernética como os previstos no Framework de Cibersegurança do NIST para testar e monitorar a eficácia dos esforços de mitigação.

Os controles de TI que as empresas revisam na SOX podem ser usados ​​em outros aplicativos e ambientes de TI para fortalecer a postura de segurança cibernética, incluindo:

• Usando o privilégio mínimo para controle de acesso.
• Alterar senhas de administrador de rede, aplicativo, firewall, banco de dados e sistema operacional regularmente.
• Controles de senha.
• Restringir contas de serviço apenas para aqueles com privilégios necessários.
• Segregação de funções no gerenciamento de mudanças e modificação de acesso.
• Revisão de acesso e certificação de aplicações.
• Procedimentos de gerenciamento de mudanças.
• Procedimentos de backup.

Para evidências diretas da SOX, as empresas devem preencher um memorando de segurança cibernética SOX anualmente e considerar controles adicionais. Um memorando de segurança cibernética deve ser preenchido pelos auditores de TI internos e externos para avaliar o quão preparada a empresa está para um ataque cibernético. 

Essas discussões geralmente levam a como os grupos de segurança de TI e auditoria interna de uma empresa podem se beneficiar uns dos outros. Com base nas discussões cibernéticas, lacunas óbvias de design devem ser abordadas, incluindo questões como recursos cibernéticos limitados, falta de avaliação de risco cibernético, falta de estrutura de maturidade cibernética, políticas e procedimentos cibernéticos ruins, treinamento cibernético inadequado e compreensão do estado atual do programa cibernético.

A recuperação de desastres também está começando a aparecer como um controle chave SOX, apesar de ser historicamente visto como um controle corretivo e, posteriormente, fora do escopo da SOX. A adição desse controle inclui foco adicional se as empresas podem recuperar seus aplicativos financeiros no escopo no caso de um ataque cibernético.

Como conduzir uma auditoria de controles de segurança cibernética na SOX?

A auditoria dos controles internos de segurança da empresa costuma ser a parte maior, mais complexa e demorada de uma auditoria de conformidade SOX. Isso ocorre porque os controles internos incluem todos os ativos de TI da empresa, como estações de trabalho, hardware, software e todos os outros dispositivos eletrônicos que podem acessar dados financeiros.

As auditorias de TI da SOX estão focadas nas seguintes áreas principais:

Avaliação de risco e análise de materialidade

Sua organização precisa fazer uma avaliação de risco rigorosa que leve em consideração os riscos de segurança cibernética que se enquadram na SOX. Essa abordagem exigirá experiência em segurança cibernética nas equipes de auditoria e também deve incluir informações de nível executivo e de conselho para ajudar a determinar a definição de risco de segurança cibernética “material” da sua organização.

Para garantir que você esteja cobrindo um grande número de bases, as boas práticas de segurança cibernética recomendam que você execute o gerenciamento de riscos de segurança cibernética usando estruturas comuns como NIST e COSO para ajudá-lo no processo. 

Ao realizar avaliações de risco, os auditores devem sempre examinar o quão abrangentes e bem documentadas elas são, pois as avaliações de risco são uma das principais esferas que os reguladores e os órgãos de fiscalização examinarão.

Avaliação de risco de fraude

Certifique-se de que sua organização realizou uma avaliação de risco completa para atividades de fraude em potencial para ajudar na detecção precoce e prevenção de fraudes. Os controles internos que você está implementando devem ajudar a prevenir fraudes e mitigar os impactos materiais, caso ocorram.

Implementação de controles de segurança cibernética

Depois de realizar uma avaliação de risco na qual você identificou os riscos de segurança cibernética, as políticas e as soluções de controle necessárias para cumprir a SOX, sua empresa deve implementar esses controles seguindo os padrões do setor. 

Mais uma vez, as melhores práticas de segurança cibernética recomendam o uso de uma estrutura confiável como o NIST Cybersecurity Framework (NIST CSF) como base para projetar controles Cyber ​​SOX ao iniciar a construção de um ambiente de controle.

Parte do processo de implementação será treinar os proprietários de controle sobre os propósitos e motivos dos controles e a maneira como eles devem se comunicar caso um controle falhe ou exija ajuste devido a mudanças no ambiente.

Controles de monitoramento e teste

As organizações devem monitorar e testar os controles de segurança que implementaram, fazendo autoavaliações periódicas, atestados e outras autocertificações. As equipes de auditoria podem ser um recurso valioso na avaliação da eficiência dos programas de gestão e até mesmo fornecer áreas práticas e acionáveis ​​para melhorar a resiliência se treinadas com isso em mente.

É importante que você esteja testando regularmente os controles e monitorando continuamente a segurança de sua própria infraestrutura e de seus fornecedores para prevenir e impedir violações de dados, vazamentos de dados e ameaças cibernéticas. Ter uma compreensão do gerenciamento de log é importante nesse processo.

Comunicações

É importante que uma equipe e os times  de auditoria estejam familiarizados com os requisitos de divulgação da SOX, conhecendo as formas corretas de comunicação e as etapas necessárias para fazer uma divulgação oportuna e apropriada no caso de algo como uma violação de dados.

Definir diretrizes de comunicação e quem precisa ser informado é uma parte fundamental da preparação da resposta a incidentes.

Quais são as penalidades pelo não cumprimento da SOX?

Ser considerado não compatível com a SOX pode incluir penalidades como:

• Multas.
• Remoção de bolsas de valores públicas.
• Invalidação de apólices de seguro de responsabilidade civil de diretores e executivos (D&O).

Há uma série de seções que descrevem as penalidades por ser encontrado em não conformidade com a SOX, como:

• Seção 906, onde a apresentação e certificação de um relatório financeiro enganoso ou fraudulento pode ter multas de até 5 milhões de dólares e resultar em uma pena criminal de 20 anos de prisão.
• Seção 802, onde alterar, falsificar, destruir ou ocultar registros financeiros, documentos ou objetos tangíveis para obstruir, impedir ou influenciar investigações legais pode incorrer em penas de até 20 anos de prisão. Também tem uma pena de até 10 anos de prisão para contadores, auditores ou outros que violem deliberadamente os requisitos de manutenção de todos os papéis de auditoria ou revisão por um período de 5 anos.
• Seção 806, onde as reclamações de denunciantes são protegidas contra retaliação, autorizando ainda o Departamento de Justiça dos EUA a acusar criminalmente os empregadores que retaliarem contra os respectivos indivíduos.

Para os departamentos e executivos de TI, a conformidade com a SOX é uma preocupação contínua importante. No entanto, a conformidade com a SOX é mais do que apenas passar em uma auditoria. Esse aspecto envolve a definição de processos e procedimentos de governança de dados e uma série de benefícios tangíveis para o seu negócio.

De acordo com uma pesquisa de 2019:

• 57% das organizações se beneficiam de controles internos aprimorados sobre a estrutura de relatórios financeiros.
•  51% tem uma compreensão aprimorada do projeto de controle e da eficácia operacional do controle.
•  47% viram a melhoria contínua dos processos de negócios.
  
  

Quais são os principais desafios da conformidade SOX para segurança cibernética?

Um dos maiores desafios aqui está na própria natureza dos usuários privilegiados, que geralmente são funcionários importantes e confiáveis ​​da empresa – do tipo que não gosta de ser questionado por possíveis atividades fraudulentas. Para diminuir a probabilidade desse tipo de questionamento necessário e desconfortável, os departamentos de TI geralmente gerenciam privilégios, restringindo e segregando-os. Infelizmente, ao restringir as permissões do administrador, as organizações estão limitando indiretamente a produtividade.

O monitoramento do acesso ao banco de dados de usuários privilegiados é difícil, pois os próprios usuários monitorados geralmente têm as credenciais necessárias para “vencer o sistema” excluindo logs fraudulentos que não desejam que sejam vistos. Novamente, no entanto, restringir essas credenciais prejudica a eficiência, pois os administradores geralmente usam os recursos de log do banco de dados como um mecanismo de depuração.

Outra dificuldade envolve a necessidade de auditar falhas de acesso, sejam elas tentativas de login inválidas ou tentativas mal sucedidas de recuperar arquivos privilegiados. De qualquer forma, esses tipos de atividades são possíveis sinais de alerta de atividades fraudulentas e devem ser rastreados para satisfazer os controles de auditoria da SOX.

Desafios adicionais incluem o monitoramento de modificações de esquema para garantir a veracidade das estruturas de dados que estão sendo auditadas e o monitoramento de alterações de privilégios para manter a visibilidade no diretório de usuários. Também é importante auditar o acesso a tabelas de dados e sistemas confidenciais, como eventos do servidor SQL.

Outros obstáculos que impedem a conformidade com SOX para sistemas de TI incluem logs de banco de dados insuficientes, relatórios de dados ineficazes e alertas de eventos insatisfatórios. 

A necessidade de reproduzir eventos identificando os principais acontecimentos em trilhas de auditoria, arquivar cada evento para auditorias futuras, garantir a segurança dos logs de auditoria, produzir relatórios programados para auditores e estar constantemente ciente de possíveis avisos de atividade fraudulenta (como tentativas repetidas de login com falha) torna a vida mais difícil para os administradores de TI.

A Gestão de Acesso Privilegiado como um caminho para a conformidade SOX

Muitos, senão todos os controles gerais de TI da SOX estão associados ao gerenciamento de acesso. Por exemplo, se a configuração de um aplicativo fizer parte de um controle de TI, saber quem fez a configuração (até o ponto de auditoria) é essencial para manter fortes controles.

A pessoa que configura os aplicativos e sistemas é um usuário privilegiado e possui acesso administrativo ao sistema. A partir dessa posição privilegiada, ela pode adicionar, editar ou excluir contas ou alterar configurações que afetam as transações financeiras.

Por exemplo, pode haver controle sobre quem pode lançar ativos no balanço patrimonial. Se esse controle puder ser manipulado sem o conhecimento de ninguém, os dados financeiros poderão ser corrompidos, e isso pode ser não intencional ou deliberado. Esta é uma receita para fraudes graves.

As empresas que não gerenciam bem o acesso enfrentam alguns problemas. Além de um risco maior de violações de segurança cibernética, há também a probabilidade de que o auditor da SOX considere os controles de TI inapropriados.

Uma solução PAM (Gestão de Acesso Privilegiado) oferece uma maneira segura e simplificada de autorizar e monitorar todos os usuários privilegiados para sistemas confidenciais, incluindo sistemas envolvidos em relatórios financeiros. 

O PAM concede e revoga privilégios aos usuários para sistemas nos quais eles estão autorizados. Além disso, a solução gerencia de forma centralizada e rápida o acesso ao tipo de sistemas heterogêneos que lidam com transações e relatórios financeiros (por exemplo, Razão Geral, ERP, Cobrança, APIs bancárias e outros.) 

A solução PAM cria uma trilha de auditoria inalterável para qualquer operação privilegiada. Esse recurso agiliza as evidências  da SOX e o processo de auditoria.

Benefícios da solução senhasegura para conformidade SOX

Oferecemos uma solução PAM para alcançar a conformidade SOX no departamento de TI e além. 

A solução senhasegura combina recursos robustos de PAM com facilidade única de instalação e uso. Uma arquitetura sem agente simplifica a implementação e as mudanças contínuas, enquanto outras soluções PAM requerem a instalação de um agente de software dedicado em cada sistema onde o acesso privilegiado está sendo gerenciado. 

A facilidade de uso e instalação oferecem grandes benefícios para a conformidade com a SOX. A Lei tem o potencial de restringir a agilidade se os controles forem excessivamente rígidos e a TI precisa ser capaz de modificar os sistemas para acompanhar as mudanças nos negócios.

A solução senhasegura reforça os controles internos e requisitos de relatórios necessários para conformidade a SOX, indo muito além de simplesmente atender às regras para implementar uma abordagem de segurança “de dentro para fora” para se tornar parte do DNA da sua organização.

Para obter mais informações sobre como a solução senhasegura pode ajudar sua empresa a alcançar a conformidade com a SOX, solicite uma demonstração!