Controles internos de segurança em banco de dados para certificação da Lei SOX

SILVEIRA, Kamilla Dória da

13 November 2015

Submitted by Irene Nascimento (irene.kessia@ufpe.br) on 2016-09-19T18:40:20Z No. of bitstreams: 2 license_rdf: 1232 bytes, checksum: 66e71c371cc565284e70f40736c94386 (MD5) Dissertação_Kamilla_Doria_v3 CD.pdf: 2299055 bytes, checksum: 917d4a23b010d4a6fcc6d29a00151c78 (MD5) / Made available in DSpace on 2016-09-19T18:40:20Z (GMT). No. of bitstreams: 2 license_rdf: 1232 bytes, checksum: 66e71c371cc565284e70f40736c94386 (MD5) Dissertação_Kamilla_Doria_v3 CD.pdf: 2299055 bytes, checksum: 917d4a23b010d4a6fcc6d29a00151c78 (MD5) Previous issue date: 2015-11-13 / Em resposta a uma série de escândalos por fraudes contábeis, o governo dos Estados Unidos criou a Lei Sarbanes-Oxley (SOX), em 30 de Julho de 2002. Esta lei visa responsabilizar os dirigentes de empresas em relação à eficácia de seus controles internos de TI e de negócio sobre a segurança e confiabilidade de seus dados contábeis. A avaliação desses controles é feita por meio de uma auditoria externa e do órgão regulador americano chamado SEC, o qual recomenda o uso do framework COSO para a implementação desses controles. No entanto, o COSO é um framework estratégico, ou seja, não oferece orientações para a implementação tática e operacional de controles, e principalmente não é comumente aplicado na área de TI, sendo normalmente aplicado na área de negócios. Tendo como escopo a área de segurança em banco de dados, e dado que o COSO não oferece detalhamento operacional para garantir o cumprimento da lei SOX nesta área, este trabalho propõe um guia de controles internos para este fim. O guia proposto baseia-se no COBIT 5 e na norma ISO 27002. Como prova de conceito do guia proposto, este foi utilizado como base para desenvolver a ferramenta SOXSecurity4DB, a qual foi usada em uma empresa multinacional do ramo de varejo, que havia contratado um projeto para garantir o cumprimento com a Lei SOX. Como resultado da aplicação da ferramenta, foi observado que alguns controles precisavam de ajuste, pois ainda haviam problemas para serem resolvidos. / Responding to a series of accounting fraud scandals, the American government created SOX Act, on July 30, 2002. This law aims at empowering business leaders regarding the effectiveness of their internal IT controls and business on the safety and reliability of its accounting data. The evaluation of these controls is done by an external audit and the American regulatory body called SEC which recommends using the COSO framework for the implementation of these controls. Considering the database security scope, and that in this scope, COSO does not provide operational details to ensure compliance with the SOX law, this paper proposes a guide of internal controls for this purpose. The proposed guide is based on the COBIT 5 and ISO 27002. As the proposed standard guide proof of concept, this was used as a basis to develop SOXSecurity4DB tool, which was used in a multinational company in the retail business, which had hired a project to ensure compliance with the SOX Act. As a result of application of the tool, it was observed that some controls needed adjustment, because there were still problems to be solved.

COBIT. ISO 27002. Auditing. Database