Cumplimiento de SOX: ¿Se considera una infracción el funcionamiento del equipo EOL?

3

Digamos que tengo algunos equipos de red que ya no recibirán parches de vulnerabilidad después de 2019.

Este equipo constituye la columna vertebral de la infraestructura de la empresa.

Digamos que es definitivamente EN EL MEJOR INTERÉS DE TODOS seguir adelante y mejorar este año, pero los más altos no están convencidos de que lo necesitemos.

¿Es un requisito de SOX asegurarse de que cada pieza de tecnología de la información dentro de una organización siga recibiendo parches de seguridad?

¿Es un fallo automático si es así? ¿O pueden los controles de defensa en profundidad / compensación ayudar a mantener una postura compatible?

Gracias chicos.

    
pregunta beansbeans 16.10.2018 - 21:14
fuente

1 respuesta

2

Evitaré entrar en detalles sobre la naturaleza de SOX ya que la información está ampliamente disponible. Sin embargo, diré lo siguiente: SOX no es un marco de control.

  • La respuesta es no, tener elementos EOL como parte de Producción no es un Problema (bajo el paraguas de SOX). Buenas prácticas / seguridad / etc. es otro tema. Además, "cada pieza de tecnología" no se incluiría en SOX; solo los sistemas financieramente significativos (y los sistemas auxiliares) están "dentro del alcance" (la gerencia y el equipo de auditoría lo determinan).

¿Su equipo de auditoría de empresas lo mencionó? Preguntar como los auditores no piensan o se comunican claramente la mayor parte del tiempo y pueden estar tratando de aludir a algo tangental.

Mi historial: parte de mi CV incluye 6 años como auditor de TI para BIG 4 firmas de contabilidad pública.

    
respondido por el steedygonzalez 17.10.2018 - 19:09
fuente

Lea otras preguntas en las etiquetas