Requisitos de la política de Sarbanes-Oxley (SOX)

12

Espero que esta pregunta sea apropiada para este sitio. La gente de ServerFault no creía que se aplicara a los administradores de sistemas. Ciertamente, creo que se puede responder desde una perspectiva de seguridad, si no otra cosa.

Desde la aprobación de Sarbanes-Oxley (SOX), los departamentos de TI de los EE. UU. han utilizado el "cumplimiento de SOX" como una razón extremadamente amplia para implementar todo tipo de políticas.

La cuestión es que, según tengo entendido, no hay una sola mención de TI en la ley SOX.

Los departamentos de TI me han dicho que no pueden enviar una computadora portátil de reemplazo a la dirección de mi casa porque SOX no lo permite. Me han dicho que no puedo tener acceso de root en un servidor Unix debido a SOX. Me han dicho que una empresa no pudo usar git o mysql debido a SOX y que tuvo que usar ClearCase y Oracle en su lugar.

¿Alguien ha experimentado esto? Más importante aún, ¿alguien tiene alguna información definitiva sobre las restricciones que SOX impondría? Sé que requiere informes y certificaciones financieras veraces, precisas y oportunas por parte de ejecutivos corporativos, pero más allá de algunos controles estrictos de los sistemas financieros, no veo por qué debería aplicarse a servidores generales, repositorios de códigos o computadoras portátiles de usuarios.

¿Qué son las políticas de SOX razonables?

Cualquier pensamiento apreciado.

    
pregunta wadesworld 18.12.2011 - 20:40
fuente

2 respuestas

9

Ver Hace (J-) SOX ¿Prohibido el uso de software de código abierto? . Extracto de mi respuesta allí:

  

El hecho es que imponer requisitos innecesarios adicionales sobre ti mismo y afirmar que son regulatorios no te otorgan ningún punto brownie, solo te cuesta más.

La sobrestimación de los límites de SOX es común e incorrecta . Ahora, de alguna manera, puede darse el caso de que su código sea material para el estado financiero anual de la compañía y no quieran agregar otro sistema al ámbito de la auditoría, pero probablemente ese no sea el caso.

SOX significa que la raíz en la máquina que aloja las finanzas de la compañía está estrechamente protegida, pero generalmente no tiene ninguna conexión con las estaciones de trabajo de la mayoría de las personas. La razón por la que hay tanta locura en torno a SOX es porque la ley no lo explica. La SEC proporciona "orientación", pero la interpretación ha sido bastante dispersa.

La guía de la SEC de 2007 es un buen indicador y recuerda que si lo que haces hablar sobre no se relaciona con los controles internos sobre la información financiera, no es relevante para SOX. Por lo tanto, cambiar las contraseñas cada 90 días puede caer en SOX (por ejemplo, los contadores se autentican en el sistema de contabilidad usando cuentas de dominio), pero enviar una computadora portátil de reemplazo a casa en lugar de que usted ingrese y la quite de su escritorio. t importa .

Además, la SEC alienta a las empresas a revisar los controles basados en el riesgo

  

La Guía de Interpretación reitera la posición de la Comisión de que   la gerencia debe aportar su propia experiencia y juicio informado para poder   diseñar un proceso de evaluación que satisfaga las necesidades de su empresa y que proporcione una   base razonable para su evaluación anual de si el ICFR es efectivo. Esto permite   Gestión suficiente y adecuada flexibilidad para diseñar dicho proceso de evaluación.   Empresas públicas más pequeñas, que generalmente tienen sistemas de control interno menos complejos.   que las grandes empresas públicas, pueden usar esta guía para escalar y adaptar su evaluación   Métodos y procedimientos para adaptarse a sus propios hechos y circunstancias. Alentamos a los más pequeños.   empresas públicas para aprovechar la flexibilidad y escalabilidad para llevar a cabo una   evaluación del SCIIF que sea eficiente y eficaz para identificar las debilidades materiales.

Por lo tanto, piense en el impacto que su aplicación podría tener en los informes financieros de la empresa. No el crecimiento financiero, las ganancias o cualquier otra cosa, solo la información. Si no está relacionado (una prueba fácil es "¿alguna vez se trata de dólares y centavos?"), Entonces alguien está extraviando a alguien más. Quizás pueda señalarlo a ellos, o tal vez alguien está mintiendo porque hace que sea más fácil para ellos decirle Quiero que quieran decir y no hay nada que puedan hacer al respecto.

    
respondido por el Jeff Ferland 19.12.2011 - 05:12
fuente
4

El mensaje central a la Sección 404 de la Ley Sarbanes-Oxley es:

  

Los emisores deben publicar información en sus informes anuales   Sobre el alcance y la adecuación de la estructura de control interno.   y procedimientos para la información financiera. Esta declaración también   evaluar la efectividad de dichos controles y procedimientos internos.

     

La firma de contabilidad registrada deberá, en el mismo informe, dar fe de   e informe sobre la evaluación de la eficacia de las acciones internas.   Estructura de control y procedimientos para la información financiera.

Como todas las empresas registradas en la SEC (y casi todas las compañías del mundo) dependen de TI para sus finanzas, puede ver por qué los servidores, las redes y la TI son esenciales.

Usted tiene razón en que la interpretación de ciertos requisitos de SOx puede ser variable, pero algunos controles, como permitir solo el acceso privilegiado a los sistemas (es decir, acceso de root) a los administradores que lo requieren, tienen sentido en muchos entornos.

El problema que tienen las compañías es que el requerimiento proviene del regulador que puede detener la operación de la compañía de manera efectiva si no se cumplen los requisitos, por lo tanto, a menos que la empresa tenga un equipo experimentado con suficiente tiempo / recursos para profundizar en los requisitos que puede simplemente colocar reglas generales por si acaso .

  

Espero que esta pregunta sea apropiada para este sitio. La gente de ServerFault no creía que se aplicara a los administradores de sistemas. Ciertamente, creo que se puede responder desde una perspectiva de seguridad, si no otra cosa.

     

Desde la aprobación de Sarbanes-Oxley (SOX), los departamentos de TI de los EE. UU. han utilizado el "cumplimiento de SOX" como una razón extremadamente amplia para implementar todo tipo de políticas.

     

La cuestión es que, según tengo entendido, no hay una sola mención de TI en la ley SOX.

Específicamente para abordar sus puntos:

  • No enviar un equipo portátil de reemplazo a la dirección de su casa: esto ayuda a evitar el robo en tránsito, el envío a la dirección incorrecta o el fraude (por parte de usted que dice que nunca lo recibió, etc.)
  • Acceso raíz en un servidor Unix: una fuerte segregación de tareas protege a las empresas contra el fraude
  • El problema de git / mysql que realmente no puedo identificar un requisito de SOx. Parece más probable que la política de aplicaciones en esa compañía requiera un cierto nivel de soporte.

Las políticas típicas en las compañías Fortune 100 que cubren SOx son mucho más largas de lo que podríamos agregar aquí. He ayudado a organizaciones con más de 80 políticas, cada una de las cuales tiene más de 20 páginas que tienen elementos de controles relacionados con SOx. Puede obtener genéricos de varios lugares en línea, pero para obtener valor de ellos debe adaptarlos a las necesidades específicas de su empresa.

    
respondido por el Rory Alsop 18.12.2011 - 22:36
fuente

Lea otras preguntas en las etiquetas