El mensaje central a la Sección 404 de la Ley Sarbanes-Oxley es:
Los emisores deben publicar información en sus informes anuales
Sobre el alcance y la adecuación de la estructura de control interno.
y procedimientos para la información financiera. Esta declaración también
evaluar la efectividad de dichos controles y procedimientos internos.
La firma de contabilidad registrada deberá, en el mismo informe, dar fe de
e informe sobre la evaluación de la eficacia de las acciones internas.
Estructura de control y procedimientos para la información financiera.
Como todas las empresas registradas en la SEC (y casi todas las compañías del mundo) dependen de TI para sus finanzas, puede ver por qué los servidores, las redes y la TI son esenciales.
Usted tiene razón en que la interpretación de ciertos requisitos de SOx puede ser variable, pero algunos controles, como permitir solo el acceso privilegiado a los sistemas (es decir, acceso de root) a los administradores que lo requieren, tienen sentido en muchos entornos.
El problema que tienen las compañías es que el requerimiento proviene del regulador que puede detener la operación de la compañía de manera efectiva si no se cumplen los requisitos, por lo tanto, a menos que la empresa tenga un equipo experimentado con suficiente tiempo / recursos para profundizar en los requisitos que puede simplemente colocar reglas generales por si acaso .
Espero que esta pregunta sea apropiada para este sitio. La gente de ServerFault no creía que se aplicara a los administradores de sistemas. Ciertamente, creo que se puede responder desde una perspectiva de seguridad, si no otra cosa.
Desde la aprobación de Sarbanes-Oxley (SOX), los departamentos de TI de los EE. UU. han utilizado el "cumplimiento de SOX" como una razón extremadamente amplia para implementar todo tipo de políticas.
La cuestión es que, según tengo entendido, no hay una sola mención de TI en la ley SOX.
Específicamente para abordar sus puntos:
- No enviar un equipo portátil de reemplazo a la dirección de su casa: esto ayuda a evitar el robo en tránsito, el envío a la dirección incorrecta o el fraude (por parte de usted que dice que nunca lo recibió, etc.)
- Acceso raíz en un servidor Unix: una fuerte segregación de tareas protege a las empresas contra el fraude
- El problema de git / mysql que realmente no puedo identificar un requisito de SOx. Parece más probable que la política de aplicaciones en esa compañía requiera un cierto nivel de soporte.
Las políticas típicas en las compañías Fortune 100 que cubren SOx son mucho más largas de lo que podríamos agregar aquí. He ayudado a organizaciones con más de 80 políticas, cada una de las cuales tiene más de 20 páginas que tienen elementos de controles relacionados con SOx. Puede obtener genéricos de varios lugares en línea, pero para obtener valor de ellos debe adaptarlos a las necesidades específicas de su empresa.