¿(J-) SOX prohíbe el uso de software de código abierto?

6

Con respecto a Sarbanes Oxley y particularmente su versión japonesa: ¿Es cierto que para cumplir con (J-) SOX debe tener un contrato de soporte, y por lo tanto una parte responsable, para cualquier software utilizado en la empresa? Si eso es cierto, ¿eso descalifica a casi todo el software de código abierto?

La razón para preguntar es que creo firmemente que no hay relevancia alguna. Sin embargo, nuestro departamento de TI con frecuencia veta las solicitudes de software de código abierto sobre la base de que sin un contrato de soporte no cumple con los requisitos de J-SOX. Que yo sepa, J-SOX no tiene ninguna relación con si usted tiene un contrato de soporte para el software que utiliza. Lo que hace parece importar es algo que tenga que ver con la información financiera. Lo que la mayoría de las veces no entra en juego en el ámbito del software de código abierto.

¿Existe una base para estos rechazos en base a J-SOX *? ¿O es que nuestro departamento de TI está siendo perezoso e intenta salir del software de soporte que no comprenden?

* Entiendo que se debe argumentar que el departamento de TI no cuenta con recursos para respaldar dicho software, pero para mí es muy absurdo ocultar ese rechazo bajo J-SOX.

    
pregunta sholsinger 04.04.2011 - 23:13
fuente

3 respuestas

10

El principio básico de SOX (no puedo hablar de la versión en japonés, pero apostaría a que se aplica) es que los funcionarios de la compañía deben certificar que están conscientes de la acción de la compañía y son Responsable de esas acciones. Esto generalmente se hace al hacer que un asesor venga y documente lo que la compañía está haciendo. El enfoque de SOX está en el control de las cosas que afectan los estados financieros.

Su sistema de seguimiento de inventario, sistema de contabilidad, sistema de pedidos, etc., están dentro de este alcance. Tu servidor DHCP no.

SOX no requiere contratos de soporte para ningún sistema. SOX no lo excusa en casos de sistemas suministrados por proveedores que no se entienden. Comprar Oracle, tenerlo con soporte y hacer un montón de cosas resultará perjudicial: su costoso contrato de soporte no proporcionará ninguna solución. Desafortunadamente, SOX es más mal entendido que cualquier otra cosa, y me sorprende el alcance de las cosas que las empresas creen que requiere.

La actitud prevaleciente que se presenta aquí es algo como: "Mejor prevenir que lamentar". El hecho es que imponer requisitos innecesarios adicionales sobre ti mismo y afirmar que son regulatorios no te otorgan ningún punto brownie, solo te cuesta más. Desafortunadamente, creo que tienes una ardua lucha para convencer a tu compañía de eso.

    
respondido por el Jeff Ferland 05.04.2011 - 14:52
fuente
5

La mayoría de los proveedores de código abierto (es decir, empresas y personas que venden software de código abierto con cierta capacidad) ganan dinero a través de contratos de soporte. Los ejemplos obvios son Red Hat , Novell , IBM , etc.

Por lo tanto, incluso si se requiere un contrato de soporte, el código abierto sigue siendo un juego bastante justo.

    
respondido por el Matthew Flaschen 04.04.2011 - 23:41
fuente
4

No hay nada específico sobre los contratos de soporte de TI en SOX o J-SOX, sin embargo, parte de la redacción sobre el cumplimiento de los controles e informes podría facilitar que TI solo vetara las solicitudes en lugar de realizar el esfuerzo adicional requerido. Pueden sentir que tener que soportar el código abierto les causará dolores de cabeza, o los hará responsables.

Dicho esto, según la respuesta de Matthew, si puede demostrar claramente a su equipo de TI que hay un proveedor que ofrece un contrato de soporte en el producto de código abierto que desea, entonces al menos debería llamarlos a ese argumento. Si pueden descargar alguna responsabilidad a un tercero, la mayoría de los departamentos se sienten más felices.

    
respondido por el Rory Alsop 05.04.2011 - 13:24
fuente

Lea otras preguntas en las etiquetas