El Congreso de Estados Unidos aprobó la Ley Sarbanes-Oxley, también conocida como SOX, en 2002. Los protocolos de cumplimiento de la SOX se desarrollaron para proteger al público de las prácticas fraudulentas o erróneas de las entidades empresariales. Al aplicar los controles de seguridad financiera de la SOX, las organizaciones pueden proteger sus datos sensibles frente a robos y ciberataques.
Los siguientes requisitos de cumplimiento de la SOX son aplicables a las organizaciones de TI:
A. Responsabilidad corporativa de los informes financieros: Si su organización es pública, es obligatorio informar de su situación financiera de forma regular y oportuna a la Comisión del Mercado de Valores (SEC). El director financiero y el director general de la empresa deben autentificar cada informe financiero y serán responsables del contenido de este. Se trata de un requisito importante de cumplimiento de la SOX, según su sección 302.
B. Evaluación de los controles internos: Toda organización debe desarrollar un proceso de control interno, y tanto la dirección como los auditores externos requieren evaluar la eficacia del proceso y determinar los posibles fallos en el mismo que podrían dar lugar a una infracción de la SOX. Este control es un mandato de la sección 404 de los requisitos de cumplimiento de la SOX.
C. Mantener la transparencia: Los responsables de la organización deben informar a sus inversores y al público si se produce un cambio importante en la situación financiera de la organización y su capacidad de funcionamiento. Este control es un mandato de la sección 409 de los requisitos de cumplimiento de la SOX.
Durante una auditoría de TI sobre el cumplimiento de la SOX, el departamento de TI de su organización debe demostrar su adhesión a las normas de cumplimiento de la SOX proporcionando documentación que muestre cómo la organización ha cumplido con los umbrales de transparencia financiera y seguridad de datos exigidos.
Al documentar, asegúrese de que el departamento de TI de su organización está familiarizado con los controles de seguridad, los privilegios de acceso y las normas de gestión de logs para los registros financieros de toda la organización.
ManageEngine Network Configuration Manager proporciona políticas de cumplimiento de la SOX de forma predeterminada. Puede aplicar estas políticas a sus dispositivos de TI y comprobar si algún dispositivo la infringe. Network Configuration Manager también le permite ver todas las infracciones de las normas y le ayuda a solucionarlas. También es posible descargar los informes de cumplimiento de la SOX y presentarlos durante las auditorías. Esto le permite mejorar la seguridad general de los datos financieros de su empresa, cumplir con la SOX y evitar enormes sanciones.
1. ¿Quién es personalmente responsable si se produce una infracción de la normativa?
El director financiero y el director general de la empresa serán responsables si se produce una infracción de la normativa. Serán objeto de sanciones o penas de prisión en caso de infracción.
2. Hemos revelado accidentalmente información financiera no pública de forma inapropiada en nuestra red. ¿Esto es una violación de la SOX?
Sí, es una violación de la SOX. Si se revela información no pública de forma inapropiada en su red, debe ejecutar rápidamente un programa de respuesta para identificar el alcance de la exposición, evaluar el efecto en la corporación y sus clientes, y notificar a todas las partes afectadas.
Nuestro software de gestión del cumplimiento y la configuración, Network Configuration Manager, proporciona configlets de reparación que ayudan a solucionar inmediatamente las infracciones.
3. Utilizamos dispositivos Cisco en nuestra red y la única forma de proteger un dispositivo Cisco es mediante contraseñas de texto plano. ¿Será suficiente?
Una contraseña de texto plano no es segura, ya que hace que su dispositivo sea vulnerable a las violaciones de la seguridad de los datos y a los ataques. Los atacantes pueden obtener información financiera y otros datos aprovechando las contraseñas de texto plano para entrar en su red.
Network Configuration Manager ayuda a identificar las contraseñas que están en texto plano y le permite encriptarlas mediante configlets.