Strumento di controllo e creazione di report della conformità SOX
Segmento: Società quotate in borsa
Il Sarbanes-Oxley Act del 2002 stabilisce standard rigorosi per tutte le società quotate in borsa negli Stati Uniti. Non si applica alle società private. La legge è governata dalla Securities and Exchange Commission (SEC), che si occupa di conformità, regole e requisiti. ADAudit Plus garantisce un sistema automatizzato di conformità SOX 302/404 per garantire la sicurezza della rete aziendale, il monitoraggio continuo della rete con avvisi/report su sistema autorizzato/non autorizzato e l'accesso ai dati per l'integrità dei dati.
Sarbanes-Oxley Sezione 302: controlli sulla divulgazione
La sezione 302 della legge impone una serie di procedure interne progettate per garantire un'accurata divulgazione finanziaria.
Nota: clicca sui numeri di sezione riportati di seguito per visualizzare i vari report ADAudit Plus che consentono di soddisfare una determinata clausola.
| 302 (a) (6) |
I funzionari firmatari hanno indicato nel report se vi siano state o meno modifiche significative nei controlli audit interni o in altri fattori che potrebbero incidere in modo significativo sui controlli interni dopo la data della loro valutazione, comprese eventuali azioni correttive in relazione a carenze significative e debolezze materiali. |
Tutti gli oggetti AD:
- Utente
- Gruppo
- Computer
- Unità organizzativa
- Oggetto Criteri di gruppo
|
| 302 (a) (5) (b) |
Qualsiasi frode, rilevante o meno, che coinvolga la direzione o altri dipendenti che svolgono un ruolo significativo nei controlli interni dell'emittente. |
- Creazione di utenti e computer
- Report sugli accessi utente
- Modifiche a utenti e gruppi
- Tutte le azioni eseguite in AD da qualsiasi utente
|
| 302 (a) (5) (a) |
Tutte le carenze significative nella progettazione o nel funzionamento degli audit interni che potrebbero influire negativamente sulla capacità dell'emittente di registrare, elaborare, riassumere e comunicare i dati finanziari e aver individuato per i revisori dell'emittente eventuali carenze sostanziali nei controlli interni. |
- Creazione dei file
- Modifica dei file
- Eliminazione dei file
|
| 302 (a) (4) (b) |
Hanno concepito tali controlli interni in modo da assicurare che le informazioni rilevanti relative all'emittente e alle sue filiazioni consolidate siano rese note a tali funzionari da altri all'interno di tali entità, in particolare durante il periodo in cui vengono elaborati i report periodici. |
Tutte le modifiche ai criteri di Active Directory:
- Modifiche agli oggetti Criteri di gruppo
- Modifiche avanzate agli oggetti Criteri di gruppo
- Modifiche ai criteri locali
|
| 302 (a) (4) (c) / 302 (a) (4) (d) |
Hanno valutato l'efficacia dei controlli interni dell'emittente a partire da una data compresa tra 90 giorni prima del report.
Hanno presentato nel report le loro conclusioni sull'efficacia dei loro controlli interni sulla base della loro valutazione a tale data.
|
Report di accesso locale basati solo sull'ora:
- Accesso/Disconnessione riusciti
- Accesso non riuscito
- Attività di accesso Server Desktop remoto
- Report sintetici
|
| 302 (a) (4) (a) |
Responsabile dell'istituzione e del mantenimento dei controlli interni. |
- Log di controllo cancellato
- Monitoraggio dei processi
- Eliminazione dei file/modifiche alle autorizzazioni
|
Sarbanes-Oxley Sezione 404: valutazione della gestione dei controlli interni
La sezione 404 della legge richiede alla direzione e ai revisori esterni di riferire sui controlli interni. I controlli di accesso dovrebbero essere mantenuti, riesaminati e comunicati periodicamente.
Nota: clicca sui numeri di sezione seguenti per visualizzare i vari report di audit ADAudit Plus che aiuteranno a soddisfare la clausola specifica.
| 404 (a) (1) |
Indica la responsabilità della direzione per l'istituzione e il mantenimento di un'adeguata struttura di controllo interno e di procedure per la creazione di report finanziari. |
Oltre 200 report di audit di sicurezza continua di ADAudit Plus per il controllo di terze parti |
| 404 (a) (2) |
Contiene una valutazione, alla fine dell'ultimo anno fiscale dell'emittente, dell'efficacia della struttura di controllo interno e delle procedure dell'emittente per la creazione di report finanziari. |
Oltre 200 report di audit di sicurezza continua di ADAudit Plus per il controllo di terze parti |
| 404 (b) |
Valutazione e creazione di report del controllo interno - Per quanto riguarda la valutazione del controllo interno richiesta dal comma (a), ogni società di contabilità pubblica registrata che prepara o emette il report di audit per l'emittente deve attestare e riferire in merito alla valutazione effettuata dalla direzione dell'emittente. Un attestato rilasciato ai sensi del presente comma deve essere rilasciato in conformità agli standard per gli incarichi di attestazione emessi o adottati dal Consiglio. Tale attestato non può essere oggetto di un incarico separato. |
Oltre 200 report di audit di sicurezza continua di ADAudit Plus per il controllo di terze parti |
Report di audit in tempo reale da ADAudit Plus
Uno sguardo più ampio ai vari report di audit in ADAudit Plus che soddisfano i requisiti di una particolare categoria. I report garantiscono un monitoraggio approfondito e creazione di report/avvisi, oltre a report personalizzati e report basati sul profilo.
Esempi di report di controllo di conformità in tempo reale
Vista Dashboard
Report di audit
Report di conformità
Report di audit dei file
Sarbanes-Oxley Sezione 302 / 404: report di audit in tempo reale
302 (a) (6):
Tutti gli oggetti AD:
1. Report Gestione utenti
Utenti creati di recente | Utenti eliminati di recente | Utenti abilitati di recente | Utenti disabilitati di recente | Utenti bloccati di recente | Utenti sbloccati di recente | Utenti bloccati frequentemente | Utenti con password modificata di recente | Utenti sbloccati di frequente | Utenti con password impostate di recente | Modifiche della password in base all'utente | Reimpostazione della password basata sull'utente | Utenti modificati di recente | Imposta utenti la cui password non scade mai | Modifiche estese agli attributi | Nuovo e vecchio valore attributo utente | Ultima modifica sugli utenti | Account Lockout Analyzer | Cronologia degli oggetti utente
2. Report Gestione gruppi
Gruppi di sicurezza creati di recente | Gruppi di distribuzione creati di recente | Gruppi di sicurezza eliminati di recente | Gruppi di distribuzione eliminati di recente | Gruppi modificati di recente | Membri aggiunti di recente ai gruppi di sicurezza | Membri aggiunti di recente ai gruppi di distribuzione | Membri rimossi di recente dai gruppi di sicurezza | Membri rimossi di recente dai gruppi di distribuzione | Modifiche estese agli attributi | Nuovo e vecchio valore attributo di gruppo | Raggruppa la cronologia degli oggetti
3. Report sulla gestione computer
Computer creati di recente | Computer eliminati di recente | Computer modificati di recente | Computer abilitati di recente | Computer disabilitati di recente | Modifiche estese agli attributi | Nuovo e vecchio valore attributo del computer | Cronologia degli oggetti del computer
4. Report sulla gestione delle unità organizzative
Unità organizzative create di recente | Unità organizzative eliminate di recente | Unità organizzative modificate di recente | Modifiche estese agli attributi | Cronologia delle unità organizzative
Report sulla gestione degli oggetti Criteri di gruppo
Oggetti Criteri di gruppo creati di recente | Oggetti Criteri di gruppo eliminati di recente | Oggetti Criteri di gruppo modificati di recente | Modifiche ai collegamenti agli oggetti Criteri di gruppo | Cronologia degli oggetti Criteri di gruppo | Report oggetto Criteri di gruppo avanzati: Modifiche alle impostazioni di Criteri di gruppo | Modifiche alla configurazione del computer | Modifiche alla configurazione utente | Modifiche ai criteri password | Modifiche ai criteri di blocco dell'account | Modifiche alle impostazioni di sicurezza | Modifiche ai modelli amministrativi | Modifiche all'assegnazione dei diritti utente | Modifiche alle impostazioni di Windows | Modifiche alle autorizzazioni di Criteri di gruppo | Modifiche alle preferenze di Criteri di gruppo | Cronologia delle impostazioni di Criteri di gruppo | Modifiche estese agli attributi
302 (a) (5) (b):
1. Creazione di utenti e computer
Report Utenti creati di recente e Report Computer creati di recente
2. Modifiche a utenti e gruppi:
Report Gestione utenti
Utenti creati di recente | Utenti eliminati di recente | Utenti abilitati di recente | Utenti disabilitati di recente | Utenti bloccati di recente | Utenti sbloccati di recente | Utenti bloccati frequentemente | Utenti con password modificata di recente | Utenti sbloccati di frequente | Utenti con password impostate di recente | Modifiche della password in base all'utente | Reimpostazione della password basata sull'utente | Utenti modificati di recente | Imposta utenti la cui password non scade mai | Modifiche estese agli attributi | Nuovo e vecchio valore attributo utente | Ultima modifica sugli utenti | Account Lockout Analyzer | Cronologia degli oggetti utente
Report Gestione gruppi
Gruppi di sicurezza creati di recente | Gruppi di distribuzione creati di recente | Gruppi di sicurezza eliminati di recente | Gruppi di distribuzione eliminati di recente | Gruppi modificati di recente | Membri aggiunti di recente ai gruppi di sicurezza | Membri aggiunti di recente ai gruppi di distribuzione | Membri rimossi di recente dai gruppi di sicurezza | Membri rimossi di recente dai gruppi di distribuzione | Modifiche estese agli attributi | Nuovo e vecchio valore attributo di gruppo | Raggruppa la cronologia degli oggetti
Tutte le azioni eseguite in AD da qualsiasi utente
Report Tutte le modifiche di AD per utente
302 (a) (5) (a):
Report di audit dei file
Tutte le modifiche a file o cartelle | File creati | File modificati | File eliminati | Accesso in lettura ai file riuscito | Tentativo di lettura del file non riuscito | Tentativo di scrittura del file non riuscito | Tentativo di eliminazione del file non riuscito | Modifiche alle autorizzazioni delle cartelle | Modifiche alle impostazioni di controllo delle cartelle (SACL) | File spostati (o) rinominati | Modifiche in base agli utenti | Modifiche in base ai server | File copiati e incollati
302 (a) (4) (b):
Tutte le modifiche ai criteri di Active Directory:
1. Report Modifiche oggetti Criteri di gruppo
Oggetti Criteri di gruppo creati di recente | Oggetti Criteri di gruppo eliminati di recente | Oggetti Criteri di gruppo modificati di recente | Modifiche ai collegamenti agli oggetti Criteri di gruppo | Cronologia degli oggetti Criteri di gruppo | Report oggetto Criteri di gruppo avanzati: Modifiche alle impostazioni di Criteri di gruppo | Modifiche alla configurazione del computer | Modifiche alla configurazione utente | Modifiche ai criteri password | Modifiche ai criteri di blocco dell'account | Modifiche alle impostazioni di sicurezza | Modifiche ai modelli amministrativi | Modifiche all'assegnazione dei diritti utente | Modifiche alle impostazioni di Windows | Modifiche alle autorizzazioni di Criteri di gruppo | Modifiche alle preferenze di Criteri di gruppo | Cronologia delle impostazioni di Criteri di gruppo | Modifiche estese agli attributi
Modifiche ai criteri locali (report di controllo del server)
Report sintetico | Monitoraggio dei processi | Modifiche ai criteri | Eventi di sistema | Gestione degli oggetti | Attività pianificata
302 (a) (4)(c):
Report di accesso locale basati solo sull'ora
Utenti attualmente connessi | Durata accesso | Accessi locali non riusciti | Cronologia degli accessi | Attività Servizi Desktop remoto | Durata dell'accesso degli utenti sui computer | Accesso interattivo non riuscito | Sessione utenti terminata | Accesso RADIUS (NPS) non riuscito | Cronologia accessi RADIUS (NPS)
302 (a) (4) (a):
Log di controllo cancellato | Tracciamento dei processi (report di audit del server)
Report sintetico | Tracciamento dei processi | Modifiche ai criteri | Eventi di sistema | Gestione degli oggetti | Attività pianificata
302 (a) (4) (d):
Autenticazione riuscita/non riuscita sul controller di dominio
Attività di accesso basata su DC (autenticazione di ogni utente) | Attività di accesso al controller di dominio (accesso diretto da parte degli utenti al controller di dominio).
404 (a) (1):
Oltre 200 report di audit di sicurezza ADAudit Plus preconfigurati/personalizzati/basati su profilo per il controllo di terze parti.
404 (b):
Le impostazioni del tecnico con privilegio "Ruolo operatore" saranno in grado di visualizzare i report/gli avvisi dalla console ADAudit Plus.
Alcuni degli altri report di conformità in tempo reale preconfigurati
Report di conformità HIPAA
Tutte le modifiche a file o cartelle | Gestione unità organizzative | Gestione computer | Gestione gruppi | Gestione utenti | Durata accesso | Attività Servizi Desktop remoto | Accessi non riusciti | Attività di accesso utente recente
Report di conformità PCI DSS
Attività di accesso utente recente | Accessi non riusciti | Attività Servizi Desktop remoto | Cronologia degli accessi | Azioni dell'utente amministrativo | Tutte le modifiche a file o cartelle | Cronologia degli accessi RADIUS (NPS) | Accesso in lettura ai file riuscito | Modifiche alle autorizzazioni delle cartelle | Modifiche alle impostazioni di controllo delle cartelle
Report di conformità GLBA
Modifiche alle impostazioni di controllo delle cartelle | Modifiche alle autorizzazioni delle cartelle | Accesso in lettura ai file riuscito | Tutte le modifiche a file o cartelle | Gestione oggetti Criteri di gruppo | Gestione utenti | Gestione gruppi | Modifiche ai criteri di dominio | Durata accesso | Accesso locale non riuscito | Attività Servizi Desktop remoto
Report di conformità FISMA
Attività Servizi Desktop remoto | Accessi locali non riusciti | Cronologia degli accessi | Gestione gruppi | Gestione utenti | Azioni dell'utente amministrativo | Gestione computer | Gestione unità organizzative | Tutte le modifiche a file o cartelle | Tentativo di scrittura del file non riuscito | Tentativo di eliminazione file non riuscito
-
ADAudit Plus ci ha aiutato a soddisfare determinati requisiti di conformità SOX e PCI. Mi piacciono i report mensili automatizzati per SOX, la facilità d'uso, l'implementazione e la soluzione molto conveniente.
Jeffrey O'Donnell
Direttore IT,
Uncle Bob's Self Storage
-
Abbiamo finalizzato ADAudit Plus di ManageEngine, principalmente per i nostri report di audit SOX e penso che lo strumento, con il suo output facile da comprendere, sia molto interessante e il prezzo altamente competitivo abbia contribuito ad attirare la nostra attenzione.
Andreas Ederer
Cosma International
-
Siamo un fornitore di servizi sanitari di emergenza. Riteniamo che il software sia un modo per evitare i rischi con alcune buone pratiche di gestione dei rischi e che ci aiuti a soddisfare la conformità HIPAA. Abbiamo scelto ADAudit Plus che funziona 24 ore su 24, 7 giorni su 7, 365 giorni all'anno, come noi.
JT Mason
Direttore IT
California Transplant Donor Network (CTDN)
-
Abbiamo valutato diversi software; ADAudit Plus è estremamente facile da implementare e rappresenta una soluzione conveniente che ci ha aiutato a superare diversi controlli di sicurezza del settore, test di controllo PEN approfonditi e soddisfare le linee guida di sicurezza HIPAA.
Renee Davis
CIO
Life Management Center
-
Siamo un'organizzazione senza scopo di lucro e dovevamo soddisfare i requisiti HIPAA; abbiamo scelto ADAudit Plus che ci ha aiutato a vedere quali modifiche sono state apportate e chi le ha apportate nel nostro AD.
CMenendez
Responsabile delle operazioni di rete
Kendal
-
ADAudit Plus è stato il più semplice e pertinente tra i diversi prodotti che abbiamo provato per monitorare gli accessi non riusciti degli utenti, la pulizia dell'account, per tenere sotto controllo le attività dannose e soddisfare la conformità PCI-DSS.
Bernie Camus
Responsabile IT
Iglu.com
