L'atto Sarbanes-Oxley è stato messo in vigore dal congresso degli Stati Uniti nel 2002. L'atto è stato un risultato immediato di una serie di scandali relativi a varie inappropriatezze finanziarie, prevalenti nel nuovo millennio. Governance aziendale, incorporazione di forti controlli interni, criteri e procedure competenti da parte delle aziende con trasparenza e precisione delle loro dichiarazioni finanziarie sono la chiave dei requisiti di conformità definiti dall'atto.
Il rispetto delle normative SOX non consente alcuna scelta. Si tratta di un processo obbligatorio che impone a tutte le aziende quotate pubblicamente di inviare un report annuale che contiene i dettagli della struttura contabile interna alla Securities and Exchange Commission (SEC).La non conformità alle linee guida SOX può comportare conseguenze come multe da milioni di dollari, rimozione dal mercato azionario e, nei casi più gravi, incarcerazione degli ufficiali coinvolti nella costruzione fraudolenta dei dati finanziari.
Le aziende di oggi dipendono dall'IT per la gestione dei controlli interni tramite una soluzione sicura di gestione degli accessi e delle identità (IAM) per il rispetto delle linee guida SOX. La funzione primaria dell'IT è diventata garantire che le transazioni finanziarie e l'inserimento dei dati vengano effettuati solo da personale autorizzato.
SOX è composto da diversi titoli e sezioni e ognuno corrisponde a determinate linee guida. Tuttavia, la sezione 404 e (fino a un certo livello) la sezione 302 riguardano il modo in cui l'IT può aiutare a rispettare la conformità al SOX. Alcuni responsabili IT considerano impostante anche la sezione 409.
Ruolo di Active Directory nel rispetto degli standard SOX
Active Directory è un servizio di directory replicata sicuro, distribuito e partizionato che opera su macchine che operano con Microsoft Windows. Active Directory offre alle aziende un notevole aiuto nell'applicazione delle norme SOX, a condizione che i dati finanziari siano memorizzati su una macchina Windows. Active Directory fornisce:
In aggiunta a queste funzionalità, quando gestita da uno strumento di controllo, registro e reportistica, Active Directory può offrire un notevole contributo al rispetto delle esigenze dei controlli di conformità SOX.
ManageEngine ADManager Plus è un'applicazione via web che agevola le reportistica e la gestione centralizzata di Windows Active Directory. Con la sua interfaccia utente intuitiva e facile da usare, ADManager Plus migliora le possibilità di amministrazione dell'Active Directory nativo. Il suo modulo di reportistica e di gestione permette agli amministratori di risparmiare un tempo notevole e aiuta a raggiungere facilmente i requisiti di conformità.
ADManager Plus è dotato di oltre 100 efficaci report di Active Directory. Molti di questi report contengono dati critici per la conformità al SOX. I report di ADManager Plus obbligatori per rispettare i controlli di conformità al SOX sono suddivisi in varie sezioni:
Per rispettare le linee guida SOX, è obbligatorio applicare i criteri e le procedure di sicurezza. Un ambiente sicuro può essere ottenuto con l'aiuto di ADManager Plus, che si dedica ai concetti chiave dei gruppi di sicurezza e alle autorizzazioni di Active Directory.
I report specializzati di ADManager Plus su gruppi e membri di sicurezza e le autorizzazioni di gruppi e utenti per oggetti, file e cartelle contribuiscono alla sicurezza:
L'installazione e l'aggiornamento di software illecito possono essere rilevati con l'aiuto dei report che forniscono dettagli sul sistema operativo (OS). I report sui criteri relativi alle password e sui criteri relativi al blocco degli account contengono informazioni essenziali per i controlli SOX.
L'elenco innato dei report di qualità di ADManager Plus è un requisito di base per la sezione relativa alla sicurezza del Sarbanes-Oxley Act (SOA).
Nonostante l'applicazione dei criteri di sicurezza standard, possono esistere diversi rischi nelle organizzazioni e potrebbero verificarsi minacce alla sicurezza e ai dati finanziari. La conformità al SOX pone l'attenzione sulla protezione dei dati. Sono quindi essenziali una corretta analisi dei rischi e appropriati metodi di gestione. ADManager Plus e il suo insieme aggiornato di report può offrire un notevole contributo all'analisi dei rischi. Un'analisi periodica dei report relativi agli account inattivi/disabilitati/con accesso mai effettuato degli utenti e di altri oggetti di Active Directory possono aiutare a rimuovere il rischio rappresentato da questi account.
Questi report sono di aiuto nelle attività di gestione dei rischi:
Le linee guida di SOX richiedono alle aziende di adottare adeguati standard per il ripristino di emergenza. ADManager Plus offre una serie di report che, quando generati, offrono dettagli su tutti i membri in determinate categorie di oggetti: utenti/computer/oggetti criteri di gruppo (GPO)/unità organizzative (UO). I dati persi a causa di eventi imprevedibili possono essere recuperati e ripristinati con l'aiuto di questi report. I dettagli dell'elenco dei membri in ogni categoria di oggetto possono essere estratti dai report appropriati che sono stati generati prima di questi eventi.
La conformità SOX richiede alle aziende di adottare adeguati standard per il ripristino di emergenza. ADManager Plus offre una serie di report che, quando generati, offrono dettagli su tutti i membri in determinate categorie di oggetti: utenti, computer, oggetti criteri di gruppo (GPO), unità organizzative (UO). I dati persi a causa di eventi imprevedibili possono essere recuperati e ripristinati con l'aiuto di questi report. I dettagli dell'elenco dei membri in ogni categoria di oggetto possono essere estratti dai report appropriati che sono stati generati prima di questi eventi.
ADManager Plus può aiutare nel backup e nel ripristino del tuo ambiente Active Directory durante eventi imprevisti come eliminazioni involontarie o attacchi, offrendo una soluzione di ripristino di emergenza. Inizialmente, ADManager Plus aiuta nel fornire un rapido aiuto di emergenza recuperando i dati perduti. Poi agevola una valutazione completa del tuo ambiente AD per determinare la causa e il motivo del problema con l'aiuto di report predefiniti sui report sugli accessi, i compiti di gestione di AD effettuati dai tecnici e altro.
Il controllo delle modifiche che avvengono nelle organizzazioni è un requisito obbligatorio. Alcuni report di ADManager Plus presentano dettagli sugli oggetti di Active Directory (utenti/computer/oggetti criteri di gruppo /gruppi) che sono stati creati, modificati o eliminati nell'ultimo periodo. Queste informazioni sono essenziali per il rilevamento e la gestione delle modifiche che avvengono nelle organizzazioni. I responsabili di sicurezza possono utilizzare questi pratici report per i controlli interni.
Con i report citati in alto di ADManager Plus, le aziende possono ora soddisfare i requisiti di conformità SOX/SARBOX relativi a criteri di sicurezza complessivi dell'azienda, analisi dei rischi, ripristino di emergenza, separazione dei compiti e così via e affrontare i controlli SOX in serenità.
Oltre ai report, ADManager Plus offre:
ManageEngine® ADManager Plus offre una soluzione via web completa per soddisfare tutti i tuoi requisiti di gestione di Active Directory con un insieme specializzato di report utili per i controlli di conformità SOX.
Segui questa procedura per generare i report relativi a SOX in ADManager Plus:
Fai clic qui per saperne di più sui vari report disponibili in ADManager Plus.
Utilizzando ADManager Plus, puoi facilmente recuperare informazioni essenziali mediante report significativi per rispettare le normative sui controlli SOX.
| SEZIONE | DESCRIZIONE | REPORT |
| 302 (a) (6) | Gli ufficiali di firma hanno indicato nel report se sono presenti modifiche significative nei controlli interni o in altri fattori che potrebbero modificare in modo significativo i controlli interni dopo la data della loro valutazione, incluse le azioni correttive sulle mancanze significative e i punti deboli materiali. |
|
| 302 (a) (5) (a) | Tutte le carenze significative nel progetto o nel funzionamento dei controlli interni che potrebbero influenzare negativamente la capacità del fornitore di registrare, elaborare, riassumere e inserire nei report i dati finanziari e sono stati identificati dai responsabili del controllo del fornitore come punti deboli materiali nei controlli interni e |
|
| 302 (a) (5) (b) | Eventuali frodi, materiali e non, relative ai gestori o ad altri lavoratori con un ruolo importante nei controlli interni del fornitore. |
|
| 404 | Valutazione e reportistica sui controlli interni. |
|
La valutazione dei controlli interni di un'azienda sui report finanziari è nota come prove SOX, che sono necessarie in base al Sarbanes-Oxley Act del 2002. Riguarda la definizione e la prova dei controlli per garantire che siano funzionali ed efficienti.