¿Qué es el cumplimiento de SOX?

El Congreso de Estados Unidos aprobó la Ley Sarbanes-Oxley, también conocida como SOX, en 2002. Los protocolos de cumplimiento de la SOX se desarrollaron para proteger al público de las prácticas fraudulentas o erróneas de las entidades empresariales. Al aplicar los controles de seguridad financiera de la SOX, las organizaciones pueden proteger sus datos sensibles frente a robos y ciberataques.

¿Cuáles son los requisitos de la SOX?

Los siguientes requisitos de cumplimiento de la SOX son aplicables a las organizaciones de TI:

A. Responsabilidad corporativa de los informes financieros: Si su organización es pública, es obligatorio informar de su situación financiera de forma regular y oportuna a la Comisión del Mercado de Valores (SEC). El director financiero y el director general de la empresa deben autentificar cada informe financiero y serán responsables del contenido de este. Se trata de un requisito importante de cumplimiento de la SOX, según su sección 302.

B. Evaluación de los controles internos: Toda organización debe desarrollar un proceso de control interno, y tanto la dirección como los auditores externos requieren evaluar la eficacia del proceso y determinar los posibles fallos en el mismo que podrían dar lugar a una infracción de la SOX. Este control es un mandato de la sección 404 de los requisitos de cumplimiento de la SOX.

C. Mantener la transparencia: Los responsables de la organización deben informar a sus inversores y al público si se produce un cambio importante en la situación financiera de la organización y su capacidad de funcionamiento. Este control es un mandato de la sección 409 de los requisitos de cumplimiento de la SOX.

¿Qué significa el cumplimiento de la SOX para su departamento de TI?

Durante una auditoría de TI sobre el cumplimiento de la SOX, el departamento de TI de su organización debe demostrar su adhesión a las normas de cumplimiento de la SOX proporcionando documentación que muestre cómo la organización ha cumplido con los umbrales de transparencia financiera y seguridad de datos exigidos.

Al documentar, asegúrese de que el departamento de TI de su organización está familiarizado con los controles de seguridad, los privilegios de acceso y las normas de gestión de logs para los registros financieros de toda la organización.

Auditoría de cumplimiento de la SOX

• Seguridad de TI: Asegúrese de que existen los controles adecuados para evitar las filtraciones de datos, y tenga preparadas las herramientas para solucionar los incidentes en caso de que se produzcan. Invierta en servicios y equipos que monitoreen y protejan su base de datos financieros.
• Controles de acceso: Evite que los usuarios no autorizados vean información financiera sensible utilizando controles físicos y electrónicos. Esto incluye mantener los servidores y los data centers en ubicaciones seguras, implementar controles efectivos con contraseñas y otras medidas.
• Backups de los datos: Mantenga sistemas de backup para proteger los datos sensibles. Los data centers que contienen copias de seguridad, incluidos los almacenados fuera de las instalaciones o por un tercero, también están sujetos a los mismos requisitos de cumplimiento de la SOX que los alojados localmente.
• Gestión de cambios: Añada nuevos usuarios y equipos, actualice e instale nuevo software y realice cualquier cambio en las bases de datos u otros componentes de la infraestructura de datos. Esto implica mantener registros de lo que se ha cambiado, cuándo se ha hecho y quién lo ha llevado a cabo.

Sanciones de la SOX

• Los funcionarios de la empresa u otras personas que realicen cualquier cambio que oculte información veraz, o que incluya una declaración falsa, están sujetos a multas o a penas de prisión de hasta 20 años.
• Los funcionarios de la empresa que preparen un informe financiero falso están sujetos a multas de hasta $5 millones o a penas de prisión de hasta 20 años.

Cómo ayuda Network Configuration Manager a que su empresa cumpla con la SOX

ManageEngine Network Configuration Manager proporciona políticas de cumplimiento de la SOX de forma predeterminada. Puede aplicar estas políticas a sus dispositivos de TI y comprobar si algún dispositivo la infringe. Network Configuration Manager también le permite ver todas las infracciones de las normas y le ayuda a solucionarlas. También es posible descargar los informes de cumplimiento de la SOX y presentarlos durante las auditorías. Esto le permite mejorar la seguridad general de los datos financieros de su empresa, cumplir con la SOX y evitar enormes sanciones.

Preguntas frecuentes

1. ¿Quién es personalmente responsable si se produce una infracción de la normativa?

El director financiero y el director general de la empresa serán responsables si se produce una infracción de la normativa. Serán objeto de sanciones o penas de prisión en caso de infracción.

2. Hemos revelado accidentalmente información financiera no pública de forma inapropiada en nuestra red. ¿Esto es una violación de la SOX?

Sí, es una violación de la SOX. Si se revela información no pública de forma inapropiada en su red, debe ejecutar rápidamente un programa de respuesta para identificar el alcance de la exposición, evaluar el efecto en la corporación y sus clientes, y notificar a todas las partes afectadas.

Nuestro software de gestión del cumplimiento y la configuración, Network Configuration Manager, proporciona configlets de reparación que ayudan a solucionar inmediatamente las infracciones.

3. Utilizamos dispositivos Cisco en nuestra red y la única forma de proteger un dispositivo Cisco es mediante contraseñas de texto plano. ¿Será suficiente?

Una contraseña de texto plano no es segura, ya que hace que su dispositivo sea vulnerable a las violaciones de la seguridad de los datos y a los ataques. Los atacantes pueden obtener información financiera y otros datos aprovechando las contraseñas de texto plano para entrar en su red.

Network Configuration Manager ayuda a identificar las contraseñas que están en texto plano y le permite encriptarlas mediante configlets.