Entendiendo SOX: guía para pequeñas y medianas empresas

La Ley Sarbanes-Oxley (SOX) ha sido un faro de responsabilidad y transparencia financiera desde su implementación en 2002, en respuesta a los escándalos financieros que sacudieron los cimientos de grandes corporaciones estadounidenses. Sin embargo, más allá de su enfoque en las prácticas contables, la ley SOX también influye en la seguridad cibernética.

Los controles SOX en ciberseguridad son medidas destinadas a garantizar que la información financiera esté disponible, íntegra, confidencial, accesible y adecuadamente registrada. Además, estos controles se centran en proteger los datos y restringir el acceso a empleados autorizados, fortaleciendo así la seguridad de la información financiera crítica.

Una auditoría de este tipo implica la revisión de los controles, las políticas y los procedimientos de una auditoría 404. También examinará al personal, sus funciones y la descripción de su trabajo, y si han recibido la formación pertinente para acceder de forma segura a la información financiera. De acuerdo con las secciones 302, 404 y 409 de la Ley Sarbanes Oxley, es necesario supervisar, registrar y auditar las siguientes condiciones: Controles internos, actividad en la red, actividad de la base de datos, actividad de inicio de sesión, actividad de la cuenta, actividad de los usuarios y acceso a la información.

No superar una auditoría de cumplimiento de la SOX puede dar lugar a multas y sanciones importantes que pueden dañar la reputación de la organización.

Para alcanzar el cumplimiento de SOX, es recomendable seguir estos pasos:

• Identificar los requisitos de cumplimiento: Es esencial comprender los requisitos establecidos por la regulación SOX, los cuales pueden aplicarse de manera diferente a diversas organizaciones o departamentos.
• Seleccionar un marco de cumplimiento: Existen varios marcos y recomendaciones disponibles para cumplir con los requisitos de SOX, como COBIT, COSO y ITGI. Las empresas deben elegir un marco que se alinee con sus necesidades y utilizarlo como guía.
• Determinar el alcance del cumplimiento: Los requisitos abarcan todos los aspectos de las operaciones de una organización que influyen en sus informes financieros. Por lo tanto, es importante identificar qué datos, sistemas, personal, etc., están dentro del alcance del cumplimiento para prepararse adecuadamente para las auditorías.
• Realizar una evaluación de brechas: Basándose en la regulación SOX y el marco de cumplimiento seleccionado, las empresas deben evaluar sus controles, procesos y procedimientos existentes. Esto ayudará a identificar posibles brechas entre los controles actuales y los requisitos de SOX.
• Documentar políticas y controles existentes: La documentación es clave en el cumplimiento de SOX. Además de implementar controles de seguridad, las empresas deben asegurarse de documentar claramente todas las políticas y procedimientos necesarios para cumplir con los requisitos de SOX.
• 6Cerrar las brechas de control: Una vez identificadas las brechas entre los controles existentes y los requisitos de SOX, es fundamental abordarlas antes de someterse a una auditoría de cumplimiento.
• Definir procesos de generación de informes: El cumplimiento de SOX implica la generación de informes financieros precisos. Por lo tanto, las empresas deben establecer procesos eficientes y precisos para generar estos informes según sea necesario.

Los controles SOX pueden incluir prácticas como establecer políticas de control de acceso, separación de funciones, auditorías internas, capacitación y educación en seguridad cibernética, entre otros. Estos controles son esenciales para garantizar la transparencia, precisión y responsabilidad en la información financiera y operativa.

Por tanto, es necesario establecer protocolos de autenticación para almacenar y recuperar datos, asignando responsabilidades específicas a unidades y personas de la organización.

Las organizaciones deben adaptarse al panorama en evolución de las amenazas de ciberseguridad integrando controles y políticas sólidos en sus programas de cumplimiento de SOX. Al abordar proactivamente los riesgos de ciberseguridad, las empresas pueden fortalecer la confianza de los inversores y mitigar el impacto de posibles violaciones en cualquier operación financiera.