La Ley Sarbanes-Oxley (SOX) ha sido un faro de responsabilidad y transparencia financiera desde su implementación en 2002, en respuesta a los escándalos financieros que sacudieron los cimientos de grandes corporaciones estadounidenses. Sin embargo, más allá de su enfoque en las prácticas contables, la ley SOX también influye en la seguridad cibernética.
Los controles SOX en ciberseguridad son medidas destinadas a garantizar que la información financiera esté disponible, íntegra, confidencial, accesible y adecuadamente registrada. Además, estos controles se centran en proteger los datos y restringir el acceso a empleados autorizados, fortaleciendo así la seguridad de la información financiera crítica.
Una auditoría de este tipo implica la revisión de los controles, las políticas y los procedimientos de una auditoría 404. También examinará al personal, sus funciones y la descripción de su trabajo, y si han recibido la formación pertinente para acceder de forma segura a la información financiera. De acuerdo con las secciones 302, 404 y 409 de la Ley Sarbanes Oxley, es necesario supervisar, registrar y auditar las siguientes condiciones: Controles internos, actividad en la red, actividad de la base de datos, actividad de inicio de sesión, actividad de la cuenta, actividad de los usuarios y acceso a la información.
No superar una auditoría de cumplimiento de la SOX puede dar lugar a multas y sanciones importantes que pueden dañar la reputación de la organización.
Para alcanzar el cumplimiento de SOX, es recomendable seguir estos pasos:
Los controles SOX pueden incluir prácticas como establecer políticas de control de acceso, separación de funciones, auditorías internas, capacitación y educación en seguridad cibernética, entre otros. Estos controles son esenciales para garantizar la transparencia, precisión y responsabilidad en la información financiera y operativa.
Por tanto, es necesario establecer protocolos de autenticación para almacenar y recuperar datos, asignando responsabilidades específicas a unidades y personas de la organización.
Las organizaciones deben adaptarse al panorama en evolución de las amenazas de ciberseguridad integrando controles y políticas sólidos en sus programas de cumplimiento de SOX. Al abordar proactivamente los riesgos de ciberseguridad, las empresas pueden fortalecer la confianza de los inversores y mitigar el impacto de posibles violaciones en cualquier operación financiera.