10 de julio de 2009

Sarbanex Oxley


Cuando hablamos de cumplimiento legal de los sistemas de información en España el 99% del tiempo estamos hablando de la Ley Organica de Protección de Datos (L.O.P.D.) y de la Ley de Servicios de Sociedad de Información y Comercio Electrónico (L.S.S.I.). Estas son las 2 leyes de mayor relevancia que rigen aspectos tan importantes como los derechos que los ciudadanos tienen sobre sus datos así como la forma en que deben realizarse las acciones comerciales por Internet con garantía y seguridad.

Sin embargo estas no son las únicas referencias al cumplimiento legal con las que los Consultores debemos tratar en nuestro día a día. En un mundo global con relaciones comerciales globales y empresas multinacionales no debemos descuidar la legislación de aquellos otros países en los que operamos. Por ejemplo, dentro del mundo de la banca existe un estándar bajo el que deben regirse las operaciones con tarjeta de crédito, es el Estándar de Seguridad de Datos para la Industria de Tarjeta de Crédito (PCI-DSS). En un sector totalmente opuesto tenemos la Health Insurance Portability and Accountability Act (H.I.P.P.A.), grosso modo es una LOPD de datos médicos, este es un pequeño informe en español de un centro médico con el que encontrareis parecidos razonables fácilmente.

Finalmente tenemos la Sarbanex Oxley (SOX), ley que titula esta entrada y por la cual deben regirse todas las empresas que coticen en la Bolsa de Estados Unidos, eso incluye a las extranjeras y sus filiales. En España corporaciones como REPSOL, el Banco Santander, BBVA o Telefonica pueden ser sometidas a auditorias SOX.

¿Por qué surge SOX? La Sarbanex Oxley surge como respuesta ante una serie de escándalos financieros de finales del siglo XX y principios del XXI, siendo el más famoso de ellos el caso ENRON. Esta empresa fue ejemplo de corrupción y fraude fiscal “a pesar” de que los informes de auditoria no mostraban nada de ello. Quizás en estos días de “crisis” y especulación es cuando más podemos acordarnos de SOX, y es que sin una ley similar aprobada por consenso internacional será difícil que esta situación no vuelva a repetirse, aunque esa es otra historia.

¿Por qué aplica SOX a los Sistemas de Información? Actualmente el enorme avance de la tecnología ha propiciado que los sistemas financieros se apoyen sobre los sistemas de información para acometer sus funciones. En tal sentido, los SdI deben garantizar la fiabilidad de la información financiera, por lo que se deben implementar controles específicos para garantizar la fiabilidad de este tipo de información. ¿Cómo implantar controles internos? Volvemos aun más atrás en el tiempo, mucho antes de la aparición de SOX, allá por el año 92 surgió el informe COSO, el cual tenéis disponible aquí y que es punto de referencia para la implantación de controles internos sobre la información financiera:

Sin embargo organizaciones como ISACA tampoco se han quedado atrás y han adaptado COBIT a la SOX. A primera vista parece difícil mapear controles, tengamos una visión holística centrándonos en las aplicaciones que soportan los procesos financieros:

Seguramente ahora os parezca más sencillo, las aplicaciones financieras no son un tipo especial de aplicaciones, los controles que aplicaremos serán bien conocidos, cambio en los programas, control de acceso, registros de auditoria, etc. Partiendo de esta base el “Road Map” que nos lleve a tener un IT Compliance en una auditoria SOX queda bien reflejado en la siguiente imagen:

Aun así siempre quedarán cositas, todo auditor debe hacer un informe al fin y al cabo, pero no debemos tirarnos de los pelos. A grandes rasgos los controles generales a aplicar sobre los SI se centrarán en:

- Control de Accesos: Control de lectura, alta y modificación, perfiles de acceso, procedimientos documentados, registros de auditoría).

- Pruebas de desarrollo y modificación de los SI.

- Control sobre el funcionamiento de los SI (validación de E/S, comprobación de calculos, gestión de errores).

La forma de implantar controles para estas 3 áreas no viene especificada en la SOX (ya sabemos que las leyes no se mojan mucho). Sin embargo podríamos apoyarnos en estándar internacionales, como la ISO 17799 para extender estos puntos o directamente tirar de la lista de controles de Cobit para la SOX, un interesante artículo de Tech Target que profundiza en esta idea lo tenemos aquí .

Y esta ha sido la lectura “veraniega”, espero que os haya gustado.

Salu2!

0 comentarios: