Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Cumplimiento de la ley Sarbanes-Oxley

Anuncio 
Hoja de datos: Soluciones para el cumplimiento de regulaciones
Cumplimiento de la ley Sarbanes-Oxley
ahora de Symantec™
Ofrecemos soluciones prácticas para el desafío que implica cumplir con la ley Sarbanes-Oxley.
Visión general
Mejorar la seguridad y demostrar el cumplimiento con la ley
Sarbanes-Oxley puede ser extremadamente difícil y costoso,
debido a la complejidad de la ley y a los conocimientos que se
CICLO DE VIDA DEL CUMPLIMIENTO DE LA SEGURIDAD
REGULACIONES
SUSTENTAR
CONTROLAR
DEFINIR
MARCOS
REGULATORIOS
ESTÁNDARES
POLÍTICAS DE
SEGURIDAD DE TI
INFORME
requieren.
Symantec ofrece soluciones de seguridad para TI que lo
NOTIFICACIÓN
SOX
COBIT
CIS
Sistemas operativos
HIPAA
ISO17799
NSA
Bases de datos
GLBA
NIST
Microsoft
Aplicaciones
Sun
Directorios
FISMA
ayudarán a:
• Definir reglas, marcos regulatorios y estándares adecuados
para su organización.
Basel II
Información completa
sobre los reglamentos, los
marcos regulatorios y los
estándares técnicos
• Implementar estándares que sustenten políticas y aplicar
controles técnicos específicos de TI para lograr el
CORRECCIÓN
Personas
Implementación
de configuraciones
seguras, acceso
seguro de usuarios
y reconocimiento
de políticas
Suministro de pruebas
de cumplimiento y
demostración clara
del interés necesario
cumplimiento.
• Mostrar el debido interés y sustentar el cumplimiento al
demostrar que los controles de TI están implementados
y que funcionan correctamente.
Qué tipo de ayuda pueden ofrecer las soluciones de
Symantec
• Ofrecen un "mapeo del contexto" de marcos regulatorios
y de estándares aceptados por la industria para un conjunto
Ayudamos a reducir el costo del cumplimiento de la ley
de políticas y controles técnicos que deben implementarse
Sarbanes-Oxley
y aplicarse.
En el último año, muchas empresas descubrieron que los costos
• Ayudan a implementar controles técnicos específicos y
para demostrar el cumplimiento de la ley Sarbanes-Oxley
políticas personalizables en toda la infraestructura
pueden ser demasiado altos. Recientemente, la Asociación
heterogénea de TI.
Internacional de Ejecutivos Financieros encuestó a 217
sociedades con un ingreso promedio de US$ 5000 millones para
estimar los costos relacionados con el Artículo 404 de la
mencionada ley. La investigación indicó que el "costo total
• Ayudan a garantizar el reconocimiento y el consentimiento
del personal respecto a las políticas de cumplimiento y de
seguridad.
• Automatizan los procedimientos para controlar e informar
relacionado con el cumplimiento alcanzó un promedio de US$
continuamente acerca de la postura adoptada en relación
1,34 millones en costos internos, US$ 1,72 millones en costos
con el cumplimiento.
externos y US$ 1,30 millones en honorarios a auditores". *Por
lo tanto, no es sorprendente que las empresas estén buscando
maneras de automatizar el proceso de cumplimiento y de
• Ofrecen recomendaciones para corregir los riesgos o las
brechas en la postura adoptada en relación con la seguridad.
• Se integran con soluciones líderes de servicios de atención
mejorar la eficacia y la precisión en la creación de informes
y monitoreo operativo, entre las que se incluyen Remedy,
de cumplimiento.
HP® Service Desk y HP® OpenView®, para hacer posible que
* Encuesta de la Asociación Internacional de Ejecutivos Financieros (FEI) del 21
de marzo de 2005.
se adapten a las tecnologías existentes.
Página 1 de 4
Hoja de datos: Soluciones para el cumplimiento de regulaciones
Sarbanes-Oxley Compliance, ahora de SymantecTM
Cómo definir el marco regulatorio para el cumplimiento
a las empresas respecto del uso de COSO como la única
La ley Sarbanes-Oxley de 2002, que se aplica a todas las
directiva para contribuir al cumplimiento, porque "no ofrece
sociedades estadounidenses, independientemente de su tamaño
los suficientes ejemplos para ayudar a identificar, documentar
o rubro, exige a las compañías obtener una certificación de
y evaluar los controles de TI".
sus controles internos relacionada con la creación de informes
financieros. La Comisión de Seguridad e Intercambio de EE.UU.
(SEC), mediante el Consejo de Supervisión de la Contabilidad de
Sociedades Anónimas (PCAOB), ha reconocido sistemáticamente al
Comité de Organizaciones Patrocinantes de la Comisión Treadway
(COSO) y al estándar Objetivos de Control para la Información y la
Tecnología Relacionada (COBIT), el marco regulatorio dentro de
esta comisión más orientado a la TI, como las reglamentaciones
COBIT es un excelente marco regulatorio complementario
que puede ser implementado efectivamente junto con COSO
o en forma individual. En el ITGI sostienen que al implementar
COBIT, total o parcialmente, junto con COSO, los profesionales
de TI deberían obtener los conocimientos necesarios de los
controles internos para ser expertos en el lenguaje del
cumplimiento y de las auditorías de seguridad.
que las compañías deben adoptar para el cumplimiento de la ley
Sarbanes-Oxley.
El estándar Objetivos de Control para la Información y la Tecnología
Relacionada (COBIT) constituye un marco regulatorio de control
de TI abierto e internacionalmente reconocido que se desarrolla
a partir del marco regulatorio del Comité de Organizaciones
Patrocinantes de la Comisión Treadway (COSO) e incluye procesos
de control interno directamente relacionados con procesos de TI.
Esta es una distinción importante. El estándar COBIT agrega
requisitos de calidad, costo y funcionamiento de TI, junto con
Cómo implementar los controles de TI para cumplimiento
¿Los controles generales de TI son exigidos por la ley SarbanesOxley únicamente? Algunas empresas han argumentado que la
ley Sarbanes-Oxley trata solamente los procesos, y que, en lo
que refiere a la tecnología, afecta únicamente a aplicaciones
financieras como, por ejemplo, SAP® u Oracle® Financials. Otras
sugieren que si no se tiene en cuenta la infraestructura de TI
sobre la que se desarrollan los sistemas financieros, no es
posible certificar la integridad de los controles financieros.
requisitos de seguridad relativos a la confidencialidad, integridad y
Para ayudar a resolver este problema, el PCAOB ha publicado
disponibilidad. Comprende una mirada más amplia y más compleja
una directiva que trata sobre los controles generales de
sobre cómo la TI se relaciona con los controles generales y con
TI según se relacionan con la ley Sarbanes- Oxley. Las
todos los aspectos de la administración de una organización.
afirmaciones del PCAOB que afectan a los controles generales
El propósito del estándar COBIT, publicado por el Instituto de
de TI incluyen:
Manejo de la TI (ITGI) y la Asociación de Auditoría y Control de
“Determinar qué controles deberían verificarse…. Por lo general,
Sistemas de Información (ISACA), consiste en acortar la brecha
dichos controles incluyen controles generales de tecnología de la
entre los modelos de control de las empresas y los controles
información, sobre los cuales se basan otros controles".
más enfocados hacia la TI, mediante la determinación de
controles específicos de TI que deben afectar de manera
específica a las empresas. Es importante entender la relación
entre ambos. El 9 de junio de 2004, el Consejo de Supervisión
de la Contabilidad de Sociedades Anónimas (PCAOB) publicó
el estándar de auditoría definitivo para Sarbanes-Oxley, que
"Algunos controles tienen un efecto dominante en el logro de
muchos objetivos, por ejemplo, en los controles generales de
tecnología de la información sobre desarrollo de programas,
cambios en programas, operaciones de equipos y acceso a
programas y datos".
describe la importancia de la TI según se relaciona con un
A partir de estos ejemplos, queda claro que los controles
diseño y un control preciso para lograr eficacia en los controles
generales de TI se encuentran dentro del alcance de la ley
internos. Dado que COSO no investiga acerca de la relación con
Sarbanes-Oxley.
la misma profundidad que el estándar COBIT, ITGI advierte
Página 2 de 4
Hoja de datos: Soluciones para el cumplimiento de regulaciones
Sarbanes-Oxley Compliance, ahora de SymantecTM
Aproveche las soluciones de Symantec
• bv-Control® permite a los administradores identificar
y eliminar en forma eficaz las vulnerabilidades de la
ÁREAS DE COMPETENCIA Y PROCESOS DEL ESTÁNDAR COBIT
ÁREA DE CO MPETENCIA
PLANIFICACIÓN
Y ORGANIZACIÓN
infraestructura de TI y los riesgos operativos asociados.
PROCESO
PO1
PO2
PO3
• BindView® Compliance Center, ahora de Symantec, permite
PO4
a los profesionales de seguridad y de auditoría evaluar y
PO6
PO5
PO7
administrar el cumplimiento de los sistemas respecto de
PO8
PO9
normas como, por ejemplo, la ley Sarbanes-Oxley.
PO10
• BindView Policy Operations Center®, ahora de Symantec,
automatiza el proceso de definición, documentación y rastreo
de aceptación de usuarios y promueve el conocimiento de las
PO11
ADQUISICIÓN E
IMPLEMENTACIÓN
A14
A15
organización.
manera rentable las cuentas, los privilegios y los controles
A12
A13
políticas de seguridad para los empleados de toda la
• bv-Admin® permite a los administradores administrar de
A11
A16
ENTREGA
Y SOPORTE
DS1
DS2
DS3
de acceso de los usuarios para garantizar que la información
DS4
confidencial sólo esté disponible cuando sea estrictamente
DS5
necesario.
DS7
DS6
DS8
DS9
DS10
DS11
DS12
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
M1
M2
M3
M4
Definir la arquitectura de la información
Determinar la dirección tecnológica
Definir la organización y las relaciones informáticas
Administrar las inversiones en recursos informáticos
Comunicar los objetivos y la dirección de la gerencia
Administrar las inversiones en recursos informáticos
Asegurar el cumplimiento de requisitos externos
Evaluar los riesgos
Administrar proyectos
Administrar la calidad
Identificar soluciones automatizadas
Adquirir y mantener software de aplicación
Adquirir y mantener infraestructura tecnológica
Desarrollar y mantener procedimientos
Instalar y acreditar sistemas
Administrar cambios
Definir y administrar niveles de servicio
Administrar servicios de terceros
Administrar el rendimiento y la capacidad
Asegurar la continuidad del servicio
Garantizar la seguridad de los sistemas
Identificar y asignar costos
Educar y formar usuarios
Ayudar y aconsejar a clientes
Administrar la configuración
Administrar problemas e incidentes
Administrar datos
Administrar instalaciones
Administrar operaciones
DS13
CONTROL
Definir un plan informático estratégico
3
3
3
Monitorear los procesos
Evaluar la adecuación y el control interno
Obtener seguridad independiente
Proporcionar auditoría independiente
Las soluciones de Symantec abordan varios procesos del estándar COBIT,
según se indica en los casilleros tildados que se muestran en el cuadro anterior.
Página 3 de 4
Hoja de datos: Soluciones para el cumplimiento de regulaciones
Sarbanes-Oxley Compliance, ahora de SymantecTM
Más información
Visite nuestro sitio Web
http://www.symantec.com.mx
http://www.symantec.com/la
Symantec está presente en más de 40 países. Para obtener
información sobre las oficinas y los números de contacto en
los diferentes países, visite nuestro sitio Web.
Acerca de Symantec
Symantec es el líder mundial en seguridad de la información
que ofrece una amplia gama de software, accesorios y
servicios diseñados para ayudar a los usuarios individuales,
las pequeñas y medianas empresas y las empresas grandes
a asegurar y administrar la infraestructura de seguridad de
TI. La marca Norton™ de Symantec es líder mundial en
soluciones de seguridad y de resolución de problemas para
usuarios, que ofrece soluciones para ayudar a las personas
y a las empresas a asegurar la seguridad, la disponibilidad
y la integridad de la información. Con sede central en
Cupertino, California (EE.UU.), Symantec opera en más
de 40 países. Para obtener más información, visite
www.symantec.com.mx
Symantec Corporation
Sede mundial
20330 Stevens Creek Boulevard
Cupertino, CA 95014 USA
1 (408) 517 8000
1 (800) 721 3934
www.symantec.com
Symantec América Latina
9155 South Dadeland Blvd.,
Suite 1100, Miami, FL 33156
Teléfono: 305-671-2300
Fax: 305-671-2350
http://www.symantec.com/la/
http://www.symantec.com.mx/
Copyright © 2006 Symantec Corporation. Todos los derechos reservados. Symantec y el logotipo de Symantec son marcas comerciales o marcas comerciales registradas en los Estados Unidos y otros países por
Symantec Corporation y/o sus filiales. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios. 06/06
DS-00431-SL
Página 4 de 4
Documentos relacionados
Symantec
Symantec
Los ciberdelincuentes se centran en los usuarios domésticos
Los ciberdelincuentes se centran en los usuarios domésticos
3 formas en las que - Ingram Micro, Mayorista informática España
3 formas en las que - Ingram Micro, Mayorista informática España
El incremento de la información, la necesidad de reducir costes y el
El incremento de la información, la necesidad de reducir costes y el
Symantec Endpoint Protection Cloud
Symantec Endpoint Protection Cloud
La Red de Inteligencia Global de Symantec está formada por más
La Red de Inteligencia Global de Symantec está formada por más
Aviso de privacidad de Norton ConnectSafe
Aviso de privacidad de Norton ConnectSafe
Dispositivos móviles Crecimiento explosivo de la información
Dispositivos móviles Crecimiento explosivo de la información
Descargar
Anuncio
Anuncio