Finanzas, Privileged Access Management

La ley SOX y la Gestión del Acceso Privilegiado

La ley Sarbanes-Oxley, alias «SOX»… ¿todavía se sigue utilizando?

Vaya que sí. Ya se puede apostar el futuro de su organización, porque esta ley exige que las empresas que cotizan en bolsa documenten, implementen, auditen y certifiquen los controles internos sobre sus informes financieros. En pocas palabras, la SOX dirige una gran cantidad de atención a los controles y políticas de TI porque considera que los controles de acceso son críticos. Como resultado, esta ley y la Gestión del Acceso Privilegiado (PAM) están estrechamente vinculadas, o deberían estarlo.

Un breve repaso de la ley SOX

La SOX va a cumplir 15 años. Esta ley fue promulgada en 2002 tras el escándalo de Enron, que reveló cómo los estados financieros auditados de empresas públicas podían manipularse para ocultar prácticas fraudulentas. A pesar de que con los años la conformidad con la SOX se haya vuelto más sencilla y rutinaria, esta sigue siendo un estricto conjunto de normas que implican sanciones severas en caso de incumplimiento, incluidas penas de cárcel para aquellos CEO y CFO que violen la ley.

Realmente SOX son unas normas que suponen una adición a la Ley de Valores de Estados Unidos de 1930 (Securities Laws, para su identificación). La ley Sarbanes-Oxley abarca actividades como la retención de correos electrónicos y controles de los procesos financieros y su objetivo es asegurar a los accionistas que los estados financieros de una empresa pública son rigurosos. Por lo tanto, los llamados «Controles Generales de TI» de SOX están diseñados para garantizar que los datos y sistemas financieros no sean alterados, mientras que una auditoría externa es la que se encarga de verificar que los controles no son defectuosos.

La ley SOX y la Gestión de Acceso Privilegiado

Muchos, sino todos, los Controles Generales de TI de SOX se basan en la gestión de accesos. Por ejemplo, si la configuración de la aplicación General Ledger forma parte del control general de TI, entonces será necesario saber quién ha realizado la configuración con el fin de mantener un fuerte control.

La persona que configure el General Ledger es un «usuario privilegiado», ya que posee acceso administrativo o «root» al sistema del General Ledger. Desde esta posición privilegiada, esta persona puede añadir, editar o eliminar cuentas o simplemente cambiar la configuración que afecte a las transacciones financieras.

Por ejemplo, puede existir un control sobre quién puede contabilizar los activos en el balance. Si este control se puede manipular sin que nadie lo sepa, ya sea accidental o deliberadamente, entonces los datos financieros también podrán ser alterados. En el supuesto de un caso como el de Enron, un agente maligno interno puede modificar los activos antes y después de la auditoría financiera de la empresa. Esta es el desencadenante de un fraude grave.

Las empresas que no gestionan bien el acceso se enfrentan a un problema de doble filo, ya que, por un lado, se incrementa el riesgo de que se produzca una violación de ciberseguridad y, por otro, también existe la posibilidad de que el auditor de la SOX considere que los Controles de TI son deficientes (o incluso peor, que sufren una «debilidad material» que necesite ser remediada a cambio de un precio considerable).

Una solución PAM ofrece una forma segura y directa de autorizar a todos los usuarios privilegiados y monitorearlos en los sistemas sensibles, incluidos aquellos involucrados en los informes financieros. Asimismo, otorga y revoca privilegios a los usuarios solo para aquellos sistemas en los que están autorizados. La solución gestiona de forma central y rápida el acceso a los sistemas heterogéneos que se ocupan de las transacciones e informes (p. ej., General Ledger, ERP, facturación, API de bancos, etc.). La solución PAM crea una pista de auditoría inalterable para cualquier operación privilegiada. Esta habilidad optimiza la documentación de SOX y su proceso de auditoría.

La Gestión del Acceso Privilegiado para la conformidad con SOX

WALLIX ofrece una solución PAM para cumplir con la ley SOX tanto en el departamento de TI como en el resto. También combina las capacidades robustas de PAM con una facilidad única de instalación y uso mientras que una arquitectura sin agentes optimiza la implementación y los cambios continuos. Otras soluciones PAM necesitan la instalación de un agente de software específico en cada sistema donde el acceso privilegiado se esté gestionando. Estos agentes tienden a ralentizar el despliegue y normalmente llevan al abandono de PAM cuando se «rompen» durante los ciclos de actualización. Sin un despliegue generalizado, PAM no puede ofrecer una seguridad completa (o simplemente adecuada) para la conformidad con SOX.

La facilidad de uso e instalación ayuda en el cumplimiento de la ley SOX. Esta ley tiene el potencial de limitar la agilidad si los controles son excesivamente rígidos. El departamento de TI tiene que ser capaz de modificar los sistemas para estar al día con los cambios que se produzcan en el negocio. Si la conformidad con SOX se vuelve un lastre para la agilidad, entonces tanto esta como el cumplimiento se verán afectados. WALLIX permite evitar esta situación.

WALLIX abarca tanto los despliegues de nube como los in situ. Gracias a esta capacidad el departamento de TI puede definir y aplicar las políticas de privacidad para administradores y empleados por todo el mundo. Otras de las funciones principales son:

Access Manager: gestiona el acceso a las cuentas privilegiadas, creando un único punto de entrada para la definición y aplicación de la política de gestión de accesos privilegiados que es útil para la conformidad con la ley SOX. Un usuario privilegiado solicita acceso a un sistema a través del Access Manager. Este, a su vez, sabe a qué sistemas puede acceder dicho usuario y con qué nivel de privilegio. Por otro lado, un superadministrador puede añadir, modificar y eliminar cuentas de usuarios privilegiados en el Access Manager.

Vault de contraseñas: evita que los usuarios privilegiados conozcan las contraseñas actuales de los sistemas críticos. Resulta imposible la anulación manual de estas contraseñas en un dispositivo físico. En su lugar, WALLIX las guarda en un vault seguro y abre el acceso a un sistema para el usuario privilegiado una vez que ha despejado al Access Manager. El vault de contraseñas refuerza los controles internos al garantizar que un administrador no pueda cambiar la configuración de la gestión o protección de datos en un dispositivo local.

Session Manager: rastrea las acciones llevadas a cabo durante la sesión de una cuenta privilegiada. Para propósitos de transparencia de incidentes, el Session Manager de WALLIX ofrece detalles exhaustivos sobre los informes de la DPA.

WALLIX es sencillo: establece con facilidad un tipo de PAM generalizado y sostenible que la ley SOX necesita para funcionar con eficacia. Se instala rápidamente sin importar el sistema y, a medida que cambian los sistemas subyacentes, no necesita un mantenimiento complejo o actualizaciones de agentes. Esto permite un nivel de flexibilidad que da lugar a un equilibrio entre conformidad y agilidad.

Para más información sobre cómo la solución PAM de WALLIX puede ayudar a su empresa a cumplir con la ley SOX, descargue nuestra guía gratuita sobre PAM y la conformidad con SOX o ¡contáctenos!

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

La ley SOX y la Gestión del Acceso Privilegiado

Un breve repaso de la ley SOX

La ley SOX y la Gestión de Acceso Privilegiado

La Gestión del Acceso Privilegiado para la conformidad con SOX

PAM y el Plan de Ciberseguridad

La Gestión del Acceso Privilegiado (PAM) para los MSSP que utilizan AWS

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca