Las Leyes Sarbanes-Oxley y los Sistemas de Información
Hace unos días recibí un correo en mi cuenta de correo corporativa donde se me avisaba de lo siguiente:
Por exigencias de la normativa interna (y adecuación a las leyes Sarbanes-Oxley), se va a proceder a implantar una política más estricta de contraseñas…”
Al principio pensé que las leyes que mencionaba el correo se referían a algún método de encriptación establecido por algún matemático. Es decir, algún estándar que la empresa había decido implantar en las contraseñas corporativas.
Pero mira por donde no se trata de una ley matemática de encriptación, sino de una ley de esas que se aprueban en nuestros parlamentos. Descubro que no es una ley española y tampoco una ley europea. Resulta que es una ley de los Estados Unidos de América. Y claro está, la pregunta obligada es ¿por qué mi compañía aplica una ley cuyo ámbito de aplicación son los EUA?
La entrada en la Wikipedia sobre la Sarbanes-Oxley Act nos lo aclara un poco:
La Ley Sarbanes-Oxley es una Ley federal de Estados Unidos que ha tenido mucha controversia, ya que esta Ley va en respuesta a los escándalos financieros de algunas grandes corporaciones, entre los que se incluyen los casos que afecta a Enron, WorldCom… La legislación abarca y establece nuevos estándares para los consejos de administración, dirección y mecanismo contables de todas las empresas que cotizan en bolsa en los Estados Unidos. Introduce responsabilidades penales para el consejo de administración y establece unos requerimientos por parte de la SEC (Securities and Exchanges Committee), es decir, la comisión reguladora del mercado de valores de Estados Unidos.
Como mi compañía cotiza en la bolsa de New York, está obligada a cumplir con esta ley y por tanto aplicarla sea cual sea su ámbito territorial.
Respecto a los sistemas de información, esta ley establece fuertes restricciones sobre el núcleo de su razón de ser: la confiabilidad de la información financiera y evitar los riesgos que puedan lesionar la integridad de la información.
La ley entiende y establece que el acceso a los sistemas de información corporativos no solo debe estar completamente controlado y auditado, sino que además , las diferentes plataformas que permiten el acceso a la información, las infraestructuras, las redes, las bases de datos, etc, forman parte de un todo único que debe ser evaluado, auditado y evidentemente tener sistemas de vigilancia y seguridad férreos.
Para saber más: The Sarbanes-Oxley Act Community Forum.
Leer más artículos sobre Mercado de Telcos y Telefónica y Sociedad de la Informacion.
- [+] Digg: Reporta este artículo.
- [+] Del.icio.us: Añade a tus favoritos este artículo.
- [+] Furl: Añade a tus favoritos este artículo.
