Volvemos a hablar de Sarbanes Oxley. Esta vez os dejo un enlace a un artículo de opinión bastante llamativo, titulado Sarbanes Oxley for IT Security?, publicado en Security Focus por el columnista y especialista en Gestión de la Seguridad Mark Rasch.
El artículo, en síntesis, es una interrogante que Rasch plantea sobre la conveniencia y ubicación de la metodología sugerida por el acta Sarbanes Oxley en la Gestión de Seguridad de la Información. Rasch, con gran acierto, plantea que la metodología nace y está pensada para obtener exactitud máxima en registros financieros, y para establecer medidas de control sobre esos registros financieros.
Visto así, ¿cómo podemos extender la metodología a todo el alcance de un proyecto de Gestión de Seguridad de la Información en una organización cualquiera? La rama financiera es importante, pero desde luego no es la única vertiente de importancia en una implementación de seguridad de alto nivel. ¿Qué significan realmente los sistemas 100% acordes a Sarbanes Oxley? ¿Nos venden humo? ¿Es tan extensible y reutilizable como nos hacen ver?
Rasch realiza un brillante repaso por la historia del acta SOX, orígenes, desarrollo, comentando las especificaciones y marcos de trabajo COBIT, COSO e ITIL, empleadas por los auditores de seguridad en la actualidad a la hora de establecer registros de control en sistemas de Gestión de la Seguridad.
Un texto interesante. Y un punto de vista atrevido, pero que sinceramente comparto.
Saludos :)