Ley Sarbanes-Oxley - controles de acceso en T.I. - un enfoque práctico

Abstract

En este documento se contempla un marco general de la Ley Sarbanes-Oxley enfocada a los controles de acceso en TI y su implementación práctica en una Entidad, que busca mantener un nivel adecuado de seguridad en el acceso a las aplicaciones y estar preparado ante evaluaciones por parte de la auditoría interna como externa, sobre el cumplimiento de la citada Ley. Asimismo, muestra la relevancia de la participación de los Dueños de Proceso y del área de Seguridad de la Información en la verificación que en los sistemas de información se implementen opciones que sean acordes con las funciones que desempeñan los usuarios y que en la ejecución de las mismas exista una adecuada segregación de funciones, aspectos que son relevantes para certificación de cumplimiento con la Ley SOX que debe emitir el Presidente y el Vicepresidente Financiero de la Entidad.

In this document it contemplated a general framework of the Sarbanes- Oxley Act focused on access controls in TI and its practical implementation in an Entity, with the objective to keep an adequate level of security for access to applications and be prepared before the evaluations by the internal and external audits, about the compliance of that Act. It also shows the importance of the participation of the Process Owners and the area of Information Security verifying that the information systems implemented options that are consistent with the roles of users and that there is adequate segregation of duties in implementing them, aspects that are relevant to certification of compliance with SOX law issued by the President and the Vice-president Financial Officer of the Entity.