Does (J-) SOX Proibire l'uso del software Open Source?

Naviga le tue risposte
6

Con riferimento a Sarbanes Oxley e in particolare alla versione giapponese di quest'ultima: è vero che per rispettare (J-) SOX è necessario avere un contratto di supporto - e quindi una parte responsabile - per qualsiasi software utilizzato all'interno dell'azienda? Se ciò è vero, squalifica quasi tutto il software open source?

La ragione per cui mi chiedo è che credo fermamente che non c'è alcuna pertinenza. Tuttavia, il nostro dipartimento IT blocca spesso richieste di software open source sulla base del fatto che senza un contratto di assistenza non rispetta i requisiti J-SOX. A mia conoscenza, J-SOX non ha alcun rapporto con il contratto di supporto per il software che si utilizza. Ciò che fa sembra importare è tutto ciò che riguarda i report finanziari. Il più delle volte non entra in gioco nel regno del software open source.

Esiste una base per questi rifiuti sulla base di J-SOX *? O il nostro reparto IT è semplicemente pigro e sta cercando di uscire dal software di supporto che non capisce?

* Capisco che ci sia una discussione da fare che il reparto IT non disponga di risorse per supportare tale software, ma il reimpiego di tale rifiuto sotto J-SOX mi sembra assurdo.

    
posta sholsinger 04.04.2011 - 23:13
fonte

3 risposte

10

Il principio base di SOX (non posso parlare con la versione giapponese, ma scommetto che riporti) è che i funzionari dell'azienda devono attestare di essere a conoscenza dell'azione dell'azienda e sono responsabile di tali azioni. Questo di solito viene fatto avendo un consulente che entra e documenta cosa sta facendo l'azienda. L'obiettivo di SOX è il controllo sulle cose che influenzano i rendiconti finanziari.

Il tuo sistema di tracciamento dell'inventario, il sistema contabile, il sistema di ordinazione, ecc. rientrano in questo ambito. Il tuo server DHCP no.

SOX non richiede contratti di supporto per alcun sistema. SOX non ti scusa nei casi di sistemi forniti dal fornitore che non sono compresi. Comprare Oracle, averlo supportato e fare un pasticcio di tutto ciò farà male - il tuo costoso contratto di supporto non fornirà alcuna assoluzione. Sfortunatamente, SOX è più incompreso di ogni altra cosa, e sono sempre interessato alla portata delle cose che le aziende credono che richieda.

L'atteggiamento prevalente che si verifica qui è qualcosa del tipo "meglio prevenire che curare". Il fatto è che lanciando requisiti extra inutili su di te e affermando che sono regolamentari non ti guadagni punti brownie, ti costa solo di più. Sfortunatamente, penso che tu abbia una dura lotta per convincere la tua compagnia di quello.

    
risposta data 05.04.2011 - 14:52
fonte
5

La maggior parte dei fornitori di open source (ad esempio, aziende e persone che vendono software open source in qualche modo) guadagna attraverso i contratti di supporto. Gli esempi ovvi sono Red Hat , Novell , IBM , ecc.

Quindi, anche se è richiesto un contratto di supporto, l'open source è ancora molto leale.

    
risposta data 04.04.2011 - 23:41
fonte
4

Non c'è nulla di specifico sui contratti di supporto IT in SOX o J-SOX, tuttavia alcune delle diciture relative alla conformità con i controlli e la segnalazione potrebbero rendere più semplice per il reparto IT solo il veto delle richieste piuttosto che lo sforzo extra richiesto. Potrebbero ritenere che dover supportare l'open source causerà loro mal di testa o renderli responsabili.

Detto questo, come da risposta di Matthew, se puoi dimostrare chiaramente al tuo team IT che c'è un fornitore che offre un contratto di supporto sul prodotto open source che desideri, allora almeno dovrebbe chiamarli su quell'argomento. Se possono scaricare alcune responsabilità su una terza parte, la maggior parte dei reparti si sente più felice.

    
risposta data 05.04.2011 - 13:24
fonte

Leggi altre domande sui tag

Perché non esiste una protezione euristica facile contro il ransomware? monitoraggio del traffico di rete in uscita [chiuso]