Conformità SOX - L'apparecchiatura EOL in esecuzione è considerata una violazione?

3

Diciamo che ho alcune apparecchiature di rete che non riceveranno più patch di vulnerabilità dopo il 2019.

Questa apparecchiatura costituisce la spina dorsale dell'infrastruttura aziendale.

Diciamo che è decisamente IN TUTTI I MIGLIORI INTERESSI andare avanti e migliorare quest'anno, ma i più esperti non sono convinti di averne bisogno.

È necessario che il SOX assicuri che ogni singolo pezzo di tecnologia dell'informazione all'interno di un'organizzazione stia ancora ricevendo patch di sicurezza?

È un errore automatico se sì? Oppure la difesa in profondità / i controlli di compensazione aiutano a mantenere una postura conforme?

Grazie ragazzi.

    
posta beansbeans 16.10.2018 - 21:14
fonte

1 risposta

2

Eviterò di entrare nei dettagli sulla natura di SOX poiché tali informazioni sono ampiamente disponibili. Tuttavia, dirò quanto segue: SOX non è un quadro di controllo.

  • La risposta è no, avere elementi EOL come parte della produzione non è un problema (sotto l'ombrello di SOX). Best practice / sicurezza / ecc-saggio è un altro argomento. Inoltre, "ogni pezzo di tecnologia" non rientrerebbe in SOX; solo i sistemi finanziariamente significativi (e quelli ausiliari) sono "nell'ambito" (la direzione e il gruppo di audit lo determinano).

Il team di revisione delle aziende ha sollevato questa questione? Chiedere come gli auditor non pensano o comunicano chiaramente la maggior parte del tempo e potrebbero tentare di alludere a qualcosa di tangente.

Il mio background: parte del mio CV include 6 anni come revisore IT per BIG 4 società di contabilità pubblica.

    
risposta data 17.10.2018 - 19:09
fonte

Leggi altre domande sui tag