Legge SOX: scopi e contenuti e software applicarivi

Il governo degli Stati Uniti d’America ha emanato nel 2002 il Sarbanes-Oxley Act (SOX) che ha introdotto nuove procedure per verifiche contabili regolari ed autonome, stabilisce i requisiti per le aziende riguardanti i metodi di stesura dei bilanci aziendali e della documentazione relativa ed ha aumentato le responsabilità personali dei CFO e dei CEP. Tutte le aziende pubbliche che hanno dei titoli nella borsa americana devono soddisfare i requisiti della legge SOX. I dirigenti di un’azienda, compresi CEO e CFO, sono ritenuti direttamente responsabili dell’adempienza delle clausole principali della legge SOX. Il Sarbanes-Oxley Act non impone, direttamente, i requisiti per la sicurezza dei dati aziendali, ma contiene tutta una serie di clausole riguardanti il controllo interno, la completezza della documentazione aziendale sensibile, e lo stato delle verifiche contabili. Il Sarbanes-Oxley Act è composto da diverse sezioni, ognuna delle quali stabilisce diversi requisiti per la gestione aziendale. Le clausole principali della legge SOX sono le sezioni 302, 404 e 802, che sottolineano, rispettivamente, la responsabilità personale dei dirigenti dell’azienda, la necessità di mantenere un sistema di controllo interno e di archiviare tutta la corrispondenza. La Sezione 302 stabilisce che i CEO e i CFO devono allegare i propri commenti alle verifiche contabili come garanzia dell’accuratezza delle informazioni contenute nei documenti. I dirigenti che deliberatamente consegnano relazioni false o fanno intenzionalmente dichiarazioni infondate, vanno incontro a gravi conseguenze, con multe fino a 25 milioni di dollari e il carcere fino a 20 anni. La Sezione 404 sottolinea la necessità di implementare un sistema di controllo interno in grado di identificare prontamente un uso improprio o non autorizzato dei beni aziendali, tra cui i dati privati. In altre parole, tutte le operazioni eseguite con i beni digitali dell’azienda o i bilanci aziendali devono venire controllate con attenzione, e l’infrastruttura aziendale deve tassativamente possedere un sistema di identificazione delle frodi. La Sezione 802, che costituisce il seguito della precedente, prevede che l’azienda archivi tutti i documenti aziendali e qualsiasi altro tipo di informazione correlata alle relazioni finanziarie. I documenti devono rimanere archiviati per un minimo di cinque anni, elevati dalla Sezione 103 a sette anni per tutti i documenti coinvolti nella revisione contabile. La legge SOX non stabilisce esattamente quali informazioni devono necessariamente essere archiviate, e le aziende che conducono delle verifiche contabili indipendenti hanno bisogno di raccogliere e archiviare un numero molto elevato di documenti elettronici. Di conseguenza, i membri del team esecutivo di un’azienda sono direttamente interessati ad assicurare la conformità dei documenti con la legge SOX. La non conformità con la legge può portare a gravi conseguenze legali. Molte aziende americane, anche se non quotate nella borsa di quel Paese, già adottano le clausole di questa legge per accrescere la propria competitività, per attirare l’attenzione degli investitori e dei partner e per proteggere al meglio i beni dell’azienda. In Europa la legge non è ancora entrata in vigore, ma molte aziende hanno già iniziato ad adottarla come standard per la stesura dei propri documenti.

I requisiti principali della legge SOX possono essere individuati nella sezione 404, in base alla quale l’amministrazione deve creare un sistema di controllo aziendale interno. La legge non entra nel dettaglio del sistema da utilizzare o delle azioni da portare a termine. I dettagli sono però contenuti nell’Auditing Standard n. 5, uno standard adottato nel 2007 dal Public Company Accounting Oversight Board (PCAOB), che supervisiona l’accuratezza dei report redatti dalle aziende pubbliche e delinea gli standard compatibili con i requisiti della legge SOX. Il paragrafo A5 presente nell’appendice A dell’Auditing Standard n. 5 definisce un sistema di controllo interno delle relazioni finanziarie come segue: Il controllo interno delle relazioni finanziarie è un processo creato da, o sotto la supervisione di, direttore finanziario o amministratore delegato, o di persone che assolvono alle medesime funzioni, e messo in atto dal consiglio di amministrazione, o da altro personale, per garantire l’attendibilità delle relazioni finanziarie e la preparazione delle dichiarazioni finanziarie per obiettivi esterni in conformità con gli standard GAAP e che comprenda norme e procedure che: Riguardino l’archivio delle relazioni che, nel dettaglio, rispecchino accuratamente le transazioni e le disposizioni che riguardano i beni dell’azienda; Garantiscano che le transazioni siano registrate come previsto per consentire la preparazione delle dichiarazioni finanziarie in conformità con i principi contabili generalmente accettati, e che le ricevute e le spese dell’azienda siano fatte solo in conformità con le autorizzazioni degli amministratori e dei direttori dell’azienda; Garantiscano che i tentativi di acquisizione non autorizzata o uso improprio dei beni dell’azienda che possano avere un effetto sulle dichiarazioni finanziarie vengano scoperti per tempo o evitati. Il concetto di “beni aziendali” comprende anche i beni digitali dell’azienda: proprietà intellettuali, conoscenze commerciali o tecnologiche riservate, e tutta una serie di documenti confidenziali.

DeviceLock è un software in grado di proteggere le aziende dalla perdita dei dati che possono lasciare la rete aziendale attraverso le porte USB, le reti senza fili e i dispositivi mobili. Si tratta di uno strumento per l’analisi retrospettiva di tutti i dati che vengono copiati e sottratti da coloro i quali lavorano all’interno dell’azienda stessa. DeviceLock non limita la flessibilità delle aziende che hanno bisogno di lavorare con i dispositivi mobili ed offre loro la flessibilità di cui hanno bisogno lavorando con i dispositivi mobili.

DeviceLock può essere utilizzato per controllare tutta una serie di potenziali dispositivi maligni: porte USB, dischi, CD e DVD, FireWire, porte IR, porte parallele e seriali, adattatori WiFi e Bluetooth, registratori, PDA e qualsiasi altro supporto removibile interno o esterno. DeviceLock è in grado di registrare le azioni degli utenti che utilizzano questi dispositivi e di proteggere dagli hardware keylogger, che possono essere utilizzati per sottrarre dati dai computer. Gli utenti malintenzionati possono installare questo tipo di dispositivi tra il computer e la tastiera. Quando DeviceLock individua lo scambio di dati tra computer/tastiera e keylogger, avvisa l’utente e registra l’accaduto.

DeviceLock è composto da tre parti: l’agente, il server e la consolle di gestione. DeviceLock Service (l’agente) è la parte centrale di DeviceLock. DeviceLock Service è installato su ogni client, funziona automaticamente ed offre la protezione dei dispositivi sulla macchina client rimanendo invisibile agli utenti locali. DeviceLock Enterprise Server (il server) è la componente aggiuntiva per la raccolta centralizzata e per l’archivio dei dati copiati e per la verifica degli accessi. DeviceLock Enterprise Server utilizza MS SQL Server per archiviare questi dati. La consolle di gestione è l’interfaccia di controllo che gli amministratori di sistema utilizzano per gestire da remoto ogni sistema che possiede il DeviceLock Service. DeviceLock utilizza tre diverse consolle di gestione: DeviceLock Management Console (lo snap-in MMC), DeviceLock Enterprise Manager e DeviceLock Group Policy Manager (integrato nel Windows Group Policy Editor).

DeviceLock può essere controllato attraverso l’utilizzo di regolamentazioni di gruppo presenti in Windows Active Directory, che rendono semplice l’integrazione con le infrastrutture di organizzazioni di qualunque dimensione.

DeviceLock supporta la normativa SOX controllando il passaggio di dati attraverso le porte delle postazioni, delle reti senza fili e dei dispositivi mobili basati su regolamentazioni flessibili. Ogni volta che viene richiesto di spostare i dati da o ad un dispositivo esterno, DeviceLock decide automaticamente se permettere o negare l’accesso in base alle regole impostate dai responsabili della sicurezza IT. Le impostazioni e le regole di DeviceLock sono semplici da impostare; questo è proprio uno dei requisiti di verifica della normativa SOX.

Infatti, l’utilizzo di DeviceLock in un ambiente aziendale permette di seguire in maniera più semplice i seguenti requisiti principali della legge: Sezione 404 (DeviceLock è uno strumento di controllo interno, che assicura il controllo dei documenti contenenti dati sensibili nel momento in cui lasciano le postazioni attraverso le porte o la rete senza fili. Inoltre, il prodotto consente di rispettare le regole relative alla sicurezza durante l’utilizzo di PDA, smartphone e dispositivi, consentendo alcune operazioni e negandone altre. DeviceLock evita la perdita di dati confidenziali e la sottrazione della proprietà intellettuale e dei dati sensibili dell’azienda), Sezione 802 (La possibilità di mantenere una copia dei dati che lasciano la rete aziendale attraverso le porte delle postazioni, i dispositivi esterni e le reti senza fili è una delle principali funzioni di DeviceLock. Il programma salva tutti i dati in uscita su di un database esterno Microsoft SQL Server, in modo che si possano effettuare delle verifiche in futuro, delle analisi retrospettive ed effettuare delle verifiche sulla perdita dei dati, sulla sottrazione fraudolenta degli stessi o su qualsiasi altro atto non autorizzato) e Sezione 302 (Grazie a DeviceLock, i responsabili dell’azienda possono stare tranquilli: in accordo con le regole aziendali, evita che i dati aziendali vengano sottratti. Inoltre, le impostazioni e i processi di verifica sono semplici da monitorare. Oltre alla possibilità di mantenere una copia dei dati, il prodotto permette di mantenere traccia degli accessi che rispecchiano poi tutte le azioni eseguite dagli utenti per scambiare i dati tra una postazione e l’altra e con l’esterno attraverso porte e reti senza fili. Questo tipo di traccia è inoltre necessaria quando si devono condurre delle verifiche accurate dei sistemi che contengono i dati aziendali).