top of page

SoD y SOx - El secreto detrás de la Ley


Establecer una segregación de funciones a través de la matriz SoD como primer paso puede resultar una forma lógica de iniciar la tarea de detección de conflictos de funciones y riesgos financieros.

Pero ¿Consideramos en este análisis que si bien los procesos de negocios de las empresas son similares pero no en todas son iguales?

Hay distintos factores que pueden hacer que nos encontremos con algunas dificultades que requieran de mayor esfuerzo en nuestra creatividad al querer resolver la SoD:

  • Nómina del personal en los diferentes sectores que intervienen en el proceso

  • Diseño de la herramienta de software para gestionar y procesar la información

  • Diseño del Módulo de ABM de usuarios, con las definiciones de roles y perfiles para el acceso y procesamiento de la información.

Estos son algunos de los puntos sobre los cuales debemos requerir un aporte esencial desde diferentes áreas de la Compañía:

  • RRHH, a través de una definición concreta y documentada de los funciones de la nómina asignada a sectores administrativos

  • Áreas de Negocio, responsables de mantener un proceso documentado y gestionado acorde a los recursos existentes

  • Desarrollo - Tecnología - Seguridad, responsables de acompañar, asesorar y representar tecnológicamente lo indicado por el Negocio asegurando un proceso acorde a las necesidades de gestión y seguridad de acceso a la información

  • Auditoría y Control Interno, asesorando en lo referente a control y registración con el fin de crear una visión única para la revisión de funciones.

Todo proyecto que se desee finalizar con éxito debe pensarse desde la necesidad de generar un ámbito colaborativo entre las diferentes áreas que participan en uno o más de sus etapas de ciclo de vida. Cada área debe pautar sus condiciones funcionales:

  • El Negocio = Asegurar la disponibilidad del proceso

  • Áreas tecnológicas y de seguridad de la información = Asegurar la necesidad de integridad y confidencialidad de la información

  • Auditoría o Control Interno = Asegurarse las respuestas necesarias para documentar el cumplimiento de normativas internas o regulatorias

SoD debe proveer estas condiciones de disponibilidad, confidencialidad e integridad a través de una definición clara y actualizada de funciones y roles o perfiles, su relación e identificación de procesos de control establecidos sobre seguridad y perfiles.

Fabián Descalzo

Certificado en Dirección de Seguridad de la Información (Universidad CAECE)

Analista de Seguridad Informática - Auditoria y Control de Información

ITIL V3 Certified - ISO 20000 Internal Audit Certified

http://ar.linkedin.com/in/fabiandescalzo

https://mybizcard.co/fabian.descalzo.126280


 
Sobre Fabián

ISACA Member ID: 319287 - Posee 28 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio.

Docente del módulo 27001 de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Arg, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro.

Miembro del Comité Directivo para Qatalys Global, Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Comité Organizador ADACSI/ISACA. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.

CERTIFICACIONES:

  • COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)

  • Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)

  • ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)

  • Dirección de seguridad de la información (Universidad CAECE)

  • ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)

  • ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)

  • Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)

  • Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)

Más de Fabián en la WEB

http://fabiandescalzo.wix.com/seguridadinformacion

https://www.linkedin.com/in/fabiandescalzo

http://www.slideshare.net/fabiandescalzo

https://twitter.com/fabiandescalzo

Sigueme
  • Etiqueta de Twitter
  • LinkedIn Sticker

© 2014 Fabián Descalzo

bottom of page