قانون ساربینس-آکسلی سال ۲۰۰۲، همینطور مشهور به «اصلاح عمومی حسابداری شرکتها» و «قانون حفاظت از سرمایه گذار»، و عموما بنام «ساکس» یا «سارب-اّکس»، یک قانون فدرال ایالات متحده در ارتباط با نظارت بر شرکت‌های سهامی و بی پرده گویی مالی است. پیش بینی‌ها و تدارکات ساکس، با ارایهٔ بزرگترین تغییر در قوانین فدرال در مورد سهام و اوراق بهادار طی دهه‌ها، بتفصیل مجازات جزایی و مدنی برای سرپیچی (عدم مطلوبیت)، گواهی ممیزی پنهانی داخلی، و گزافه گویی مالی را شرح می‌دهد.

این مصوبهٔ قانون گذاری دارای طیف گسترده‌ای ست، و استانده‌هایی تازه یا پیشرفته را برای تمام شرکت‌های سهامی عام آمریکایی، موسسات حسابداری عمومی، و موسسات عرضه کنندهٔ خدمات ممیزی، نیز کمپانی‌های غیر آمریکایی که آمریکا در آن حضور دارد، الزامی می‌کند. بخش‌هایی از ساکس که بیش‌ترین ارتباط را با حرفه‌ای‌های آی تی دارند شامل موارد پیرو می‌باشد: • بخش ۳۰۲ – مسوولیت شرکت سهامی برای گزارش‌های مالی. متصدیان شرکت‌های سهامی عام باید قابلیت اطمینان اظهارات سالیانه و فصلی مالی را تایید کنند. • بخش ۴۰۴ – ارزیابی مدیریتی کنترل‌های داخلی- تمامی شرکت‌های دارای ِ (برگ ِ) سهام ِ داد و ستد شونده بطور عام باید یک گزارش سالیانه در مورد کارایی کنترل داخلی حسابرسی شان به SEC تسلیم کنند. همچنین ممیز مستقل شرکت باید دقت گزارش را رسما تصدیق و امضا کند. • بخش ۴۰۹ – بی پرده گویی‌های منتشرهٔ مطابق با گذشت زمان - شرکتهای سهامی عام از لحاظ گزارش دهی مالی باید بروز باشند. و تغییرات در شرایط یا عملیات مالی شان را در عرض ۴۸ ساعت از وقوع علل مادی آن بیان کنند. • بخشهای ۸۰۲ و ۱۱۰۲ - شرکت سهامی و جوابگویی جزایی در کلاهبرداری- شرکتهای سهامی عام می‌توانند برای تغییرِ محتوی یا تخریب ِ اسناد مالی با مجازاتهای جزایی مواجه گردند. میان ِ این بخشها، سازمانهای آی تی بطور گسترده‌ای تلاشهای مطلوبیت ساکس اشان را بر برآوردن ملزومات بخش ۴۰۴ متمرکز می‌کنند. گروههای آی تی با کار کردن در تشریک مساعی با مدیریت اجرایی، باید اطمینان حاصل کنند که یک چارچوب کنترل داخلی می‌تواند بحد کفایت ساختارهای کنترل داخلی و پروسه‌های گزارش دهی مالی را ارزیابی کند، تا بدین صورت داده‌های مالی حساس و حیاتی را محافظت و پشتیبانی کنند.


 

مبارزه طلبی یا چالش ِ ساکس: اصلاح و پیشرفت در دقت و صحت ِ گزارش دهی مالی

ساکس بتفصیل موارد قانونی ای برای شرکتهای سهامی در نظر می‌گیرد، از آن جمله‌اند : یک هیات سرکشی (برد اورسایت) برای حسابداری شرکت سهامی عام، استقلال ممیزی، پاسخگویی و مسوولیت ِ(CEO/CFO) مدیر مالی و مدیر عامل، و پیشرفت در بی پرده گویی مالی. مخصوصا، قانون ساکس تصدیق و تصریح می‌کند که شرکتهای سهامی عام نیازمندِ سیستم‌های کنترل داخلی وسیع برای مدیریت کردن و گزارش ِ داده‌های مالی، در محل می‌باشند، همانطور که دیده بانی و محافظت ِ فعالیتهای کاربر حول داده و حصول اطمینان از امنیت خودِ داده، نیز از ملزومات است. گرچه ساکس می‌تواند تاثیر مثبتی بر نظارت و تحکم بر شرکتهای سهامی از طریق پیشبرد و اصلاح دقت و صحت و قابلیت اطمینان ِ داده‌های مالی داشته باشد، مطلوبیت ساکس چالشهای عمده‌ای برای سازمانها و مخصوصا سازمانهای آی تی تولید می‌کند. از آنجا که اکثر داده‌های مالی یک کمپانی روی سرورهای شبکه‌است، نیازمندیهای کنترل داخلی بعهدهٔ گروه‌های آی تی می‌افتد. لذا دپارتمان‌های آی تی باید اطلاعات مفصلی برای ممیزین داخلی و خارجی در مورد روالهای گزارش گیری مالی و ساختارهای کنترلی اشان تهیه کنند. مدیران شبکه (ادمین‌ها) لازم است بتواننداز قدرت تکنولوژی و ابزارهای موجود بهره ببرند تا کنترلهای دسترسی در سرتاسر تجارتخانه را مدیریت کرده و در موردشان گزارش دهی کنند و مدارک و شواهد ملموس ِ کوششهای امنیتی شان را تهیه کنند. ساکس مسوولیت پذیری میطلبد و برای هر سازمان لازم می‌دارد تا شایستگی و موثر بودن کل شیوه شان را در برقراری امنیت اطلاعات بیازمایند. یک راه حل امنیت اطلاعات ی برای موثر بودن لازم است بتواند در هر نقطه از زمان نشان دهد که سیاستها و حراستهای امنیتی در جای صحیح خود بوده و صحیح عمل می‌کنند.راه حل همچنان باید تضمین کند که تمام برنامه‌های کاربردی و پایگاههای داده‌ای که بر موقعیت مالی یک شرکت تاثیر می‌گذارند، امن هستند. حفاظت اطلاعات مالی وظیفهٔ پیچیده ایست که یک استراتژی گسترده میطلبد. سازمانها با وظیفهٔ پیچیدهٔ نه تنها دستیابی به مطلوبیت ساکس – بل که مراقبت و نگهداری سال به سال ِآن مواجه‌اند. از نقطه نظر نظارت بر امنیت، سازمانها برای براوردن {انتظارات قانون} ساکس، باید بطور فعال در موارد زیر مشارکت نمایند: • تعیین این که آیا یک مسیر ممیزی در مورد تمام فعالیتهای اضطراری وجود دارد و این که{در صورت وجود} بطور مستقل بازنگری و بررسی شده‌است... • حصول اطمینان از {این که} مدیریت امنیت آی تی عملیات و تخطیات امنیتی تشخیص داده شده را دیده بانی و ثبت وقایع می‌کند... • بررسیِ یک نمونه از مشکلات یا «شرح ِ ماوقع»‌ها، برای ملاحظه کردن اینکه آیا مطالب از لحاظ زمانی بخوبی مقصد دهی شده‌اند یا نه. این مقصد رسانی شامل «ثبت و ضبط»، «تجزیه و تحلیل» و «رفع مشکل» می‌باشد. • تعیین این که آیا روال‌های سازمان شامل تسهیلات و امکانات دنباله گیری ممیزی برای پیگیری رویدادها هستند یا خیر؟ • بررسی یک نمونه از مساِیل ضبط شده در سیستم مدیریت مشکلات، برای ملاحظه کردن این که آیا یک «دنباله گیری ممیزی» مناسب وجود دارد و بکار برده می‌شود؟ • حصول اطمینان از اینکه داده‌های حوادث درون سیستم بحد کافی احراز شده‌اند تا بتوان اطلاعات وثبت وقایع را بترتیب تاریخی گرد هم آورد تا بازنگری، امتحان و بازسازی ِ سیستم و داده پردازی ممکن گردد. • تعیین این که آیا اطلاعات و ثبت وقایع در ترتیب زمانی بقدر کافی ضبط گشته و ذخیره شده‌اند و قابل استفاده برای بازسازی سیستم در صورت ضرورت می‌باشند-.نمونه‌ای از وقایع ثبت شده را اختیار کنید تا تعیین کنید آنها بحد کافی امکان بازسازی می‌دهند یا نه؟ هرچند هیچ محصول نرم‌افزاری بتنهایی نمی‌تواند تمامی مطلوبیت ساکس را ایجاد کند، تکنولوژی صحیح SIM می‌تواند به شرکتها کمک کند تا کنترل‌های داخلی را مدیریت کنند. یک راه حل مدیریت امنیتی موثر برای شرکتهای سهامی عام ابزارهای پیاده سازی، مراقبت و نگهداری، و گزارش در بابِ دستیابی داخلی و کنترل‌های امنیتی را با حد اقل استفادهٔ منابع فراهم می‌نماید.


مدیریت اطلاعات امنیتی : بنیادی که مطلوبیت ساکس را ممکن می سازد

امروزه، پروسه‌های گزارشِ مالی اکثر سازمانها توسط سیستم‌های آی تی راه اندازی می‌شوند. گرچه قوانین و مقررات فدرال تکنولوژیهای بخصوصی راکه یک کمپانی باید بخدمت بگیرد تا محظورات مطلوبیت ساکس را برآورده سازد، جبرا تعیین نمی‌کنند، بوضوح آی تی نقش حساسی در مطلوبیت و مخصوصا در کنترل داخلی بازی می‌کند. بورد (هیات) سرکشی بر حسابداری شرکتهای سهامی عام (The Public Company Accounting Oversight Board)، که یک شرکت غیر انتفاعی بخش خصوصی، ایجاد شده بواسطهٔ ساکس برای مباشرت ممیزان شرکتهای سهامی عام است، خاطرنشان می‌کند : «طبیعت و خصوصیات استفادهٔ یک شرکت از آی تی در سیستم اطلاعاتی اش بر کنترل داخلی آن شرکت نسبت به گزارش دهی مالی تاثیر میگذارد.»

یک رویکرد جامع و مخصوص برای تطابق مطلوبیت با ملزومات ساکس باید با بکارگیری راه حل صحیح SIM آغاز گردد- راه حلی که دیده بانی در زمانِ حقیقی و گزارش دهی تاریخی و در حال تکوین را ممکن سازد. اما تکنولوژی بتنهایی پاسخ نیست. یک اقدام جامع و کامل که سرمایه‌های موجود را – شامل پرسنل، پروسه‌ها، و سیاستها- با تکنولوژی یکسان سازی کند ماندگارترین ابزار برای نایل شدن موفقیت آمیز به مطلوبیت ساکس می‌باشد. در نظر گرفتنِ مسوولیت‌های پی آیند بمنظور تثبیت ِکوشش در مدیریت خطر امنیتی اطلاعات، به سازمانها کمک می‌کند تا ملزومات ساکس را، همانند ملزومات دیگر قوانین و مقررات امنیتی و محرمانه پوشش دهند: • ِ تعریف کردن یک برنامه یِ مدیریت امنیت ِ مشتق از سیاست که می‌توان در مورد آن به وحدت نظر رسید، در پروسه‌های تجاری – پرسنل و کنترلهای تکنولوژیک مورد نیاز برای انجام عملیات امنیتی سازمان را مشخص کرده واز مطلوبیت ساکس اطمینان حاصل کنید. همچنین، اطمینان حاصل کنید که تمهیدات امنیتی با پروسه‌های تجاری ترجیحا در همان آغاز متحد شده‌اند و نه پس از آن.. • کنترلهای امنیتی راتنفیذ کنید – در مورد فعالیتها و تصمیمهای انسانی، کنترلهای پروسه، و کنترلهای فناوری اطلاعات، برای دیده بانی و گزارش کنترلها آمادگی حاصل کنید. • پیاده سازی راه-کار بسوی امنیت اطلاعات بر اساس مدیریت خطر –دیده بانی فعال ِ خطر را آنگونه که توسط نمایشگرهای کلیدی کنترل (KCIs) و نمایشگرهای کلیدی ریسک (KRIs) تعریف و اندازه گیری می‌شود، همبسته کردن ِ ارزش نسبی دارایی‌های اطلاعات، تهدیدات متوجه قابلیت اطمینان، یکپارچگی، و در دسترس بودن دارایی‌ها، و آسیب پذیری ِ سیستم‌ها و معماری ای را که دارایی‌ها را ذخیره و حمل می‌کنند، در نظر گیرید. • نمایش دادن جدیت مقتضی دربرنامه کاربردی کنترل داخلی – از طریق ضبط کردن تمام حوادث امنیتی از تمام هاست (میزبان)‌های شبکه، دستگاهها، و دارایی‌ها در یک پایگاه دادهٔ قابل ممیزی کردن، بین زیرساخت امنیتی و «سیاست» پیوند ایجاد کنید. • ساختن و پیاده سازی پروسهٔ موثر مدیریتی امنیت-رویداد (رویدادِ امنیتی) – نشان دهید که گامهای صحیح برای تصحیح سیستم‌ها برداشته شده و تنظیم سیاست نمایید، اگر یک موقعیت نا مطلوبیت مشاهده شود. • فعال کنید گزارشهایی را که می‌تواند به نشان دادن مطلوبیت کمک کند – امنیت مدام در حال پیشرفت ِ داراییهای مرتبط با مطلوبیت دریک بازهٔ زمانی، باز سازی وضع امنیتیِ سازمان در هنگام وقوعِ یک ممیزی، و فعال کردنِ مدیریت کارایی امنیت مقابل معیارهایی که می‌توانند برای تمهیدات و ابتکارات نظارت بر شرکتها تقویت شوند: همه اینها را نشان دهید. • ایجادِ قابلیت‌هایی برای آرشیو کردن و صیانت ِ داده- حفظِ دادهٔ کوتاه مدت و بلند مدت در بیغش‌ترین شکل برای ارایهٔ شواهد و مدارک قا نونی و استفاده از تکنیک‌های دادگاهی و وکالتی. (forensics and evidentiary presentation) با پیاده سازی سیاستهای موثر جامع و مانع و روالهایی برای دایر کردن جوابگویی و عملیات گزارش دهی سازگار، سازمانها می‌توانند بطور موفقیت آمیزی با رهنمودهای تنظیم مطلوبیت ساکس تطابق یابند.

مورد نمونه برای مدیریت اطلاعات امنیتی

شرکت آموزش حرفه (CEC)، در هافمن استیتس، ایلینِویس، وظیفهٔ مدیریت اطلاعات امنیتی در ۸۰ مدرسهٔ توزیع شده از نظر جغرافیایی را بر عهده دارد. تهیه کنندهٔ ۱٫۵ میلیارد دلاری ِ آموزش پسا دبیرستانی نیاز داشت راه حلی امنیتی برای مدیریت آسیب پذیریها، اصلاح و پیشرفت وضعیت کلی امنیتی اش، و فراهم کردن دیده بانی امنیتی برای حصول اطمینان از مطلوبیت ساکس بیابد. CEC با موفقیت نرم‌افزار nFX OSP را، با همبسته کردن و یکسان سازی داده‌های امنیتی از انواع گسترده‌ای از دستگاهها و برنامه‌های کاربردی سفارشی، نصب نمود. با استفادهٔ nFX OSP، هر مدرسه مجهز به پرتال‌های داده‌ای تصویری می‌گردد که جوابگویی برای تجزیه تحلیل و خود-گزارش گیری را ممکن می‌کند، در حالی که CEC قادر است بطور مرکزی عملیات امنیتی را با جمع آوری داده‌های مربوط به وقایع از دستگاههای امنیتی نا متجانس مدیریت کند. با تجزیه- تحلیل‌های مبتنی بر ریسک، دیده بانی ریل تایم، و گزارش دهی جامع و کامل، CEC می‌تواند ملزومات ممیزی ساکس را برآورده کند.


راه حل : تراز کردن با اهداف ساکس

نتفورسیکس یک استراتزی کارامد برای آزمودن کفایت و موثر بودن سیاستها، روال‌ها، و عملیات امنیت اطلاعات را ممکن می‌سازد.nFX OSP جمع آوری و مرتبط سازی احجام کلانِ داده ایجاد شده با ابتکارهای امنیتی {مختلف}را اتوماتیزه می‌کند. این پایگاه همچنین ارزیابی‌های دوره‌ای ریسک و درجهٔ خسارت و صدمه‌ای که ممکن است در اثر دسترسی به، تغییر، یا از بین بردن اطلاعات توسط افراد غیر مجاز و بدون تنفیذ به این اطلاعات و سیستم‌های اطلاعاتی که عملیات و داراییهای سازمان را پشتیبانی می‌کنند، نتیجه شود، فراهم می‌کند؛ همانطور که برای ساکس لازم است. بطور مخصوص تر، nFX OSP برای سازمانها ابزارها و فناوریهای زیر را برای تطابق یافتن با ملزومات ساکس فراهم می‌آورد : • صفحات نشان دهندهٔ مطلوبیت که تهیه می‌کنند دیده بانی ریل تایم وضعیت امنیتی یک سازمان در شبکه، دارایی و سطوح واحدِ تجاری • پایهٔ دانش تعبیه شده که راهنمایی در تجزیه و تحلیل، سند زدن، و گزارش دادن مطالب امنیتی، از جمله آسیب پذیریهای تازه کشف شده، شرٌ افزارها، و داده‌های آسیب پذیری مختصِ هر کمپانیِ فروش... فراهم می‌کند. • برنامه کاربردی مرکزی و ابزار دیده بانی دستگاهها، که بطور جامع و مانع امکانپذیر می‌سازند جمع آوری، مرتبط سازی، تجزیه تحلیل، گزارش دهی، و بخاطر سپردن حوادث ممیزی از برنامه‌های کار بردی نا متجانس، دستگاههای امنیتی، دستگاههای شبکه، سرورها، و کامپیوترهای رومیزی، و از این رو تغییر شکل دادن داده به هوشمندی دارای قابلیت بالفعل... • اندازه گیری سطح کارایی عملیات امنیتی، با گزارش‌هایی که متمرکز می‌شوند بر آسیب پذیری‌ها، تهدیدها، و پاسخ رویداد برای همه دارایی‌های مرتبط با مطلوبیت در تجارتخانه... • ارزیابی ریسک مبنی بر ارزش دارایی، تهدیدها، و قابلیتای آسیب پذیری • مدیریت وضوح رخداد، یکسان ساز پروسه‌های پاسخ حادث شدن با سیستم‌های موجود جریان کاری تجارتخانه، و بنا بر این امکان پذیر کردن پاسخ حادث شدن شتاب یافته از خلال اقدام همکاری جمعی جویانه اش.... • وابستگی قدرتمند حوادث سیستم کشف نفوذ، ازجمله وابستگی قابلیت آسیب پذیری، وابستگی آماری، وابستگی تاریخی، و وابستگی قواعدیپ • کشف و گزارش ویروسها، کرمها و دیگر کدهای شرور.؛ در تمام حالات مختلف وضعیت سیستم و تغییرات پیکر بندی؛ و تغییرات حق ویژه و اجازه ورود... • یک معماری امنیتی بسیار مقیاس پذیر و... که با گسترش سازمان رشد می‌کند و با تغییر نیازمندیهای تجارت تغییر مینماید.... با بکار بردن این ابزارها، سازمان‌های آی تی می‌توانند بطور موثری امنیت اطلاعات را مدیریت کنند، و نتیجتا مطلوبیت ساکس را بنمایش بگذارند...

جمع بندی

ملزومات ساکس برای سازمانها نیاز به پیشبرد امنیت سیستمهای آی تی، برنامه‌های کاربردی و داده‌ها را افزایش داده‌است. ساکس مستلزم بکار بردن بهترین عملیات‌های اطلاعاتی امنیتی برای مطابقت با اهداف زیادی در ارتباط با نظارت بر شرکتهای سهامی و افشا ی مالی از جمله پاسخ گویی CEO/CFO (مدیر مالی / مدیر عامل)، اجازه و اختیار دسترسی به داده‌ها و پیش بِینی مطلوبیت بوده‌است. مدیریت اجرایی نیازمند کار نزدیک با سازمانهای آی تی بر روی ارزیابی ریسک و پیاده سازی سیاستها و عملیات امنیتی می‌باشد.روی هم رفته، یک برنامهٔ امنیتی که انسانها، سیاستها، پروسه، و تکنولوژی را به یک سیستم وارد می‌کند بهترین رویکرد جهت تطابق یافتن با قانون ساکس می‌باشد. یک راه حل SIM پیاده سازی شده مانند nFX OSP، در کنار تنظیم کردن انسان، پروسه، و کنترل‌های اطلاعاتی سازمانها را قادر می‌سازد با اهداف ساکس تطابق یابند. سازمانها می‌توانند با استفاده از ابزارها و تکنولوژی موجود، در مورد موقعیت و امنیت پروسه‌ها و اطلاعات مربوط به مالی شناسایی، ارزیابی، و گزارش دهی انجام دهند و می‌توانند شواهد عینی ِ اقدامات امنیتی اطلاعاتی شان را تهیه نمایند.

کلمات اختصاری

SIM: Security Information Management

  • مدیریت اطلاعات امنیتی

SEC: Securities and Exchange Commission

  • هیات آمریکایی ای که پیشنهادهای عموم و اوراق بهادار را تنظیم می‌کند

CEO: Chief Executive Officer

  • مدیر عامل

CFO: Chief Financial Officer

  • مدیر مالی

KRI: Key Risk Indicators

  • شاخصهای کلیدی ریسک

KCI: Key Control Indicators

  • شاخصهای کلیدی ریسک

CEC: Career Education Corporation

  • موسسه تحصیلات تخصص حرفه‌ای

OSP:Open Security Platform

  • جایگاه باز امنیتی

منابع

Chairman William H. Donaldson, U.S. Securities and Exchange Commission. Remarks to the National Press Club. Washington, D.C. ۳۰ Jul. ۲۰۰۳ http://www.sec.gov/news/speech/spch073003whd.htm