“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”
“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”
“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”
“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”
“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”
Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.
Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.
Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.
"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”
"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”
"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”
SOX Compliance: Qué es la Ley SOX y cómo cumplirla
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
SOX Compliance: Qué es la Ley SOX y cómo cumplirla
Conclusiones
Egresado de Ingeniería en Tecnologías Computacionales por el Tecnológico de Monterrey. Hácker Ético Certificado, especializado en Red Teaming, Auditorías de Seguridad en Aplicaciones Web e Infraestructura. Integrador de soluciones en el área de Ciberseguridad para empresas Fintech en México y LATAM.
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Tras los escándalos financieros del 2002, en los que salió a la luz evidencia de que grandes empresas publicaron informes financieros fraudulentos, se crea la Ley SOX como una guía para la adecuada y veraz creación de dichos informes.
A continuación te explicamos qué es la Ley SOX y cómo podemos ayudarte a darle cumplimiento. ¡Comencemos!
¿Qué es la Ley SOX?
La Ley Sarbanes-Oxley, también llamada Sarbanes-Oxley Act (SOA) y abreviada usualmente como Ley SOX, es una ley formulada en Estados Unidos en el 2002 como respuesta a los escándalos financieros corporativos de las empresas Enron Corporation, Tyco International y WorldCom.
Antes de la promulgación de esta ley, el mercado de valores de Estados Unidos era regulado por la Ley de Valores de 1933. Esta le exigía a las empresas publicar información fidedigna de cualquier acción que emitiera y que cotizara en la bolsa de valores. Bajo esta ley, los CEO (Chief Executive Officer) no tenían responsabilidad legal y, por lo tanto, no podían ser procesados por ocultar información financiera.
Es en este contexto que empresas de gran prestigio como WorldCom, Enron y Tyco publicaron registros financieros fraudulentos, llevando al descenso brusco del precio de sus acciones y, con ello, a grandes pérdidas de dinero de sus inversionistas. El escándalo que esto causó llevó al descubrimiento de una larga lista de estados financieros falsificados y empresas que carecían de controles internos y llevaban conductas indebidas.
Esto impulsó la creación de la Ley Sarbanes-Oxley para garantizar la transparencia y exactitud de sus informes financieros, y con ello proteger al público de acciones fraudulentas de las corporaciones y restablecer su confianza en la bolsa de valores.
¿Para qué sirve la Ley SOX?
La SOX regula las auditorías y funciones financieras contables en las empresas públicas y privadas mediante el incremento de la cantidad y exactitud de los controles internos que éstas deben realizar. Su finalidad es que la información financiera publicada sea tan fiable como sea posible y que se mantenga registrada durante un mínimo de 5 años, de manera que se restablezca la confianza de los inversores.
Adicionalmente, esta ley penaliza el crimen corporativo con severas sanciones: desde grandes multas (de hasta 10 millones de dólares) hasta penas de prisión (de un máximo de 30 años), y la posibilidad de que los accionistas presenten demandas civiles contra la empresa.
La ley también establece normas sobre ética corporativa para prevenir los actos de corrupción. Para regular los nuevos lineamientos sobre ética y competencia profesional, se crea la Public Company Accounting Oversight Board (PCAOB). Este último es a su vez supervisado por la Securities and Exchange Commission (SEC).
¿Quiénes deben cumplir la SOX?
Todas las empresas, estadounidenses o extranjeras, que cotizan en la bolsa de valores de Estados Unidos, así como sus filiales, deben darle cumplimiento a la ley SOX. Esta ley también debe ser cumplida por las corporaciones de contabilidad que se encargan de la auditoría de las empresas antes mencionadas.
Diferencia entre SOX y J-SOX
J-SOX es el nombre que se le dio a una ley similar a la SOX que fue creada en Japón cinco años después. Aunque en general son leyes con finalidades similares, su estructura, enfoque de la evaluación y el alcance de cada entidad dentro del proceso es distinto en cada una.
La principal diferencia radica en que el cumplimiento de la J-SOX es más costoso y requiere mayor tiempo de dedicación, pues exige a las empresas japonesas a presentar reportes de sus auditores y también de evaluaciones externas.
Requisitos de cumplimiento de la SOX
Las auditorías SOX revisan los sistemas de control interno, los procedimientos y políticas de las empresas, así como las funciones y capacitación del personal. Los principales requisitos que se deben cumplir son:
Informes financieros
Las empresas deben publicar sus estados financieros, incluyendo todas sus obligaciones materiales, deudas y transacciones. Estos datos financieros deben pasar por una auditoría interna, así como por un auditor independiente o un comité de auditoría pública, antes de ser revelados al público general.
Adicionalmente, la ley SOX establece que cualquier modificación de la situación financiera de una empresa debe ser notificada en tiempo real mediante información cualitativa, porcentual y gráficos explicativos, para salvaguardar a los inversores.
Controles internos
Toda empresa debe tener un proceso de control interno propio, que se adapte a sus funciones, y que sea supervisado por el director general o CEO (Chief Executive Officer), su gabinete de directivos y por auditores externos a la empresa.
De esta forma se lleva a cabo una auditoría de cumplimiento que garantiza la eficacia y veracidad del proceso, y que permite identificar posibles fallas del mismo de manera temprana.
Seguridad de los datos
Es imprescindible que toda empresa conozca y posea métodos para identificar qué datos son sensibles y qué usuarios tienen acceso a ellos, de manera que se reduzca la probabilidad de que ocurra una filtración de datos. Así mismo, si se llega a producir algún incidente, deben contar con los recursos y la planificación para tomar medidas de inmediato y garantizar la seguridad de la información.
Controles de acceso
Tener una adecuada gestión de identidades y accesos permite limitar el acceso de los miembros de la empresa a los datos financieros sensibles, lo cual disminuye la probabilidad de que se filtre información.
Para ello, es necesario establecer políticas de seguridad de la información, mantener los dispositivos y servidores en áreas seguras e implementar el uso de contraseñas seguras, entre otros.
Controles de gestión de cambios
Cuando se realizan cambios en el entorno informático de la empresa, como incluir nuevos empleados o dispositivos al sistema y actualizar el software, es necesario que se mantenga un registro de los mismos que incluya el cambio realizado, la fecha y el responsable de llevarlo a cabo. Esto facilitará la realización de la auditoría de cumplimiento.
Copias de seguridad de los datos
Toda empresa debe tener algún sistema para mantener y proteger las copias de seguridad de los datos financieros para disminuir la probabilidad de que se pierdan datos si ocurre un incidente.
En caso de que las copias de seguridad estén almacenadas por un tercero, los requisitos de cumplimiento de la SOX aplican a los terceros de la misma manera que a la empresa que los contrata.
Responsabilidad del CEO y el CFO
La ley SOX establece que el gobierno corporativo de las empresas, específicamente el CEO y el CFO (Chief Financial Officer o director de operaciones financieras), debe ser responsable del apropiado registro y certificación de todos los reportes financieros que la empresa envía a la SEC. Dicho de otra manera, deben presentar una declaración que asevere la legitimidad de la información financiera.
Así mismo, deben velar por la creación de comités de auditoría interna y obtener asesorías legales para reforzar los controles internos.
Es importante destacar que el departamento de TI (tecnología de la información) es responsable de mantener un adecuado control de accesos, garantizar la seguridad de TI, resguardar las copias de seguridad de los datos y supervisar la gestión de cambios en una auditoría SOX. Por lo tanto, es primordial que el personal de este departamento esté familiarizado con las especificaciones de la ley.
Te ayudamos a garantizar el cumplimiento de la SOX en tu empresa
El cumplimiento de la SOX puede aportar grandes ventajas a una empresa. Más allá de evitar las severas sanciones antes mencionadas, cumplir con los requisitos de esta ley disminuye el riesgo de fraudes financieros y filtraciones de información sensible, generando así una mayor confianza en los inversionistas y el público general.
Sin embargo, poner en marcha todos los procesos que permiten cumplir con los requisitos de cumplimiento de la SOX puede ser abrumador por la gran cantidad de detalles que implica. Por ello, el uso de tecnología que permita la automatización de estos procesos puede aliviar las responsabilidades del personal y facilitar el cumplimiento de la ley.
En Delta Protect te ofrecemos Apolo, un SaaS (Software as a Service) que permite la automatización de los procesos repetitivos que requieren cumplimiento, y que también facilita la capacitación y evaluación del personal en materia de cumplimiento normativo.
Adicionalmente, Apolo tiene varios complementos, uno son las pruebas de pentesting que facilitan la identificación de vulnerabilidades en materia de seguridad de la información que podrían afectar la transparencia de los informes financieros.
Y otro es nuestro CISO as a Service, que provee un equipo de expertos en materia de ciberseguridad que ayudan a planificar el marco de control interno de la empresa, de manera que sea lo más eficiente posible, y que se adapte a las necesidades particulares de tu empresa.
En Delta Protect te ayudamos a simplificar la ciberseguridad y el cumplimiento de tu empresa. Si quieres saber de qué otras maneras podemos ayudarte a lograr tener SOX compliance en tu empresa, agenda una demo de Apolo con nuestros expertos.
Egresado de Ingeniería en Tecnologías Computacionales por el Tecnológico de Monterrey. Hácker Ético Certificado, especializado en Red Teaming, Auditorías de Seguridad en Aplicaciones Web e Infraestructura. Integrador de soluciones en el área de Ciberseguridad para empresas Fintech en México y LATAM.
