企業體認到IT是保持組織營運的重要角色,但是IT的控制措施和業務流程之間的關係日益明顯。
會計詐欺事件使得安隆、世界通訊(WorldCom)及其他公司變成了財務醜聞的同義詞,應運而生的2002年沙賓法案大幅改變了企業保護自己的方式。
特別是404條款,其中述及如何實施「公平揭露符合一般公認會計原則(GAAP) 的外部財務報導之相關控制措施,」它已促使數千上市公司的資安專業人員思索如何為精確的財務資料建置安全措施。
它同時也賜予他們新的影響力。
Constantine Photopoulos公司表示「沙賓法案是使IT 安全受到重視的主要推手,」這家位於紐約的顧問公司是SOX Group 的合作夥伴,曾經主導過數家公司的沙賓法案相關計畫,其中包括 CIT 金融和 Thomas'' 英式鬆餅及其他廠牌的擁有者-George Weston 烘焙企業。
PricewaterhouseCoopers 東區的系統及流程確保首席 Sean Ballington 表示,「沙賓法案促使企業的 IT 面和營運面必須彼此了解和溝通 。企業營運體認到 IT 是保持組織營運的重要角色,但是 IT 的控制措施和企業業務流程之間的關係日益明顯。」
MISSION: CONTROL
舉一個企業營運與IT的密切關聯的例子-公司要採取何種措施,以證明它對沙賓法案中關於儲存相關即時訊息的要求,做到了「合理的努力」
Del Monte 食品匹茲堡分公司的先進技術及協同服務經理 Jonathan Wynn表示,「我們企圖將微軟 Live Communications Server 2005(LCS) 與 MSN、Yahoo和AOL整合,以解決即時通訊的議題。我們阻擋所有上述的即時通訊用戶端,廹使他們的封包必須經過 LCS。」
沙賓法案也要求公司針對其控制措施的有效性進行自我評鑑,然後由外部稽核單位驗證其自評的真確性。觀察家表示:角色正在轉變中。
「在目睹安隆和亞瑟安德信事件後,顧問公司對於採取任何類似風險導向方法來進行稽核有點擔心,」位於加州聖拉蒙市的資安顧問公司 SecureNet Technologies 的總裁 Mike Nelson 表示,「他們想要對每一項控制措施,都進行一定程度的稽核;但是在近一兩年,因沙賓法案通過而建立的非營利組織-監督稽核單位的美國公開發行公司會計監督委員會(PCAOB)已經開始比較重視企業中具有最高風險的威脅。」
在後續的沙賓法案稽核,企業更清楚該如何進行。「我們將主要控制措施的數量降至三分之一,也就是由 75 項減少至約 50 項,稽核費用降低了一半,」已經完成三次稽核的舊金山 bebe 女裝公司,其技術副總裁 Hamid Mashouf 表示。「我們進行縮減的原因是因為其中有些控制措施並不需要。」
聯邦政府關心的重點即使沙賓法案的實作漸緩,評鑑的需求卻漸漸增加。
「我們認為還有超過6000家的尚未申報公司,因此沙賓法案遵循的市場還大有可為,」位於科羅拉多州路易斯維爾的 Coalfire Systems 稽核公司的總裁及創辦人 Rick Dakin 表示。
總的來說,沙賓法案為企業組織將符合更多的聯邦要求打下了基礎。「我的聯邦資訊安全管理法案(FISMA)的業務正開始蒸蒸日上哩,」Nelson 說。「沙賓法案的熱潮已在冷卻中。」