Introducción

La mejor manera de explicar la ley SOX es recapitular las historias de los escándalos de Enron y WorldCom.

Enron era una empresa energética estadounidense que cotizaba en bolsa y que, en 2001, se declaró en quiebra tras descubrirse un fraude interno generalizado. Las acciones de Enron pasaron de valer 90 dólares a valer unos céntimos, y los inversores lo perdieron todo. Con 63 000 millones de dólares en activos, Enron se convirtió en la mayor reorganización por quiebra de la época. También provocó la disolución de su empresa de contabilidad, Arthur Andersen, anteriormente una de las cinco más grandes del mundo.

El escándalo consistió en que Enron manipuló la información que comunicaba al mercado de valores. Mediante una serie de prácticas contables poco éticas y fraudulentas, exageraron los ingresos y ocultaron las pérdidas. El precio de las acciones se disparó como resultado de esos beneficios falsos y se desplomó cuando se hizo público.

Menos de un año después, en 2002, WorldCom, la segunda empresa de telecomunicaciones más grande de Estados Unidos en ese momento, también se vio envuelta en un escándalo contable. Su unidad de auditoría interna descubrió más de 3800 millones de dólares en entradas fraudulentas en el balance. Finalmente, WorldCom se vio obligada a admitir que había sobrevalorado sus activos en más de 11 000 millones de dólares. Los altos ejecutivos, liderados por el director general, inflaron las ganancias para mantener el precio de las acciones. En ese momento, fue el mayor fraude contable de la historia de Estados Unidos y, un año después, la empresa se declaró en quiebra.

Estos y otros escándalos llevaron a Paul Sarbanes y Michael Oxley a aprobar la Ley Sarbanes-Oxley en 2002. Su objetivo es resolver un problema recurrente: los ejecutivos manipulan el precio de las acciones manipulando la información que comunican al mercado bursátil. Lo consiguieron gracias a unos controles internos insuficientes, a la falta de responsabilidad y a la cooperación de sus empresas de contabilidad.

Por ejemplo, el artículo 302 establece que el director ejecutivo y el director financiero son directamente responsables de la exactitud de todos los informes financieros, así como de la estructura de control interno. El artículo 404 exige que los informes financieros anuales incluyan un informe de control interno y que auditores externos certifiquen que los controles están implantados, son operativos y eficaces. La sección 906 tipifica como delito la certificación de un informe financiero engañoso o fraudulento, con sanciones de hasta 5 millones de dólares en multas y 20 años de prisión, y la sección 802 impone hasta 20 años de prisión por alterar, ocultar o falsificar registros con la intención de afectar a las investigaciones legales.

La Comisión de Bolsa y Valores (SEC) es responsable de prevenir la manipulación del mercado. Esto incluye asegurarse de que la información que las empresas comunican al mercado de valores sea precisa. La ley SOX no cambia el papel de la SEC, pero impone requisitos y expectativas adicionales en materia de controles internos, rendición de cuentas e independencia de los auditores. En última instancia, son las regulaciones y acciones de la SEC las que guían a las empresas sobre cómo cumplir con la ley.

¿Cómo se relaciona esto con las tecnologías de la información?

Ahora que entendemos qué es SOX, profundicemos en el aspecto informático y, más concretamente, en el aspecto de las bases de datos. Entonces, ¿por qué afecta SOX a la informática y de qué manera?

Los informes financieros que revisan los auditores y que las empresas envían a la SEC se basan en datos almacenados en bases de datos y gestionados por sistemas informáticos. La manipulación de estos datos subyacentes da lugar a informes financieros incorrectos. En el caso de WorldCom, por ejemplo, se reclasificaron los gastos operativos como activos fijos. Se trataba de un cambio en la información utilizada para elaborar el informe, lo que dio lugar a 11 000 millones de dólares de beneficios falsos.

Para mitigar estos riesgos, la ley SOX exige a las empresas que establezcan controles internos sobre la información financiera. También les exige que proporcionen al mercado de valores una evaluación de esos controles internos realizada por un auditor externo independiente. Las regulaciones de la SEC amplían aún más el mantenimiento de registros, garantizando que las transacciones se registren según sea necesario, que los ingresos y gastos estén autorizados, que se prevenga o detecte la adquisición, el uso o la disposición no autorizados, y más.

En otras palabras, se exige a las TI que protejan toda la información que afecta a los estados financieros. Este requisito no solo se aplica a las empresas que cotizan en bolsa, sino también a todas sus filiales en todo el mundo que contribuyen a los estados financieros de las empresas públicas.

Aunque también se deben proteger estos datos contra el robo, la ley SOX solo se centra en garantizar la integridad de los datos. Se trata de garantizar que la información sea precisa y no haya sido manipulada. Esto se debe a que los datos manipulados afectan a la información financiera que las empresas comunican al mercado bursátil, lo que repercute en el precio de las acciones y da lugar a escándalos como los de Enron y WorldCom.

Implicaciones en las bases de datos

Ahora que entendemos la teoría, resumamos nuestros objetivos:

• Datos que hay que proteger: Información Financiera. Cualquier dato utilizado para crear los estados financieros que se envían al mercado de valores. Incluye ventas, costes, gastos, activos (propiedades que posee la empresa y su valor) y mucho más.
• Riesgo: manipulación de datos, es decir, un cambio no autorizado o ilegítimo. En términos de SQL, el alcance es DML y DDL. DML (insertar, actualizar y eliminar) cambia los datos directamente y es el riesgo principal. Sin embargo, los DDL también pueden afectar a la integridad de los datos y a la forma en que se almacenan y procesan los datos financieros (por ejemplo, desencadenantes, procedimientos, restricciones y más).

La buena noticia es que los datos financieros son una parte relativamente pequeña de los datos que gestiona la organización. Además, los DML y los DDL también son una pequeña parte de la actividad de esas bases de datos. Por lo tanto, nuestro ámbito se limita a un pequeño número de bases de datos y a una pequeña parte de la actividad de cada una de ellas.

La mala noticia es que todavía hay muchas bases de datos que proteger. Peor aún, aunque las DML y las DDL constituyen un pequeño porcentaje de la actividad total de la base de datos, su número absoluto puede ascender a millones o más. También contamos con un número limitado de personas y tiempo. Por lo tanto, para controlar toda esta actividad se necesita una solución especializada que pueda supervisar de manera eficiente esta escala de actividad y ayudar a garantizar que todo sea legítimo.

Vectores de Ataque

En primer lugar, debemos aclarar que esta evaluación de riesgos es genérica y puede que no sea aplicable a todas las empresas y bases de datos. Para cumplir con la ley SOX, es posible que su auditor le solicite ver su evaluación de riesgos y controles. Por lo tanto, le recomendamos que realice una. Sin embargo, puede utilizar este artículo como punto de partida para evaluar sus riesgos y los controles adecuados.

Aunque no se indica explícitamente, una gran parte del riesgo SOX es interno. La principal preocupación de los autores de la ley SOX era que las personas que trabajaban para la empresa manipularan los datos financieros. Si bien la preocupación debe extenderse a los actores externos, las amenazas internas son mucho más difíciles de manejar porque tienen acceso legítimo. Muchos paradigmas de seguridad se centran en el acceso ilegítimo, y se considera difícil protegerse contra las amenazas internas.

Con las amenazas internas, el problema no son las suplantaciones de identidad, el robo de credenciales, etc. No hay conexiones desde máquinas inusuales ni actividad a horas sospechosas. El agente de la amenaza abusa de su acceso legítimo. Aprovecha sus interacciones diarias habituales con el sistema para hacer algo malicioso. Por lo tanto, hay que inspeccionar cada actividad para encontrar esa aguja en el pajar. Tener esa capacidad también servirá para hacer frente a las amenazas externas.

En general, las amenazas a las bases de datos giran en torno a las cuentas autenticadas. Esto se debe a que es casi imposible conectarse sin un usuario y una contraseña válidos. La ley SOX se centra aún más en las personas con credenciales válidas que no necesitan eludir la seguridad.

En otras palabras, el «ataque», o, más exactamente, la manipulación no autorizada de datos, que nos preocupa, podría ser fácilmente ejecutado por el administrador de bases de datos o utilizando la cuenta de la aplicación. Esos son, en realidad, los vectores de ataque de alto riesgo.

Una vez más, no debemos descartar otros vectores de ataque, como los hackers que penetran en los sistemas financieros. Sin embargo, los controles que pueden descubrir actividades ilegítimas de los administradores de bases de datos o de la cuenta de la aplicación detectarán fácilmente a los hackers externos. Más información a continuación.

Implementación

Con una comprensión clara de lo que queremos proteger y cuáles son los vectores de ataque más preocupantes, elaboremos un plan de implementación para hacer frente a las amenazas.

Los métodos de seguridad de bases de datos más populares, como la seguridad de las cuentas, el cifrado y la aplicación de parches, tienen una relevancia menor y no abordan estos vectores de ataque. Aunque son esenciales, especialmente en sistemas financieros críticos, no pueden detectar ni prevenir la manipulación de datos. Por ejemplo, no abordan la amenaza interna y no alertan ni impiden que una cuenta DBA o la cuenta de la aplicación modifique los datos financieros.

Para lograr este tipo de detección y prevención de la manipulación de datos, necesitamos soluciones de control de actividades, más conocidas como auditoría de bases de datos. Core Audit es una solución de seguridad de bases de datos de Blue Core Research que cuenta con capacidades avanzadas de control de actividades. Los ejemplos de implementación que utilizamos en este artículo se basan en las capacidades de Core Audit.

El primer paso para cumplir con la ley SOX es garantizar que podemos proporcionar a los auditores un registro detallado de todas las DML y DDL relevantes. Todas las soluciones de auditoría pueden registrar un registro de auditoría. Las diferencias radican en el impacto en el rendimiento de la base de datos, los niveles de detalle y el volumen que pueden manejar.

Core Audit aprovecha la tecnología Full Capture, que tiene un impacto insignificante en el rendimiento de la base de datos. También cuenta con dos repositorios independientes que proporcionan un registro de auditoría: el repositorio de seguridad y el repositorio de cumplimiento. El repositorio de seguridad siempre registra información sobre toda la actividad SQL, por lo que siempre sabrá quién hizo qué en su base de datos. No es necesario que realice ninguna acción para registrar esta información. Si necesita información más detallada, también puede registrar la actividad en el repositorio de cumplimiento. La actividad en el repositorio de cumplimiento incluye detalles completos de la sesión, resolución de menos de un segundo y mucho más. El repositorio de cumplimiento consume más espacio en disco, pero es eficiente y escalable, capaz de gestionar fácilmente miles de millones de SQL. Dado que solo se centra en DDL y DML específicos, ambos repositorios son aplicables, y debe elegir en función del nivel de detalle que usted y sus auditores requieran.

Una vez que tengamos un registro de toda la actividad que necesitamos supervisar, debemos aplicar controles más estrictos que nos informen de posibles problemas. Tenemos DDL y DML que debemos controlar, por lo que el siguiente paso es controlar los DDL.

Las prácticas recomendadas de seguridad requieren un proceso de control de cambios para controlar los DDL. Para garantizar que nada se escape del proceso, también debe supervisar la actividad DDL. Core Audit puede informar sobre la actividad DDL e integrarse con el proceso de control de cambios.

Eso nos deja con los DML. Podemos dividir la actividad DML en actividad de cuentas que no deben ejecutar DML y actividad de cuentas que sí deben hacerlo.

El siguiente paso son los DML de fuentes sospechosas. Por ejemplo, es poco probable que los administradores de bases de datos realicen cambios en los registros financieros. De hecho, es poco probable que dichos cambios provengan de alguien que no sea la aplicación. Más concretamente, solo el software de aplicación que utiliza la cuenta de aplicación del servidor de aplicaciones debe ejecutar DML. Puede alertar sobre dicha actividad inusual o bloquearla por completo.

Lo que nos deja con las DML que se originan en la aplicación. El motor de análisis de anomalías puede identificar actividades inusuales de la aplicación. Al comparar el perfil de actividad de la aplicación de hoy con el perfil de la semana o el mes pasado, Core Audit puede señalar comportamientos inusuales. Dependiendo de la aplicación, el motor de análisis de anomalías puede comparar diferentes aspectos del perfil de actividad o subconjuntos de la actividad. Esto detectará, por ejemplo, un ataque de inyección SQL. Puede detectar SQL inusuales, cambios en el volumen de SQL, actividad durante una hora diferente del día y otros comportamientos sospechosos de la aplicación. Aunque normalmente quedan fuera del alcance del cumplimiento de la ley SOX, se trata de controles valiosos que mejorarán significativamente la seguridad de los datos.

Para garantizar un control estricto de quién accede a la base de datos, también recomendamos implementar controles de sesión mediante informes, alertas de anomalías o análisis forenses proactivos. Un informe puede, por ejemplo, ofrecer un resumen diario de quién se ha conectado. Una anomalía le informará cuando se produzca un cambio en el origen de la actividad, como un usuario que se conecta desde una IP diferente. El análisis forense proactivo le permite inspeccionar los orígenes de la actividad e identificar algo que no esperaba.

Yendo Más Allá

Aunque queda fuera del alcance de la ley SOX, recomendamos supervisar las consultas para evitar el robo de datos. Es una buena idea para cualquier información confidencial. Esto queda fuera del alcance de este artículo, pero dentro del alcance y las capacidades de Core Audit.

Otra ampliación más allá del cumplimiento tradicional de la ley SOX es el seguimiento de los cambios en los datos. La ley SOX no exige un registro detallado que permita rastrear el origen de cada dato. Sin embargo, esa es una de las capacidades de Core Audit.

La Integridad de los Datos no es solo para SOX

Hasta ahora solo hemos hablado de SOX, pero los mismos conceptos se aplican mucho más allá de la información financiera. La forma en que garantizamos la exactitud de los datos financieros es similar a la forma en que garantizamos la fiabilidad de cualquier dato. Aunque le puedan preocupar los diferentes actores, el problema es casi idéntico, al igual que la solución.

Esto plantea una pregunta interesante: además de los datos financieros, ¿qué otros datos debe proteger para garantizar su integridad y fiabilidad? Quizás una mejor forma de plantear esta pregunta sea: ¿qué datos pueden no ser precisos y fiables? ¿Qué datos puede utilizar si no son fiables y no sabe si son correctos o no?

La verdad es que los datos poco fiables son inútiles. Cuando invertimos tiempo y dinero en almacenar datos, necesitamos que sean fiables. Eso nos lleva a asumir que nuestros datos son siempre precisos, pero esa es una suposición peligrosa cuando no se protegen adecuadamente.

Reflexiones finales

Aunque al principio puede resultar intimidante, el cumplimiento de la ley SOX no es demasiado difícil. Con la solución y los conocimientos adecuados, puede lograrlo y garantizar la seguridad de sus datos.

Mediante la implementación de este tipo de medidas de integridad de los datos, las organizaciones pueden cumplir y superar los requisitos de la ley SOX. Déjenos ayudarle a construir una base de confianza y fiabilidad en su información financiera.