Apesar de todo esforço  das empresas em se adequar ao SOX, ainda fico me perguntando: E o resto da empresa? Vejo empresas em processo de adequação ao SOX com um escopo focado nos sistemas financeiros, ok! correto!! Afinal o custo de compliance ao SOX é caro e toma um tempo precioso de toda a área de TI.

Porém não podemos nos esquecer que existe no final das contas uma empresa não é somente composta por sistemas financeiros. Tudo bem, alguns podem dizer que o que realmente interessa pra empresa é o que gera dinheiro pra empresa, ou no caso do SOX, os sistemas que podem gerar algum tipo e problema nos relatórios financeiros da empresa.

Eu como profissional de segurança não consigo separar o joio do trigo, ou seja, não posso pensar em prover segurança/compliance aos sistemas SOX e esquecer completamente do resto dos sistemas/servidores/whatever. Não preciso necessariamente ter as mesmas regras pra serviços não SOX, porém o mínimo de boas práticas faz-se necessário.

Aqui vai um link do IT Week sobre como as empresas em UK vem enfrentando o SOX com bons olhos, porém não deixam de alfinetar o excesso de controles requeridos. 

Sarbox compliance seen as positive - 30 Aug 2007 - IT Week