El emplear la computación en la nube ha transformado la forma en que las empresas consumen y ofrecen servicios de TI al interior de sus organizaciones. Toda vez que los recursos informáticos, incluida la potencia informática y el almacenamiento de datos, no están supervisados o gestionados directamente por el usuario, la computación en la nube ha permitido la flexibilidad de trabajar en cualquier lugar, en cualquier momento y en tiempo real.
El uso de este recurso implica una serie de riesgos, entre los que se cuentan:
1. Configuración independiente
Cuando las áreas de tecnología configuran sus propios entornos tecnológicos a través de la nube y evitan los protocolos y controles de TI de la organización, pueden presentarse riesgos no abordados o sin mitigación
2. Afectación de datos sensibles
La pérdida, robo o corrupción de datos sensibles puede causar daños reputacionales graves y posibles procesos penales o acciones civiles, lo que se constituye en un gran riesgo operativo.
3. Acceso inapropiado de usuarios
Puede presentarse el riesgo de que los proveedores de los servicios en la nube no restrinjan adecuadamente el acceso a los datos, con las consecuencias que ello implica.
4. Incumplimiento normativo
El riesgo de que las organizaciones sujetas a supervisión regulatoria obtengan no conformidades, glosas y observaciones por parte de las entidades que ejercen supervisión y control. Por ejemplo, incumplimientos en el uso y protección de datos personales.
5. Uso inapropiado de los datos
Las compañías que operan en la nube almacenan a información y datos en ubicaciones físicas reales; por tanto, podrían no cumplir con los requisitos de la jurisdicción donde están los datos o de no cumplir con los requisitos del cliente o del contrato que podrían restringir el almacenamiento de datos.
La auditoría, en virtud de su conocimiento y especialidad está en una excelente posición para ayudar a la gerencia y al comité de auditoría y la junta a gestionar y mitigar los anteriores riesgos y otros más. Para el efecto, puede adelantar acciones como las siguientes:
Evaluación del proveedor
La auditoría puede evaluar la manera en que los proveedores están abordando el riesgo y el control. Dentro de sus evaluaciones, pueden incluir la manera en que los proveedores de la nube han descrito adecuadamente los controles de seguridad y verifican si proporcionan descripciones detalladas de sus sistemas de seguridad, incluidos los protocolos de autenticación y seguridad física y acceso de usuarios.
También pueden verificar la existencia de políticas de seguridad, resultados de pruebas de vulnerabilidad y penetración y resultados de evaluaciones independientes de su entorno de control. Así mismo, pueden evaluar si los planes de continuidad del negocio y recuperación ante desastres del proveedor son adecuados y alineados con las necesidades de la organización.
Evaluar la estrategia en la nube
La auditoría debe determinar si existe una estrategia para la nube, alineada con las necesidades de la empresa y su estrategia de TI. Dicha estrategia debe ser coherente con las inversiones planificadas en infraestructura de aplicaciones, cuenta con un programa de mitigación de los riesgos asociados con el uso o migración a la nube, los beneficios obtenidos del uso de la nube, entre otros temas.
Evaluar la implementación y mantenimiento de un modelo de computación en la nube
En caso de no haberse efectuado un uso masivo de la nube, hay que considerar el tema como un proyecto. La auditoría debe evaluar el proceso de migración y mitigar el riesgo de este proyecto. Se debe verificar si la implementación se alinea con el enfoque de desarrollo de sistemas de la organización, así como con las metodologías de gestión de proyectos y gestión de cambios. Hay que evaluar la eficacia de la mitigación de los controles y estrategias antes de su aplicación.
Es necesario revisar los acuerdos de nivel de servicio y de nivel operativo puesto que proporcionan medidas objetivas de rendimiento que pueden estar directamente relacionadas con el riesgo empresarial. Por esto, es importante verificar las responsabilidades del proveedor con respecto a los requisitos regulatorios, legales y de protección de datos. Así mismo, verificar si se ha definido un proceso para identificar y notificar problemas, incluidas violaciones de datos, copias de seguridad de datos y acceso de usuarios.
Es importante tener presente que la computación en la nube es una forma de externalización de TI. Por lo tanto, al igual que cualquier otro servicio externalizado, las reglas que rigen su prestación deben definirse, administrarse y supervisarse cuidadosamente. Además, la eficacia de cualquier contrato depende de definir dónde residen las responsabilidades y quién asume el riesgo. La computación en la nube no es una excepción. La Auditoría puede hacer una contribución vital en la identificación y evaluación de los riesgos en este esquema, incluso en las áreas de nivel de desempeño, continuidad del negocio y protección de datos.
De ahí la importancia que tiene para el auditor, la profundización y fortalecimiento de sus conocimientos técnicos de manera que puede prestar su mejor servicio frente al creciente auge del uso de la nube, como herramienta para las empresas.
CP Iván Rodríguez -
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia