La informática en la nube, ya sea proporcionada mediante Infraestructura como servicio (IaaS), Plataforma como servicio (PaaS) o Software como servicio (SaaS), presenta una gama de factores de riesgo para las organizaciones. La auditoría interna desempeña un papel fundamental porque ayuda a directivos y consejos de administración a identificar y gestionar esos riesgos, y a concluir si se están mitigando de una manera adecuada.
En este artículo, examinaremos algunos de esos riesgos y la función de la auditoría interna en su mitigación.
La ubicuidad de la nube: la nueva forma del modelo de nicho único
Los servicios de informática en la nube son ahora ubicuos. Según el informe de 2019, RightScale State of the Cloud Report, el 94% de las organizaciones usa la nube, y la organización promedio usa cinco servicios en la nube.
La informática en la nube ha transformado la manera en la que las empresas consumen y proporcionan servicios de tecnología de la información dentro de sus organizaciones. Al ofrecer recursos informáticos, incluyendo potencia informática y almacenamiento de datos, según la demanda, sin necesidad de supervisión o administración directa por parte del usuario, la informática en la nube ha dado a las organizaciones y a sus empleados, la flexibilidad de trabajar en cualquier lugar, a cualquier hora y en tiempo real.
Cuestiones y riesgos
Las organizaciones se enfrentan a un número de riesgos al usar la nube, entre ellos:
- Evitar pasar por TI: los riesgos sin mitigar y sin afrontar que resultan de que los departamentos configuren sus propios entornos tecnológicos mediante la nube, esquivando los protocolos y controles de TI de la organización.
- La pérdida, robo o corrupción de datos confidenciales: el riesgo de daños a la imagen severos y acciones penales o civiles como consecuencia de la perdida de datos confidenciales.
- Acceso de usuarios: el riesgo de que los proveedores del servicio en la nube no restrinjan adecuadamente el acceso a datos.
- Cumplimiento normativo: el riesgo a que organizaciones sujetas a supervisión normativa sean acusadas de no cumplir (p. ej., requisitos de uso y protección de datos personales).
- Ubicación y propiedad de los datos: dependiendo de dónde se guarden realmente los datos «en la nube», el riesgo de no cumplir los requisitos de esa jurisdicción o de no cumplir los requisitos del cliente o contratado que restringen el almacenamiento de datos en ciertas jurisdicciones.
El papel de la auditoría interna
La auditoría interna está en una posición excelente para ayudar a la dirección y al comité o consejo auditor a gestionar y mitigar estos y otros riesgos. Las cuatro áreas de atención incluyen:
1. Creación de una estrategia de nube
La auditoría interna debe colaborar con la dirección para establecer si ya existe una estrategia para la nube, coherente con las necesidades de la empresa y su estrategia de TI, y comunicada oportunamente. Entre las preguntas que se deberían hacer:
- ¿Se ha desarrollado un plan de negocio para pasar a la nube?
- ¿Es congruente con la inversión planificada en la infraestructura de aplicaciones?
- ¿Se pueden mitigar o aceptar de forma adecuada los riesgos asociados a la migración a la nube?
- ¿Pasar a la nube permitirá a la empresa crecer y ser escalable de una manera más rentable?
- ¿Qué datos, exactamente, pasarán a la nube?
- ¿Afecta a datos de importancia crítica?
2. Evaluación de proveedores
La auditoría interna puede jugar un papel clave también a la hora de calificar el éxito de los proveedores en lo referente a mitigar riesgos y al funcionamiento de controles.
- ¿Han descrito adecuadamente los proveedores de servicios en la nube los controles de seguridad de datos que usarán?
- ¿Ha proporcionado el proveedor de servicios en la nube descripciones detalladas sobe sus sistemas de seguridad, incluyendo seguridad física y protocolos de acceso y autentificación de usuarios?
- Se deben pedir políticas de seguridad, resultados de pruebas de vulnerabilidad e intrusión, y garantías sobre entornos de control interno. ¿Tiene el proveedor exámenes independientes de su entorno de control, tales como los informes SSAE 16 o ISAE 3402?
- ¿Son adecuados los planes del proveedor sobre continuidad del negocio y recuperación, y responden a las necesidades de la organización?
3. Establecimiento de un modelo de informática en la nube
La auditoría interna debería evaluar el proceso de migración y la mitigación de riesgo del proyecto. ¿Se ajusta la implementación al método de desarrollo del sistema de la organización, así como a las metodologías de gestión del proyecto y gestión de los cambios? ¿Se ha evaluado la efectividad de los controles y las estrategias de mitigación antes de su implementación?
Los contratos de nivel de servicio y nivel de funcionamiento tienen una importancia especial en lo que se refiere a informática en la nube. Proporcionan medidas de rendimiento objetivas que se pueden vincular directamente al riesgo empresarial. ¿Qué sucede con las responsabilidades del proveedor en lo relativo a reglamentos, normas, protección de datos y otros requisitos? ¿Se ha definido un proceso para identificar problemas y notificarlos, incluidas filtraciones de los datos, copias de seguridad y acceso de usuarios?
4. Supervisión de proveedores
La auditoría interna debería evaluar también la calidad del control de la relación con el proveedor en relación con los contratos de nivel de servicio y funcionamiento, y además averiguar si los problemas que se investigan, se resuelven de una manera adecuada y oportuna. Se deben revisar periódicamente las evaluaciones del control interno de proveedores, incluyendo informes SSAE 16, pruebas de intrusión y exámenes de vulnerabilidad. ¿Está cumpliendo el proveedor la normativa reguladora de una manera adecuada?
El futuro es la nube, si gestionamos el riesgo
La informática en la nube es, claramente, una forma de contratación exterior de servicios de tecnología de la información. Como cualquier otro servicio de contratación a terceros, las leyes que gobiernan sus provisiones (plasmadas en contratos de nivel de servicio y funcionamiento) se deben definir, gestionar y supervisar cuidadosamente. Es más, la efectividad de cualquier contrato depende de definir a quién corresponden las responsabilidades y quién asume el riesgo. La informática en la nube no es una excepción. La auditoría interna puede hacer una contribución vital; identificar y evaluar los riesgos de estas relaciones, incluso en áreas de nivel de rendimiento, continuidad del negocio y protección de datos.