La informática en la nube, ya sea proporcionada mediante Infraestructura como servicio (IaaS), Plataforma como servicio (PaaS) o Software como servicio (SaaS), presenta una gama de factores de riesgo para las organizaciones. La auditoría interna desempeña un papel fundamental porque ayuda a directivos y consejos de administración a identificar y gestionar esos riesgos, y a concluir si se están mitigando de una manera adecuada.
En este artículo, examinaremos algunos de esos riesgos y la función de la auditoría interna en su mitigación.
Los servicios de informática en la nube son ahora ubicuos. Según el informe de 2019, RightScale State of the Cloud Report, el 94% de las organizaciones usa la nube, y la organización promedio usa cinco servicios en la nube.
La informática en la nube ha transformado la manera en la que las empresas consumen y proporcionan servicios de tecnología de la información dentro de sus organizaciones. Al ofrecer recursos informáticos, incluyendo potencia informática y almacenamiento de datos, según la demanda, sin necesidad de supervisión o administración directa por parte del usuario, la informática en la nube ha dado a las organizaciones y a sus empleados, la flexibilidad de trabajar en cualquier lugar, a cualquier hora y en tiempo real.
Las organizaciones se enfrentan a un número de riesgos al usar la nube, entre ellos:
La auditoría interna está en una posición excelente para ayudar a la dirección y al comité o consejo auditor a gestionar y mitigar estos y otros riesgos. Las cuatro áreas de atención incluyen:
La auditoría interna debe colaborar con la dirección para establecer si ya existe una estrategia para la nube, coherente con las necesidades de la empresa y su estrategia de TI, y comunicada oportunamente. Entre las preguntas que se deberían hacer:
La auditoría interna puede jugar un papel clave también a la hora de calificar el éxito de los proveedores en lo referente a mitigar riesgos y al funcionamiento de controles.
La auditoría interna debería evaluar el proceso de migración y la mitigación de riesgo del proyecto. ¿Se ajusta la implementación al método de desarrollo del sistema de la organización, así como a las metodologías de gestión del proyecto y gestión de los cambios? ¿Se ha evaluado la efectividad de los controles y las estrategias de mitigación antes de su implementación?
Los contratos de nivel de servicio y nivel de funcionamiento tienen una importancia especial en lo que se refiere a informática en la nube. Proporcionan medidas de rendimiento objetivas que se pueden vincular directamente al riesgo empresarial. ¿Qué sucede con las responsabilidades del proveedor en lo relativo a reglamentos, normas, protección de datos y otros requisitos? ¿Se ha definido un proceso para identificar problemas y notificarlos, incluidas filtraciones de los datos, copias de seguridad y acceso de usuarios?
La auditoría interna debería evaluar también la calidad del control de la relación con el proveedor en relación con los contratos de nivel de servicio y funcionamiento, y además averiguar si los problemas que se investigan, se resuelven de una manera adecuada y oportuna. Se deben revisar periódicamente las evaluaciones del control interno de proveedores, incluyendo informes SSAE 16, pruebas de intrusión y exámenes de vulnerabilidad. ¿Está cumpliendo el proveedor la normativa reguladora de una manera adecuada?
La informática en la nube es, claramente, una forma de contratación exterior de servicios de tecnología de la información. Como cualquier otro servicio de contratación a terceros, las leyes que gobiernan sus provisiones (plasmadas en contratos de nivel de servicio y funcionamiento) se deben definir, gestionar y supervisar cuidadosamente. Es más, la efectividad de cualquier contrato depende de definir a quién corresponden las responsabilidades y quién asume el riesgo. La informática en la nube no es una excepción. La auditoría interna puede hacer una contribución vital; identificar y evaluar los riesgos de estas relaciones, incluso en áreas de nivel de rendimiento, continuidad del negocio y protección de datos.