¿Por qué hay que auditar la nube informática en las empresas?
Por: Adrián Girotti
El cloud computing es una tendencia que está transformando la forma de trabajar de las empresas y que promete modificarlas.
Representa un cambio en la forma de la infraestructura de TI y el software, por lo que hay diversas cuestiones que deben conocerse, para minimizar los riesgos que implica. Será competencia del equipo de auditoría interna (AI) desarrollar las prácticas y mecanismos de control apropiados para la supervisión y revisión.
Pero, ¿se evalúan correctamente los peligros que envuelven la adopción de estos servicios, desde la actividad de AI? ¿Están las organizaciones preparadas para hacerlo?
En caso de un inadecuado manejo corporativo, de la empresa que brinda el servicio de computación en la nube, ¿quién sufre de pérdida de reputación institucional?
Si hay un filtrado o pérdida de información, ¿a quién perjudicaría más? ¿al que contrata o al proveedor? Si los servidores están fuera de las fronteras del país sede de la compañía, ¿la legislación nos permitirá auditar a nuestro proveedor tal cual lo hacemos en nuestro país?
Lo cierto es que un conocimiento apropiado de las nuevas tecnologías le permitirá al auditor identificar los riesgos asociados a las mismas y asesorar a la alta gerencia respecto de los controles convenientes a ser aplicados para mitigarlos.
Muchos de los peligros de la computación en la nube no son nuevos y se pueden encontrar al establecer una relación con un tercero, o sea con cualquier empresa a la que se le tercerizan parte de sus tareas.
En cuanto a las amenazas más evidentes, podemos mencionar: el compartir temas tecnológicos estratégicos, la pérdida o fuga de información, hackeo de cuentas o servicios y los perfiles desconocidos.
Los riesgos relativos a la computación en la nube pueden clasificarse en: políticos/organizacionales, técnicos y legales.
Tecnologías mobile, otra cara del problema
Los auditores también deben prestar atención teléfonos móviles como los smartphones, en particular los corporativos, que deben ser incluidos y tratados como cualquier otro dispositivo por parte de las políticas, estándares y procedimientos de seguridad de las organizaciones.
Entre las vulnerabilidades de éstas tecnologías se pueden considerar:
• Que la información que viaja por una red inalámbrica, frecuentemente, es más insegura que la que viaja por una red de cable;
• la movilidad propia de estos dispositivos hace que sea fácil abandonar los controles de la empresa, y por lo tanto su seguridad;
• que la información sin encriptar que se almacena en el móvil o la que está en tránsito sea interceptada;
• si el teléfono no cuenta con requisitos de autenticación se podrá acceder fácilmente a las aplicaciones;
• si la empresa no administra el dispositivo y el mismo no está incluido dentro de la estrategia de seguridad y no se conecta a través de una Red Privada Virtual (VPN), se corre el riesgo de pérdida de información o propagación de virus;
• si se realiza la instalación de aplicaciones no autorizadas también se corre el riesgo de propagación de virus, pérdida o fuga de información e ingreso no autorizado a la red de la organización.
No cabe duda que la promesa de una computación gestionada en la nube está generando una revolución en los servicios de TI, pero es una propuesta que también viene acompañada de peligros. El auditor interno debe aportar sus conocimientos y profesionalismo para que la gerencia sepa a que cuestiones se enfrenta y que hacer con ellas.
Las empresas sólo podrán darse cuenta de los beneficios de usar las nuevas tecnologías si gestionan con eficacia y adecuadamente el equilibrio entre el valor agregado y el riesgo que el uso de las mismas significa.
Fuente: iProfesional
El cloud computing es una tendencia que está transformando la forma de trabajar de las empresas y que promete modificarlas.
Representa un cambio en la forma de la infraestructura de TI y el software, por lo que hay diversas cuestiones que deben conocerse, para minimizar los riesgos que implica. Será competencia del equipo de auditoría interna (AI) desarrollar las prácticas y mecanismos de control apropiados para la supervisión y revisión.
Pero, ¿se evalúan correctamente los peligros que envuelven la adopción de estos servicios, desde la actividad de AI? ¿Están las organizaciones preparadas para hacerlo?
En caso de un inadecuado manejo corporativo, de la empresa que brinda el servicio de computación en la nube, ¿quién sufre de pérdida de reputación institucional?
Si hay un filtrado o pérdida de información, ¿a quién perjudicaría más? ¿al que contrata o al proveedor? Si los servidores están fuera de las fronteras del país sede de la compañía, ¿la legislación nos permitirá auditar a nuestro proveedor tal cual lo hacemos en nuestro país?
Lo cierto es que un conocimiento apropiado de las nuevas tecnologías le permitirá al auditor identificar los riesgos asociados a las mismas y asesorar a la alta gerencia respecto de los controles convenientes a ser aplicados para mitigarlos.
Muchos de los peligros de la computación en la nube no son nuevos y se pueden encontrar al establecer una relación con un tercero, o sea con cualquier empresa a la que se le tercerizan parte de sus tareas.
En cuanto a las amenazas más evidentes, podemos mencionar: el compartir temas tecnológicos estratégicos, la pérdida o fuga de información, hackeo de cuentas o servicios y los perfiles desconocidos.
Los riesgos relativos a la computación en la nube pueden clasificarse en: políticos/organizacionales, técnicos y legales.
Tecnologías mobile, otra cara del problema
Los auditores también deben prestar atención teléfonos móviles como los smartphones, en particular los corporativos, que deben ser incluidos y tratados como cualquier otro dispositivo por parte de las políticas, estándares y procedimientos de seguridad de las organizaciones.
Entre las vulnerabilidades de éstas tecnologías se pueden considerar:
• Que la información que viaja por una red inalámbrica, frecuentemente, es más insegura que la que viaja por una red de cable;
• la movilidad propia de estos dispositivos hace que sea fácil abandonar los controles de la empresa, y por lo tanto su seguridad;
• que la información sin encriptar que se almacena en el móvil o la que está en tránsito sea interceptada;
• si el teléfono no cuenta con requisitos de autenticación se podrá acceder fácilmente a las aplicaciones;
• si la empresa no administra el dispositivo y el mismo no está incluido dentro de la estrategia de seguridad y no se conecta a través de una Red Privada Virtual (VPN), se corre el riesgo de pérdida de información o propagación de virus;
• si se realiza la instalación de aplicaciones no autorizadas también se corre el riesgo de propagación de virus, pérdida o fuga de información e ingreso no autorizado a la red de la organización.
No cabe duda que la promesa de una computación gestionada en la nube está generando una revolución en los servicios de TI, pero es una propuesta que también viene acompañada de peligros. El auditor interno debe aportar sus conocimientos y profesionalismo para que la gerencia sepa a que cuestiones se enfrenta y que hacer con ellas.
Las empresas sólo podrán darse cuenta de los beneficios de usar las nuevas tecnologías si gestionan con eficacia y adecuadamente el equilibrio entre el valor agregado y el riesgo que el uso de las mismas significa.
Fuente: iProfesional
No nos olvidemos de la tendencia de realizar backups internos a través de dispositivos como pendrives o cds.
ResponderBorrarHoy en día, es demasiada la cantidad de problemas internos que podemos encontrar con respecto a la salida de datos críticos a través de medios externos.