Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Nube Risk
Nube Risk
cumplimiento regulatorio
en Colombia
Abril 2019
KPMG.com/co
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 1
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Contenido
Contexto
Ámbito de aplicación
Glosario
Obligaciones generales
Riesgos
Buenas prácticas
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 2
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Contexto
Teniendo en cuenta que en Colombia en años anteriores no se contaba con normas o
regulaciones que permitieran establecer estándares mínimos de seguridad, continuidad y
protección de datos, la Superintendencia Financiera publicó la Circular Externa 005, el 11
de marzo de 2019, con el fin de impartir las instrucciones relacionadas con el uso de
servicios de computación en la nube.
Cabe resaltar:
Almacenamiento
Transformación
digital Procesamiento
Uso de información
Fortalecer la
Capitulo VI de la gestión del
CE029 Riesgo
Operativo
Remisión de
información dentro
Documentación de los 6 meses
siguientes a la
publicación.
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 3
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Ámbito de aplicación
Todas las entidades sometidas a inspección y vigilancia, incluidas
las operadoras de PILA e institutos de fomento y desarrollo
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 4
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Glosario
Disponibilidad
•% de tiempo que el servicio utilizado esta habilitado para prestar el servicio
Procesos misionales
•Procesos que contribuyen al cumplimiento del objeto social
•Están relacionados con naturaleza, misión, objetivos y función de la entidad
Implementación en la nube
•Permite el despliegue de acuerdo a su propiedad y tamaño
•Privada, pública, comunitaria e híbrida.
Subcontratista o partner
•Terceros cuyas actividades comprenden los servicios en la nube y pueden tener acceso a
información y datos de la entidad. Además, pueden generar actividades de mantenimiento
y soporte, son normalmente los intermediarios entre el proveedor y el cliente.
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 5
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Antecedentes
El ecosistema de la nube está madurando y escalando rápidamente para responder a la aceleración de la economía
digital
• El mercado de servicios en la nube ha madurado y se está implementando más allá de servir como una utilidad
para almacenamiento y servidores.
• Muchas organizaciones están aprovechando cada vez más la nube para transformar su negocio.
• Las soluciones IaaS, PaaS y SaaS permiten que la empresa sea más autosuficiente, reduzca la demanda de
tecnología tradicional y libere recursos para trabajar en iniciativas más complejas y de mayor valor.
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 6
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Antecedentes
En otros estudios podemos ver que la Así mismo, en el informe de
inversión en tecnología Cloud y el cambio a amenazas a la nube 2019 realizado
estas plataformas esta aumentando entre KPMG y Oracle Cloud, se
considerablemente, por ejemplo en la identifica que para el año 2020 el 49%
encuesta anual CIO SURVEY 2018 realizado de los encuestados contarán con sus
por KPMG y Harvey Nash, el 52% de los datos en la nube:
líderes digitales ha invertido en soluciones en
la nube:
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 7
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Ventajas y desventajas
Ventajas Desventajas
Inversiones y costos
proporcionales al uso Interdependencia de los proveedores
de servicios.
Cambio de gastos de capital por
gastos variables
Mayor dependencia de proveedores de
Aumento en disponibilidad y
internet, y de la velocidad de ADSL,
confiabilidad
cable, fibra óptica u otras tecnologías.
Aumento de escalabilidad y
elasticidad
Curva de aprendizaje de los usuarios y
personal técnico
Resistencia a fallos
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 8
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Obligaciones generales
Contemplar los riesgos derivados la utilización Garantizar la independencia de la información y
de Servicios en la nube dentro del SARO. las copias.
Establecer los criterios de selección de los Mantener cifrada la información calificada como
proveedores para estos servicios. confidencial.
Verificar que el proveedor cuente con Monitorear los servicios contratados para
certificaciones de seguridad como ISO 27001 detectar operaciones o cambios no deseados.
o sus equivalentes.
Gestionar los riesgos de las API’s y servicios Contar con canales de comunicación exclusivos
web ofrecidos y cifrados
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 9
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Riesgos
El numeral 3.1 del capitulo hace especial
énfasis en la gestión de riesgos derivados de
la utilización de servicios en la nube.
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 10
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Riesgos vs. Obligaciones generales
Riesgo Obligaciones generales
Costos de puesta en marcha • Establecer los criterios de selección de los proveedores para estos
subestimados servicios
Complejidad del contrato • Establecer procedimientos para verificar el cumplimiento de los ANS
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 11
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Riesgos vs. Obligaciones generales
Riesgo Obligaciones generales
Falta estándares de industria y • Verificar que el proveedor cuente con certificaciones de seguridad
certificaciones de los proveedores de como ISO 27001 o sus equivalentes
nube • Gestionar los riesgos de las API’s y servicios web ofrecidos
Cumplimiento SLA/Capacidades de • Establecer los criterios de selección de los proveedores para estos
control de cambio inadecuadas servicios
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 12
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Acuerdos de niveles de servicio
Los acuerdos deben contemplar por lo menos los siguientes elementos:
3. La propiedad de la información
que se procese en los servicios de 4. Las condiciones y limitaciones
computación en la nube, haciendo bajo las cuales se puede
claridad que los datos son propiedad subcontratar parte del servicio
de la entidad vigilada
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 13
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Acuerdos de niveles de servicio
Los acuerdos deben contemplar por lo menos los siguientes elementos:
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 14
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Acuerdos de niveles de servicio
Adicionalmente, debemos tener en cuenta:
1. En el contrato las especificaciones no están basadas en recursos físicos por lo que acá es
importante que los requisitos se encuentren basados en el desempeño.
4. Frente a los temas de seguridad, garantía y auditoria, se debe tener la claridad ya que los
servicios en la nube son en un modelo de responsabilidad compartida (infraestructura –
proveedor, seguridad en la red - entidad)
5. Términos y condiciones de acuerdo a la compra que se realiza teniendo en cuenta que es un
producto comercial.
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 15
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Continuidad de negocio
Referente al tema de continuidad se debe tener en cuenta:
Agregar en
el PCN la
operación
en la nube
Plan de
continuidad Realizar
del pruebas
proveedor
Estrategia
de
migración a
otra
plataforma
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 16
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Información y documentación
En el presente capítulo se exige la remisión de la siguiente información a la SFC :
Está información debe ser compartida a la súper 15 días antes de poner en producción los
servicios y en caso de ya tener servicios en la nube hasta seis meses después de la
publicación del presente capítulo
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 17
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Información y documentación
Las entidades deben tener a disposición de la SFC, la siguiente documentación:
Reportes de
Flujos de
Procesos y Diagrama de auditoría,
datos que Procedimien-
procedimient Documentos red que pruebas de
alimentan o tos de
os que se de las soporta el vulnerabilidad
consumen las verificación
ejecutan en la aplicaciones. servicio y estado
aplicaciones de los ANS.
nube. contratado. actual de los
en la nube.
servicios.
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 18
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Buenas prácticas
Los proveedores de servicio en su gran mayoría son auditados de forma regular, o por su propia
gestión solicitan evaluaciones que permitan certificar que cumplen con estándares de seguridad de la
industria.
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 19
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Gracias
CONTACTOS EN KPMG CON RELACIÓN A ESTE
PRESENTACIÓN:
Víctor Vásquez
Tel: +57 1 618 8000
vavasquez@kpmg.com
Evelyn Romero
Tel: +57 1 618 8000
ejromero@kpmg.com
© 2018 KPMG es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 197,263 personas trabajando en firmas miembro a nivel
mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta
y separada y se describe a sí misma como tal.