Nube Risk

Riesgos en la nube y
cumplimiento regulatorio
en Colombia
Abril 2019
KPMG.com/co
© 2019 KPMG Advisory, Tax & Legal S.A.S. es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 1
197,263 personas trabajando en firmas miembro a nivel mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG
International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta y separada y se describe a sí misma como tal.
Contenido
Contexto
Ámbito de aplicación
Glosario
Antecedentes, ventajas y desventajas
Obligaciones generales
Riesgos
Acuerdos, Continuidad, información y documentación
Buenas prácticas
Contexto
Teniendo en cuenta que en Colombia en años anteriores no se contaba con normas o
regulaciones que permitieran establecer estándares mínimos de seguridad, continuidad y
protección de datos, la Superintendencia Financiera publicó la Circular Externa 005, el 11
de marzo de 2019, con el fin de impartir las instrucciones relacionadas con el uso de
servicios de computación en la nube.
Cabe resaltar:
Almacenamiento
Transformación
digital Procesamiento
Uso de información
Fortalecer la
Capitulo VI de la gestión del
CE029 Riesgo
Operativo
Remisión de
información dentro
Documentación de los 6 meses
siguientes a la
publicación.
Ámbito de aplicación
Todas las entidades sometidas a inspección y vigilancia, incluidas
las operadoras de PILA e institutos de fomento y desarrollo
Que puedan soportar o ya soporten todos los procesos y

actividades en servicios de la nube.
En donde se incluya la operación de procesos misionales o de

gestión contable y financiera
Deberán cumplir las instrucciones indicadas en la circular 005 de

2019.
Glosario
Disponibilidad
•% de tiempo que el servicio utilizado esta habilitado para prestar el servicio
Procesos misionales
•Procesos que contribuyen al cumplimiento del objeto social
•Están relacionados con naturaleza, misión, objetivos y función de la entidad
Servicios de computación en la nube

•Permite el acceso en condiciones de ubicuidad, configurable y por demanda, a un conjunto
compartido de recursos, que se pueden aprovisionar, configurar y liberar rápidamente
•SaaS, IaaS, PaaS
Implementación en la nube
•Permite el despliegue de acuerdo a su propiedad y tamaño
•Privada, pública, comunitaria e híbrida.
Subcontratista o partner
•Terceros cuyas actividades comprenden los servicios en la nube y pueden tener acceso a
información y datos de la entidad. Además, pueden generar actividades de mantenimiento
y soporte, son normalmente los intermediarios entre el proveedor y el cliente.
Antecedentes
El ecosistema de la nube está madurando y escalando rápidamente para responder a la aceleración de la economía
digital
• El mercado de servicios en la nube ha madurado y se está implementando más allá de servir como una utilidad
para almacenamiento y servidores.
• Muchas organizaciones están aprovechando cada vez más la nube para transformar su negocio.
• Las soluciones IaaS, PaaS y SaaS permiten que la empresa sea más autosuficiente, reduzca la demanda de
tecnología tradicional y libere recursos para trabajar en iniciativas más complejas y de mayor valor.
Antecedentes
En otros estudios podemos ver que la Así mismo, en el informe de
inversión en tecnología Cloud y el cambio a amenazas a la nube 2019 realizado
estas plataformas esta aumentando entre KPMG y Oracle Cloud, se
considerablemente, por ejemplo en la identifica que para el año 2020 el 49%
encuesta anual CIO SURVEY 2018 realizado de los encuestados contarán con sus
por KPMG y Harvey Nash, el 52% de los datos en la nube:
líderes digitales ha invertido en soluciones en
la nube:
Ventajas y desventajas
Ventajas Desventajas
Inversiones y costos
proporcionales al uso Interdependencia de los proveedores
de servicios.
Cambio de gastos de capital por
gastos variables
Mayor dependencia de proveedores de
Aumento en disponibilidad y
internet, y de la velocidad de ADSL,
confiabilidad
cable, fibra óptica u otras tecnologías.
Aumento de escalabilidad y
elasticidad
Curva de aprendizaje de los usuarios y
personal técnico
Resistencia a fallos
Obligaciones generales
Contemplar los riesgos derivados la utilización Garantizar la independencia de la información y
de Servicios en la nube dentro del SARO. las copias.
Establecer los criterios de selección de los Mantener cifrada la información calificada como
proveedores para estos servicios. confidencial.
Implementar si aplica las instrucciones de la Tener bajo control la administración de usuarios

circular en las filiales en el exterior y privilegios.
Verificar que el proveedor cuente con Monitorear los servicios contratados para
certificaciones de seguridad como ISO 27001 detectar operaciones o cambios no deseados.
o sus equivalentes.
Verificar que el proveedor cuente con Establecer procedimientos para verificar el

disponibilidad mínimo de 99.95% (21 min.) cumplimiento de los ANS
Gestionar los riesgos de las API’s y servicios Contar con canales de comunicación exclusivos
web ofrecidos y cifrados
Las jurisdicciones en donde se procesará la Contemplar las competencias técnicas para

información cuenten con normas iguales o evaluar los servicios de la nube como criterio de
superiores a Colombia en temas de seguridad selección de las firmas de auditoria interna o
de datos externa.
Se debe contar con respaldo de la Garantizar que en el evento de toma de
información, a disposición de la entidad posesión se pueda acceder a la información y
cuando la requiera. administración de los sistemas en la nube.
Riesgos
El numeral 3.1 del capitulo hace especial
énfasis en la gestión de riesgos derivados de
la utilización de servicios en la nube.
Teniendo claro el modelo de servicio

contratado, los riesgos que asumen las
entidades están sobre las capas marcadas en
azul, mientras que los riesgos de las capas
marcadas en verde son transferidos al
proveedor de servicios.
Por ejemplo, se pueden tener riesgos

asociados a la fuga de información, pérdida
de confidencialidad entre otros.
*Imagen tomada de: https://shieldnow.co/2019/03/13/circular-externa-005-de-2019-de-la-sfc-uso-de-servicios-de-

computacion-en-la-nube/
Riesgos vs. Obligaciones generales
Riesgo Obligaciones generales
Costos de puesta en marcha • Establecer los criterios de selección de los proveedores para estos
subestimados servicios
• Contemplar las competencias técnicas para evaluar los servicios de la

Costos reputacionales nube como criterio de selección de las firmas de auditoria interna o
externa.
Complejidad del contrato • Establecer procedimientos para verificar el cumplimiento de los ANS
• Monitorear los servicios contratados para detectar operaciones o

Dependencia de un proveedor cambios no deseados.
• Garantizar la independencia de la información y las copias
• Verificar que el proveedor cuente con disponibilidad mínimo de

Falla de rendimiento 99.95% (21 min.)
• Contar con canales de comunicación exclusivos y cifrados
• Se debe contar con respaldo de la información, a disposición de la

entidad cuando la requiera.
Gobernabilidad del Sistema y del
• Tener bajo control la administración de usuarios y privilegios
hardware
• Garantizar que en el evento de toma de posesión se pueda acceder a
la información y administración de los sistemas en la nube
Riesgos vs. Obligaciones generales
Riesgo Obligaciones generales
Falta estándares de industria y • Verificar que el proveedor cuente con certificaciones de seguridad
certificaciones de los proveedores de como ISO 27001 o sus equivalentes
nube • Gestionar los riesgos de las API’s y servicios web ofrecidos
Privacidad de datos / Propiedad

• Mantener cifrada la información calificada como confidencial
intelectual
• Las jurisdicciones en donde se procesará la información cuenten con

Desconocimiento de la ubicación física
normas iguales o superiores a Colombia en temas de seguridad de
de los datos
datos
• Contemplar los riesgos derivados la utilización de Servicios en la nube

Ingresos indebidos a la información
dentro del SARO
• Contemplar los riesgos derivados la utilización de Servicios en la nube

Resistencia al cambio organizacional
dentro del SARO
Cumplimiento SLA/Capacidades de • Establecer los criterios de selección de los proveedores para estos
control de cambio inadecuadas servicios
Acuerdos de niveles de servicio
Los acuerdos deben contemplar por lo menos los siguientes elementos:
1. Detallar las condiciones de:

2. Las condiciones de seguridad de
capacidad, disponibilidad, tiempos
la información y ciberseguridad y
de recuperación, la existencia de
para proteger la privacidad y
planes de continuidad, resolución de
confidencialidad de los datos de los
incidentes y horarios de atención del
clientes.
proveedor del servicio
3. La propiedad de la información
que se procese en los servicios de 4. Las condiciones y limitaciones
computación en la nube, haciendo bajo las cuales se puede
claridad que los datos son propiedad subcontratar parte del servicio
de la entidad vigilada
5. Las causales de terminación del

contrato por parte de la entidad
Los acuerdos deben contemplar por lo menos los siguientes elementos:
6. de informes y certificaciones que

7. Informar a la entidad sobre
demuestren la calidad, desempeño y
cualquier evento o situación que
efectividad en la gestión de los
pudiera afectar significativamente la
servicios contratado, así como las
prestación del servicio
certificaciones vigentes
8. El borrado seguro de los datos

9. La corrección oportuna y eficaz de
existentes en los medios de
las vulnerabilidades informáticas
almacenamiento cuando finalice el
detectadas
contrato
10.La utilización de técnicas de

múltiple factor de autenticación para
el acceso a las consolas de
administración
Adicionalmente, debemos tener en cuenta:
1. En el contrato las especificaciones no están basadas en recursos físicos por lo que acá es
importante que los requisitos se encuentren basados en el desempeño.
2. Los mecanismos de contratación y compra directos o indirectos, tener en cuenta que se

puede comprar con un proveedor directamente o con un partner que ofrece además servicios
adicionales como la implementación, diseño de la solución, entre otras.
3. La forma de cobro (precio) y las formas de pago.
4. Frente a los temas de seguridad, garantía y auditoria, se debe tener la claridad ya que los
servicios en la nube son en un modelo de responsabilidad compartida (infraestructura –
proveedor, seguridad en la red - entidad)
5. Términos y condiciones de acuerdo a la compra que se realiza teniendo en cuenta que es un
producto comercial.
Continuidad de negocio
Referente al tema de continuidad se debe tener en cuenta:
Agregar en
el PCN la
operación
en la nube
Plan de
continuidad Realizar
del pruebas
proveedor
Estrategia
de
migración a
otra
plataforma
Información y documentación
En el presente capítulo se exige la remisión de la siguiente información a la SFC :
1. Nombre del proveedor y partner que prestarán los servicios
2. Relación de procesos que serán implementados: aplicaciones, tipo

de datos, productos y servicios asociados
3. La ubicación física o región donde se procesarán y almacenarán

los datos.
4. Las certificaciones otorgadas al proveedor del servicio y/o sitio

de procesamiento.
5. La relación de auditorías a las que se somete el proveedor de

servicios contratado.
6. La información sobre los niveles de servicio establecidos.
7. El diagrama con la plataforma tecnológica que soportará los servicios

contratados
Está información debe ser compartida a la súper 15 días antes de poner en producción los
servicios y en caso de ya tener servicios en la nube hasta seis meses después de la
publicación del presente capítulo
Información y documentación
Las entidades deben tener a disposición de la SFC, la siguiente documentación:
Reportes de
Flujos de
Procesos y Diagrama de auditoría,
datos que Procedimien-
procedimient Documentos red que pruebas de
alimentan o tos de
os que se de las soporta el vulnerabilidad
consumen las verificación
ejecutan en la aplicaciones. servicio y estado
aplicaciones de los ANS.
nube. contratado. actual de los
en la nube.
servicios.
Buenas prácticas
Los proveedores de servicio en su gran mayoría son auditados de forma regular, o por su propia
gestión solicitan evaluaciones que permitan certificar que cumplen con estándares de seguridad de la
industria.
ISO/IEC 27001 (Certificación SSAE18 (Reportes tipo SOC I, Objetivos de control de TI

del Sistema de Gestión de SOC II, SOC III) Reporte Para para Computación en la Nube:
Seguridad de la Información Organizaciones de Servicio. Controles y aseguramiento en
basado en norma ISO). la NUBE – ISACA.
STAR (Certificación de
Certificación de la CSA, seguridad para proveedores ISO 27018 Requisitos para la
cumplen con los controles de de servicio liderado por la protección de la información
ISO/IEC 27001 y Cloud Security Alliance). de identificación personal en
adicionalmente con los sistemas Cloud.
controles definidos para los
proveedores de servicios en la PCI/DSS (Si su negocio ISO/IEC 27017 Controles de
nube. requiere plataformas para Seguridad para Servicios
transacciones electrónicas). Cloud.
Gracias
CONTACTOS EN KPMG CON RELACIÓN A ESTE
PRESENTACIÓN:
Víctor Vásquez
Tel: +57 1 618 8000
vavasquez@kpmg.com
Evelyn Romero
Tel: +57 1 618 8000
ejromero@kpmg.com
© 2018 KPMG es una red global de firmas que brindan servicios profesionales de Auditoría, Impuestos y Consultoría. Operamos en 154 países y tenemos 197,263 personas trabajando en firmas miembro a nivel
mundial. Las firmas miembro independientes de la red KPMG están afiliadas a KPMG International Cooperative ("KPMG International"), una entidad suiza. Cada empresa de KPMG es una entidad legalmente distinta
y separada y se describe a sí misma como tal.

Nube Risk

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Nube Risk

Cargado por

Copyright:

Formatos disponibles

Riesgos en la nube y

Antecedentes, ventajas y desventajas

Acuerdos, Continuidad, información y documentación

Que puedan soportar o ya soporten todos los procesos y

En donde se incluya la operación de procesos misionales o de

Deberán cumplir las instrucciones indicadas en la circular 005 de

Servicios de computación en la nube

Implementar si aplica las instrucciones de la Tener bajo control la administración de usuarios

Verificar que el proveedor cuente con Establecer procedimientos para verificar el

Las jurisdicciones en donde se procesará la Contemplar las competencias técnicas para

Teniendo claro el modelo de servicio

Por ejemplo, se pueden tener riesgos

*Imagen tomada de: https://shieldnow.co/2019/03/13/circular-externa-005-de-2019-de-la-sfc-uso-de-servicios-de-

• Contemplar las competencias técnicas para evaluar los servicios de la

• Monitorear los servicios contratados para detectar operaciones o

• Verificar que el proveedor cuente con disponibilidad mínimo de

• Se debe contar con respaldo de la información, a disposición de la

Privacidad de datos / Propiedad

• Las jurisdicciones en donde se procesará la información cuenten con

• Contemplar los riesgos derivados la utilización de Servicios en la nube

• Contemplar los riesgos derivados la utilización de Servicios en la nube

1. Detallar las condiciones de:

5. Las causales de terminación del

6. de informes y certificaciones que

8. El borrado seguro de los datos

10.La utilización de técnicas de

2. Los mecanismos de contratación y compra directos o indirectos, tener en cuenta que se

3. La forma de cobro (precio) y las formas de pago.

1. Nombre del proveedor y partner que prestarán los servicios

2. Relación de procesos que serán implementados: aplicaciones, tipo

3. La ubicación física o región donde se procesarán y almacenarán

4. Las certificaciones otorgadas al proveedor del servicio y/o sitio

5. La relación de auditorías a las que se somete el proveedor de

6. La información sobre los niveles de servicio establecidos.

7. El diagrama con la plataforma tecnológica que soportará los servicios

ISO/IEC 27001 (Certificación SSAE18 (Reportes tipo SOC I, Objetivos de control de TI

También podría gustarte