AUDITAR LA NUBE, ¿Y AHORA CÓMO LE HAGO?

Por: Ing. Federico Aguilar Alvarado, MATI

federico.aguilar@gmail.com
Colaborador del IAI.

En esta vida hay dos cosas seguras y una de ellas es el “Cambio”, la tecnología nos da la
prueba más clara de ello, día a día asignamos más responsabilidad a los sistemas de
información para que administren nuestra forma de vida y, obviamente con ello llegan una
serie de riesgos, los cuales es mejor prevenirlos que lamentar sus consecuencias.

La tecnología en la nube es una de las pruebas más claras de que las tendencias están a
la orden del día, como tal significa que nuestros datos e información más sensible ahora
van a estar en algún lugar del mundo.

Para la auditoría de sistemas nace también un nuevo reto ya que de nuestra parte
representa un cambio en la forma de la infraestructura de TI y en las aplicaciones que le
dan el soporte. Será una tarea desde la auditoría interna el desarrollar prácticas y
mecanismos de control apropiados para la supervisión y revisión.

Debemos de preguntarnos como empresa, ¿que pasaría si nuestra información

confidencial es objeto de violación a quien le perjudica más al que contrata el servicio o al
proveedor de la misma. Si los servidores están fuera de las fronteras de Costa Rica, ¿La
legislación del país donde están lo servidores permitirá auditar a nuestro proveedor de la
misma manera que lo hacemos en nuestro país?

Lo cierto es que un conocimiento apropiado de las nuevas tecnologías le permitirá al

auditor identificar los riesgos asociados a éstas y asesorar a la alta gerencia respecto de
los controles convenientes a ser aplicados para mitigarlos.

Muchos de los peligros de la computación en la nube no son nuevos y se pueden

encontrar al establecer una relación con un tercero, o sea con cualquier empresa a la que
se le traslada nuestro riesgo como parte de nuestras tareas.

En cuanto a las amenazas más evidentes, podemos mencionar el compartir temas

tecnológicos estratégicos, la pérdida o fuga de información, el vulnerar cuentas
financieras o servicios y los perfiles desconocidos.
Los riesgos relativos a la computación en la nube pueden clasificarse en: políticos,
organizacionales, técnicos y legales.

Observamos la proliferación de dispositivos móviles como la oficina del futuro, cada día
más personas de negocios utilizan sus tabletas en vez de sus computadoras portátiles ya
que muchos de ellos indican que la información está en la nube, término que no terminan
de entender, pero es lo que está de moda.

Como auditores ahora también debemos de prestar atención a todo este tipo de
dispositivos ya que ahora deben de ser tratados como cualquier equipo de cómputo más
de la organización y por ende, contar con sus propias políticas, estándares y
procedimientos de seguridad que la organización considere pertinente con el fin de
salvaguardar la integridad y la imagen de la empresa.

Cuando la información viaja por el aire de forma inalámbrica es más insegura que si la
hiciéramos por un medio cerrado como el cable, la movilidad de estos aparatos hace que
sea fácil abandonar los controles de la empresa y por tanto su seguridad. Si la empresa
no administra el dispositivo y el mismo no está incluido dentro de la estrategia de
seguridad y no se conecta a través de una Red Privada Virtual (VPN), se corre el riesgo
de pérdida de información y hasta de propagación de virus.

Si se llegara a realizar la instalación de aplicaciones no autorizadas también se corre el

riesgo de propagación de virus, pérdida o fuga de información e ingreso no autorizado a la
red de la organización.

No cabe duda que la “Promesa de una computación gestionada en la nube”, está

generando una revolución en los servicios de TI pero es una propuesta que también viene
acompañada de peligros. El auditor de sistemas ya sea interno o externo debe aportar
sus conocimientos y profesionalismo para que la gerencia sepa a que retos se enfrenta y
que hacer con ellos.

Las empresas sólo podrán darse cuenta de los beneficios de usar las nuevas tecnologías
si gestionan con eficacia y adecuadamente el equilibrio entre el valor agregado y el riesgo
que el uso de las mismas significa.

Esperemos que los marcos regulatorios como COBIT, ISO u otro se pronuncien al
respecto con la finalidad de dar un camino a un puerto seguro en esto que llamamos
“Cambio”.