Consideraciones de control interno en el uso de servicios en la nube

Por César Otoya, Consultor Senior de Risk Assurance Services de PwC Perú

El uso de la tecnología en la nube se ha venido incrementando en los últimos años debido a la flexibilidad y fácil escalabilidad de los servicios contratados, continuidad de operaciones, servicios complementarios ofrecidos por los proveedores y múltiples ofertas en el mercado.

La pandemia por el COVID-19 ha causado que las compañías aceleren la adopción de tecnología en la nube, a fin de optimizar costos en soluciones requeridas para la implementación de trabajo remoto, acelerando a su vez la digitalización y el uso intensivo de recursos informáticos.

Sin embargo, esta tendencia conlleva también a exposición a nuevos riesgos como accesos no autorizados a ambientes virtualizados o servicios en la nube, exposición de datos, integraciones fallidas con aplicaciones on-premise, entre otros. Asimismo, a medida que esta tecnología se ha ido desarrollando y creciendo, numerosos atacantes han aprovechado las vulnerabilidades no cubiertas por las compañías, incrementando el número de ataques. Es por ello que existen ciertas consideraciones que se deben tomar en cuenta al momento de adecuar el sistema de control interno e implementar controles para mitigar los riesgos en los servicios de nube contratados.

Los proveedores de nube brindan un nivel de aseguramiento en los servicios ofrecidos (IaaS, PaaS, SaaS y BPaaS). Sin embargo, los clientes son los responsables por la seguridad de los sistemas y/o información que publican, por lo tanto, confiar en los mecanismos de control implementados por los proveedores de nube no es suficiente para proteger su información y evitar ataques internos y/o externos.

Esta definición de responsabilidades se encuentra detallada en los modelos de responsabilidad compartida que definen los proveedores de nube, los cuales deben ser el punto de partida para definir el ambiente de control a implementar. Estos modelos de responsabilidad varían en base a los servicios contratados y deben ser claramente definidos por el proveedor y entendidos por las compañías antes de la contratación del servicio. Un aspecto importante a considerar es el tipo de nube provista por el proveedor, la cual podría ser pública y/o privada (cabe mencionar que la combinación de nube pública y privada es considerada híbrida).

Es recomendable que los proveedores de servicios de la nube acrediten el funcionamiento de su control interno a través de los reportes de Control de Organizaciones de Servicio (SOC Report, por sus siglas en inglés), asimismo, las compañías deben tener en claro cuál(es) de estos reportes solicitar a sus proveedores para cumplir con los requerimientos regulatorios y de auditoría, y comunicarlo al proveedor antes de la contratación del servicio para confirmar la disponibilidad de estos.

Adicionalmente, las compañías deberían revisar estos reportes a fin de asegurar que:

  • El alcance de revisión del informe SOC contempla todos los riesgos que la compañía requiere mitigar y la revisión de las sub-organizaciones de servicio que el proveedor de nube pueda utilizar
  • La compañía ha implementado todos los controles complementarios no cubiertos por el proveedor de servicio y/o no incluidos en el informe SOC
  • Se realiza una evaluación de los hallazgos en el control interno del proveedor de nube para confirmar que los mismos hayan sido mitigados y/o confirmar que estos no tienen impacto para su organización
  • En caso el proveedor no cuente con un reporte SOC para satisfacer los requerimientos sobre la evaluación de su control interno, es importante que las compañías aseguren contar con cláusulas de auditoría en los contratos, a fin de poder efectuar pruebas directas sobre aspectos clave de control interno del proveedor

Por otra parte, las compañías deben establecer un marco de control sobre la gestión de los servicios contratados en la nube, la información y software publicado a fin de reducir a un nivel aceptable los riesgos. Para ello, se listan algunas recomendaciones:

  • Identificar todas las funciones de administración brindadas por el proveedor de nube y restringir dichos accesos únicamente al personal autorizado
  • Habilitar pistas de auditoría y monitorear las actividades realizadas por los usuarios en el ambiente de administración del servicio de nube a fin de identificar algún cambio en la configuración del servicio que pueda incrementar las vulnerabilidades
  • Realizar pruebas de vulnerabilidad y/o ethical hacking sobre las plataformas, aplicaciones publicadas en la nube e interfaces existentes. Considerar que existen restricciones para algunos tipos de prueba, por lo que es importante que las compañías conozcan las políticas de uso del proveedor a fin de no incumplirlas
  • Verificar la política de respaldo configurada y/o contratada con el proveedor de nube. De considerarlo necesario, evaluar el almacenamiento de estos respaldos en diferentes proveedores de nube y/o en cintas físicas
  • Si bien los proveedores de nube ofrecen un nivel de disponibilidad que puede parecer bastante alto, es importante verificar que este satisfaga las necesidades de la compañía. De ser necesario, se recomienda verificar que la zona contratada tenga redundancia, y en escenarios donde la continuidad es muy crítica, segregar ambientes en diferentes proveedores de nube (multi-cloud)
  • Realizar un análisis de riesgos a fin de identificar potenciales brechas de seguridad no cubiertas por la compañía, para ello, puede soportarse en marcos de control conocidos (por ejemplo: CSA) y/o solicitar el apoyo de terceros que puedan realizar esta evaluación

Cabe mencionar que es importante que las compañías evalúen otros aspectos antes de la migración a la nube como la capacidad de recursos para mantener un servicio en la nube, verificar el cumplimiento de regulaciones como la LPDP (Ley de Protección de Datos Personales), adaptar la gestión del cambio para las aplicaciones en la nube, analizar la interoperabilidad de las aplicaciones y portabilidad del servicio contratado, entre otros.

Deja un comentario

Volver arriba