Los beneficios de la nube, como el ahorro de costos, agilidad, escalabilidad y el monitoreo continuo, están impulsando la adopción acelerada de entornos de nube. Sin embargo, las organizaciones deben ser conscientes también de los riesgos que implica su adopción y los matices a considerar al momento de auditar entornos de nube, con el fin de brindar certeza al negocio de que se mitiga el riesgo y se maximizan dichos beneficios. En la sesión se revisaron los siguientes puntos:
1) El panorama general y retos de la auditoría de nube
2) Los modelos de responsabilidad compartida
3) Los Estándares y buenas prácticas de auditoría de nube
4) La matriz de controles de auditoría de nube
5) La nueva credencial CCAK
Te compartimos la grabación completa de la sesión.
Revive el webinar “Retos de la Auditoría de Nube”
Si no puedes visualizar el webinar “Retos de la Auditoría de Nube” da clic aquí
Consulta las respuestas de Eduardo Amaya a las preguntas adicionales realizadas por la audiencia
PREGUNTAS
1.- José Huerta
Para una auditoría de licenciamiento si estoy en un esquema SAAS, ¿Quién será el responsable de las licencias para poder ser auditadas?, ¿Se podría dar confort a los sistemas mediante un SAS70?
La administración de las licencias (o suscripciones) de usuario del software que tienen contratado como servicio, es responsabilidad de la organización (cliente). Por lo que un informe SAS70 (o su sucesor SSAE18) se quedaría limitado, ya que solo le daría visibilidad a alto nivel de los controles del lado del proveedor.
¿Cuáles serían las nuevas técnicas de auditoria en la nube?
Si bien las técnicas tradicionales de auditoría siguen siendo aplicables en la revisión entornos de nube. La tendencia es la utilización de técnicas de auditoría continua, que permiten automatizar cierto tipo de pruebas y permiten estar revisando con mayor periodicidad.
2.- Raúl López
¿Cuál es la diferencia entre CCAK y CCSK?
En resumen, el contenido de CCSK está enfocado en el diseño e implementación de los controles de seguridad de nube, mientras que CCAK se centra en como revisar dichos controles.
3.- Mauricio Luna
Jurisdicciones nacionales como la Patriotic Act permiten a los gobiernos hacer espionaje con fines de seguridad, pero cómo sabemos también se ocupa para realizar espionaje industrial ¿Cómo se puede confiar en los servicios en la nube?
Si bien este tipo jurisdicciones permiten que el gobierno de E.U. solicite a los proveedores estadounidenses de nube el acceso a la información. Es poco probable que requiera obtener acceso a los datos del promedio de las empresas y es más probable que apunte a aquellos que participan en actividades ilegales o que son potencialmente contrarias a los intereses de los E.U. Sin embargo, la recomendación sería que además del cifrado de información sensible, elegir a aquellos proveedores que cuenten con cláusulas, políticas, mecanismos o sistemas automatizados, que permitan mantener al cliente informado sobre quiénes acceden a su información y para qué propósito, evitando los accesos no autorizados o uso indebido.
4.- René Said
Nosotros como auditores ¿Cómo podemos justificar la responsabilidad hacia el cliente, cuando ellos se cubran indicando que tercerizan los riesgos al proveedor? Esto para que acepten alguna deficiencia o hallazgo.
Se justifica mediante el modelo de responsabilidad compartida. Generalmente los proveedores de nube cuentan con la documentación de su propio modelo de responsabilidad compartida aplicable a los tipos de servicios que ofrece. Esta información en ocasiones es publicada en los sitios de los proveedores, en los términos y condiciones del servicio o en su defecto, se le puede solicitar directamente al proveedor.
5.- Itzell Montes
Del lado del cliente, no del proveedor de la nube, ¿Qué podríamos estar revisando en auditoría de nube?
Va a depender del modelo de servicio contratado (IaaS, PaaS o SaaS). Sin embargo, el modelo de responsabilidad compartida sería el punto de partida para identificar los elementos del servicio que caen en el tramo de control y responsabilidad del Cliente, y por lo tanto los susceptibles a ser auditados del lado del cliente.
6.- Lizzeth Mendoza
¿Qué proveedor de acuerdo con su experiencia, es hasta ahora más seguro?
No existe proveedor más seguro que otro. Lo importante es que dependiendo del servicio de nube que deseemos contratar y la información que vamos a estar alojando, nos aseguremos que el proveedor, de manera enunciativa más no limitativa:
- Tenga madurez y experiencia en el servicio que contratamos.
- Cuenten con certificaciones o informes que avalen sus controles de seguridad.
- Cumpla con leyes y regulaciones aplicables al tipo de información involucrada en el servicio.
- Cuente con mecanismo de monitoreo del servicio y la información que se procesa, que den visibilidad y trazabilidad al cliente.
Actualmente el servicio de Google es gratuito y por lo tanto se vuelve inseguro, ¿Una vez que paguemos, se vuelve más seguro?
Ante cualquier servicio gratuito o no gratuito de cualquier proveedor de nube, es importante tomar en cuenta los términos y condiciones del servicio, para:
- Asegurar que el tratamiento de nuestra información no contravenga las políticas de seguridad de la organización, así como;
- Las limitantes del servicio en cuanto a mecanismos de control que nos ofrece, con el fin de implementar, en donde sea factible, los controles compensatorios de nuestro lado.
Conoce al ponente de este webinar
EDUARDO AMAYA
Especialista en Auditoría de TI, Seguridad de la Información, Continuidad de Negocio y Riesgos con base en buenas prácticas y estándares internacionales.
PMP, CISA, CRISC, COBIT 2019, ISO/IEC 27001 LI, ISO/IEC 27032 LCM, ISO 31000 LRM, ISO 38500 LITCGM, ISO 22301 SLA, ISO 22316, ITIL. | |
Te invitamos a revivir nuestro “Webinar: Seguridad del Cómputo en la Nube“