La respuesta está en la nube

en por Antonio Arias Rodriguezen Control interno

Bob Dylan popularizó durante la década de los 60 la canción «Blowin’ in the Wind» donde se planteaba una serie de preguntas retóricas sobre la paz, la guerra y la libertad. Casi medio siglo después, los directivos cantan que –ahora- la respuesta está  en la nube ¿A qué se refieren?

Estar en la nube ya no es sinónimo de despiste. La nube es el término que describe el uso de Internet para acceder a sistemas y datos almacenados fuera de las propias instalaciones. Las organizaciones públicas y privadas han “colgado” mayoritariamente sus servicios digitales en nubes contratadas específicamente para ellos. Se buscan cada vez más para reducir costes.

Es el fenómeno cloud que incorpora grandes beneficios pero riesgos significativos, como pérdida de gobernanza, riesgos legales y de protección de datos, dependencia del proveedor, portabilidad, disponibilidad, gestión de identidades, accesos y credenciales, por mencionar los principales. La veterana Cámara de comptos de Navarra ya alertó hace unos años de la descapitalización que se estaba produciendo en este ámbito del sector público.

La nube como riesgo y como oportunidad

El auditor se enfrentará con una valoración de sus riesgos cuando acomete una auditoría financiera y debe evaluar los controles generales de tecnologías de la información. También cuando realiza una auditoría informática específica, donde evaluará el diseño, la implementación y eficacia/eficiencia del servicio.

Por eso el Manual de auditoría de la Sindicatura de la Comunidad valenciana acaba de incorporar un interesante documento titulado “Guía básica de auditoría en entornos de computación en la nube”. Allí se recogen los aspectos más relevantes que deberán contemplarse en la fiscalización de entidades cuyas principales aplicaciones de gestión estén alojadas en la nube mediante un contrato con un proveedor externo.

Este interesante trabajo se fundamenta en códigos de buenas prácticas o estándares reconocidos nacional e internacionalmente donde la preocupación comienza a extenderse. Para los muy cafeteros ver esta guía en castellano, descriptiva de las diferentes áreas de la Auditoría de TI, que sirve como una orientación detallada para planificar los trabajos fiscalizadores.

“El riesgo de auditoría es creciente conforme se incrementa la complejidad del entorno informatizado”

Dos ejemplos internacionales

La propia National Audit Office (NAO) británica publicaba hace unos meses la Guía para los comités de auditoría sobre servicios en la nube donde establece las cuestiones que pueden formularse en las tres etapas por las que discurre: evaluación, implementación y administración de servicios en la nube. El blog de la NAO recordaba el mes pasado la importancia de Hacer las preguntas correctas pues puede tener implicaciones significativas a largo plazo para el funcionamiento futuro de una organización y sus costes. Supone un gran cambio y exige dedicar tiempo y atención previa a la configuración de los servicios. Los riesgos deben cubrirse con responsabilidades claras asignadas al personal y deben implementarse acciones de mitigación. Por ejemplo, debe haber planes para lidiar con una variedad de escenarios de interrupción del servicio y pérdida de datos.

Ahorrad ahorrad, malditos

Por su parte, el blog de la GAO norteamericana se preguntaba hace unos días ¿La nube está ahorrando dinero al Gobierno?. Cada año, el gobierno federal gasta aproximadamente $ 90 mil millones en TI ofreciendo mejores servicios de tecnología de la información por menos dinero. Hasta el punto de exigir en 2010 que, cuando sea posible, las agencias trasladen esos servicios en la nube, donde se proporciona acceso a recursos compartidos (redes, servidores y almacenamiento de datos que pueden usar varias agencias) más rápidamente y a un costo menor que las agencias individuales.

La GAO auditó 16 agencias federales para determinar cuánto ahorraron después de pasar a los servicios en la nube. Concluyeron que, entre 2014 y abril de 2019, 13 de las agencias informaron que habían ahorrado 291 millones de dólares en total. Las 3 agencias restantes (Departamento de Estado, Defensa y la Seguridad Social) no pudieron proporcionar datos de ahorro para ninguna inversión en la nube.

Nota de actividad

Ya se hizo público el programa para los días 21 y 22 de noviembre del presente año de las III Jornadas sobre el Control y Auditoría en el Sector Público Local, coorganizadas por la Fundación para la Formación e Investigación en Auditoría del Sector Público (FIASEP) y el Colegio de Censores de Catalunya, en la ciudad de Barcelona. El acceso se hace a través de la página web de FIASEP (www.fundacionfiasep.org)

9 comentarios en “La respuesta está en la nube

  1. Pingback: Cuando Fray Luca saltó al COSO – Fiscalizacion.es

  2. Pingback: El control interno y las nuevas amenazas – Fiscalizacion.es

  3. Pingback: Tecnogados y abólogos – Fiscalizacion.es

  4. Pingback: De los átomos a los bits – Fiscalizacion.es

  5. Pingback: Pandemia y auditoría pública – Fiscalizacion.es

  6. Pingback: Sociedad digital y vida real – Fiscalizacion.es

  7. Pingback: Los ricos también lloran en ciberseguridad – Fiscalizacion.es

  8. Pingback: Ciberhigiene y control interno – Fiscalizacion.es

  9. Pingback: Nubes de confianza en Aragón – Fiscalizacion.es

Gracias por comentar con el fin de mejorar

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.