Consideraciones principales en Auditoría interna en el entorno de Cloud Computing

Consideraciones principales en Auditoría interna en el entorno de Cloud Computing

 

Consideraciones principales en Auditoría interna en el entorno de Cloud Computing

La computación en la nube es la prestación de servicios de hardware y software por parte de una empresa externa a la que se accede a través de Internet. Una encuesta realizada en 2014 por el Cloud Industry Forum (CIF) con sede en el Reino Unido mostró que el 78% de las organizaciones han adoptado uno o más servicios en la nube que representan un crecimiento del 61.5% desde 2010 cuando comenzó su estudio anual. Además, el estudio encontró que las grandes empresas mostraron las tasas más altas de adopción de la nube (80%), mientras que las pequeñas y medianas empresas se ubicaron en un 75% con el sector público en aproximadamente el 68%.

La tecnología de computación en la nube se implementa en cuatro tipos generales, según el nivel de propiedad interna o externa y las arquitecturas técnicas:

Nube pública: servicios de proveedores a los que se puede acceder a través de Internet o una red privada

Nube privada: Construido, administrado y utilizado internamente por una empresa

Nube híbrida: Combinación de servicios en la nube del proveedor, arquitecturas internas de computación en la nube e infraestructura de TI clásica

Nube comunitaria: La infraestructura es compartida por varias organizaciones y es compatible con una comunidad específica que ha compartido preocupaciones

Los servicios de computación en la nube se agrupan en categorías específicas: infraestructura, plataforma y servicios de software.

Se requerirá una consideración de auditoría interna para lo siguiente en Cloud Computing:

Seguridad de datos : Pregunte al Proveedor de servicios en la nube (CSP) si recibe un informe de Controles de organización de servicios (SOC) 2, que es un informe de certificación de un tercero con respecto a los controles del CSP relacionados con la seguridad, disponibilidad, integridad del procesamiento, confidencialidad o privacidad. Verifique que el alcance del informe SOC 2 cubra adecuadamente los servicios en la nube proporcionados a su empresa, los controles de seguridad de datos y que la opinión del auditor no esté calificada

Cumplimiento normativo: Determine dónde se almacenarán los datos de la empresa y la forma de los datos (por ejemplo, producción, copia de seguridad, caché)

Disponibilidad: Verifique que el contrato de su empresa con el CSP incluya disposiciones relacionadas con la disponibilidad del sistema

Continuidad del negocio y planificación de recuperación ante desastres: Verifique que los planes de continuidad del negocio y recuperación de desastres de su empresa estén actualizados para incorporar los riesgos relacionados con la externalización de servicios de TI al CSP y que existen planes adecuados para mitigar estos riesgos.

Leave a Reply