SEGURIDAD EN LA NUBE
Estándar
El uso creciente y la mayor complejidad de la computación en la nube está creando nuevos desafíos para los auditores internos.
Arthur Piper | 31 de julio de 2019
Aunque Jean-Michel Garcia-Alvarez estaba acostumbrado a trabajar como auditor interno de alto nivel en el sector de servicios financieros, 2015 le presentó varios desafíos nuevos. Primero, fue nombrado jefe de auditoría interna, y más tarde también oficial de protección de datos, en un nuevo banco retator fintech en Londres llamado OakNorth. En agosto de 2015, recibió la aprobación reguladora de la Autoridad Reguladora Prudencial y de la Autoridad de Conducta Financiera, uno de los únicos tres bancos del Reino Unido que lo hizo en los últimos 150 años. En segundo lugar, OakNorth quería ser el primer banco del Reino Unido con una infraestructura de TI solo en la nube, que no era un área en la que se especializó durante sus funciones de auditoría anteriores en Nationwide Building Society, RBS o Barclays.
García-Álvarez se dio cuenta de que las habilidades de auditoría tradicionales serían de uso limitado debido a la novedad y la naturaleza evolutiva de la nube, con pocos precedentes en el alcance y el alcance de cómo abordarla como auditor interno. Entonces, decidió obtener un certificado de auditoría de TI del Chartered Institute of Internal Auditors (CIIA) del Reino Unido. Impulsó sus habilidades de auditoría de TI y lo obligó a familiarizarse con la forma de abordar la auditoría y la seguridad en la nube. También lo convirtió en un jugador de seguridad creíble en el negocio.
Al mismo tiempo, dice que los auditores internos deben cumplir con el mandato fundamental de la auditoría, que, para OakNorth, es el Código de Servicios Financieros de la CIIA. Una de las primeras oraciones de ese documento dice que la función principal de la auditoría interna es ayudar a la alta gerencia a proteger los activos del negocio, en este caso contra piratería informática, violación de datos y fugas.
“Ese es absolutamente el papel de la auditoría interna en la seguridad de la nube”, dice García-Álvarez. Cuando las empresas migran y operan en la nube, la auditoría interna debe garantizar que la infraestructura de la nube sea segura y pueda cumplir con los objetivos de la empresa, no solo ahora, sino en el futuro. “La forma de hacerlo es integrarse como la tercera línea de defensa y proporcionar retroalimentación en tiempo real sobre los riesgos y controles, y asegurarle a la junta que está mitigando el riesgo con datos, no creando nuevos”.
Si bien la seguridad cibernética ha estado durante mucho tiempo en las listas de tareas regulares de los auditores, proteger la nube actual plantea nuevos desafíos. La propia estructura, velocidad y opacidad de la nube exige un enfoque alejado de la auditoría tradicional. Tener sistemas implementados para lidiar con las brechas de datos, la pérdida de datos y los ataques de ransomware es generalmente estándar hoy en día, pero lidiar con los problemas de seguridad derivados de la infraestructura única de la nube, la falta de visibilidad de los proveedores de cuarto y quinto nivel, y La necesidad de trabajar en conjunto con los propios equipos de seguridad del proveedor de la nube y una gama más amplia de partes interesadas en todo el negocio son desafíos cada vez mayores para los auditores internos que se ocupan de la seguridad de la nube.
Propósito cambiante
El viaje de OakNorth es un buen ejemplo de cómo la velocidad del cambio impacta las preocupaciones de seguridad de la auditoría interna. Como muchas empresas, el proveedor de la nube de OakNorth en 2016 fue Amazon Web Services (AWS). Como gran jugador global, García-Álvarez estaba feliz de que AWS pudiera ser responsable de la seguridad de la nube, mientras que OakNorth era responsable de la seguridad en la nube. En teoría, eso facilita la auditoría interna porque la función puede verificar y confiar regularmente en las certificaciones actualizadas mantenidas por el proveedor de la nube. La auditoría puede centrarse casi por completo en el entorno de control de seguridad interno. Sin embargo, en realidad, para que la seguridad de la nube sea sólida, los auditores también deben mantenerse al día con las cambiantes leyes, normas y expectativas de los reguladores.
“Esos pueden cambiar muy rápidamente”, dice. En 2016, cuando OakNorth migró a la nube, el regulador financiero del Reino Unido estaba contento con la decisión y con el proveedor de la nube de la compañía, porque era grande, seguro y protegido. Pero cuando otros bancos hicieron lo mismo en 2017, el regulador decidió que era un riesgo potencial de concentración. Si AWS cayera, se necesitaría una gran porción del sector de servicios financieros del Reino Unido. Como resultado, OakNorth se mudó a una solución multi-nube para toda su tecnología orientada al cliente.
Desde el principio, OakNorth usó centros de datos en la nube, proporcionados por AWS, en varios lugares de Irlanda, con un sistema adicional a prueba de fallas en otras partes de Europa. “Ese es como un castillo hinchable”, dice García-Álvarez. “La cáscara está ahí, pero el motor está apagado. Encienda el motor y explotará por completo y funcionará en cuestión de horas. ”Solo para estar seguros, el equipo de TI reconstruye la plataforma bancaria central desde cero en una nueva ubicación en Europa una vez al año, con auditorías internas que brindan servicios independientes. Aseguramiento sobre los ejercicios. “Es lento y costoso, pero al menos sabemos que el banco está a salvo”.
Llegar temprano
El tiempo de inactividad en la nube no es un riesgo de fantasía. En febrero de 2017, por ejemplo, los servicios de AWS en la costa este de EE. UU. Experimentaron fallas. Si bien los informes en el sitio de noticias de tecnología The Register sugirieron que los servidores estaban caídos solo aproximadamente media hora, algunos clientes no pudieron recuperar sus datos debido a una falla de hardware. Otra interrupción en marzo de 2018 afectó a compañías como GitHub, MongoDB, NewVoiceMedia, Slack y Zillow, según CNBC.
James Bone, profesor de la Universidad de Columbia y presidente de Global Compliance Associates en Lincoln, Rhode Island, dice que esa es solo una de las muchas razones por las que los auditores internos deberían participar temprano en cualquier implementación en la nube. “No creo que los auditores internos deban decidir qué productos usar, pero sí creo que deberían estar muy involucrados en el proceso de selección”, dice. “Necesitan comprender el modelo de servicio, lo que se está implementando y cómo planean usar los servicios. La plataforma que utilizan determinará, en gran parte, la exposición al riesgo para la empresa “.
Esto se debe a que la elección de la plataforma gobierna qué datos se transferirán, si alguno permanecerá en las instalaciones, administración de acceso, planes de continuidad del negocio, respuesta de violación de datos, estrategia y respuesta de ransomware, los marcos que el proveedor de servicios utiliza para la seguridad de la nube, la frecuencia de monitoreo, acuerdos contractuales y muchos otros factores. Los auditores deben estar al tanto de la situación para levantar banderas rojas antes de que los riesgos de seguridad se cristalicen. Bone dice, por ejemplo, que ha escuchado historias de proveedores de servicios que fallan durante una transición a la nube, sin una copia de seguridad para restaurar los datos del cliente. En este ejemplo, las organizaciones necesitan saber cuál es el plan de recuperación y, de manera crucial, quién es responsable de él.
Compartir responsabilidad
“Estas son relaciones operativas y de seguridad compartidas entre el proveedor de la nube y el negocio”, dice Bone. “Por lo tanto, se trata de separar claramente las diferentes líneas de rendición de cuentas y responsabilidad en una etapa temprana”. Eso incluye compartir métricas de rendimiento operativo y tener procesos claros de escalación para violaciones de datos, interrupciones y otros problemas de seguridad donde las responsabilidades se establecen claramente entre proveedor de la nube y el negocio. El equipo de auditoría interna debe tener una comprensión realista de las capacidades propias y de la empresa para que esas medidas sean efectivas. “Si la empresa y el equipo de auditoría no son particularmente ágiles, ¿pueden utilizar al proveedor para asumir parte de ese papel?”, Pregunta.
La naturaleza opaca de lo que sucede en el negocio del proveedor de servicios en la nube es una preocupación particular para los auditores internos. “El mayor problema en estos entornos virtuales es que la distancia entre el control y la garantía se amplía”, dice. Bone ha estado investigando esta idea durante unos cuatro años. En entornos digitales, dice, los profesionales de riesgo y auditoría han estado acostumbrados a probar aplicaciones porque en la mayoría de los casos el hardware físico y los datos están disponibles para ver, tocar y analizar.
“A medida que avanzamos hacia un entorno sin límites, estamos creando una distancia entre nuestra capacidad de reconocer un problema y tener que depender de otros para decirnos que hay un problema”, dice. “Esa distancia impacta el tiempo de respuesta y nuestra capacidad para desarrollar y establecer controles aún más sólidos, porque estamos más lejos del problema. Este es un riesgo subestimado y se está agrandando porque las empresas que prestan estos servicios mejoran en la gestión de su propio riesgo, mientras que a medida que las empresas se adentran en la nube y tienen múltiples proveedores en la nube, cada vez se alejan más de los procesos centrales “.
Posibles dolores de cabeza
Para Fred Brown, jefe del programa de protección de gestión de activos críticos en HP en Houston y ex jefe de auditoría de TI en la empresa, tratar con la seguridad en la nube mientras se trabaja con dichos servicios compartidos puede crear “desafíos bastante grandes”.
“Cuanto más abres tu entorno, más tienes que estar al tanto de la seguridad”, dice. En los últimos años, HP ha estado trabajando para ser una organización de seguridad del cuartil superior, explica. Y el equipo cibernético de Brown ha crecido un 70% durante ese tiempo. El negocio se ha movido agresivamente a los servicios en la nube, incluida la infraestructura como servicio, la plataforma como servicio y el software como servicio. Implementar una revisión del 100% de todos los proveedores que incluiría todas las instancias de la nube en todo el negocio significa hacer una verificación de seguridad detallada de más de 2,000 proveedores en toda la empresa.
Para acelerar el proceso, HP ha contratado un intercambio de evaluación de terceros, Cyber GRX, que se describe a sí mismo como un proveedor de “evaluación de riesgos como servicio”. Cualquier suscriptor puede evaluar el riesgo de un proveedor, una vez que se obtienen los resultados en, los usuarios pueden verlos a través de un intercambio. El proceso está integrado en el programa de calificación de riesgo inherente de HP, de modo que Cyber GRX evalúa a todos los proveedores, excepto a aquellos con la calificación de riesgo inherente más alta. Los proveedores con el mayor riesgo inherente son evaluados por los recursos internos. Este proceso representa una nueva iniciativa en HP, y hasta ahora ha producido informes útiles y ha ayudado a la compañía a abordar una acumulación de evaluaciones de riesgos.
“Esto está eliminando un punto ciego completo cuando se trata de riesgo”, dice Brown. “Incluso si tiene 100 proveedores que no ha evaluado, muchos de ellos conectados a los activos críticos de su empresa, ya sean datos de empleados u otra cosa; si no los ha evaluado, no tiene idea de cuál es realmente su perfil de riesgo parece.”
Brown dice que un problema es que si un proveedor basado en la nube es AWS o un pequeño proveedor de educación en línea, si administra datos críticos, la amenaza para el negocio es la misma. Con muchos proveedores en la nube que ahora externalizan partes de sus propias operaciones, HP está haciendo un esfuerzo adicional en la gestión de riesgos de terceros y terceros. Es por eso que tener a alguien que rastree el panorama de proveedores de la nube es fundamental para administrar el riesgo de seguridad, dice, permitiendo a la organización identificar lo que está sucediendo y mantener el control sobre el proceso. Este desafío se amplifica en una empresa como HP que ya era compleja cuando comenzó a externalizar a los proveedores de servicios en la nube.
Trabajando en todo el negocio
New suppliers need to have up-to-date and formal self-attestation certificates that follow recognized standards, such as Service Organization Controls 2 reports and adhering to the International Organization for Standardization’s ISO 27001. To make sure a business division or manager does not randomly contract with a new cloud provider, Brown’s team has what he calls a “cast-iron interlock” with procurement. Procurement knows what HP’s cloud security requirements are, and they must be included in any new contractual arrangements. In fact, Brown describes the contracts as “living,” because they point to the security requirements, which HP can update without changing the actual contract itself.
Working with AWS, HP has created a way of centralizing group security policies through the IT infrastructure. The main cloud instance has all of the group policies established — any new instance sits beneath this “parent” and effectively inherits its security policies automatically. “Every time you make a change to the group policy, it cascades to all the instances that are underneath that,” Brown explains. Non-AWS cloud instances go through the new procurement system as described earlier.
A medida que la computación en la nube se convierte en sinónimo de las infraestructuras de TI de las organizaciones, los auditores internos deben trabajar de manera más colaborativa y estratégica, según Scott Shinners, socio de Risk Advisory Services en RSM en Chicago. Eso significará que la auditoría trabaje cada vez más no solo con TI y la seguridad de TI, sino también con las adquisiciones, la gestión legal, la gestión de riesgos y la junta.
“El comité de auditoría tiene que ver la seguridad de la nube en el plan de auditoría, y también debe estar presente en la naturaleza de las conversaciones adicionales que está teniendo con la administración”, dice. “Debería surgir no solo después de la implementación, sino antes en el establecimiento de la estrategia, etc.” Además, si la auditoría interna descubre instancias en la nube en partes del negocio que no están destinadas a tenerlas, puede retroalimentar a TI y la gestión de riesgos .
La auditoría interna también debe trabajar estrechamente con el comité de auditoría, ya que la migración a la nube, casi inevitablemente, lleva a abandonar un gran porcentaje del plan de auditoría. “Ahí es donde surge el muy buen compromiso con el comité de auditoría”, dice Shinners. “¿Qué tan dispuesto está el comité de auditoría a apoyar una compensación para reducir la seguridad en áreas de riesgo moderado para que la auditoría interna gaste más de sus recursos en algunas de las cosas de vanguardia que están surgiendo?”
Realizar evaluaciones externas e independientes de la seguridad de la nube y pensar en los controles subyacentes sobre la seguridad de los datos, la gestión de acceso, los planes de respuesta ante violaciones, etc., es solo la auditoría interna mínima que puede hacer, dice, porque eso solo proporciona una instantánea en tiempo en un área de rápido movimiento. “La forma número 1 de que la auditoría interna pueda tener éxito es trabajando con la segunda línea de defensa para construir una cultura en torno a la protección de datos que sea lo suficientemente dominante como para tener éxito en un entorno que se mueve tan rápido”, dice. “Asegurarse de que la gestión de riesgos reciba comentarios para saber que la cultura está funcionando es el callejón de los auditores internos”.
Habilidades y experiencia
Los CAE también pueden necesitar llegar fuera de sus organizaciones para asegurar al personal de auditoría con el nivel adecuado de habilidades y calificaciones, dice Ruth Doreen Mutebe, jefa de Auditoría Interna en Umeme, el mayor distribuidor de electricidad de Uganda. Recomienda establecer asociaciones con institutos de tecnología y seguridad de la información, como ISACA, y universidades para ayudar a identificar buenos candidatos.
“La auditoría en la nube implica una habilidad rara que lleva tiempo desarrollar”, dice, especialmente porque requiere personas con una buena comprensión de los problemas técnicos que también pueden comunicar esos conceptos en un nivel básico a la administración. Además de atraer y capacitar al personal, un CAE debe poder retenerlos después de que se haya realizado la inversión inicial.
El enfoque de Mutebe es reclutar un auditor de seguridad de TI competente, incluso si se debe pagar un precio superior, que pueda auditar y guiar de manera efectiva la gestión en aspectos de seguridad de la nube. Además, alienta a los miembros de su personal técnico a transmitir sus conocimientos a todo el equipo de auditoría.
“Eso podría incluir la incorporación de procedimientos de seguridad en la nube en lo que habrían sido auditorías que no son de TI para crear capacidad y donde los recursos lo permitan, adjuntando auditores internos no técnicos para soportar pruebas básicas en auditorías de seguridad en la nube”, dice ella. En los casos en que persistan las lagunas, se pueden utilizar acuerdos de externalización y co-abastecimiento con acuerdos de nivel de servicio claramente establecidos. “Incluso allí, los DEA deberían alentar al proveedor de servicios subcontratados a capacitar al personal de auditoría interna”, dice ella.
Mantenerse al día con el cambio
La seguridad en la nube se está moviendo a un ritmo rápido, al igual que otros cambios tecnológicos en las empresas de hoy. Para los auditores internos, eso significa centrarse en el pensamiento crítico, aprender a mantenerse al día en sus industrias y desarrollar una disposición a formar equipos en todo el negocio y más allá para formar alianzas efectivas. Si bien un enfoque tan abierto para brindar seguridad puede ser nuevo para muchos auditores que trabajan en entornos más tradicionales, es probable que sea un paso crucial para que las organizaciones aborden la creciente complejidad de sus iniciativas en la nube.
No hay comentarios.:
Publicar un comentario