Introducción

Tradicionalmente las administraciones públicas han gestionado su propio software,

muchas veces duplicando acciones y almacenando enormes cantidades de
información que quedan a cargo del área de informática de cada dependencia o
agencia gubernamental.

Sin embargo, recientemente el internet está cambiando la forma de pensar y actuar

y, por ende, de mover la información, la cual puede adquirirse o guardarse en
servidores virtuales, para posteriormente utilizarse en cualquier dispositivo
electrónico que puede conectarse a internet, como computadoras, celulares y
tabletas.

Los servidores grandes de internet ofrecen múltiples oportunidades para brindar

servicios, por lo que una nueva tendencia del gobierno electrónico se presenta en lo
que se ha denominado cómputo en la nube o cloud computing. La infraestructura de
cloud computing reside en un centro de datos que es gestionado por un tercero que
provee recursos computacionales accesibles por cualquier persona en cualquier
momento con una conexión a internet. Este modelo es una estrategia en la cual la
información y los datos se almacenan en internet y los usuarios acceden a ella a
demanda, es decir cuando lo necesitan. Utilizar y aprovechar cloud computing en el
gobierno, en consenso con los estándares y protocolos existentes, ha permitido el
surgimiento de la G-Cloud o la nube computacional del gobierno que está
evolucionando principalmente en algunos países desarrollados.
 Gobierno desde las Nubes
¿Qué es la nube?
Podríamos definir la nube como un ‘Pay Per Use’ (Pago por uso) de servicios
informáticos, aplicaciones, bases de datos, etcétera. Una solución de IT que sin duda
aporta beneficios a las organizaciones pero que conlleva también riesgos.

Aspectos positivos:

Agilidad. La nube posee la infraestructura y el ancho de banda necesarios para

proporcionar el servicio a sus clientes independientemente del tamaño de estos.

Escalabilidad. A diferencia de los sistemas informáticos tradicionales, la nube

aporta un elevado grado de flexibilidad. Así se adapta al cliente según sean sus
necesidades en cada momento.

Reducción de costes. La escalabilidad se traduce también en ahorro de costes puesto

que el sistema no está por encima de las necesidades del cliente. Por otro lado, la
nube permite ahorrar en términos de inversión de adquisición y costes de
mantenimiento.

Fiabilidad y robustez. La propia naturaleza de la nube junto con la necesidad de

superar las percepciones de los clientes sobre su seguridad, han llevado a los
proveedores a dedicar muchos de sus recursos y atención a estos dos factores
fundamentales para la IT. Por ello los proveedores de la nube son especialistas en
desarrollar o acceder a la última tecnología y seguridad, probada y resistente a caídas
o interrupciones de servicio.

Plan informático de computación en la nube.

El plan de computación en nube del gobierno de los Estados Unidos, oficialmente

llamado Iniciativa Federal de Computación en Nube, es un plan para la transición de
la infraestructura de tecnología de la información del gobierno federal a servicios de
TI basados en la web. Lanzada en septiembre de 2009 por la administración Obama,
la iniciativa busca identificar servicios y soluciones comunes entre las agencias
gubernamentales y adoptar un modelo de negocio de computación en la nube para
apoyarlos.
Creado para apoyar el Programa de Modernización de Infraestructura de la
administración, el objetivo principal de la Iniciativa Federal de Computación en
Nube es modernizar la infraestructura de TI del gobierno y ayudar a las agencias a
reducir costos.

El gobierno en su conjunto gasta 76.000 millones de dólares al año en TI y más de

19.000 millones de dólares se asignan a los costos de infraestructura. Cada agencia
normalmente mantiene sus propios centros de datos y granjas de servidores, lo que
resulta en cientos de centros de datos federales independientes. Reducir la
infraestructura y los servicios redundantes reducirá el consumo de energía y
mejorará el intercambio de datos entre los gobiernos federal, estatal y local.

Las agencias federales pueden comprar servicios de TI basados en la nube del

gobierno a través de Apps.gov, un sitio web mantenido por la Administración de
Servicios Generales (GSA). Los proveedores de Software como servicio (SaaS),
Infraestructura como servicio (IaaS) y Plataforma como servicio (PaaS) deben estar
en un GSA Schedule 70 con el fin de proporcionar servicios a agencias
gubernamentales y obtener listados en Apps.gov.

La Iniciativa Federal de Computación en Nube ha recibido algunas críticas, en gran

medida en lo que respecta a la falta de estandarización en torno a la seguridad y la
falta de una clara estrategia de transición y los criterios que las agencias deben
utilizar para determinar qué servicios de TI deben transitar a la nube. La
administración dice que trabajará con el sector público para estandarizar las áreas de
seguridad, interoperabilidad y portabilidad de datos.

Cloud Computing
Es un término informático que se desarrolló a finales de la decada del 2000, basado
en la utilidad y el consumo de los recursos informáticos compartidos. Podria
traducirse al español como computación en la nube, conocido también como
servicios en la nube, informática en la nube, nube de cómputo o nube de conceptos.
Las nubes pueden clasificarse como públicas, privadas o híbridas. En este tipo de
computación todo lo que puede ofrecer un sistema informático se ofrece como
servicio, de modo que los usuarios puedan acceder a los servicios disponibles
utilizando el Internet sin necesidad de conocimientos (o, al menos sin ser expertos)
en la gestión de los recursos que usan.

En los últimos tiempos el cloud compting se ha popularizado y cada vez son más las
empresas e individuales que lo utilizan para sus operaciones en internet. En general,
entre las mayores ventajas de la nube se destaca su seguridad. Si bien es cierto que
el nivel de seguridad es alto hay que apuntar que el Auditor De Nube tiene que tener
en cuenta.

Aspectos Negativos:
Cuando se trata de amenazasa nivel del Cloud en general. En primer lugar, hay que
apuntar los posibles ataques a la seguridad. Las empresas e individuos en la nube no
están libres del hacking y la posterior pérdida de datos. El hecho de estar hosteados
en la nube no les libra de vulnerabilidades y fallos, pues ningún sistema es perfecto.
Ello es importante en el caso de industrias que manejan datos críticos que creen que
en la nube están a salvo de todo tipo de ataques. También hay que señalar otro factor
crítico en el cloud computing: los cortes de servicio. Aunque la nube nos ofrece
mejoras sustanciales en lo que respecta a la protección de fallos de hardware, hay
ocasiones en que se pierden datos y la estructura de la nube falla por completo.

Recientemente tuvimos una ejemplo de ello con la caída de la nube de Amazon, o

cuando Google vacio por error miles de cuentas de Gmail. Finalmente, no hay que
olvidar la amenaza de las intrusiones internas. A veces los ataques no provienen del
exterior sino del interior, desde dentro mismo de la infraestructura de la nube. Los
niveles de acceso para terceros en los centros de datos del Cloud puede ser también
una fuente para que los usuarios de la nube se vean afectados.

¿Por qué hay que auditar la nube informática en las empresas?

El cloud computing es una tendencia que está transformando la forma de trabajar de
las empresas y que promete modificarlas. Representa un cambio en la forma de la
infraestructura de TI y el software, por lo que hay diversas cuestiones que deben
conocerse, para minimizar los riesgos que implica. Será competencia del equipo de
auditoría interna (AI) desarrollar las prácticas y mecanismos de control apropiados
para la supervisión y revisión.
Pero, se evalúan correctamente los peligros que envuelven la adopción de estos
servicios, desde la actividad de AI. Las organizaciones deben estar preparadas para
hacerlo. En caso de un inadecuado manejo corporativo, de la empresa que brinda el
servicio de computación en la nube.

¿Quién sufre de pérdida de reputación institucional?

Si hay un filtrado o pérdida de información, ¿a quién perjudicaría más? ¿al que

contrata o al proveedor? Si los servidores están fuera de las fronteras del país sede
de la compañía, ¿la legislación nos permitirá auditar a nuestro proveedor tal cual lo
hacemos en nuestro país?
Lo cierto es que un conocimiento apropiado de las nuevas tecnologías le permitirá
al auditor identificar los riesgos asociados a las mismas y asesorar a la alta gerencia
respecto de los controles convenientes a ser aplicados para mitigarlos.
Muchos de los peligros de la computación en la nube no son nuevos y se pueden
encontrar al establecer una relación con un tercero, o sea con cualquier empresa a la
que se le tercerizan parte de sus tareas. En cuanto a las amenazas más evidentes,
podemos mencionar: el compartir temas tecnológicos estratégicos, la pérdida o fuga
de información, hackeo de cuentas o servicios y los perfiles desconocidos. Los
riesgos relativos a la computación en la nube pueden clasificarse en:
políticos/organizacionales, técnicos y legales.