Saltar al contenido

Los principales factores de riesgo de estar en la nube

Los debates sobre la nube entre los profesionales de la contabilidad pueden haber pasado más del “por qué” al “qué pongo/ hago allí” y, como en cualquier movimiento de este tipo, todavía hay dudas sobre los detalles más finos del trabajo en un entorno de nubes.

Lo que esto significa, por supuesto, es que muy pocas de sus tareas de trabajo y gestión de archivos están en su oficina o en un servidor local. Aunque cada vez hay más comodidad o comprensión de lo que es la nube, todavía hay numerosas preocupaciones, que van desde el trato con los proveedores de la nube hasta los problemas de seguridad y conexión.

Los principales factores de riesgo de estar en la nube
Los principales factores de riesgo de estar en la nube

Durante el Simposio de Profesionales de la AICPA y la Conferencia TECH+, hubo un debate entre un panel de conocidos expertos en computación y uso de la nube, a quienes se les hicieron preguntas puntuales de otros contadores sobre las realidades de estar en la nube. El panel incluyó:

  • Jim Bourke, CPA, CITP, socio de WithumSmith+Brown, que supervisa gran parte de las decisiones tecnológicas de la empresa.
  • Jules Carman, director superior de marketing de productos, contabilidad y segmentos de consultoría en Intapp.
  • Steve Ursillo, CPA, socio y director de tecnología y servicios de seguros en Sparrow, Johnson & Ursillo Inc.

A continuación se presentan algunas de las principales preguntas y respuestas de los panelistas durante la sesión de 75 minutos de la conferencia:

¿Qué aconseja a los empleados que aún se enfrentan a archivos de papel?

Jim Bourkeâ: Tener un proceso, darles la capacidad de almacenar estos archivos sin restricciones. Hoy en día, siendo realistas sabemos que no es “sin papel”, es “menos papel”. Asegúrate de usar algo en la nube que facilite el escaneo y la búsqueda de archivos. Dale a todos las cosas que necesitan para llevar los archivos a la nube.

Jules Carmanâ: Hay tantas soluciones ahí fuera, así que si estás tomando todos tus datos y tal vez no quieres que cierto personal tenga acceso, hay tecnología para eso para limitar el acceso y gestionar esos datos, también. Los proveedores de nubes que utilice deben asociarse con usted para desarrollar las mejores prácticas.No es necesario que se autoeduque.

¿Cómo puede estar seguro de que su empresa es dueña de los datos que están en la nube y dónde residen?

Steve Ursilloâ: Siempre va a haber una gestión de la cadena de suministro y vas a tener un proceso que identifica los riesgos en un formato estructurado. Todos los proveedores tienen SLA (acuerdos de nivel de servicio), y algunos son más flexibles que otros. En el SLA, por lo general se detalla la propiedad y otras preocupaciones que usted puede tener con un proveedor de nubes. Sepa que si se trata de sus datos y hay un incumplimiento, sigue siendo su responsabilidad revelar ese incumplimiento a todas las partes.

Jules Carmanâ: Quieres que el vendedor tenga la misma alineación en la evaluación de riesgos que tú. En términos de si hay una brecha, necesitas preguntarle cuál es su respuesta y qué acceso tienen. Es toda la discusión de manejo de datos que tienes con los vendedores antes de firmar nada. Cualquiera que sea su preocupación, normalmente puede obtenerla por escrito.

Jim Bourkeâ: No siempre se pueden hacer muchos cambios [en un SLA], pero normalmente se puede tener espacio para tener algunas garantías sobre lo que sucede con los datos. ¿Es malo el acceso de los proveedores a sus datos? No necesariamente, pero debe comunicar sus preocupaciones por escrito al proveedor que elija.

¿Existe documentación de mejores prácticas sobre qué preguntas hacer a un proveedor de nubes?

Steve Ursilloâ: La Alianza de Seguridad en la Nube tiene algunos.También hay una guÃa que tenemos en SOC, también. Si hablas con alguien en el departamento de gestión de riesgos de un proveedor de nubes, están constantemente asados en sus políticas.

Jim Bourkeâ: Usted hace los impuestos, la auditoría y el cumplimiento. Hacen seguridad, pero salen a la comunidad y entienden qué pedir a sus colegas.Visita un centro de datos tú mismo si puedes.

Jules Carmanâ: La mayoría de ustedes tienen algún sentido de un programa de gobierno de seguridad con lo que ya usan. Vean lo que está en su lugar y lo que necesita ser modificado si están buscando un punto de partida.

¿Cuánta seguridad hay en lo que recomienda un proveedor en particular?

Steve Ursilloâ: Puede elegir el Proveedor A y puede no ser compatible con el Proveedor B. Averigüe qué cadenas de suministro están usando que le darán un nivel de comodidad.

Jim Bourke: Me gusta el enfoque de proveedor preferido porque ya tienen que examinarlos, probablemente mejor de lo que podríamos hacer nosotros.

Jules Carmanâ: Es más que probable que los [vendedores] entiendan su modelo operativo único para que la alineación sea más valiosa.

¿Cuáles son algunas de las desventajas de moverse a la nube?

Jim Bourkeâ: La desventaja para mí, con las empresas, es que luchan con el ancho de banda y la conectividad. Si mueves más cosas allí, tienes que llegar y usarlas bien. Necesitas una copia de seguridad. Los centros de datos tienen múltiples copias de seguridad, pero no todos los lugares de América tienen cables de fibra súper rápidos. Nada está garantizado.

Steve Ursilloâ: Asegurándose de que tiene la resistencia y la redundancia adecuadas. Tendrás interrupciones debido al clima o lo que sea, así que debes saber que tienes algún respaldo de tus proveedores. Dicho esto, cuando pienses en la ciberseguridad, piensa en las personas y los recursos que hay detrás de darte acceso a los datos y mantenerlos seguros. Es más de lo que tú, tú mismo o cualquiera en tu empresa puede hacer.