Lo básico Póngase al día con nuestro contenido introductorio.

Qué debe estar en su lista de auditoría de la nube

Aunque extenuantes, las auditorías son una parte crítica de una estrategia de cumplimiento en la nube. Conozca los diferentes tipos de auditorías en la nube para prepararse mejor para su próxima revisión.

A medida que su empresa expande su uso de la nube, deberá recopilar y reportar información sobre su infraestructura y procesos.

Si sus clientes esperan el cumplimiento de las políticas de seguridad formales o si los posibles inversores necesitan una inspección exhaustiva de una aplicación completa, no se puede evitar las auditorías en la nube. Sin embargo, puede aliviar parte del estrés relacionado con este proceso típicamente doloroso si reúne de manera eficiente información sobre la pila técnica de su empresa.

Explore esta lista de verificación de auditoría en la nube para comprender mejor los tipos de información que necesitará para las auditorías relacionadas con la seguridad, la integridad de la aplicación y la privacidad. Use la lista de verificación como un resumen de lo que puede esperar de cada tipo de auditoría. Luego, revise los conjuntos de preguntas de muestra que se le pueden formular durante una auditoría de cumplimiento para que esté mejor preparado para el proceso de auditoría.

Seguridad

La seguridad es una prioridad para todas las organizaciones. En un mundo donde las violaciones de datos son miles, no debería sorprendernos que el cumplimiento de seguridad pueda ser la diferencia entre el crecimiento y el fracaso. Debe saber qué esperar de una auditoría de seguridad porque, en algunas circunstancias, la viabilidad de la empresa puede depender de ello.

Gestión de acceso

A medida que reúne su lista de verificación de auditoría en la nube, debe comprender quién puede acceder a sus servicios en la nube y cuánto acceso tiene cada persona. Mientras que una auditoría física puede estar preocupada por quién puede ingresar a un edificio y en qué habitaciones les permite su tarjeta de acceso, una auditoría en la nube se refiere a qué servicios y datos puede acceder un usuario.

Debido a que la nube no es una ubicación física, es importante registrar las acciones que los usuarios realizan en todo momento, lo que puede ayudar con la respuesta a incidentes en el futuro.

Preguntas a considerar

  • ¿Cuántas personas tienen acceso a los datos de producción?
  • ¿Cómo se aprovisiona y desaprovisiona el acceso a la cuenta?
  • ¿Dónde se almacenan los registros de auditoría de usuarios?
  • ¿Qué controles de acceso basados ​​en roles existen?

Métricas y alertas

También debe tener en cuenta los datos que recopila y las alarmas que tiene instaladas para identificar los incidentes de seguridad antes o mientras ocurren. Estos tipos de métricas incluyen el número de autorizaciones de usuario fallidas durante un período de tiempo fijo o la cantidad de tráfico que procesa una API en comparación con el mismo tiempo de la semana anterior.

Y, más allá del contexto de la auditoría de usuarios, el éxito de su aplicación depende de qué tan bien comprenda cómo interactúan los componentes de infraestructura individuales y cómo defina las alarmas para notificar a su equipo cuando esos parámetros están fuera de los límites esperados.

Preguntas a considerar

  • ¿Qué métricas de aplicación e infraestructura reúne?
  • ¿Cuál es su estrategia de retención de registros?
  • ¿Qué alertas tiene implementadas?

Protección e intrusión

Para este tipo de auditoría, necesita saber cómo protege actualmente su infraestructura y cómo prueba y mejora esa protección. Si bien los firewalls, las políticas de parches y los escáneres de vulnerabilidades son excelentes herramientas para tener, usted no sabe realmente cuán efectivas son estas herramientas a menos que esté probando continuamente su seguridad.

Las pruebas formales de penetración (pen test) y los programas de recompensas de errores son excelentes formas de probar la validez de su infraestructura de seguridad. Este tipo de pruebas también se consulta a menudo en la mayoría de las auditorías de seguridad. Si ha realizado una prueba de penetración formal, espere que se le pida que proporcione el informe del investigador.

Preguntas a considerar

  • ¿Cuándo fue su última prueba de penetración?
  • ¿Participa en un programa de recompensas de errores?
  • ¿Qué tan grande fue su pago de recompensa por errores más reciente?

Integridad

Aunque la seguridad es a menudo un componente importante de las auditorías en la nube, no es el único que puede surgir. Por ejemplo, los inversores y los clientes querrán saber sobre la integridad de su aplicación y la infraestructura que ha construido. Esta información también puede proporcionar un contexto adicional a las auditorías de seguridad. Para comprender completamente la integridad de una aplicación, los clientes pueden querer saber qué tan estable es, qué tan preciso es el procesamiento de datos o qué tan bien funciona la aplicación bajo presión y con grandes cantidades de datos.

Flujos de trabajo

La forma en que construye su aplicación es importante. Es posible que a los clientes no les importe cómo se realizan las revisiones de código o si tiene un conjunto completo de pruebas, pero otras partes interesadas seguramente lo harán. Si puede articular claramente las mejores prácticas que su equipo sigue mientras desarrolla, prueba e implementa aplicaciones, puede adelantarse a algunas de las preguntas más desafiantes que pueden surgir en una auditoría.

Preguntas a considerar

  • ¿Qué porcentaje del código escrito está cubierto por las pruebas automatizadas?
  • ¿Aplica un estándar de codificación particular?
  • ¿Se realizan revisiones de código? ¿Por quién?
  • ¿Qué estrategia de ramificación del sistema de control de versiones utiliza?

Arquitectura

Además de las preguntas sobre sus procesos y prácticas, también encontrará preguntas sobre el diseño arquitectónico y la estrategia de alojamiento de su aplicación. Si no tiene un diagrama de arquitectura de alto nivel, ahora es un buen momento para armar uno.

Al determinar qué tan resistente es su aplicación, es beneficioso para los usuarios comprender cómo sus aplicaciones manejan cosas como la escala y la carga inesperada. También debería poder responder preguntas sobre las tecnologías que utiliza y por qué. Existe una amplia variedad de herramientas y tecnologías, y aunque "tomamos la mejor decisión en ese momento" puede ser una respuesta válida, una más articulada puede ser útil.

Preguntas a considerar

  • ¿Puede proporcionar un diagrama de arquitectura?
  • ¿De qué tecnologías depende su aplicación?
  • ¿Cómo maneja una escala inesperada?

Confiabilidad

Si bien una aplicación funcional creada con un proceso confiable proporciona una base excelente de integridad, la confiabilidad de esa aplicación es igual de importante en su lista de verificación de auditoría en la nube. Cada organización debe tener un plan de recuperación ante desastres (DR) en caso de una falla crítica de la aplicación. Si ese plan involucra soporte multirregión o incluso multinube, usted y sus auditores estarán tranquilos si puede transmitir cuál es ese plan y cómo pretende garantizar que su servicio sea confiable.

Preguntas a considerar

  • ¿Cuál es su plan de DR?
  • ¿En qué región (es) está aprovisionada su infraestructura?
  • ¿Cuál es su acuerdo de nivel de servicio de tiempo de actividad?
  • ¿Cuenta con redundancias de infraestructura?

Privacidad

Los auditores inevitablemente le preguntarán cómo mantiene la privacidad de sus clientes. Si le preocupa el cumplimiento del RGPD (GDPR) de la UE o las protecciones contra las consecuencias potencialmente severas de una violación de datos, debe comprender cómo, por qué y dónde almacena los datos privados.

Retención de datos

Comprenda los datos que recopila del cliente y cuánto tiempo los guarda. Si bien es importante identificar el alcance general de los datos, el enfoque aquí es la información de identificación personal, como correos electrónicos, nombres, direcciones, etc. Debido a regulaciones como el RGPD, es importante comprender lo que recopila y dónde lo almacena porque podría se le pedirá que lo elimine en el futuro.

Preguntas a considerar

  • ¿Cuánto tiempo conservan los datos para usuarios inactivos?
  • ¿Qué información de usuario identificable personalmente almacena?
  • ¿Tiene un proceso de eliminación de datos?

Cifrado

Es posible que algunos datos no sean de identificación personal, pero siguen siendo información confidencial. Las contraseñas, las claves API y otra información privada serían devastadoras si se publicaran públicamente. Sepa qué información encripta y cómo, para poder responder adecuadamente las preguntas en esta categoría.

Preguntas a considerar

  • ¿Qué datos confidenciales del usuario se cifran en reposo?
  • ¿Qué algoritmo de encriptación usa?
  • ¿Qué algoritmo de hash de contraseña utiliza?

Investigue más sobre Cumplimiento y control

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close