Auditoría Pública nº 75. Revista de los órganos autonómicos de control externo

1. LA NUBE EN 2020 Aunque la utilización de la computación en la nube o cloud computing es una forma de provisión de servi- cios tecnológicos utilizada desde hace muchos años por las grandes empresas y las administraciones públicas, en los últimos años ha experimentado un fuerte crecimien- to de forma paralela a la expansión de la digitalización en todos los niveles de la gestión pública. La creciente implantación de la administración electrónica ha lle- vado aparejada en muchos casos la externalización de numerosos sistemas de información y la utilización de internet para acceder a los sistemas de gestión públicos. La grave crisis sanitaria, social y económica provoca- da por el Covid-19, entre otras cuestiones de no menor importancia, ha puesto de manifiesto la necesidad de profundizar en esta tendencia ya que las entidades que tenían un mayor despliegue de sus sistemas información en la nube han sido más resilientes y han respondido mejor a la necesidad de operar durante el confinamiento y de acceder de forma ubicua a los sistemas de gestión que aquellas otras entidades con unos sistemas de in- formación tradicionales, que se han visto desbordadas y con poca capacidad de reacción para mantener unos niveles aceptables de operatividad. Esta expansión de los sistemas de información en la modalidad de computación en la nube aporta notables ventajas a las entidades usuarias, pero también tiene riesgos importantes y afecta de forma radical al siste- ma de control interno y a la seguridad. Considerando que importantes entidades públicas tienen o van a tener a corto y medio plazo aplicaciones de gestión econó- mica significativas desplegadas en la nube, los audito- res de los OCEX debemos preguntarnos si este nuevo escenario afecta en algo a nuestra forma de fiscalizar. Debemos preguntarnos: ¿sabemos qué es eso del cloud computing? ¿sabemos qué riesgos de auditoría nos crea? ¿sabemos cómo deben enfocarse las auditorías? ¿sabemos hacerlo? ¿podemos hacerlo? En estas reflexiones andábamos cuando la Conferen- cia de Presidentes de los OCEX aprobó el 20 de mayo pasado la Guía Práctica de Fiscalización de los Órga- nos de Control Externo GPF-OCEX 1403 Consideracio- nes de auditoría relativas a una entidad que utiliza una organización de servicios de computación en la nube. Su finalidad es orientar sobre cómo se debe aplicar la NIA- ES-SP 1402 Consideraciones de auditoría relativas a una entidad que utiliza una organización de servicios cuando el ente que vamos a fiscalizar utiliza servicios de compu- tación en la nube. En este breve artículo pretendemos dar a conocer la GPF-OCEX 1403 y explicar sucintamente algunos con- ceptos básicos relacionados con el cloud computing y su impacto en las fiscalizaciones de los OCEX. 2. QUÉ ES EL CLOUD COMPUTING Y CUÁLES SON SUS CARACTERÍSTICAS ESENCIALES La variedad de servicios prestados en la nube es am- plísima, y a modo de ejemplo, puede comprobarse en la página web Soluciones en cloud 1 cómo la Administración General del Estado ofrece por esta vía diversas soluciones de administración electrónica a las Administraciones Pú- blicas para dar respuesta a necesidades comunes. Por su general aceptación, para su definición acudi- mos a la realizada en 2011 por el National Institute of Standards and Technology 2 , que definió el cloud com- puting como “un modelo para permitir el acceso por red, de forma práctica y bajo demanda, a un conjunto compartido de recursos de computación configurables (por ejemplo, redes, servidores, almacenamiento, apli- caciones y servicios) que pueden ser suministrados y desplegados rápidamente con una mínima gestión o in- teracción con el proveedor del servicio”. 36 Junio nº 75 - 2020 AUDITORÍA Y GESTIÓN DE LOS FONDOS PÚBLICOS 1 https://www.administracionelectronica.gob.es/pae_Home/pae_Estrategias/Racionaliza_y_Comparte/soluciones_cloud.html 2 National Institute of Standards and Technology [NIST SP-800-145], 2011. Fuente: CCN-STIC-823