Cada vez es mayor el número de empresas e instituciones que se suben o piensan en subirse al Cloud Computing (CC), tentadas por la posibilidad de hacer uso de software sin necesidad de instalar nada, sin tener servidores para almacenar la información o sin problemas de actualización. 

Sin embargo, si bien esta novedad presenta muchas ventajas, se debe ser cauteloso en cuanto a su utilización.

Es importante que sus usuarios estén al tanto de los riesgos que implica y que se realicen los controles suficientes y necesarios, logrando así un gobierno efectivo que satisfaga las necesidades del negocio.¿Qué riesgos aguardan?

Entre los principales riesgos se encuentran aquellos relacionados a cumplimiento de aspectos regulatorios, de privacidad, de integridad de los datos, de disponibilidad de los datos y servicios, de gestión contractual, de niveles de servicio (SLA), de continuidad de negocio, de recuperación ante desastres, y de administración de proveedores, para mencionar sólo algunos. Se destacan:

• La privacidad: quizás el tema más delicado y de mayor impacto. Las empresas de la nube que ejecutan bien sus aplicaciones deberán tener políticas robustas sobre quién puede acceder a los datos del cliente y bajo qué circunstancias.
• Disposición de la información: todas las empresas facilitan el start-up de las actividades e incorporación de los datos, pero sólo algunas hacen también fácil el disponer de sus datos (por ejemplo, e-mails archivados o documentos guardados) al momento de desear migrar de proveedor. 
• Gran manjar: de las estadísticas y la experiencia de los incidentes de seguridad reportados en los últimos años, los intrusos tienden a atacar donde se puede acceder a un gran volumen de datos con el menor esfuerzo. En este sentido si un proveedor guarda en la nube la información confidencial de un número grande de clientes, se vuelve algo muy apetecible para dichos intrusos. Una mínima brecha de seguridad podría provocar un gran impacto negativo en las actividades de una organización.
• Otros riesgos aparecerán en el futuro, tales como: Datos como Servicio (DAAS) y la aparición de intermediarios del servicio de nube, que proveen intermediación, monitoreo, transformación/portabilidad, gobierno, aprovisionamiento y servicios de integración además de los servicios de nube ya existentes.

Actualmente se carece de un marco de trabajo específico estructurado y completo para la identificación y evaluación de riesgos en CC, es decir, la panacea aún no existe; sin embargo existen muchos esfuerzos de varias organizaciones.El rol del auditor

La auditoría interna puede jugar un rol clave en la concientización de los riesgos existentes en una organización al desplazarse hacia un esquema de computación en la nube, facilitando discusiones gerenciales sobre cómo identificar y mitigar posibles riesgos y participando de manera activa en revisiones pre y post implementación, para evaluar la manera en la cual los riesgos críticos están siendo administrados.

El objetivo de la auditoría de servicios en la nube es comprobar que las necesidades del negocio hayan sido contempladas.

Es importante recordar que el rol del auditor en los proyectos es una suerte de "Control de Calidad" y no se encuentra directamente involucrado en actividades que luego inhiban su independencia como auditor.

Todo esto, por supuesto sin descuidar ni sustituir las auditorías de aplicaciones y de procesos específicos que se venían realizando hasta el momento. Dichas auditorías también se deberán adaptar a las nuevas modalidades de trabajo.

El auditor debe tener muy en cuenta para establecer sus objetivos de auditoría, el gobierno de computación en nube, el cumplimiento contractual entre el prestador y la organización y el control de problemas específicos.

Finalmente, los problemas y controles de TI en CC no son nuevos ya que la tecnología no es nueva, sino que lo que cambia es su ubicación, acceso, y gobierno.

En un contexto en el que aparecen nuevos actores, el proveedor de la nube y el usuario tienen diferentes grados de gestión y responsabilidades sobre de los recursos informáticos que pueden tornarse en una brecha gris.

Es tarea del auditor colaborar para eliminar dicha zona gris y que ambas partes tengan bien en claro los límites de su rol y responsabilidades y establecer un adecuado nivel de servicio, para recién luego poder aplicar los controles y monitorear el cumplimiento de las normativas, regulaciones, operaciones y servicios y ocuparnos de la seguridad.