El Teletrabajo: Visión del Departamento de Auditoría

Publicado el por Javier Klus

La pandemia ha generado numerosos cambios en las organizaciones, uno de los que más ha tenido impacto en la propia estructura organizativa de las mismas es el teletrabajo.  Esta modalidad se ha impuesto por la propia necesidad de las organizaciones de poder seguir con sus actividades, hemos transitado el año 2020 y gran parte del 2021 bajo esta modalidad, lo cual ya prácticamente se ha institucionalizado en las organizaciones, por lo tanto, si desde los departamentos de auditoría pensábamos que esta modalidad iba a ser pasajera, lamentablemente la realidad y la opinión de los propios empleados hacen que no sea así, y por lo tanto, ya es obligación de los Departamentos de Auditoría el tener análisis de riesgos y matrices que contemplen esta situación.

Pensando esta situación comparto algunos temas que cualquier función de auditoría podría tener en consideración al momento de realizar un análisis de riesgo sobre esta situación:

  1. ¿Tenemos empleados que han realizado el on-bording de la organización sin haber pisado las instalaciones de la organización?  Es importante considerar que existe muchos empleados que pudieron haberse incorporado a la organización sin hacer pisado las instalaciones de la misma, los procesos de inducción, transmisión de valores, etc., tiene que ser correctamente reforzados. Las políticas de seguridad, seguridad de la información, también tiene que ser correctamente divulgados.  La organización tiene que asegurarse que todo ese bagaje de normas previas ha sido correctamente recibido y entendido por los empleados.  La función de Auditoría interna debe asegurarse que existan procedimientos en este sentido y que los mismos se cumplan.
  2. Muchas organizaciones durante el contexto de pandemia han suministrado a sus empleados equipos homologados (con características de seguridad definidas) pero otras empresas han permitido que se usen notebook o elementos propios del empleado en el trabajo diario. ¿Qué seguridad tiene estos dispositivos?, ¿Qué controles realiza la organización para asegurarse que los recursos de la misma no se vean comprometidos por dispositivos No-seguros o no homologados?
  3. Los empleados tienden en un ambiente de teletrabajo a resguardar sus archivos de forma local, esto incrementa el riesgo que, ante la perdida de sus dispositivos, se pierda la información generada o, peor aún, que esta información sea accedida por terceros.  ¿Existen procedimientos de backup definidos?, ¿Se monitorea que los empleados realizan resguardos periódicos de la información generada? ¿Existe definido algún mecanismo que permita sincronizar el trabajo de los empleados con algún medio de almacenamiento en la nube?
  4. Se proveen los elementos de seguridad apropiados a los empleados para que se conecten con los recursos de la organización esto es básicamente ¿existe mecanismos de VPN (Virtual Private Network) u otros dispositivos que resguarden el flujo de información que se genera desde la casa de los empleados hasta los sistemas de la organización?
  5. La interacción y correcta comunicación entre los distintos miembros del equipo de trabajo también es un elemento importante, por lo tanto, la existencia de mecanismos que permitan esto (zoom, Team, Meet, son ejemplos), permite tener al equipo interrelacionado y de esta forma mejor coordinando, evitando de esta forma que empleados “aislados” puedan ser víctimas de ciberdelincuentes, pishing o cualquier otro tipo de amenazada.
  6. Más que nunca ante este contexto de empleados que trabajan desde sus casas, las políticas de concientización, seguridad de la información, capacitación relacionada con cibercrimen, virus, etc., es algo de suma importancia que la organización debe realizar y que la función de auditoría debe monitorear.

Como vemos, el teletrabajo ha generado empleados que están lejos de sus organizaciones y que muchos veces, precisamente por esa realidad, pueden ser víctimas de engaños o acciones que finalmente pueden comprometer la seguridad de la propia organización, por lo tanto, es importante realizar un análisis de los potenciales riesgos que se pueden originar (lo expuesto es sólo un ejemplo) para de esta forma mitigar efectos que terminen impactando en la propia organización.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Publicado por Javier Klus

Soy Máster en Administración de Empresas por la Universidad Politécnica de Madrid y Licenciado en Administración de Empresas (UADE). Durante más de 12 años me he desempeñado en uno de los principales estudio de Auditoría y Consultoría a nivel mundial, en donde ha tenido la oportunidad, dentro del Departamento de Advisory, de interactuar con una gran cantidad de empresas nacionales e internacionales analizando el funcionamiento operativo de las mismas y proponiendo oportunidades de mejora. Mi campo de acción también ha abarcado la realización de Auditorías Internas en numerosas empresas, siendo adicionalmente Auditor Interno Certificado (CIA). Fui profesor de la Universidad del Salvador en el postgrado de Auditoría de Sistemas, así como miembro del comité de publicaciones del Instituto Argentino de Auditores Internos. También soy Co-Director de la Diplomatura en Management de Centro de Servicios Compartidos en la UCEMA. He publicado trabajos relacionados con mis especialidades tanto en Argentina como en España. Adicionalemnte soy Conferencista internacional, habiendo dictado cursos y conferencias en Perú, Colombia y Argentina, entre otros países. En mis ratos libres disfruto de la lectura de libros de todo tipo y de mi familia. Mi próximo libro seguramente será sobre Auditoría Interna, en donde intentaré transmitir todos mis conocimientos en esa temática.