El Teletrabajo: Visión del Departamento de Auditoría

La pandemia ha generado numerosos cambios en las organizaciones, uno de los que más ha tenido impacto en la propia estructura organizativa de las mismas es el teletrabajo.  Esta modalidad se ha impuesto por la propia necesidad de las organizaciones de poder seguir con sus actividades, hemos transitado el año 2020 y gran parte del 2021 bajo esta modalidad, lo cual ya prácticamente se ha institucionalizado en las organizaciones, por lo tanto, si desde los departamentos de auditoría pensábamos que esta modalidad iba a ser pasajera, lamentablemente la realidad y la opinión de los propios empleados hacen que no sea así, y por lo tanto, ya es obligación de los Departamentos de Auditoría el tener análisis de riesgos y matrices que contemplen esta situación.

Pensando esta situación comparto algunos temas que cualquier función de auditoría podría tener en consideración al momento de realizar un análisis de riesgo sobre esta situación:

  1. ¿Tenemos empleados que han realizado el on-bording de la organización sin haber pisado las instalaciones de la organización?  Es importante considerar que existe muchos empleados que pudieron haberse incorporado a la organización sin hacer pisado las instalaciones de la misma, los procesos de inducción, transmisión de valores, etc., tiene que ser correctamente reforzados. Las políticas de seguridad, seguridad de la información, también tiene que ser correctamente divulgados.  La organización tiene que asegurarse que todo ese bagaje de normas previas ha sido correctamente recibido y entendido por los empleados.  La función de Auditoría interna debe asegurarse que existan procedimientos en este sentido y que los mismos se cumplan.
  2. Muchas organizaciones durante el contexto de pandemia han suministrado a sus empleados equipos homologados (con características de seguridad definidas) pero otras empresas han permitido que se usen notebook o elementos propios del empleado en el trabajo diario. ¿Qué seguridad tiene estos dispositivos?, ¿Qué controles realiza la organización para asegurarse que los recursos de la misma no se vean comprometidos por dispositivos No-seguros o no homologados?
  3. Los empleados tienden en un ambiente de teletrabajo a resguardar sus archivos de forma local, esto incrementa el riesgo que, ante la perdida de sus dispositivos, se pierda la información generada o, peor aún, que esta información sea accedida por terceros.  ¿Existen procedimientos de backup definidos?, ¿Se monitorea que los empleados realizan resguardos periódicos de la información generada? ¿Existe definido algún mecanismo que permita sincronizar el trabajo de los empleados con algún medio de almacenamiento en la nube?
  4. Se proveen los elementos de seguridad apropiados a los empleados para que se conecten con los recursos de la organización esto es básicamente ¿existe mecanismos de VPN (Virtual Private Network) u otros dispositivos que resguarden el flujo de información que se genera desde la casa de los empleados hasta los sistemas de la organización?
  5. La interacción y correcta comunicación entre los distintos miembros del equipo de trabajo también es un elemento importante, por lo tanto, la existencia de mecanismos que permitan esto (zoom, Team, Meet, son ejemplos), permite tener al equipo interrelacionado y de esta forma mejor coordinando, evitando de esta forma que empleados “aislados” puedan ser víctimas de ciberdelincuentes, pishing o cualquier otro tipo de amenazada.
  6. Más que nunca ante este contexto de empleados que trabajan desde sus casas, las políticas de concientización, seguridad de la información, capacitación relacionada con cibercrimen, virus, etc., es algo de suma importancia que la organización debe realizar y que la función de auditoría debe monitorear.

Como vemos, el teletrabajo ha generado empleados que están lejos de sus organizaciones y que muchos veces, precisamente por esa realidad, pueden ser víctimas de engaños o acciones que finalmente pueden comprometer la seguridad de la propia organización, por lo tanto, es importante realizar un análisis de los potenciales riesgos que se pueden originar (lo expuesto es sólo un ejemplo) para de esta forma mitigar efectos que terminen impactando en la propia organización.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s