El teletrabajo se ha impuesto en la mayoría de las empresas para continuar con las funciones y la producción, por ello, los departamentos de auditoría deben tener en cuenta el análisis de riesgos en esta situación. Algunos de los puntos a considerar son:

Elaboración propia

Redacción INCP a partir de artículo publicado por Auditool

Para más información consulte el artículo titulado “El teletrabajo en la función de Auditoría” publicado por Auditool.

El teletrabajo en la función de Auditoría

La pandemia ha generado numerosos cambios en las organizaciones, uno de los que más ha tenido impacto en la propia estructura organizativa de las mismas es el teletrabajo.  Esta modalidad se ha impuesto por la propia necesidad de las organizaciones de poder seguir con sus actividades, hemos transitado el año 2020 y gran parte del 2021 bajo esta modalidad, lo cual, ya, prácticamente se ha institucionalizado en las organizaciones, por lo tanto, si desde los departamentos de auditoría pensábamos que esta modalidad iba a ser pasajera, lamentablemente la realidad y la opinión de los propios empleados hacen que no sea así, y por lo tanto, ya es obligación de los Departamentos de Auditoría el tener análisis de riesgos y matrices que contemplen esta situación.

Pensando esta situación comparto algunos temas que cualquier función de auditoría podría tener en consideración al momento de realizar un análisis de riesgo sobre esta situación:

a. ¿Tenemos empleados que han realizado el on-bording de la organización sin haber pisado las instalaciones de la organización?  Es importante considerar que existe muchos empleados que pudieron haberse incorporado a la organización sin haber pisado las instalaciones de la misma, los procesos de inducción, transmisión de valores, etc., tiene que ser correctamente reforzados. Las políticas de seguridad de la información, también tiene que ser correctamente divulgados.  La organización tiene que asegurarse que todo ese bagaje de normas previas ha sido correctamente recibido y entendido por los empleados.  La función de Auditoría interna debe asegurarse que existan procedimientos en este sentido y que los mismos se cumplan.

b. Muchas organizaciones durante el contexto de pandemia han suministrado a sus empleados equipos homologados (con características de seguridad definidas) pero otras empresas han permitido que se usen notebook o elementos propios del empleado en el trabajo diario. ¿Qué seguridad tiene estos dispositivos?, ¿Qué controles realiza la organización para asegurarse que los recursos de la misma no se vean comprometidos por dispositivos No-seguros o no homologados?

c. Los empleados tienden en un ambiente de teletrabajo a resguardar sus archivos de forma local, esto incrementa el riesgo que, ante la perdida de sus dispositivos, se pierda la información generada o, peor aún, que esta información sea accedida por terceros.  ¿Existen procedimientos de backup definidos?, ¿Se monitorea que los empleados realizan resguardos periódicos de la información generada? ¿Existe definido algún mecanismo que permita sincronizar el trabajo de los empleados con algún medio de almacenamiento en la nube?

d. Se proveen los elementos de seguridad apropiados a los empleados para que se conecten con los recursos de la organización esto es básicamente ¿existe mecanismos de VPN (Virtual Private Network) u otros dispositivos que resguarden el flujo de información que se genera desde la casa de los empleados hasta los sistemas de la organización?

e. La interacción y correcta comunicación entre los distintos miembros del equipo de trabajo también es un elemento importante, por lo tanto, la existencia de mecanismos que permitan esto (Zoom, Team, Meet, son ejemplos), permite tener al equipo interrelacionado y de esta forma, mejor coordinando, evitando de esta forma que empleados “aislados” puedan ser víctimas de ciberdelincuentes, pishing o cualquier otro tipo de amenazada.

f. Más que nunca ante este contexto de empleados que trabajan desde sus casas, las políticas de concientización, seguridad de la información, capacitación relacionada con cibercrimen, virus, etc., es algo de suma importancia que la organización debe realizar y que la función de auditoría debe monitorear.

Como vemos, el teletrabajo ha generado empleados que están lejos de sus organizaciones y que muchas veces, precisamente por esa realidad, pueden ser víctimas de engaños o acciones que finalmente pueden comprometer la seguridad de la propia organización, por lo tanto, es importante realizar un análisis de los potenciales riesgos que se pueden originar (lo expuesto es solo un ejemplo) para de esta forma mitigar efectos que terminen impactando en la propia organización.

Fuente: Auditool