Identificarse


0
Comparte:

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

Por: Javier Fernando Klus, MBA, CIA. Colaborador de Auditool

La pandemia ha generado numerosos cambios en las organizaciones, uno de los que más ha tenido impacto en la propia estructura organizativa de las mismas es el teletrabajo.  Esta modalidad se ha impuesto por la propia necesidad de las organizaciones de poder seguir con sus actividades, hemos transitado el año 2020 y gran parte del 2021 bajo esta modalidad, lo cual, ya, prácticamente se ha institucionalizado en las organizaciones, por lo tanto, si desde los departamentos de auditoría pensábamos que esta modalidad iba a ser pasajera, lamentablemente la realidad y la opinión de los propios empleados hacen que no sea así, y por lo tanto, ya es obligación de los Departamentos de Auditoría el tener análisis de riesgos y matrices que contemplen esta situación.

Pensando esta situación comparto algunos temas que cualquier función de auditoría podría tener en consideración al momento de realizar un análisis de riesgo sobre esta situación:

a. ¿Tenemos empleados que han realizado el on-bording de la organización sin haber pisado las instalaciones de la organización?  Es importante considerar que existe muchos empleados que pudieron haberse incorporado a la organización sin haber pisado las instalaciones de la misma, los procesos de inducción, transmisión de valores, etc., tiene que ser correctamente reforzados. Las políticas de seguridad de la información, también tiene que ser correctamente divulgados.  La organización tiene que asegurarse que todo ese bagaje de normas previas ha sido correctamente recibido y entendido por los empleados.  La función de Auditoría interna debe asegurarse que existan procedimientos en este sentido y que los mismos se cumplan.

b.  Muchas organizaciones durante el contexto de pandemia han suministrado a sus empleados equipos homologados (con características de seguridad definidas) pero otras empresas han permitido que se usen notebook o elementos propios del empleado en el trabajo diario. ¿Qué seguridad tiene estos dispositivos?, ¿Qué controles realiza la organización para asegurarse que los recursos de la misma no se vean comprometidos por dispositivos No-seguros o no homologados?

c. Los empleados tienden en un ambiente de teletrabajo a resguardar sus archivos de forma local, esto incrementa el riesgo que, ante la perdida de sus dispositivos, se pierda la información generada o, peor aún, que esta información sea accedida por terceros.  ¿Existen procedimientos de backup definidos?, ¿Se monitorea que los empleados realizan resguardos periódicos de la información generada? ¿Existe definido algún mecanismo que permita sincronizar el trabajo de los empleados con algún medio de almacenamiento en la nube?

d. Se proveen los elementos de seguridad apropiados a los empleados para que se conecten con los recursos de la organización esto es básicamente ¿existe mecanismos de VPN (Virtual Private Network) u otros dispositivos que resguarden el flujo de información que se genera desde la casa de los empleados hasta los sistemas de la organización?

e. La interacción y correcta comunicación entre los distintos miembros del equipo de trabajo también es un elemento importante, por lo tanto, la existencia de mecanismos que permitan esto (Zoom, Team, Meet, son ejemplos), permite tener al equipo interrelacionado y de esta forma, mejor coordinando, evitando de esta forma que empleados “aislados” puedan ser víctimas de ciberdelincuentes, pishing o cualquier otro tipo de amenazada.

f.  Más que nunca ante este contexto de empleados que trabajan desde sus casas, las políticas de concientización, seguridad de la información, capacitación relacionada con cibercrimen, virus, etc., es algo de suma importancia que la organización debe realizar y que la función de auditoría debe monitorear.

Como vemos, el teletrabajo ha generado empleados que están lejos de sus organizaciones y que muchas veces, precisamente por esa realidad, pueden ser víctimas de engaños o acciones que finalmente pueden comprometer la seguridad de la propia organización, por lo tanto, es importante realizar un análisis de los potenciales riesgos que se pueden originar (lo expuesto es solo un ejemplo) para de esta forma mitigar efectos que terminen impactando en la propia organización.

 

Javier Fernando Klus, MBA, CIA.

 

Javier Klus fue gerente de auditoría en PwC Argentina con más de 12 años de experiencia profesional trabajando en la evaluación de entornos de control interno para empresas líderes en la industria energética. Se ha especializado en la evaluación de riesgos y controles y en el diseño e implementación de controles para el ciclo de adquisiciones. También ha liderado compromisos importantes en las áreas de revisiones de sistemas de implementación previas y posteriores; diseño e implementación de políticas y procedimientos para el área financiera, evaluación de riesgos y control de ERP y proyectos de preparación de Sarbanes Oxley. Especialidades:   Auditoría de Sistemas y Procesos, Gestión de Proyectos, Auditoría Interna, Cumplimiento SARBOX.


Regístrese para que pueda comentar este documento

Auditool.org

Es la Red Global de Conocimientos en Auditoría y Control Interno que le permite a los Auditores, tener acceso a metodologías de trabajo fundamentadas en buenas prácticas internacionales, entrenamiento en línea, listas de chequeo, modelos de papeles de trabajo, modelos de políticas, herramientas para la gestión de riesgos, entre otras. Permitiendo mejorar las prácticas de trabajo, ahorrando tiempo, creando y protegiendo valor en las organizaciones.
Este sitio web almacena cookies en su ordenador. Estas cookies se utilizan para recopilar información sobre cómo interactúa con nuestro sitio web y nos permiten recordarle. Utilizamos esta información para mejorar y personalizar su experiencia de navegación y para análisis y métricas sobre nuestros visitantes tanto en este sitio web como en otros medios. Para obtener más información sobre las cookies que utilizamos, consulte nuestra Política de privacidad.

Si rechaza, su información no será rastreada cuando visite este sitio web. Se utilizará una sola cookie en su navegador para recordar su preferencia de no ser rastreada.