Columna de Opinión

Autor: Lic. Jorge Néstor Nunes, Presidente ISACA - Capítulo Buenos Aires – ADACSI.

El rol de las TIC y la Auditoría en el teletrabajo

I. INTRODUCCION

Tras el brote de la pandemia, la emergencia sanitaria aceleró la llegada del teletrabajo y de nuevas tecnologías al contexto de nuestra sociedad.

La migración hacia el teletrabajo fue repentina y poco planificada, surgida como una respuesta inmediata ante la imposibilidad de concurrencia a los lugares de trabajo, siendo que, hasta el año 2019, el empleo remoto en nuestro país solo abarcaba al 1,6% de los trabajadores. Esta coyuntura nos lleva a reflexionar acerca del teletrabajo, de la innovación, la digitalización y, por supuesto, de las nuevas tecnologías que se han incorporado a las actividades diarias.

Para que el trabajo a distancia sea factible es importante contar con una buena conectividad y disponer de recursos que permitan cumplir con las tareas asignadas. Dichos recursos implican tener comunicaciones eficientes, personal preparado, equipamiento y aplicaciones adicionales, además de considerar el aspecto legal.

En este contexto, la Auditoría Interna, como tercera línea de defensa, se encuentra en una posición única para desempeñar un papel clave en la respuesta a la crisis de la pandemia. Esta afirmación se basa en que la Auditoría posee un acabado conocimiento organizacional y tiene un conjunto de habilidades muy relevantes.

A medida que las organizaciones se adaptan para hacer frente al impacto de la pandemia, las funciones de Auditoría tienen un papel importante que desempeñar para seguir proporcionando un aseguramiento crítico, asesorando a la Dirección y a la Alta Gerencia sobre el cambiante panorama de riesgos y controles, así como anticiparse a los riesgos emergentes. Es probable que los proyectos que las organizaciones han implementado para contener y responder a la pandemia se mantengan como una nueva forma de trabajo, por eso la Auditoría debe estar preparada para adaptarse a este período y a esta “nueva normalidad” de manera sostenible. Las situaciones de cada organismo difieren y están cambiando rápida y dramáticamente, por lo que es imperativo que las funciones de Auditoría se mantengan atentas a tales transformaciones y también tengan en cuenta los anuncios gubernamentales y reglamentarios, así como las propuestas organizativas.

En el desarrollo de este artículo se expondrán los elementos de los cuales deberá disponer una persona que trabaja a distancia y, en particular, se expondrá cómo se aplica la tecnología informática a la Auditoría.

II. TELETRABAJO: SINÓNIMO DE TIC

El primer paso para determinar la infraestructura tecnológica adecuada para una organización es examinar detenidamente sus necesidades a la hora de dar el servicio esperado, teniendo en cuenta los procesos críticos, los recursos involucrados y, particularmente, los datos.

Para ello, hay que evaluar la capacidad de procesamiento y almacenamiento que necesita cada proceso, pero también es importante tener en cuenta no solo las necesidades actuales, sino también identificar las necesidades futuras que puedan surgir tras la pandemia.

La planificación es una etapa importante en la implementación de un programa de teletrabajo; en esta etapa se debe evaluar la capacidad tecnológica, operativa y administrativa, teniendo en cuenta el desempeño, el tipo de tareas y un respaldo tecnológico en el que se pueda monitorear el desarrollo de las actividades.

Por otro lado, en cuanto a la protección de la información organizacional, cuando se trata de copias de seguridad y recuperación los responsables de cada organismo tienen que anticiparse a las posibles pérdidas de datos. Por ejemplo, los organismos que manejan datos sensibles requieren de una protección sólida de la información y estar cubiertos en caso de que ocurra algún error que perjudique su seguridad o provoque la vulnerabilidad de los datos.

Otro punto importante es mantener una comunicación permanente con el equipo de trabajo mediante un software de conferencias web que permitan realizar videollamadas, así como utilizar aplicaciones sincronizadas con el fin de obtener conocimiento de las labores realizadas, lograr un feedback e intercambiar la información necesaria para solucionar problemas, continuar con nuevas actividades y cumplir los objetivos propuestos. La evaluación y seguimiento de manera transparente de la actividad de los trabajadores permite obtener datos sobre las tareas realizadas y las metas alcanzadas, además de evidenciar los problemas y eventualidades que se interponen en el cumplimiento de las tareas con el fin de buscar e implementar estrategias de solución.

Entre los principales requisitos que una organización debe satisfacer para el diseño y posterior implantación de su Modelo de Teletrabajo, se encuentra la provisión de los recursos tecnológicos necesarios para realizar las actividades. Para ello se debe tener en cuenta tres elementos claves:

1. Conexión segura a Internet

Aunque parezca obvio, se requiere una buena conexión a internet, con disponibilidad, y no siempre se cuenta con este recurso. En caso de no contar con este recurso, hay que procurar una pronta instalación, en condiciones apropiadas para el desarrollo de las tareas. Aunque el teléfono celular es de gran ayuda, es conveniente contar con dispositivos, programas y aplicativos que faciliten la gestión de comunicaciones, las videollamadas, las conversaciones en grupo y las conferencias, así como los servicios de reenvío de llamadas, grabaciones, correo de voz, elementos que, entre otros, se constituyen en herramientas vitales. La implementación de una solución de acceso remoto es un reto desde el punto de vista de la seguridad y la gestión para cualquier organización. Las soluciones clásicas, basadas en el despliegue de sistemas locales, requieren de capacidades tanto del personal como de infraestructura, que no siempre están disponibles. A continuación, se presentan tres alternativas posibles para la implementación segura o una adecuada implementación de estos sistemas, en función de las capacidades de la organización:

1.1. Utilización de la “nube”

Esta alternativa permite el despliegue rápido de un servicio de acceso remoto seguro, aunque no se disponga de una gran capacidad técnica dentro de la organización. Algunas empresas brindan servicio temporal con acceso al organismo desde cualquier lugar, bajo medidas de seguridad adecuadas, como doble factor de autenticación y trazabilidad total.

Se basan en transmitir la capa de presentación de los sistemas corporativos a cualquier equipo remoto, siempre y cuando se haya realizado una autenticación adecuada. En este caso, se aísla completamente a la plataforma de acceso de la red organizacional, impidiendo que las vulnerabilidades presentes en el puesto remoto pongan en riesgo los sistemas de la organización.

La arquitectura necesaria para proporcionar este tipo de acceso recae principalmente en la infraestructura que se encuentra en la nube. La única parte de la arquitectura que es responsabilidad de cada organización corresponde al despliegue de cada máquina virtual, que establezca una comunicación segura entre la “nube” y los servicios de la organización.

1.2. Utilización de sistemas locales

Esta alternativa se caracteriza por extender los límites de la organización más allá́ de sus instalaciones. Se despliegan equipos portátiles configurados por la organización para que puedan utilizar internet como medio de acceso a los servicios de la organización.

Permitir este nivel de acceso conlleva implementar mecanismos de seguridad que garanticen que todos los recursos de TIC involucrados cumplan con los estándares necesarios para limitar el riesgo de exposición de los sistemas. Otro elemento crítico en esta alternativa es la alta complejidad técnica y el mayor tiempo de puesta en producción.

1.3 Utilización de un sistema híbrido

En esta alternativa, el planteo es la implementación de un sistema unificado de control de acceso para organizaciones que disponen de una infraestructura IT, apoyada en sistemas tanto en la nube como local, y adicionalmente los usuarios se pueden conectar desde dispositivos tanto corporativos como no corporativos.

En este caso, la alternativa es ofrecer una solución que unifique el control de acceso tanto a infraestructuras y aplicaciones ubicadas en sistemas de nube y locales, algo habitual en cualquier organización, simplificando la experiencia de usuario a través de Single Sign On (SSO), como la validación de los usuarios, con el consiguiente perfilado, desde múltiples dispositivos.

La idea principal es anteponer o crear una capa previa de control de acceso a los sistemas de la organización que permita tener visibilidad y unificar la gestión. El control de acceso a las aplicaciones se realiza a través de un portal seguro (HTML 5) en el que se presenta al usuario, una vez realizada la validación. El usuario se puede conectar desde múltiples dispositivos, ya sean corporativos, personales, móviles, domésticos, etc. La arquitectura necesaria para proporcionar este tipo de acceso recae principalmente en la plataforma servidor, que puede estar ubicada tanto local como en la nube (Azure, AWS, Google Cloud) desde la que se generará un portal web que, tras la verificación del dispositivo/usuario, permitirá́ el acceso de una manera segura a las aplicaciones de la organización acorde a la política de seguridad definida.

2. Dispositivos

El teletrabajo requiere de un dispositivo adecuado. Un teléfono inteligente suple algunas necesidades, pero no es lo más apropiado para ciertas labores. Se requiere que el trabajador cuente al menos con un computador portátil y otros dispositivos accesorios, tales como cámaras, micrófonos (de acuerdo con el tipo de trabajo, pues la mayoría de los computadores ya los traen instalados), impresoras, entre otros.

En muchas oportunidades, el trabajador se conecta con su propio dispositivo (BYOD – Bring Your Own Device- “trae tu propio dispositivo”), práctica que define la acción de trabajar con dispositivos tecnológicos propios (Smartphone, notebooks, portátiles, etc.) según políticas de la organización. Bajo este esquema, el empleado tiene la capacidad de acceso a los recursos de la organizacionales (correo electrónico, base de datos, aplicaciones e información) con sus dispositivos personales. Estas herramientas fueron diseñadas para tareas hogareñas, las cuales, si bien no son inseguras, pueden tener servicios no autorizados por la organización, o virus/troyanos que pueden comprometer la cuenta personal del trabajador y, en consecuencia, poner en riesgo la información accedida durante la comunicación. Por lo cual, esta alternativa representa una solución momentánea al problema, pero a futuro debe ser analizada y evaluada en relación con la seguridad y privacidad que deben tener los dispositivos.

3. Seguridad de la Información.

Uno de los riesgos del teletrabajo es que la seguridad de los datos depende, en gran medida, de la precaución y el control de los propios usuarios. Trabajar con datos en la nube no es inseguro. Las principales entidades especializadas en el ámbito de la ciberseguridad afirman que, actualmente, la nube es la opción más segura para el acceso remoto una vez que garantiza la privacidad de los datos de los usuarios; de hecho, el INCIBE (Instituto Nacional de Ciberseguridad de España) recomienda “buscar una solución tipo cloud para acceder a las aplicaciones o herramientas”. Lo importante de trabajar datos en la nube es definir protocolos de seguridad y buenas prácticas, como por ejemplo, no conectarse a redes públicas ni abrir correos electrónicos de remitentes sospechosos.

En la situación actual provocada por el coronavirus, es muy importante trabajar con proveedores tecnológicos cuya nube esté certificada e incorpore las medidas de seguridad más avanzadas, aunque se recomienda hacer copias de seguridad por si se produce un ataque externo (hacker) y hay que recuperar la información secuestrada.

Además, cifrar la tecnología remota para realizar las actividades mejora en gran medida la seguridad de los dispositivos y los datos. Los sistemas de cifrado de correo electrónico también ofrecen una capa adicional. Esto puede ser un mitigante para las organizaciones muy reguladas (actividad médica, por ejemplo) o para las que el cumplimiento constituye un elemento de preocupación.

Otro tema de suma importancia para la seguridad de la información es la sensibilización y formación de los trabajadores, debemos considerarlo como el primer paso para proteger los datos. Debe asegurarse que todos los empleados estén completamente capacitados y comprendan la importancia de cumplir con las políticas de seguridad, de manera que cada uno reciba la capacitación necesaria, que sea consciente sobre los riesgos asociados a la actividad que realiza en forma remota. Asimismo, debería hacerse hincapié en los conceptos más básicos, tales como la necesidad de proteger con contraseña cualquier dispositivo utilizado, o los peligros potenciales de las redes WiFi-públicas no seguras.

III. LA AUDITORIA Y EL TELETRABAJO.

En la actual coyuntura, muchos auditores se enfrentan a la necesidad de actuar de manera ágil y eficiente. Los organismos han implementado procedimientos operativos para el teletrabajo, junto con la tecnología para apoyarlo basada en la nube algo especialmente necesario. Sin embargo, el teletrabajo además plantea una serie de desafíos como son los problemas relacionados con la seguridad de la información, la ciberseguridad, interoperatibidad, protección y privacidad de datos, y la exposición a información confidencial.

Todos estos factores expuestos son los que le debe plantear dudas e incertidumbre al auditor en la forma que fue implementado este nuevo esquema de teletrabajo. Se debe tener en cuenta que dichos procesos no son un parche temporal y, pasada la etapa de pandemia, pueden integrarse a la digitalización y modernización de las organizaciones. Para ello existen determinados elementos que el auditor debe tener en cuenta y, en caso de no estar bien implementados, se podrá tomar una actitud proactiva y brindar el asesoramiento necesario para regularizar y normalizar los procesos y procedimientos, de manera que el ambiente de control se mantenga seguro.

Las etapas de la Auditoría siguen siendo las mismas, con la diferencia de que se deben mantener ciertos recaudos respecto al trabajo remoto. A continuación, se exponen las etapas de Auditoría y los elementos a tener en cuenta durante su concreción:

Etapa 1: Planificación

Con el fin de llevar a cabo una auditoría efectiva, primeramente se debe analizar un enfoque de acuerdo con el esquema tecnológico implementado en el organismo. El conocimiento que tenía el auditor respecto a la entidad y su entorno probablemente ha cambiado debido a las implicancias de la pandemia, pudiendo existir cambios en los objetivos, la estrategia y la forma o el medio de prestar los servicios. En este caso, el auditor debe considerar la manera en que estos cambios impactan sobre el ambiente de control interno del organismo, y para ello debe realizar una evaluación de riesgo ante este nuevo escenario, teniendo en cuenta la materialidad que representan estos cambios. Como ejemplo de escenarios de riesgos a evaluar, pueden mencionarse: el incremento de personal que está operando en forma remota; acceso a los aplicativos de la organización sin parámetros ciertos o eficaces de seguridad de la información; falta o inadecuada documentación que respaldan las operaciones que se realizan en forma remota; requisitos de cumplimiento que tienen mayor exposición; mayor riesgo de fraude, incrementado por el trabajo remoto.

Una vez analizados los nuevos escenarios de riesgo, se debe desarrollar el Programa de Auditoría, que debe realizarse como la forma de práctica, pero debiera incorporarse el soporte del responsable de la organización auditada para concretar horarios y disponibilidad de los auditados, disponibilidad de la información (o en caso contrario, puesta a disposición de medios a tal fin), acceso a los archivos y aplicativos, garantía de conexión y comunicación.

Etapa 2: Ejecución de la auditoría remota

Un elemento clave en la auditoría remota se basa en una conectividad adecuada (es decir, voz y video) para garantizar que la comunicación entre el auditado y el auditor sea estable. Una vez que la conexión esté en funcionamiento, se recopilarán pruebas de auditoría mediante entrevistas, revisión de documentación y registros (mediante el uso compartido de la pantalla), además de la observación de procesos y actividades (mediante el uso compartido de videos, si es posible). Todos los elementos se deben registrar para obtener evidencias que sustenten los hallazgos y conclusiones de la auditoría, y tal registro se efectuará utilizando técnicas remotas. Se debieran implementar nuevas herramientas y pautas con el fin de que las evidencias sustenten los hallazgos, asegurando el no repudio por parte del auditado. Algunos de los elementos claves que deben tenerse en cuenta en una auditoría remota son los siguientes:

Empleo de la tecnología:

• Videoconferencias: Es uno de los primeros recursos tecnológicos que se tienen en cuenta al realizar auditorías remotas, ya que ofrece a los auditores la capacidad de realizar entrevistas en vivo con los auditados y poder observar a los auditados como si estuvieran en una reunión in situ. Además, muchas plataformas de videoconferencia permiten compartir documentos en sus pantallas, para su visualización simultánea con otras personas en la entrevista.
• Intercambio seguro de datos: Los portales web seguros, por ejemplo, son de vital importancia para compartir documentos de forma segura. El correo electrónico suele prestar limitaciones en cuanto al tamaño o tipo de archivos y su confidencialidad, por lo que se ha vuelto usual el empleo de portales web seguros para revisar los documentos de los auditados y comunicarse con ellos. Algunos portales incluso tienen una funcionalidad de preguntas y respuestas, lo que permite una interacción adicional.
• Acceso remoto a aplicativos del auditado: acceder en forma remota a los archivos y aplicativos del auditado es un recurso fundamental para el auditor ya que esto permite hacer pruebas de auditoría en diversos temas y procesos administrativos. El acceso remoto debe permitir a los auditores revisar documentación y entender la forma en que se transmite la información entre diversos sistemas. La posibilidad de efectuar pruebas sin la participación del auditado brinda independencia al auditor.

Normas y procedimientos:

• Documentación: Es importante que los auditores continúen con el cumplimiento normativo organizacional. Existen, por ejemplo, obligaciones en torno a la documentación de las pruebas que deben tenerse en cuenta, y también es necesario relevar la calidad de la documentación de soporte a las actividades, incluso cuando la auditoría sea remota.
• Supervisión: En cuanto sea posible, es necesario conservar los mismos procedimientos que se emplean cuando se hace una auditoría in situ. Hay que evidenciar la comunicación con el auditado y la supervisión del trabajo efectuado, las actividades programadas y los cronogramas deben llevarse regularmente.

Elementos de riesgo a considerar en el transcurso de la auditoría:

• Políticas: La organización debe tener políticas y normas referidas tanto al control de acceso a las infraestructuras por parte de usuarios y dispositivos (Internet de las cosas -IoT-, BYOD, etc.), como a sus responsabilidades. Para tal fin deben existir políticas basadas en autenticación, configuración de dispositivos y/o identificación de roles de usuario, como por ejemplo: Políticas de Seguridad de la Información, Políticas de Riesgo, Políticas de Continuidad del Servicio, etc., y en cada una de ellas deben quedar formalmente registrado los convenios de confidencialidad y privacidad con los empleados; uso de claves seguras; aviso o denuncia ante eventos de riesgo; uso del correo electrónico; etc.
• Procedimientos operativos: En el teletrabajo, así como en cualquier otra actividad, se debe establecer claramente las actividades que deben ejecutarse, quién debe llevarlas a cabo y en qué momento. Deben definirse entregables y actividades de supervisión, validación y reporte. Los protocolos de comunicación entre los participantes son vitales, la documentación (electrónica) debe contar con medidas de integridad, seguridad y confidencialidad, conforme a las circunstancias y medios utilizados.
• Documentación: Compartir documentos, enviarlos por correos electrónicos o simplemente auditar el acceso a los documentos es una tarea esencial en la protección de la información. Disponer de mecanismos para tener una auditoría sobre los documentos en todo momento brinda a los sistemas una protección de confidencialidad e integridad de datos. Se debe proteger los documentos en los siguientes aspectos:
  a. La documentación tiene que ser accesible por las personas autorizadas.
  b. Se debe poder tener trazabilidad del documento.
  c. Se debe incrementar los controles de confidencialidad, tales como cifrar los documentos cuando se transmiten por canales o medios que no son propios (WIFI, Internet, etc.).
  d. Identificar si el documento se intenta abrir o se abre desde una ubicación extraña o no permitida, o no tiene los controles suficientes que permitan a un usuario sin permisos acceder a él.
• Correo electrónico: Se han planteado escenarios donde los usuarios puedan acceder al sistema de correo electrónico corporativo desde equipos informáticos no gestionados por la organización a través de internet; se deberá reforzar la inspección de los e-mails antes de ser entregados a los usuarios. De lo contrario, las probabilidades de un ataque se incrementan considerablemente, dado que los dispositivos particulares, bajo acceso remoto, no garantizan una seguridad adecuada.
• Otros elementos para tener en cuenta:
  a. Tener instaladas las ultimas actualizaciones del sistema operativo.
  b. Tener actualizados los antivirus con la mayor frecuencia posible.
  c. Incorporar, si no estaba implementado, el uso del doble factor en los accesos a sistemas, equipos, accesos remotos, etc.
  d. Tener activados servicios de monitorización con alertas definidas.
  e. Tener habilitados canales seguros de comunicación para reuniones virtuales en internet.
  f. Restringir y montar unidades mapeadas del organismo en equipos remotos inseguros.
  g. Tener listados de personas, direcciones IP, teléfonos, correos electrónicos corporativos y alternativos relacionados con el acceso a los sistemas de forma remota.

No se deben utilizar datos sensibles de la organización o información que legalmente deba ser protegida en equipos que no pertenezcan a la organización. Si los miembros de una organización deben enviarse correos internos, pero sin poder utilizar la red interna, es conveniente usar mecanismos de cifrado, como por ejemplo aplicaciones de cifrado basadas en AES que permitan el cifrado de cualquier tipo de información y así mantener la confidencialidad.

Etapa 3: informes de auditoría

Además de un informe de auditoría estándar, los informes de auditoría remota también deben incluir detalles sobre los métodos de auditoría remota, aportando como evidencia los elementos que se han utilizado, de manera que permitan aclarar la efectividad de la auditoría para lograr los objetivos establecidos.

IV CONCLUSION

En consecuencia, se debe asumir el teletrabajo y el resto de los cambios que lo acompañan como algo estructural y no coyuntural. Es momento de evaluar esquemas organizacionales y culturales que limitan afrontar mejor esta crisis y prepararse para desarrollar nuevas formas de trabajo. Esto llevará a poder resolverlas y permitirá redefinir un plan estratégico que mejore la metodología, directrices y herramientas que permitan el trabajo remoto con garantías, generando así buenas condiciones técnicas y humanas.

ISSN electrónico 2718- 6784