Auditoría de entornos de teletrabajo eficaces y seguros en el sector público de Georgia con gobernanza de TI
La creación de un entorno de teletrabajo eficaz y seguro para el teletrabajo en el sector público requiere de políticas claras, una planificación cuidadosa, tecnología e infraestructura, seguridad de datos, medición del desempeño, así como una atención especial a la productividad del personal – y las entidades fiscalizadoras del sector público están llamadas a desempeñar un papel para asegurar un entorno así.
A medida que se ha ido digitalizando el sector público, la dependencia de las organizaciones de las tecnologías de la información (TI) ha ido creciendo a un ritmo vertiginoso. Esta dependencia se traduce en la necesidad de una gestión eficaz y eficiente de las TI, algo que se consigue mediante la actuación coordinada de la alta dirección y los mandos intermedios. Particularmente, las decisiones tomadas en los procesos de TI a nivel estratégico y operativo deberían contribuir a la consecución del objetivo principal de la organización, que es, en primera instancia, la gestión eficaz de su actividad y la seguridad de la información. Por ello, disponer de una estrategia, políticas, procedimientos y planes de acción predefinidos es un requisito previo para una gobernanza eficaz de las TI.
La gobernanza de TI eficaz ha ido ganando en importancia desde el estallido de la pandemia de COVID-19, cuando las organizaciones públicas se pasaron al teletrabajo como respuesta a los imperativos del distanciamiento social. Esta transición creó una situación de emergencia para los organismos y, junto a la adopción de decisiones efectivas por parte de la dirección, suscitó la necesidad de contar con los recursos de trabajo materiales y técnicos correspondientes. Según las mejores prácticas, unas reglas comunes y unas condiciones estándar para la ejecución del trabajo en situaciones de emergencia ayudan a la organización a tomar las mejores decisiones.
La Oficina Estatal de Auditoría de Georgia (SAOG) analizó las decisiones administrativas adoptadas por los ministerios auditados para pasar al modo de teletrabajo, así como la eficacia de su implementación durante la pandemia en Georgia. A raíz de este examen, la SAOG ha podido constatar las siguientes circunstancias:
- Los ministerios auditados no habían desarrollado planes de continuidad operativa y de recuperación que les pudieran haber ayudado a reaccionar a tiempo ante la pandemia. Además, las entidades auditadas no contaban con una política de teletrabajo con unos requisitos mínimos de seguridad de la información. En materia de teletrabajo, es particularmente importante que los organismos desarrollen políticas que definan las condiciones y limitaciones relacionadas con el mismo. La existencia de este tipo de políticas ayudaría a las entidades auditadas a hacer un mejor uso de los activos y a cumplir los principios de seguridad de la información cuando pasan al modo de teletrabajo.
- En el proceso de transición al teletrabajo, muchos empleados de las entidades georgianas auditadas no recibieron de las administraciones los equipos informáticos adecuados y tuvieron que utilizar sus propios dispositivos para trabajar. En algunos casos, y pese a haber sido equipados con el hardware necesario, los siguieron utilizando, debido al bajo rendimiento o a lo anticuado del material facilitado por las oficinas. En este sentido, cabe destacar las siguientes circunstancias y conclusiones:
- De las organizaciones auditadas, ni el Ministerio de Economía y Desarrollo Sostenible de Georgia ni el Ministerio de Protección del Medio Ambiente y Agricultura de Georgia tienen inventariados y clasificados los activos informáticos de la organización. En la Agencia Nacional del Registro Público, la identificación de los activos relacionados con los procesos operativos actuales y la preparación del inventario correspondiente aún estaban en curso.
- El uso de ordenadores y dispositivos informáticos particulares por parte de los empleados no cumplía los requisitos mínimos en materia de seguridad de la información.
En consecuencia, las entidades auditadas no fueron capaces de evaluar los activos de TI en su poder en función de sus necesidades, ni de tomar las mejores decisiones sobre la asignación de equipos ni de determinar el nivel de seguridad apropiado.
- En el contexto del teletrabajo, los empleados tuvieron que utilizar redes externas que no estaban bajo el control de los servicios de TI de sus respectivas administraciones y que, por tanto, contaban con menos protección. Entre las mejores prácticas para resolver este problema está el uso de una red privada virtual (VPN). Pero, aunque las entidades auditadas facilitaron a sus empleados servicios de VPN en el momento oportuno, algunos se limitaron a utilizarla para acceder a servicios relacionados con el trabajo (por ejemplo, la Intranet), lo que les dejaba expuestos a los riesgos derivados de un acceso sin restricciones a la red externa desprotegida (véase la imagen 1).
Imagen 1: Requisitos previos para un entorno de teletrabajo eficaz y seguro
Para a mejorar la continuidad operativa de los servicios de TI, las tres entidades auditadas – los ministerios de Economía, de Agricultura y el Registro – recibieron dos recomendaciones principales.
- En primer lugar, se les aconsejó establecer un sistema de gestión que identificara al personal con la autoridad, cualificación y competencia adecuadas y que se encargaría de planificar, implementar y responder a las actividades relevantes para dar continuidad al proceso de gestión. Como punto de partida, se pidió a los ministerios que adoptaran una primera serie de medidas para elaborar planes de continuidad de los servicios destinados a mantener la continuidad de las actividades operativas críticas de la organización, y que realizaran periódicamente (al menos una vez al año) un análisis de las deficiencias en la continuidad de los servicios de TI para determinar tanto el estado actual como el deseado de la organización.
- En segundo lugar, para abordar los riesgos de seguridad de la información, se aconsejó a los ministerios que formularan una política o un procedimiento a efectos de garantizar que los sistemas operativos y el software contaran siempre con las licencias y las actualizaciones oportunas.
Además de ser la clave del éxito a la hora de establecer un entorno de teletrabajo eficaz y seguro, el equilibrio entre las necesidades de la organización y la concienciación de los empleados también pasa por una comunicación periódica y por demostrar voluntad de mejora. Este caso práctico de auditoría compartido por la SAOG pone de manifiesto los elementos esenciales en materia de eficacia y seguridad del entorno de teletrabajo. La comunidad auditora internacional puede intercambiar sus experiencias al respecto y así aprovechar las lecciones aprendidas.
Sobre los autores
Dr. Nino Kereselidze
Jefe de la División de Relaciones Internacionales y con Donantes
Oficina Estatal de Auditoría de Georgia
Sr. Giorgi Kapanadze
Jefe del Departamento de Auditoría de Rendimiento
Oficina Estatal de Auditoría de Georgia
iroffice@sao.ge