¿Cómo impactó el COVID-19 las operaciones de TI?

Por Marlon Tello, gerente de PwC

Las organizaciones a nivel mundial han sido afectadas por la aparición del COVID-19, lo que ha llevado a muchas de ellas a modificar sus modelos de negocio para poder adaptarse a la nueva realidad. Este cambio implicó, en la mayoría de los casos, modificar los procesos que la organización ya tenía establecidos, por lo que fue necesario involucrar al área de TI como parte importante de soporte al negocio.

Es imperativo que las operaciones del área de TI se encuentren alineadas a los objetivos del negocio, ya que cumplen un rol primordial. No debemos olvidar que los cambios en los modelos de negocio no solo modifican los riesgos a nivel del proceso de negocio, sino también a los procesos que gestiona el área de TI.

Desde que inició el estado de emergencia en Perú, las organizaciones han tomado decisiones que han impactado de manera directa en las operaciones que venía ejecutando el área de TI. Una de ellas fue la implementación de nuevos sistemas o funcionalidades adicionales sobre las plataformas e-commerce utilizadas para interactuar con los clientes.

Esta situación modificó los planes que tenía el área de TI para el año 2020 y, en muchos casos, al no estar preparada para estas solicitudes de “emergencia”, se redujo el tiempo de ejecución de ciertos procedimientos de control para cumplir con lo solicitado por el negocio. Esta situación llevó a que no se realice una adecuada evaluación de riesgos sobre los procesos impactados por estos nuevos cambios que el área de TI pasaba a producción teniendo como resultado cambios con errores o vulnerabilidades no cubiertas.

Otro de los cambios que pudo haber impactado la operación del área de TI fue la medida de “suspensión perfecta”, dictada por el gobierno peruano. Contar con personal reducido para atender las operaciones de la empresa tuvo un impacto significativo en la gestión de accesos a los sistemas de la organización, especialmente al realizar retiros o bloqueos masivos al iniciar la “suspensión perfecta”, para evitar posibles contingencias laborales con trabajadores que, durante ese estado, ingresaran a los sistemas de la organización.

Si bien esta medida no fue aplicada a todos, es probable que quienes mantuvieron su puesto hayan tenido la necesidad de solicitar accesos adicionales para poder cubrir todo el ciclo del negocio, que antes era atendido por más personas, con el riesgo de asignar cuentas de usuario con conflictos de segregación de funciones.

No obstante, quizá uno de los cambios más importantes que ha debido llevar a cabo el área de TI es conectar de manera remota a prácticamente todos los trabajadores. Esta tarea no ha sido menor y ha implicado muchas variantes, desde compra de nuevos equipos portátiles, traslado de equipos de escritorio de la oficina al hogar, hasta la implementación de software de conexión remota como VPNs y escritorios remotos que permitan a los usuarios conectarse desde un dispositivo personal a la red de la oficina. Estas soluciones han permitido dar una continuidad a los negocios, pero es importante contemplar que han aparecido nuevos riesgos de seguridad de información en cada una de estas, los cuales deben mapearse y mitigarse.

En el Perú, las grandes organizaciones cuentan con áreas que actúan como segunda línea de defensa como la de gestión de riesgos, seguridad de información o control interno; y auditoría interna, que cumple una labor de tercera línea de defensa. Juntas, estas áreas pueden ayudar a la de TI, que es la primera línea de defensa, en la identificación de los nuevos riesgos y monitoreo de los controles que han sido implementados a raíz de los cambios producidos por la pandemia.

Sin embargo, en las empresas medianas y pequeñas, dichas áreas pueden no existir o no contar con personal especialista en TI, por lo que podrían optar por buscar la participación de algún tercero que brinde dicho servicio de identificación de riesgos y revisión de controles de TI, como parte del control o auditoría internos.

Los cambios por la coyuntura del COVID-19 han tenido un impacto significativo en la organización, por lo que se debe optar por mantener un adecuado control interno, contemplando entre otros los siguientes aspectos: reforzar los programas de capacitación a toda la organización con temas de seguridad de información, implementar monitoreos sobre los accesos a la información sensible de la organización, mantener los antivirus, antimalware, parches de seguridad actualizados e incorporar a su plan de continuidad de negocio (PCN) un escenario adicional: la aparición de una pandemia.

Deja un comentario