Toda empresa que se precie debe tratar de controlar los posibles riesgos que puedan aparecer en sus procesos de trabajo. Para ello, se debe auditar todos esos procesos. Es decir, que se debe comprobar si se están tomando las suficientes medidas de seguridad para evitar que ocurran esos problemas, o al menos, si ocurren, que sean los menos dañinos posibles.
En esta vida no tenemos ni tiempo ni recursos para realizar todo lo que querríamos. A las empresas les ocurre lo mismo en todos los ámbitos que se te ocurran, y obviamente, la auditoría no es una excepción. Para ello se deben controlar los riesgos En el anterior articulo ya he hablado de cuales son los riesgos más importantes a la hora de escoger qué es importante auditar. En este nuevo post vamos a ver ese paso siguiente en el que se crean los controles para evitar que esos riesgos ocurran.
Perdida de reputación
La reputación y la buena imagen han adquirido mayor valor desde la aparición de las redes sociales. Eso ha llevado a las empresas a estar siempre alerta de cualquier movimiento que pueda afectar a esos factores. Para ello se han generado nuevos controles que tratan de evitar que algún pequeño percance no se convierta en una bola de nieve gigante que se lleve la reputación de la empresa por delante. Para controlar ese descontento, en un artículo de ISACA [1] nos recomiendan mantener un control proactivo de los comentarios negativos que se hagan hacia nuestra empresa. Esto quiere decir que alguien debe encargarse de revisar los comentarios que se hagan sobre algo que tenga que ver con nuestra empresa y que trate de solucionar ese descontento o que rebata las afirmaciones falsas.
También se debe definir una estrategia de contenidos con la que el encargado pueda comprobar que las publicaciones están siguiendo la estrategia elegida.
Riesgo financiero
El riesgo financiero está asociado a la incertidumbre, es decir, a la posibilidad de que ocurra algo que se traduzca en pérdidas para la compañía. Este riesgo está muy ligado al resto puesto que cualquier percance en el resto de riesgos se acaba traduciendo en perdidas monetarias. Pero dejando de lado esos riesgos extraordinarios, si se puede controlar el gasto corriente que la empresa realiza en redes sociales. Se puede comprobar la rentabilidad de este gasto o si se está siguiendo la estrategia correcta entorno a las redes sociales, si comparamos los beneficios obtenidos en comparación con meses o años anteriores.
Infringir leyes
Dentro del ámbito legal he encontrado dos normativas que se deben tener en cuenta al estar presentes en las redes sociales. Primero, se debe comprobar que al realizar acciones publicitarias se cumple con lo que exige la normativa [2]. Segundo, se debe cumplir con la nueva modificación de la ley de derechos de autor [3] publicada el 2 de marzo de este mismo año. En este punto sería interesante disponer de un experto en auditoría legal.
Ciberseguridad
Dentro de los controles de ciberseguridad lo primero es tener un plan de control de contraseñas. En este sentido, el instituto nacional de ciberseguridad hizo un documento [4] con recomendaciones y una checklist con controles para garantizar la seguridad de las contraseñas.
Además de tener controladas las contraseñas de las cuentas, se debe monitorizar desde qué dispositivo se accede a estas redes. Lo más recomendable es que esos dispositivos no tengan acceso a la red interna de la empresa. De este modo si logran hackear la cuenta, por algún fallo del personal que se encarga de gestionar las cuentas, solo tendrán acceso a ese dispositivo y no a toda la red de la compañía.
Empleados descontentos
Se debe tener mucho cuidado con el control de accesos del personal que haya sido despedido o que se encuentre descontento. Si se despide a un empleado con acceso a las cuentas de las redes sociales de la compañía, se deben cambiar esos accesos, puesto que el empleado, puede empezar a mandar mensajes negativos a diestro y siniestro dañando la imagen de la compañía. También se debe comprobar que en la lista de empleados con acceso a las redes sociales solo estén los empleados que deben trabajar en ello.
Con esto ya hemos identificado cuales son lo controles que se deben realizar para cada riesgo. Pero con esto no basta. El auditor debe asegurarse de: Primero, que los controles se han implantado de forma correcta. Segundo, que tras ver los resultados, decidir si los controles pueden necesitar ser actualizados. Y tercero, plantearse si son necesarios nuevos controles.
Referencias:
[1] << What Every IT Auditor Should Know About Auditing Social Media >>, ISACA, https://www.isaca.org/Journal/archives/2012/Volume-5/Pages/What-Every-IT-Auditor-Should-Know-About-Auditing-Social-Media.aspx
[2] << Cómo se regula la publicidad. Conoce las leyes y la normativa >>, Jesuïtes Educació, https://fp.uoc.fje.edu/blog/como-se-regula-la-publicidad-conoce-las-leyes-y-la-normativa/
[3] << Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia. >>, BOE, https://www.boe.es/buscar/pdf/1996/BOE-A-1996-8930-consolidado.pdf
[4] << Políticas de seguridad para la pyme: contraseñas >>, INCIBE, https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/contrasenas.pdf
mikelcolmenares
Latest posts by mikelcolmenares (see all)
- La relación entre el BI y la sostenibilidad - 17 enero, 2020
- Algunas reflexiones sobre el avance tecnológico - 31 diciembre, 2019
- Elaboración de una estrategia de marketing para redes sociales - 1 diciembre, 2019
Deja una respuesta