En el post anterior hable de los riesgos principales en relación con la realidad digital. En este post, voy a centrarme en como podemos controlar dichos riesgos y en cual es el papel del auditor en este proceso.
Riesgos físicos
El primer riesgo identificado era la seguridad física. Por un lado, están las caídas o golpes que podemos sufrir al perder conciencia de lo que realmente tenemos a nuestro alrededor. Para evitar estos accidentes, es necesario tener lugares preparados para poder utilizar estas tecnologías sin peligro. Las dimensiones y características particulares de este entorno dependerán mucho del uso que se le da a esta tecnología. Si se usa para que un médico pueda ensayar una operación, no hace falta un espacio muy grande, vale con una silla, una mesa despejada y el material quirúrgico. En cambio, si se utiliza para que un bombero entrene como entrar en un edificio, rescate a alguien y apague el fuego, se necesita un gran espacio acondicionado específicamente para realizar dicha tarea [1].
En cuanto al daño a nuestros ojos, existen 2 medidas a tomar, por un lado, limitar en tiempo durante el cual se puede utilizar esta tecnología y por otro, asegurarse de que las pantallas de estos dispositivos están en buen estado en cuanto a brillo, resolución…
Por último, en cuanto a las repercusiones psicológicas del uso de esta tecnología, existen tres medidas. En primer lugar, hay que asegurarse de que los contenidos son los adecuados, de forma que los empleados no puedan verse afectados por, por ejemplo, es estrés que supondría que aparezcan decenas de objetos o textos delante nuestro y rodeándonos por todas partes. En segundo lugar, hay que asegurarse de enseñar a quienes vayan a utilizar esta tecnología a usarla de forma correcta, y de concienciarles de las repercusiones que puede tener hacer un mal uso de ella. Por último, la empresa debería asegurarse, especialmente al principio de la implantación de esta tecnología, de que esta no está teniendo impactos negativos en los empleados.
Privacidad
En lo que se refiere al apartado de privacidad, es de vital importancia, al igual que al hacer uso de cualquier otra tecnología, que esta se almacene de forma segura. Esto implica que el acceso a estar datos debe estar limitado, que solamente deberán poder acceder a ellos quienes tengan las credenciales para hacerlo, que estarán encriptados… Además, también es muy importante informar a los usuarios sobre que datos se van a recolectar, para que se van a utilizar, donde y como se van a almacenar, durante cuánto tiempo… Por último, la empresa tendrá que asegurarse de que el uso que hace de estos datos cumple con la GDPR (General Data Protection Regulation), y de las implicaciones legales que podría tener, por ejemplo, utilizar los datos recogidos para monitorizar a los empleados [1].
Seguridad
Al igual que en el post anterior, las partes de seguridad física y de privacidad de los datos ya las he tratado en los apartados anteriores, por lo que en este voy a centrarme en la seguridad de los equipos. Uno de los controles más importantes es disponer de un espacio seguro en el que almacenarlos cuando no se estén utilizando. Este espacio deberá tener un control de acceso, de forma que en todo momento se sepa quien tiene cada equipo y donde lo tiene. Además, es importante realizar revisiones periódicas de los quipos para asegurar que no han sido hackeados o que no tienen ninguna falla, y educar a quienes vayan a utilizarlos sobre cómo hacerlo de forma adecuada.
Por último, me gustaría añadir que, la propia realidad digital es una herramienta que puede utilizarse para mejorar la seguridad de la empresa. La realidad virtual, por ejemplo, puede utilizarse en esfuerzos de recuperación de desastres y simulaciones de salas de guerra ya que la planificación de la respuesta a incidentes puede llevarse a otro nivel con experiencias que se asemejan mucho a los eventos de la vida real. Asimismo, la realidad aumentada puede ayudar a las empresas a visualizar mejor las amenazas cibernéticas a las que se enfrentan [2].
Conclusiones
Como hemos visto, aunque existen muchos riesgos, también existen controles asociados a cada uno de ellos para poder hacer que el impacto de estos sea mínimo. En todos estos casos, el papel del auditor sería asegurarse de que estos controles existen y de que están correctamente implementados y utilizados. Además, en el caso de que no lo estén, debería informar a la empresa que esté auditando sobre la falta de los mismo y lo que esto puede suponer. Por último, también es importante que el auditor se mantenga al día con los nuevos riesgos que puedan ir surgiendo a medida que aumente el uso de esta tecnología y que vaya definiendo cuales son los controles necesarios para gestionarlos [3].
Referencias
[1] The risk and rewards of enterprise use of augmented reality and virtual reality. ISACA journal volume 1 2020
[2] Augmented and virtual reality go to work, Deloitte, https://www2.deloitte.com/pe/es/pages/technology/articles/la-realidad-virtual-y-la-realidad-aumentada-ahora-en-las-empresas.html
[3] La auditoría interna y su alianza con las nuevas tecnologías para un futuro promisorio, INCP, https://www.incp.org.co/la-auditoria-interna-alianza-las-nuevas-tecnologias-futuro-promisorio/