Teletrabajo, ciberseguridad y tercerización de recursos especializados: La nueva normalidad.
Desde que inició el virus hasta su evolución a pandemia, el Covid ha presentado desafíos a las empresas en materia de procesos, políticas y tecnología para lograr adaptarse a cada fase de la crisis. Inmediatamente se cuestionaron cómo y cuál sería el escenario si los empleados deberían trabajar desde sus hogares como manera de amortiguar el impacto tomando la tecnología como herramienta principal.
Estos retos han sido por supuesto la continuidad de la operación, el teletrabajo, la ciberseguridad, límites y datos y en cada uno de ellos el personal de tecnología de la información y sistemas de información han sido protagonistas. Antes de la pandemia, en muchas empresas el teletrabajo o “work from home” era un beneficio uno o dos días de la semana, incluso en algunos casos sigue siendo un tema tabú sobre todo en donde hay gerentes que creen que la productividad de su personal se basa en la presencia física de estos con el cumplimiento de un horario estricto. Hoy las reglas y porcentajes han cambiado, la mayoría de esos gerentes han cambiado su parecer al respecto y ven los beneficios y ahorros en costos y gastos que esta implementación les genera.
Es responsabilidad del departamento de tecnología informar a la gerencia y otros directivos sobre riesgos informáticos sin excepción, y los miembros del departamento deben, más que nunca tener presente que los ciberataques pueden y aumentarán considerablemente. Por supuesto que la organización tecnológica no es lo misma para una pyme que para una empresa. Por lo general las pymes tienen soluciones en la nube y de alguna manera quienes tienen resuelta esta estructura lo resolvieron en el pasado para disminuir costos de soporte y compras de IT, principalmente para lo que es correo junto con herramientas de colaboración. Quizá no para lo que son servidores de archivos compartidos, pero con la ayuda de pendrives y alguna que otra carpeta compartida pueden resolverlo en el caso de ir a sus casas. En el caso de las medianas a grandes organizaciones o empresas hay un par de temas a tener en cuenta:
-
Seguridad informática:
- Los accesos deben ser a través de redes privadas virtuales (VPN). Debidamente identificados por grupos de usuarios y roles. En el caso de aquellos que posean altos privilegios limitar la conexión a una dirección IP específica.
- El segundo factor de autenticación (y en algunos casos: múltiples) es necesario.
- Cambiar las contraseñas existentes por nuevas y robustas.
- No compartir las contraseñas con nadie. Tampoco decirlas a través de ningún medio y si fuera necesario, a través de medios diferentes el usuario, el password y el detalle.
- Al finalizar cada jornada de trabajo desconectarse de la VPN.
- Se debe sugerir a los empleados que por cuestiones de seguridad no utilicen conexiones de Wi-Fi gratuitas y/o compartidas con vecinos.
- Por la seguridad de la información sería ideal que las personas eliminen la información de sus computadoras personales una vez superada la cuarentena.
-
Registro de acciones y conexiones:
- Tener un registro claro y detallado de quién, cómo y cuándo accede o accedió cada punto de información para control, esto significa un Log de todo y todos.
-
Aprovechar las nuevas herramientas disponibles:
- Telefonía IP: Permite llevarse el teléfono interno de la oficina al celular o transferir/desviar las llamadas entrantes en caso que IP no sea una opción.
- Escritorios virtualizados: Ayudan a que los usuarios no sientan el cambio de estación de trabajo y hacer más fácil la adaptación para quienes no tienen conocimientos en trabajo remoto.
- Reuniones virtuales: Zoom, Skype, Gotomeeting, Microsoft Teams, Google Meet y Cisco Webex, son ejemplos de herramientas que reemplazan la sala de reuniones física por una virtual, y constan con todas las herramientas para hacer este paso más suave y transparente.
-
Ancho de banda:
- Ampliar el ancho de banda de los enlaces de conectividad y hacerlos redundantes y simétricas. Es importante que la bajada sea igual que la subida, pero además un corte en la única conexión puede arruinar el plan entero de teletrabajo.
-
Monitoreo de incidencias:
- Tener herramientas con personal que pueda detectar de manera rápida cualquier tipo de incidencia va a ayudar a contener y evitar un desastre de la información. Un virus físico como el Covid, no nos puede desenfocar de que también existen los virus y ataques informáticos.
-
Manuales de procesos y políticas organizacionales:
- Deben ser amigables y fácil de entender para todos.
- Las mesas de soporte no darán abasto y los primeros días todos tendrán diferentes necesidades "urgentes y/o para ayer".
- Será elemental la utilización de tickets de soporte y, sobre todo: la paciencia.
- Refrescarles a los usuarios las políticas de seguridad y organizacionales, procesos escritos y vigentes es mandatorio.
-
Conexiones de escritorio remoto:
- Herramientas como Teamviewer, AnyDesk, LogmeIn, pcAnywhere o Remote Desktop de Microsoft no presentan la seguridad necesaria si se realiza de forma directa sin un VPN.
- Implica que las computadoras queden encendidas lo que en algunos casos no están preparadas sus fuentes para estarlo como si fuesen servidores. Esto podría ocasionar desde cortocircuitos hasta incendios.
- Un simple corte de luz puede arruinar el plan completo si no se tienen las UPS o unidades de energía de soporte.
- Es importante resaltar que estas mismas soluciones sí podrán ser de ayuda para el personal de soporte con los empleados en caso de algún evento.
-
Concientizar al personal sobre ciberataques:
- Un punto importante es el phishing, la cual aumentó significativamente durante estos meses de teletrabajo, aprovechando la emergencia y la implantación de procesos que no cuentan en todos los casos con seguridad y validaciones.
- Puede generar serios dolores de cabeza hacer click y abrir correos falsos.
- Las personas en sus casas y en sus equipos personales, deben tener antivirus actualizados (incluso los gratuitos), firewalls activados y eviten la descarga de programas y contenido ilegal que puede venir con malware.
- La empresa y el equipo de soporte (interno o externo) deberá generar guías básicas, sugerencias y políticas que protejan la seguridad sin afectar la privacidad y decisiones sobre sus equipos personales.
- Una navegación segura ayudará a protegerse.
-
Establecer un proceso formal y estable de respaldos:
- Aumentar la periodicidad de los backups y tener más históricos. El robo de información como también el daño informático son temas que no se deben olvidar y estarán muy presentes.
-
Legales:
- Los colaboradores deberían firmar un documento en esta situación excepcional en donde se detalle el compromiso de uso de la información de la empresa en una computadora externa a la organización como de igual manera, en el hipotético caso de que los empleados deban instalar un software de la organización en las computadoras, los alcances y responsabilidades de ello.
- Manejar el licenciamiento en este tipo de situaciones extremas es un tema complejo e incluso muchos desarrolladores de software están cediendo temporalmente licencias de programas con el fin de ayudar a que el teletrabajo sea posible.
-
Revisar las alarmas y cámaras de seguridad:
- Las oficinas quedarán cerradas pero la seguridad física de las mismas no deberá descuidarse.
-
No son vacaciones o cambios en las jornadas de trabajo:
- Hay miles de personas en nuestro país que desde hace años trabajan desde sus casas y esta situación no los afecta, a lo sumo trabajarán la presencia de sus hijos aquellos que los tengan en sus casas si es que en los establecimientos educativos también mantienen cerradas las puertas.
- Es importante entre jefes y empleados no abusar de la situación respetando los horarios de trabajo, es decir, si ya sabemos que el empleado está trabajando por ejemplo hasta las 18hs, no llamarlo a las 20hs para saber si recibió un mail y pedirle que lo responda. La vida personal transcurre igual que antes.
- Se deberá ser flexible pero también establecer objetivos claros por día o por tarea y monitorear regularmente su avance.
-
Otros:
- En los lugares de trabajo donde esta implementación resultase exitosa, cambiarán para siempre la metodología de trabajo y muchos gerentes se darán cuenta que el teletrabajo puede aumentar la productividad de sus empleados como también la satisfacción de ellos.
- Toda institución debe respetar la Ley de Datos Personales y tener especial cuidado con los datos de la salud. Se debe informar en grupos cuando hay algún infectado, pero no divulgar su identidad sin importar si lo hace puertas adentro y/o afuera de la organización.
-
Tercerización de recursos:
- Algunos de los recursos que pueden ser tercerizados son aquellos que no forman parte del negocio principal de la empresa (contabilidad, mercadeo, soporte técnico, TI, desarrollo de software, procesos, administración de proyectos, capacitaciones, etc.).
- Las razones para recurrir a la tercerización de help desk se siguen sumando, y como además los contratos se asocian a SLAs (o acuerdos de nivel de servicio) muy concretos, las empresas hoy se sienten más seguras. Y esto hace que tener un servicio tercerizado tome fuerza en estos momentos de incertidumbre.
- Existen modelos de tercerización basada en tiempo consumido (por horas, días, semanas o mensual) o por objetivos (por tarea, por servicio, cantidad de incidentes o por proyecto).
- El servicio se mide por KPIs (o indicadores de desempeño) que ayudarán a la gerencia a evaluar el servicio.
- Los riesgos se disminuyen al ser transferidos a expertos en las materias específica y dejan la operación principal al negocio sobre todo en tiempos donde nos debemos enfocar en el negocio y en su productividad y eficiencia.
- Los costos se afectan ya que cargas sociales, salarios y otras remuneraciones son absorbidas por el proveedor.
- Costos variables se transforman en fijos.
- El reemplazo es obligación del proveedor, ya que cobra por servicio y no cuando este no funciona o no se encuentra laborando.
-
Personal capacitado:
- Un personal capacitado es fundamental para enfrentar las situaciones de crisis.
- Capacitación no siempre es sinónimo de altos costos.
- Plataformas como Udemy, Pluralsight, Lynda o Coursera son ejemplos de plataformas de conocimiento, e incluso algunas ofrecen entrenamientos de en paquetes, de cortesía y hasta gratis para diferentes tipos de empresa.
- El manejo de los recursos tercerizados es manejado por los proveedores de servicios.
- Los Webinars son herramientas muy importantes para actualización de conocimiento y el balanceo del mismo dentro de la empresa. Los colegios profesionales y algunos proveedores de servicios constantemente brindan este tipo de beneficio a sus clientes y afiliados de manera gratuita.
- La conversación de 2 gerentes es muy oportuna y fuerte para terminar este tema y reza:
- Que pasa si invierto en entrenamiento y capacitación para los empleados y se van?
- Mejor pregúntate que pasaría con tu empresa si no los capacitas y se quedan?
En Asicon Consulting le ofrecemos servicios de desarrollo de software, infraestructura, desarrollo de páginas web, venta de equipo, contabilidad, servicios de tecerización de recursos, administración de proyectos, optimización de procesos y capacitaciones. Contáctenos!
Este artículo tomó como referencia un artículo de tecnología de www.iProfesional.com: "Teletrabajo en tiempo de coronavirus: qué desafíos deben enfrentar las empresas" y otros artículos propios de www.asiconcr.com.