Trabajo desde casa y ciberseguridad

enriquedans.com

El cambio en los hábitos de trabajo desencadenado por la pandemia de coronavirus está llevando a que muchas compañías que, en la práctica, no estaban preparadas para ello, se hayan visto obligadas a aceptarlo por necesidad, con todo lo que ello conlleva.

Por un lado, compañías anticuadas, generalmente obsesionadas con el presentismo, que nunca se preocuparon por hacer seguras unas conexiones desde el exterior porque jamás concibieron que sus empleados trabajasen desde ningún sitio que no fuese la sede de la compañía, y que se encuentran ahora con una total ausencia de protocolos, prácticas y herramientas para ofrecer canales mínimamente seguros para su información, que las convierten en completamente vulnerables.

Por otro, compañías con directores de seguridad rayanos en lo paranoico, con prácticas que nunca estuvieron pensadas para posibilitar el trabajo en remoto, y que, al intentarlo en función del nuevo contexto creado por la pandemia, se encuentran con que sus políticas prácticamente impiden que sus empleados se conecten a sus sistemas.

Sea por exceso o por defecto, la cuestión es que todo indica que la pandemia va a redefinir en muchos sentidos la forma en la que se trabaja en muchas compañías, provocando que muchas de las prácticas que en muchas empresas se comenzaron a imponer debido a las medidas de seguridad necesarias para combatir la expansión de la pandemia alcancen un cierto nivel de consolidación.

Esto nos lleva a una eterna pregunta: ¿cuáles deberían ser las características de un responsable corporativo de seguridad? La primera cuestión es evidente: dado que hablamos de un entorno en constante cambio, debe tener un nivel de actualización elevadísimo, permanente, que le permita conocer la gran mayoría de las amenazas y las herramientas que un eventual atacante podría utilizar, unido a un nivel de competencia técnica que le posibilite entender esas amenazas y hacer frente a ellas. Hasta aquí, los requisitos imprescindibles del puesto, y es importante subrayar lo de «imprescindibles», precisamente porque muchos que están en ese puesto, desgraciadamente, no los tienen.

Pero como todo puesto, además, de unos requisitos imprescindibles, tiene otros «deseables», con una frontera entre unos y otros que tiende a resultar más bien difusa. Y aquí entran una serie de criterios que tienen mucho más que ver con lo psicológico que con lo técnico, pero que como bien saben los buenos expertos en seguridad, pueden llegar a ser imprescindibles: aquí, además de hablar de la tan traída y llevada ingeniería social, tenemos que mencionar una característica fundamental, llamada empatía. La empatía se define como «la capacidad de percibir, compartir y/o inferir los sentimientos, pensamientos y emociones de los demás», y en un ámbito como el de la ciberseguridad, resulta completamente fundamental.

Pensar en un responsable de ciberseguridad como en una persona que se limita a dicta normas e implantar herramientas sin más es completamente absurdo. Conocer a las personas cuya actividad tienes que supervisar es fundamental, y puede evitar sentimientos de frustración, sobre todo en un momento en que conviven en la sociedad personas completamente ignorantes en este ámbito con otras que poseen niveles de información razonablemente elevados. La regla de oro es clara: si crees que tu trabajo se mide únicamente por la ausencia de intrusiones o problemas de seguridad, te equivocas: cada vez que una de las personas a tu cargo se encuentra en una situación de no poder acceder a información imprescindible para su trabajo, es que has hecho algo mal. El pensamiento que apunta a que la única responsabilidad de un director de seguridad es impedir violaciones de la misma es enormemente simplista, porque para eso, bastaría con cerrar a cal y canto toda la información dejando fuera a todo el mundo incluidos los que legítimamente necesitan acceder a ella, algo que resultaría obviamente absurdo.

La seguridad se expresa de muchas maneras. Si pretendes obligar a que tus empleados memoricen contraseñas cada vez más largas y complejas que además les obligas a cambiar cada tres meses en lugar de enseñarles a utilizar un gestor de contraseñas, te encontrarás con que, lógicamente, se las apuntan en un post-it y las pegan en el lugar donde las necesitan habitualmente. Si implantas un sistema de doble factor y no formas adecuadamente a las personas en su uso, seguramente provocarás situaciones rayanas en lo ridículo. Si no tienes en cuenta el impacto de cambiar las prácticas habituales de las personas que trabajan contigo, es posible que dejes sin acceso a quienes no deberías dejar fuera, con lo que ello conlleva de frustración o de pérdida de productividad.

La ciberseguridad va mucho más allá de simplemente evitar que alguien acceda a donde no debería acceder: también es importantísimo que el que debería poder acceder, pueda de hecho hacerlo sin tener que dar saltos sobre un solo pie mientras recita un mantra indescifrable. Si en un contexto excepcional como el actual te encuentras con una oleada de protestas de tus empleados que afirman que los protocolos de seguridad de tu compañía les impiden hacer su trabajo con normalidad, no lo dudes: por mucho que no hayas tenido intrusiones ni incidentes importantes últimamente, probablemente tienes al responsable de seguridad equivocado.

Cuando la crisis viene bien: las empresas de teletrabajo en auge

Mientras la economía se hunde por la crisis del coronavirus, las empresas de teletrabajo hacen el ‘agosto’

Javier Gil, trabajador en una consultora tecnológica de Zamora, es uno de tantos de miles de empleados que se ha visto afectado por la crisis del coronavirus de alguna u otra manera. Él y la compañía en la que trabaja; donde se han visto obligados a implantar “por primera vez el teletrabajo y de manera excepcional siguiendo los consejos del Ministerio de Sanidad”, explica.

Esta crisis es la prueba de fuego para miles de pequeñas y medianas empresas –el grueso del tejido productivo en el país– que, pese a las peticiones del sector y de sus propios empleados durante ya largo tiempo, han evitado implantar sistemas de trabajo a distancia de forma escalonada.

De hecho, las cifras siempre han estado en contra. España se encuentra a la cola de los países de la Unión Europea en lo que a implantación del teletrabajo se refiere. Un 4,3% de los empleados accede a esta modalidad de forma recurrente según datos del Eurostat; un 7,9% a finales de 2019 según un último estudio de Adecco como récord histórico y puntual. Esto supone que solo 800.000 trabajadores operaban antes de la crisis pandémica desde su casa al menos una vez por semana. Ahora, y por una cuestión coyuntural, estos datos escalarán durante al menos dos semanas.

Las recomendaciones del Ministerio de Sanidad llegaron junto a los primeros contagios en las grandes ciudades de España; con ellos, las dudas, el caos y la huida en masa de empleados a sus hogares ordenador en mano; otros, empleados en sectores de imposible implantación, se preguntan por el futuro de su puesto de trabajo.

En cualquier caso, los que, de momento, no registraron contagios ya estaban planeando el inicio de la actividad en el hogar a partir del lunes 16 de marzo, si no antes. De hecho, ya son varias las operadoras que han regalado más datos a los contratos de fibra para soportar el incremento de la actividad en los hogares. Otros siguen a la espera de ver la evolución del virus en sus respectivas comunidades y de los círculos de decisión de sus compañías.

Como tantos otros, Javier alega que, de momento, “la información aportada por su empresa es escasa”

Pero la sensación es la misma. Como tantos otros, Javier alega que, de momento, “la información aportada por su empresa es escasa”. Una cuestión que no solo afecta a la pequeña y mediana empresa: según ha podido saber Hipertextual empleados de grandes compañías como Airbus, Prisa o El Corte Inglés han sufrido las mismas idas y venidas, caos y desconocimiento del estado de la situación desde hace días. Pese a sus dimensiones, el miedo a la poca disponibilidad de ordenadores portátiles y el miedo a las filtraciones de datos –como ya le pasase al Grupo Prisa en la Cadena Ser– siguen muy al día.

Y no es de extrañar, la experiencia general hasta la fecha ha sido nula: “Entre los trabajadores existe un poco de desconcierto en estos momentos, en parte por no tener claro que exista una organización previa que lo permita, así como por el desconocimiento y la rutina de tener todo tipo de respuestas e infraestructuras al alcance en la propia oficina”. Protocolos y sistemas de gestión externos enfocados a un trabajo a distancia más allá de herramientas como Zoom o Skype.

Los ganadores del momento

Mientras las compañías, principalmente del sector turístico y servicios, estudian las ya más que seguras pérdidas que estos meses de parón tendrá para las cuentas anuales, otras llevan semanas registrando un pico de trabajo muy por encima de lo que estás acostumbradas.

Son precisamente las compañías dedicadas al trabajo de forma remota las que más negocio están registrando en este momento. Un sector que, hasta la fecha, si bien aprovechaba un creciente interés por los nuevos modelos de empresa seguía en un discreto segundo plano.

“En España ni hay cultura ni se ha puesto mucho interés en el teletrabajo. Asusta mucho porque hay desconfianza en los empleados por si no cumplen o no van a ser productivos”, explica Silvia Martínez de Sesame Time, compañía dedicada a la implantación de soluciones para el teletrabajo. Una posición que comparte Pedro Martínez desde otra empresa del sector, Aruba; donde añaden que “quizá España ha estado viviendo más bajo la cultura del presencialismo enfocado en cuestiones muy diferentes a las de productividad y trabajo por objetivos”. Es, ante todo, una cuestión de confianza en el empleado y mejora de las tareas de gestión.

Ahora, ambas compañías están registrando un pico de peticiones por parte de cientos de compañías con las que, sin la crisis del coronavirus, no habrían tenido ninguna posibilidad. Es, después de todo y según explica Pedro, “una situación que ha forzado a muchas empresas que han tenido que improvisar”.

No es un problema de tecnología, eso lleva ya años desarrollado, lo que viene ahora es la prueba de fuego de la confianza en los empleados

Pero de la necesidad y de la improvisación de unos, al beneficio de otros. “Desde el jueves, los registros se han triplicado”, explican desde Sesame Time, esto les ha supuesto pasar de los 3.100 clientes a los 3.300 en apenas unas jornadas. En menos de una semana han hecho el trabajo de meses o, incluso de todo el año. Y no solo de los que no cuentan con ningún sistema, también de los que necesitan ampliar sus plataformas para dar cobertura a más equipos en remoto. Una situación similar a la de Aruba. “La última semana hemos notado un crecimiento muy grande”, explican, “si antes teníamos 3 o 4 consultas al mes, ahora las hemos multiplicado por 6 en solo una semana”.

Y lo más importante en este momento, pregunta que hacen todos, es por el tiempo de implantación. Tanto Aruba como Sesame Time responden las mismas inquietudes por parte de los posibles clientes. La urgencia es máxima y las soluciones deben ser rápidas y, lo más importante, sencillas. “Las empresas quieren que el proceso sea lo menos disruptivo posible para que no se vea afectada la productividad y el cambio sea rápido”, explica Pedro.

En este contexto todos añaden la misma coletilla: no es un problema de tecnología, eso lleva ya años desarrollado, lo que viene ahora es la prueba de fuego de la confianza en los empleados. Ambas compañías esperan, asumiendo la gravedad coyuntural, que esta mala época sirva para mejorar las cifras de teletrabajo a futuro. “Está feo, pero es una oportunidad para nosotros”, comentan desde Sesame Time, “creo y espero que esta crisis sirva para trabajar de otra manera”.

Especialmente con la llegada de las nuevas generaciones que, entre otras cosas, ya exigen estos sistemas. “Esto va a remover la conciencia de muchas empresas y se van a dar cuenta de que funciona”, culmina Pedro.