Llevamos ya varias semanas bajo el estado de alarma provocado por la crisis sanitaria del Covid-19. Esta situación está poniendo a prueba a los más exigentes planes de contingencia y continuidad de las organizaciones, y aunque parezca un enfoque frívolo, por lo dramático de la situación, es una excelente oportunidad para analizar fortalezas y debilidades ante este escenario.
Este escenario, donde las personas no tienen la posibilidad de acudir a sus puestos de trabajo, generalmente está vagamente contemplado en los planes de contingencia, donde por lo general se espera que falle la tecnología, o si acaso se contempla la falta de disponibilidad de un grupo reducido de personas, durante un tiempo más o menos corto. No estamos preparados para estos eventos de baja probabilidad y altísimo impacto; para estos cisnes negros.
Objetivamente, en muchos casos este escenario no tiene ningún plan de contingencia posible que pueda ser habilitado por la tecnología. Es el caso de comercios que no pueden abrir, o negocios, que incluso aunque la tecnología les permita operar con toda normalidad, su demanda prácticamente ha desaparecido, como en aquellos relacionados con el turismo o el transporte de personas.
Sin embargo, hemos visto como a lo largo de estas semanas que la tecnología ha facilitado enormemente la continuidad de las operaciones de muchas organizaciones con un grado alto y no tan alto de adopción de TI.
Centrémonos en estas últimas. Desde hace años la tecnología que permite la descentralización de las operaciones viene demostrando su eficacia y su óptimo funcionamiento. Pongamos como ejemplo los sistemas de conexión remota, las herramientas de telepresencia o los servicios proporcionados por proveedores de nube pública en sus distintas modalidades (IaaS, PaaS, SaaS,…). Está quedando demostrado que la adopción de estas tecnologías está siendo clave para proporcionar continuidad a las operaciones de todo tipo de organizaciones. Por poner algunos ejemplos, los sistemas de conexión remota segura (VPNs) que están permitiendo a los trabajadores extender su puesto de trabajo a sus casas, las herramientas colaborativas, el correo web, los repositorios de archivos en cloud, etc…, así como la multitud de herramientas de videoconferencia y telepresencia que afloran incluso para el gran público en estas semanas, están dando la posibilidad para empresas de todo tipo, de adaptarse a esta situación y reanudar o continuar su actividad. Con esto quiero tratar de hacer patente que la tecnología no ha fallado (como se espera en la mayoría de los planes de contingencia), sino que ha facilitado una adaptación a una situación de contingencia prolongada. Tanto y tan bien ha funcionado que muchas organizaciones se plantean ahora, si quizás esta manera de operar no es mucho más eficiente que la anterior.
La seguridad IT y las personas
Pero este escenario presenta algunos puntos que precisan de un enfoque especial, y son por un lado, la seguridad IT, y por otro, las personas y la cultura corporativa.
En un modelo de operaciones deslocalizadas, se pierde la (a veces falsa) seguridad que ofrece el perímetro, tanto físico como lógico de las murallas que protegen los activos más esenciales. El hecho de que la mayoría de las personas se encuentren trabajando fuera de las oficinas y de la protección de sus firewalls, proxies de navegación, sistemas antimalware y de protección del Endpoint y,… en fin, todo el andamiaje de seguridad que hemos montado entorno al castillo, supone un riesgo y un reto al que enfrentarse. Si se han hecho bien las cosas, nuevamente la tecnología nos permite seguir contando con una seguridad óptima. Sólo por citar algunas buenas prácticas, si las personas cuentan con equipos bastionados, mantenidos regularmente y suficientemente seguros, y los controles de acceso a la red interna son robustos y bien monitorizados, se puede garantizar que la seguridad con la que un endpoint contaba dentro de la red corporativa puede seguir teniéndola fuera, y que los principales activos de la organización siguen estando igual de protegidos que cuando operan dentro de la red. Un ejemplo muy claro de que este modelo es seguro, son las nubes públicas.
Por otro lado,están las personas y la cultura corporativa, que es, bajo mi punto de vista, el handicap más relevante en este escenario, y el que más retos presenta. En primer lugar, muchas de las personas que están teniendo que teletrabajar, nunca lo han hecho. Tienen que enfrentarse a problemas diversos, ya que no es una situación de teletrabajo al uso, prevista y organizada con tiempo. Por ejemplo, las limitaciones de espacio en casa, el equipamiento con el que cuentan si la empresa no ha podido proporcionar a tiempo todo lo necesario o los niños en casa (cuánto los quiero) y la imposibilidad de poder seguir una rutina de trabajo. Todo esto por no hablar de lo obvio; la tensión propia y estrés generado por esta situación tan excepcional de confinamiento por una emergencia sanitaria que nunca nadie ha tenido que pasar.
Como último factor está la cultura corporativa. El “cómo hacer esto que hacía así en la oficina”. Por poner un ejemplo, el enfrentarse a problemas de uso de una tecnología que nunca has utilizado sin que los equipos de soporte estén tan accesibles como lo están en la oficina. Esta barrera es inexistente para empresas jóvenes, las llamadas “cloud native”, que siempre han operado de esta manera deslocalizada. También esta fricción se minimiza en empresas muy maduras, con procesos muy probados donde existen flujos de comunicación bien establecidos y casi todo el mundo sabe qué y cómo hacer en situaciones de contingencia y de qué manera contactar ante determinadas circunstancias. Sin embargo, otras organizaciones, totalmente ancladas a un modelo de trabajo in-situ, están sufriendo esta readaptación forzosa, y es sorprendente lo bien que lo están haciendo, con caracter general.
Capacidad de adaptación vs previsión
Ante esta situación, muchas empresas han improvisado cambios es sus procesos que les han permitido, con más o menos eficacia, continuar con sus operaciones. Son ejemplos reseñables esos grupos de Whatsapp creados “al vuelo” para dar soporte a usuarios, o esas videoconferencias, que han hecho que únicamente se celebren las reuniones que en realidad son imprescindibles. El “desaprendizaje” que muchas empresas y personas han tenido que hacer en tiempo récord, y la readaptación a una situación tan difícil está siendo encomiable, aunque está suponiendo un esfuerzo enorme, que sumado al esfuerzo personal de vivir tanto tiempo confinados, está poniendo al límite a muchos.
Esperamos que haber pasado por esto ayudará a muchas empresas a pensar posibles mejoras o cuestiones que deberían haberse tenido previstas para afrontar de una manera menos traumática esta contingencia y para afrontar situaciones parecidas en el futuro. A hacerse preguntas sobre sus actuales planes de contingencia, sus procesos internos o su tecnología o incluso a decidir afrontar un plan de transformación digital que les hubiese permitido ser mucho más ágiles y eficaces. Es una gran oportunidad para analizar qué cosas hemos aprendido y qué cosas podríamos mejorar para un futuro que parece dibujarse con mucha menos interacción personal, al menos en el medio plazo.
En MR llevamos años ayudando a nuestros clientes en el diseño de arquitecturas seguras, que garantizan su continuidad en situaciones similares, y que les ha hecho posible contar con la tecnología necesaria para poder seguir trabajando. Además, somos expertos en implantación de procesos de seguridad, como planes de gestión de incidentes, planes de contingencia y de continuidad, piezas básicas para el gobierno de situaciones como la que nos está tocando vivir.