Por qué las PYMES no estaban preparadas para teletrabajar
La aparición del COVID-19 ha puesto a prueba la respuesta de nuestra sociedad a un problema que afecta a todos los países y sectores de forma global. Desde su aparición a finales del pasado año en China, hemos visto como, día a día, su propagación se convertía en una terrible realidad.
Más allá del impacto humano que el virus traía consigo, muchas han sido las iniciativas individuales y colectivas que se han elaborado para tratar de que su propagación nos afectara lo menos posible.
Desde el punto de vista empresarial, las grandes compañías y organizaciones han puesto en marcha planes de contingencia que afectan a los empleados y sus modelos de trabajo. Los sistemas de información han centrado una parte importante de la atención. Básicamente ambos —empleados y sistemas de información— conforman los ejes centrales de la continuidad de muchos negocios.
Así pues, y siguiendo esta premisa, numerosas empresas han implementado—cuando no, incluso, extendido— procedimientos articulados en torno a la capacidad de sus empleados de trabajar en remoto.
Teletrabajar
El teletrabajo no es un concepto nuevo —aunque sí de moda. La capacidad de ofrecer movilidad en torno a actividades que no requieren ser presenciales se ha extendido a lo largo de los últimos años. Bien es cierto que con un éxito relativo. Las últimas estadísticas proporcionadas por Eurostat muestran que apenas un 4% de los trabajadores en España implementan modelos de teletrabajo de forma habitual.
En nuestro país, más del 98% de las compañías son PYME que poco, o nunca, se habían planteado la posibilidad de que sus empleados desempeñaran funciones de forma de remota.
No en vano, una parte significativa de la pequeña y mediana industria en España está constituida por tiendas, negocios familiares y compañías que apenas superan los 10 empleados, aunque eso no justifica la reducida tasa que reflejan las estadísticas.
Las razones detrás de este comportamiento son variadas, —incluyendo las consideraciones culturales de la organización o la poca relevancia que se le ha dado a las posibles ventajas que supone el teletrabajo. No nos extenderemos en analizarlas, porque, una vez más, “lo urgente eclipsa lo importante”.
Las preguntas sin responder de las PYMES
Hace algunas semanas comenzamos a observar cómo numerosas PYMEs realizaban consultas acerca de la forma que tenían de habilitar mecanismos para que sus empleados accedieran a un esquema de teletrabajo. Ese que hasta el momento desdeñaban.
Las preguntas se solapaban —¿qué necesito tener?, ¿por dónde empiezo?, ¿qué tengo que decir a mis empleados? ¿cómo controlo el trabajo que realizan? — sin darse cuenta de que esas prisas por implementarlo de forma precipitada podían llevar a errores en las decisiones que posteriormente serían irreparables. Porque, seamos sinceros, la realidad era que muchas compañías no disponían de la mínima infraestructura para teletrabajar.
Las empresas debían proveer dispositivos y conexiones a sus sistemas de información utilizados por los empleados de acuerdo con procedimientos claramente definidos.
Los riesgos a los que se exponían incluían el espionaje de los dispositivos remotos, la explotación de vulnerabilidades de los routers que los empleados tenían en sus domicilios o la infección por parte de algún virus de los elementos utilizados —dicho esto sin ánimo de ser repetitivo con lo mencionado al principio— y que podía propagarse a través de la red interna de la organización. Básicamente, con el teletrabajo los riesgos de ciberseguridad crecían.
Y es que muchas PYMEs carecían del componente básico para teletrabajar: un Plan de Ciberseguridad.
Pocas eran las compañías que tenían definido un plan para gestionar la seguridad de sus SSII, y muchas menos las que se habían parado a plantear un Plan de Contingencias para hacer frente a “eventualidades” como a la que nos enfrentamos en la actualidad.
De haberlo hecho, conocerían lo que era una Política de Implementación del Teletrabajo. Algo que podía parecer superfluo y que, sin embargo, es un elemento crítico para que todas las partes conozcan cómo pasar del trabajo presencial al remoto de forma segura y sostenible.
Aproximaciones al teletrabajo
Pero regresemos al tema en cuestión. La realidad es que muchas compañías realmente no pretendían implementar un modelo de teletrabajo perpetuo, sino salvar la situación con el menor impacto para sus pautas de trabajo habituales.
Así pues, y respondiendo a esa acotación, nos hemos encontrado con que las PYMEs han puesto en marcha algunas medidas de forma rápida. Enumeraremos las alternativas utilizadas por estas compañías para implementar un “modelo de teletrabajo de campaña”. Que cada cual saque sus conclusiones.
Básicamente existen cuatro formas básicas que han permitido a los empleados acceder de forma remota a los servicios de una compañía, asumiendo, claro está, diferentes niveles de riesgos.
VPN
Las VPN —redes privadas virtuales— crean un acceso seguro desde el equipo remoto del usuario a la puerta de enlace VPN de la compañía y desde ahí a su red interna. La VPN actúa como túnel cifrado a través del cual el empleado puede teletrabajar.
Este modelo de conexión requiere que la compañía despliegue un servicio concentrador de conexiones VPN que implica una inversión económica que se debe valorar. Su coste financiero viene dado por el número de conexiones que deben de mantenerse en paralelo o las licencias a distribuir a los usuarios. A cambio, la conexión VPN proporciona un acceso seguro a los servicios (aplicaciones, ficheros, bases de datos…) habilitados por la organización.
Portales Corporativos
Los portales corporativos responden a un modelo de acceso en el que los empleados se conectan a las aplicaciones de su organización a través de un navegador web que accede al portal donde residen las aplicaciones y los datos de la compañía que no pueden ser descargados sin el correspondiente permiso.
Los portales corporativos pueden resultar una opción más barata que la conexión VPN —sobre todo cuando se hace uso de servicios en la nube—, aunque traen consigo mayores riesgos en cuanto a suplantaciones de identidad o la posibilidad de que otras aplicaciones web puedan acceder a la red interna.
Acceso directo a aplicaciones
Probablemente se trata del método de acceso de menor riesgo de todos ya que suele utilizarse con aplicaciones localizadas en el perímetro de la organización, como viene a ser el webmail. Con este tipo de acceso, el empleado no puede ver la red completa y solo puede trabajar con aplicaciones previamente seleccionadas. Normalmente este tipo de configuraciones no está concebido para trabajar de forma habitual, sino para operativas muy puntuales.
Conexión remota a escritorios
Es la menos recomendable y más sencilla de todas las posibilidades que el teletrabajo ofrece. La conexión remota a escritorios permite que un empleado controle un ordenador que está físicamente situado en las oficinas de la empresa a través de un servidor intermedio o un software comercial.
De esta manera, los datos y las aplicaciones son ejecutadas en el ordenador situado en la oficina, aunque las órdenes se le estén dando desde un lugar remoto.
Este tipo de conexiones están concebidas para aplicaciones que requieren una baja latencia, es decir, que necesiten velocidad de transferencia suficientemente alta para evitar que se conviertan en inutilizables.
Debemos recordar una vez más que este mecanismo es el menos seguro de todos y el que más riesgos supone en cuanto a ciberseguridad. No importa qué medidas se implementen, si el ordenador remoto no tiene las mismas protecciones que el ordenador físico al que se conecta, podría darse el caso de que se descargara código malicioso sin que la conexión remota lo detectara.
Sin precipitación…
Visto con perspectiva, la elección de uno o varios de estos mecanismos —siguiendo las recomendaciones que dan organismos como el INCIBE— es una decisión que debía tomar cada compañía.
Al final, se trataba de encontrar soluciones a los desafíos que presentaba el teletrabajo para cada organización. Desde las conexiones a recursos como aplicaciones, ficheros compartidos, sistemas de correos o bases de datos, hasta el acceso directo a aplicaciones, sistemas de videoconferencia, call-centres o escritorios remotos.
Cualquiera que fuera la forma escogida —y con independencia de modelo de trabajo aplicado— la empresa debía asesorarse por expertos y contar con un análisis completo de los riesgos asumidos.
¿Cuántas lo han hecho? La respuesta no lo sabemos con certeza.
Lo que si sabemos es que la PYME se enfrenta actualmente a una encrucijada en la que le resultará indispensable pensar a largo plazo en términos de seguridad —en su sentido más amplio.
Pero esa seguridad implica disponer de un plan de ciberseguridad, donde se contemple, entre muchas otras cosas, una política eficiente de teletrabajo, no solo puntual sino posiblemente como apuesta de futuro. De no hacerlo así, estamos seguro de que correrá el riesgo de convertir lo urgente en irreparable. Y eso, con certeza, será bastante más grave.
