Un año conviviendo con COVID-19: ¿Qué significa “volver a la normalidad”?

Ya nos encontramos comenzando el mes de mayo de 2021. 14 meses han pasado desde el decreto de emergencia sanitaria del gobierno. Durante este período, muchas cosas cambiaron drásticamente en nuestra vida cotidiana, entre ellas, la forma de trabajar. El trabajo remoto resulta, ya no una excepción, sino el nuevo estándar de trabajo que parece haber llegado para quedarse.Durante el 2020, gran parte de nuestros clientes han mostrado una especial preocupación por las condiciones a través de las cuales se ha migradohacia el trabajo remoto: ¿Es seguro para la empresa? ¿Para los clientes? ¿Para las partes interesadas de la organización?Es que no todas las empresas tenían preparado un plan de continuidad, probado, que les permitiera continuar operando bajo condiciones de seguridad de la información aceptables, y por ello debieron actuar sobre la marcha.

El lunes, seguimos desde casa

El lunes 16 de marzo de 2020, luego del decreto de emergencia sanitaria, se produjeron varias restricciones ante la incertidumbre de la pandemia que ya había llegado a Uruguay. Muchas organizaciones se enfrentaron a la decisión de cómo continuar operando y prestando servicio.Hasta ese momento, era frecuente que muchas contaran con conectividad mediante VPN para usuarios de soporte de proveedores tecnológicos, donde solo unos pocos usuarios habilitados, y bajo control, teniendo acceso únicamente a los recursos para los que debían dar soporte. Sin embargo, de un día para el otro, había que “extender” esta posibilidad a prácticamente todos los empleados o funcionarios que trabajaban presencialmente. En forma muy precaria y en muchas organizaciones, se logró que éstos comenzaran a trabajar en forma remota el lunes o algunos días después. Siempre con foco en la operación, dejando en segundo plano otros aspectos: Logísticos (con qué equipo conectarse, ancho de banda, etc.) y otros vinculados a los riesgos de la ciber seguridad. Los aspectos logísticos fueron resueltos paulatinamente con la adquisición de recursos. Sin embargo, los de ciber seguridad, dependiendo de la cultura de la organización, pueden aún hoy, no haber sido manejados adecuadamente.

Hoy seguimos desde casa

Ya ha transcurrido más de un año, y aún seguimos en forma continuada o intermitente, en modo teletrabajo. Ya se ha superado claramente el plazo típico para el manejo de una contingencia. Por ello en muchas ocasiones, el modo “contingencia” o “provisorio” ya se ha convertido en el modo normal de trabajo. Muchos empleados que han sido contratados en el último tiempo quizás nunca trabajaron desde la oficina, por lo que ven a la situación actual como la “normalidad”.

El manejo de la resiliencia y la ciber seguridad en este nuevo escenario

Entonces, ante la pregunta de: ¿qué significa volver a la normalidad?, debemos tener en cuenta que la modalidad de trabajo remoto llegó para quedarse. Por lo tanto, al tratarse de una forma habitual de trabajo, debemos ser conscientes de los riesgos que esta modalidad supone, particularmente en lo referido a los riesgos de la ciber seguridad. Si bien no debemos dejar de priorizar la operativa de la organización, a esta altura debemos ser capaces de haber identificado y tratado adecuadamente los riesgos inherentes al uso de herramientas de este estilo. En muchos casos, si los comparamos con 2019, son riesgos que aún hoy existen, pero que han aumentado en su criticidad, por haber aumentado también la exposición a los mismos (por ejemplo, aumento de usuarios que se conectan en forma remota) y por haber decrecido el nivel de control. Por ejemplo, si se permite la conexión a dispositivos no administrados por la empresa o “Bringyourowndevice”.

En el comienzo de la pandemia, desde EYhemos propuesto un enfoque en distintas dimensiones, donde una de ellas es la Resiliencia de la Empresa, con múltiples dimensiones, que abordan el “Ahora”(para el comienzo de la pandemia), “Lo que sigue” y el “Más allá”. En lo que refiere a la ciber seguridad, proponemos las siguientes consideraciones clave:

• Al inicio de la pandemia:La consigna era disponer derecursos para apoyar a la empresa en la habilitación del teletrabajo. Esto incluía la definición de políticas y procedimientos, capacitar y concientizar a los usuarios en ciber riesgos, implementar y configurar paquetes de software de ciber seguridad para proteger a las PC portátiles, tabletas o smartphones, y de este modo proteger a la red de trabajo e infraestructura, gestión de actualizaciones de seguridad, reforzar la vigilancia de la red.
• Lo que sigue:Es la etapa en la que nos encontramos hoy día, ya que requiere habilitar en forma continua el trabajo remoto. Esto incluye: actualizar las evaluaciones de riesgo, contar con una estrategia de ciber seguridad, promover el uso de herramientas de trabajo colaborativas y parametrizando dichas herramientas para alinearse a las políticas de seguridad y de prevención de fuga de datos. Contar con una estrategia de parcheo y actualización de la infraestructura y del software utilizado, y con controles sobre el cumplimiento y seguridad de los proveedores de servicios que brindan soporte tecnológico.
• Más allá:Es la etapa que debemos tener en la mira, para la cual debemos estar preparados: operar una nueva normalidad; híbrida, que integre lo mejor de la “vieja normalidad” y de la “normalidad de hoy”. En este escenario, debemos ver a la ciber seguridadcomo un asesor de negocios consolidado, que permita transitar los nuevos desafíos tecnológicos de forma más certera y alineada con nuestro apetito al riesgo.

A la fecha no hay una fecha clara, ni tampoco certeza de que se pueda regresar a algo similar a la “vieja normalidad”. De lo que sí podemos estar seguros, es que nos espera un escenario híbrido, en el que lo mejor de las dos normalidades seguramente deriven en un nuevo escenario. En cualquier caso, la dependencia de la tecnología será mayor, por lo que resulta un imperativo construir ese nuevo escenario sobre una función de una revisión de los riesgos presentes, y de la implementación de una práctica de ciber seguridad transformada y optimizada que permita responder a éstos.