10 minutos de lectura 4 may. 2020
modern office building stilts

Cómo crear capacidades de acceso remoto preparadas para las crisis

10 minutos de lectura 4 may. 2020

A medida que la pandemia pone a prueba su estrategia de resiliencia y el trabajo a distancia es la nueva normalidad, ¿cómo puedes mantener el negocio en marcha?

La mayoría de las empresas se preparan para acontecimientos inesperados, como calamidades naturales, crisis geopolíticas y ciberataques. Pero a pesar de estas inversiones, casi siempre están muy mal preparadas cuando se enfrentan a escenarios únicos, del tipo "una vez en una generación". Deben luchar para reaccionar y mantener el negocio en marcha.

La pandemia COVID-19 ha puesto a prueba hasta la más robusta estrategia de resiliencia. Pocos planes de contingencia previeron una transición extremadamente rápida a un trabajo 100% remoto con restricciones de distanciamiento social. Pero las empresas no han tenido otra opción, y ahora están ampliando los límites de las soluciones que sólo pretendían aumentar las capacidades básicas. Estas soluciones son ahora una infraestructura crítica para el futuro previsible, ya que soportan la empresa virtual.

A medida que la pandemia continúa, ¿qué medidas puede tomar el liderazgo tecnológico para asegurarse de que están listos para lo que viene?

A lo largo de los años, la tecnología ha progresado significativamente permitiendo a los empleados convertir cada vez más su casa en su oficina remota, para algunos ocasionalmente y para otros incluso a tiempo completo. Las empresas han luchado con la idea y han encontrado el equilibrio entre la productividad, la creatividad y la responsabilidad a medida que continúan perfeccionando sus políticas. Las capacidades que tiene una oficina virtual pueden variar considerablemente en función de la madurez de la empresa en varias tecnologías clave y de la complejidad de la forma de proporcionar una experiencia segura y estable a los trabajadores remotos. Algunas de ellas incluyen:

  • Redes privadas virtuales (VPNs): La solución más común para el acceso remoto, que por lo general proporciona un acceso sin restricciones a los recursos corporativos
  • Acceso al escritorio virtual (VDI): Acceder a una máquina virtual con imagen corporativa en el centro de datos a través de un portal corporativo de Internet o directamente en la nube
  • Acceso a nivel de aplicación: Acceso a un conjunto de aplicaciones corporativas a través de Internet (aplicaciones internas o externas)
  • Acceso móvil a las aplicaciones: Acceso al correo electrónico y otras aplicaciones a través de dispositivos móviles gestionados
  • Acceso directo a las aplicaciones basadas en la nube (sin necesidad de una VPN)
  • Acceso a herramientas de colaboración y comunicación, incluyendo video, intercambio de archivos y soluciones de chat
(Chapter breaker)
1

Capítulo 1

Conocer a sus usuarios

La creación de personas para tipos de usuarios clave lo ayudará a manejar las diferentes necesidades del sistema y de las aplicaciones.

Es importante señalar que el trabajo a distancia puede no ser una opción viable para todas las funciones empresariales en todo momento. Mientras que algunas capacidades pueden realizarse fuera de la oficina, otras pueden requerir que los empleados estén en el lugar. Es fundamental que las empresas reconozcan y comprendan qué partes de su negocio pueden seguir funcionando a distancia. En todos los casos es importante garantizar el refuerzo de la seguridad y la inmutabilidad de los cambios en el entorno, bloqueando todas las configuraciones, como la red y el control de acceso. Además, algunos de los cambios, como el acceso directo a Internet, pueden requerir un monitoreo y herramientas de seguridad adicionales.

A diferencia de un desastre regional o un evento climático, la pandemia está obligando a todos los empleados a nivel mundial a quedarse en casa para limitar la exposición viral y frenar la propagación de la enfermedad. Cuando un gran número de recursos trabajan a distancia durante un tiempo prolongado, las redes de conexión remota ven un tráfico mucho más pesado que el normal, lo que provoca problemas de acceso relacionados con la capacidad y la carga.

Aquí hay algunas preguntas clave para ayudarlo a evaluar su estado actual:

  • ¿Comprende los tipos de usuarios en su entorno?
  • ¿Cubren sus soluciones de trabajo a distancia todas las capacidades necesarias para que los usuarios puedan hacer su trabajo durante largos períodos?
  • ¿Qué tan cerca está su catálogo de servicios para el usuario final de las necesidades de sus usuarios y las demandas de su negocio?
  • ¿Cuál es su capacidad actual para apoyar a una fuerza laboral remota? ¿Sabe cuáles son sus límites inferiores y superiores?
  • ¿Cuál es su estrategia de capacidad ampliable? ¿Es su estrategia en la nube adaptable para el apoyo?
  • ¿Qué palancas podría tirar para gestionar el tiempo de actividad de los servicios comerciales críticos?

Conocer a sus usuarios

Las diferentes funciones comerciales tienen diferentes requisitos técnicos. Por ejemplo, un desarrollador de aplicaciones puede trabajar a distancia a tiempo completo con sólo una computadora portátil, mientras que un comerciante de acciones puede necesitar herramientas y tecnologías disponibles sólo en una oficina. En este último caso, es evidente que su capacidad para prestar apoyo a la empresa cuando trabaje a distancia será limitada.

Las empresas deben identificar temas comunes en los diferentes perfiles de trabajo y construir un conjunto de personas basadas en las funciones empresariales. El proceso implica en primer lugar definir user personas para todos los tipos de usuarios clave y las funciones de negocios/IT para entender y mapear las necesidades del sistema y de la aplicación. Los componentes de una persona incluyen el conjunto de carga (la dependencia de ciertas tecnologías), las necesidades de apoyo y los requisitos de hardware y software.

Las empresas deben identificar temas comunes en los diferentes perfiles de trabajo y construir un conjunto de personas basadas en las funciones empresariales.

Las personas deben entonces alinearse con el catálogo de servicios para comprender los requisitos de capacidad de cada servicio clave, normalizando las ofertas cuando sea posible. Los datos deben aprovecharse para modelar escenarios de acceso remoto, como por ejemplo, que el personal financiero necesite un acceso a la VPN completo/fiable a los sistemas de contabilidad internos, mientras que los asociados de ventas tal vez sólo necesiten acceder a los servicios basados en la nube.

(Chapter breaker)
2

Capítulo 2

Equilibrar la capacidad y la carga

Los servicios basados en la nube y el uso inteligente de los centros de redes regionales pueden ayudar a disminuir la tensión de algunas empresas.

Como parte de la preparación para la continuidad de las actividades, las empresas deben poner a prueba las capacidades básicas y la capacidad del sistema para simular un escenario de pandemia. Durante una crisis, el monitoreo activo de las conexiones remotas y la carga de la red es fundamental para comprender las limitaciones de capacidad, y las simulaciones periódicas ayudan a ajustar la tecnología y los procesos cuando se produce una.

Para hacer frente a los posibles problemas, es necesario contar con un plan de despliegue rápido para aumentar la capacidad en función de la demanda, ya sea añadiendo nuevos sistemas o ampliando el uso de las plataformas existentes. Por ejemplo, muchos proveedores de VPN ofrecen licencias de emergencia que permiten el escalado de sesiones simultáneas en el mismo hardware, mientras que otras soluciones de capacidad elástica aprovechan la puesta en marcha de nuevo hardware a través de su proveedor de nube preferido.

Las empresas con operaciones globales también pueden optar por empujar a los usuarios a otros concentradores de VPN a nivel regional o mundial para satisfacer los requisitos de la demanda. Será necesario hacer ajustes similares para otras soluciones de acceso remoto como los escritorios virtuales. La capacidad de aumentar el número de escritorios virtuales puede estar limitada dentro de un entorno local. Los escritorios virtuales basados en la nube podrían ser una alternativa viable para subsanar esta deficiencia.

Mejorar las capacidades de los trabajadores a distancia

Aunque muchas empresas se sienten más cómodas alojando sistemas y aplicaciones dentro de su perímetro, existe una aceleración significativa en los programas de transformación de la nube en todo el sector financiero. Los proveedores de cloud computing están abordando rápidamente las preocupaciones de cumplimiento con mejoras en sus servicios. A medida que se marcan esas casillas, el Escritorio Virtual de Windows, Office 365 y otros servicios en la nube permitirán a las organizaciones ampliar rápidamente las capacidades de los usuarios finales para satisfacer las demandas de una crisis.

Clave entre las preocupaciones organizativas que están abordando los proveedores del servicio en la nube:

  • Muchas empresas siguen tratando de acelerar la transformación de la nube – luchando por resolver el cumplimiento de las normas y la seguridad de los datos.
  • Muchas empresas siguen sintiéndose más cómodas cuando alojan datos y aplicaciones dentro del perímetro y proporcionan acceso a los usuarios en dispositivos gestionados desde lugares de confianza.
  • A medida que las empresas trasladan datos y aplicaciones más allá de su perímetro, deben establecerse controles de seguridad más estrictos.
  • Las empresas tratan de lograr un despliegue óptimo en la nube manteniendo el nivel requerido de controles de seguridad y, al mismo tiempo, mejorando la experiencia del usuario final y permitiendo una mayor flexibilidad.
  • A medida que se acelera la adopción de la nube, las empresas logran una mayor escalabilidad y velocidad de comercialización con las capacidades de los usuarios finales y de las empresas.
  • La solución de las necesidades de riesgo y cumplimiento de los servicios en la nube puede ayudar a las organizaciones a ampliar rápidamente las capacidades de los usuarios finales en tiempos de necesidad.

Los grandes proveedores de servicio en la nube están abordando rápidamente las preocupaciones relativas al cumplimiento con mejoras en sus servicios.

Con el aumento de la adopción de la nube, las empresas logran una mayor escalabilidad y pueden proporcionar al usuario final y a las empresas capacidades más rápidamente. El equilibrio óptimo para el despliegue de la nube mantiene la seguridad suficiente y mejora al mismo tiempo la experiencia del usuario final.

Es probable que un mayor volumen de trabajadores a distancia y un aumento significativo del tráfico de la red pongan a prueba las conexiones corporativas a Internet durante una pandemia. Las conexiones de Internet deben ser altamente estables, diversas en cuanto a los portadores, geográficamente redundantes y lo suficientemente robustas como para soportar un aumento sostenido de la carga.

Se puede considerar la posibilidad de una conexión a Internet separada y dedicada para los trabajadores remotos. Muchas empresas globales tienen centros regionales de enrutamiento de Internet (centro de América, centro de Europa, centro de Asia-Pacífico, etc.) que pueden desviar el tráfico de Internet si una región determinada experimenta condiciones de carga excesiva durante un evento.

La velocidad y la calidad de la conexión a Internet en el hogar de un usuario final es, por supuesto, otro factor importante para poder trabajar sin disrupciones y colaborar eficazmente con los colegas. Disponer de todo el equipo necesario para el trabajo (monitores, teclado, mouse, auriculares, etc.) también ayuda a emular la experiencia de la oficina, impulsando la productividad y la colaboración.

(Chapter breaker)
3

Capítulo 3

Gestionar el riesgo del acceso remoto

Incluso cuando la conectividad remota se dispara durante una crisis, no se pueden descuidar las consideraciones de seguridad y riesgo.

Ya sea que se trate de una situación de continuidad o de una pandemia mundial, la seguridad relacionada con el acceso remoto es indispensable. Aquí hay seis consideraciones clave de riesgo y control:

1. Construir un modelo operativo robusto y formalmente definido a través de las funciones de riesgo y control (modelo de gestión de riesgos de tres líneas de defensa [3LoD] + propietarios de primera línea de riesgo/control) que sea lo suficientemente flexible como para tener en cuenta los importantes impactos en las capacidades de la fuerza laboral durante una crisis.

  • Priorizar los servicios y procesos de riesgo que deben realizarse (y por parte de quién) para evitar la duplicación de esfuerzos o lapsos de cobertura accidentales en áreas clave (evaluaciones de riesgos de IT, informes de riesgos, etc.)
  • Proporcionar una capacitación cruzada adecuada a los profesionales de los riesgos para prepararse para un ausentismo imprevisto y mitigar la pérdida de los conjuntos de aptitudes prioritarias, como la vigilancia, la evaluación y la notificación de los riesgos

2. Identificar, evaluar y abordar cualquier riesgo clave relacionado con el personal en toda la infraestructura de IT y los equipos de prestación de servicios.

  • Determinar si las estrategias y planes de la fuerza laboral a distancia están debidamente equilibrados para contrarrestar una concentración excesiva de conjuntos de aptitudes y responsabilidades
  • Asegurar que los planes de capacitación se sometan a pruebas de estrés para identificar las brechas en los conjuntos de aptitudes
  • Actuar para dispersar adecuadamente las responsabilidades de los servicios y actividades clave

3. Mitigar los riesgos de acceso según sea necesario en el contexto de una gran huella de la fuerza laboral en lugares remotos.

  • Asegurar que los nuevos procesos y tecnologías de la infraestructura de IT se desplieguen con una higiene constante de acceso y protección de datos, según lo requerido por las normas definidas
  • Evaluar si las asignaciones de acceso siguen siendo apropiadas y si se sigue aplicando el principio del menor privilegio. El uso y control de la cuenta "Cristal roto" debe ser gestionado diligentemente

Ya sea que se trate de una situación de continuidad o de una pandemia mundial, la seguridad relacionada con el acceso remoto es indispensable.

4. Supervisar y gestionar proactivamente los niveles de servicio de terceros.

  • En el caso de proveedores de tercera y cuarta parte, confirmar los SLA y comunicarse según sea necesario para supervisar y gestionar proactivamente los ajustes necesarios para mantener los niveles de entrega dentro de las tolerancias de riesgo
  • Asegurar que las estrategias y procesos de evaluación de riesgos se revisen según sea necesario para reflejar adecuadamente el aumento de las dependencias o los niveles de criticidad de los proveedores de servicios

5. Mantener el compromiso con los órganos de reglamentación y asegurar que se sigan cumpliendo los requisitos de cumplimiento.

  • Asegurarse de que los propietarios de las tecnologías de la información comprendan las implicaciones a nivel de control en relación con los requisitos y normas reglamentarias
  • Mantener la comunicación con los organismos reguladores de la tecnología de la información pertinentes para asegurar la coordinación entre las actividades de examen, los cambios en las expectativas reglamentarias en una crisis, los requisitos de mayor resiliencia de la tecnología de la información, etc.

6. Asegurarse de que se mitiguen los riesgos de los acuerdos de trabajo a distancia o en casa.

  • Mantener la misma higiene de protección de datos mientras se está en casa (impresión doméstica, destrucción de información, prácticas óptimas de teleconferencia, etc.). La capacitación de los empleados y la activación de las herramientas de prevención de fugas de datos (DLP) pueden ayudar a prevenir daños irreversibles
  • Asegurar que se comprendan y se aborden los riesgos para la disponibilidad de la fuerza laboral y la salud; a la luz del cierre de escuelas, las necesidades de atención infantil pueden introducir nuevas limitaciones o dinámicas. Considerar la posibilidad de realizar sesiones de video dedicadas a los hijos de los empleados o a sus necesidades especiales. La capacitación de los hijos de los empleados en materia de seguridad en Internet y el uso seguro de las plataformas de video/intercambio también puede reducir los riesgos de seguridad cibernética de su organización mediante programas informáticos malintencionados en las redes domésticas y los accesos a Internet de los empleados

Puede que sea demasiado pronto para saber cuáles serán los efectos duraderos de esta última crisis, pero hay algunas certezas de las que podemos estar seguros para seguir adelante. La capacidad de una empresa para flexibilizar su fuerza laboral a distancia, expandirse de manera elástica pero segura y conocer sus funciones comerciales más críticas determinará en última instancia cuán adaptable y resiliente es su empresa.

Resumen

La continuidad del negocio exige comprender la gama de tipos de usuarios, entregar las herramientas que necesitan y gestionar la carga de la red.

Acerca de este artículo