Preparación para una pandemia

Por Rita Selvaggi, directora general de ActivTrak

El alcance mundial del coronavirus ha elevado el debate sobre la necesidad de «distanciamiento social» y de trabajar a distancia para evitar la propagación del virus infeccioso. Empresas mundiales como IBM, Goldman Sachs y PwC están pidiendo a sus empleados que trabajen desde casa, al igual que organizaciones más pequeñas, como la empresa de pagos en línea Stripe, con sede en Seattle.

A medida que las organizaciones consideran la posibilidad de que los empleados trabajen desde casa a una escala más masiva, es importante reconocer que hacerlo también introduce ciertos riesgos para la empresa que deben ser mitigados. En este artículo, me gustaría cubrir tres riesgos relacionados con el personal remoto: empleado productividad, seguridad digital, y cumplimiento.

No todos los empleados son productivos en casa

Un entorno de trabajo tradicional proporciona a los empleados concentración, estímulo y compromiso destinados a optimizar la productividad en el lugar de trabajo. Así que no es de extrañar que algunos empleados no estén preparados para trabajar solos en casa; sin compañeros de trabajo ni reuniones, y con muchas distracciones, el potencial de baja productividad en casa es significativo. Según un estudio de Bufferla falta de colaboración, la soledad y la motivación son retos para quienes trabajan a distancia.

Entonces, ¿cómo garantizar que los empleados ofrezcan niveles de productividad equivalentes a los de la oficina?

Pueden ser necesarias algunas acciones:

  • Establecer la expectativa – Para algunos empleados, puede ser necesario establecer inicialmente expectativas en torno a las horas de trabajo y los niveles de productividad. Por ejemplo, establecer que los empleados deben planificar el horario de trabajo normal cuando están en casa es un punto de partida sólido. Además, es posible que los empleados que trabajan por horas necesiten ser informados sobre cómo llevar un control de su tiempo, ya sea de forma manual o a través de una aplicación de tarjeta de tiempo basada en la web. Por último, tiene sentido que la organización comunique qué debe hacer el empleado cuando crea que se ha puesto enfermo.
  • Adoptar el lugar de trabajo digital – Los proveedores de software, como Microsoft y Google, llevan años creando soluciones rentables que permiten a los usuarios comunicarse, colaborar, realizar videoconferencias, compartir documentos y utilizar escritorios virtuales. Cuando se pide a los empleados que trabajen desde casa, es importante evaluar cómo un uso más coherente de este tipo de soluciones puede ayudar a preservar la productividad y el compromiso de los equipos.
  • Obtenga visibilidad de la productividad de los empleados – En un entorno de oficina tradicional es mucho más fácil saber si un empleado está trabajando que cuando está a 30 millas de distancia en casa. Pero aún así puede ser un reto establecer líneas de base de productividad e identificar cuándo y dónde se pierde la productividad, incluso si el empleado trabaja in situ. Las organizaciones deben considerar soluciones que proporcionen visibilidad y conocimiento sobre si los empleados están comprometidos y son productivos, independientemente de su ubicación.

Incluso si la productividad no es una preocupación, la organización asume un riesgo de seguridad adicional con la introducción de una huella de acceso remoto mucho más amplia.

La seguridad digital se convierte en un problema mayor

Aunque la gran mayoría de los trabajadores remotos quieren trabajar desde casa (el 84%, según Buffer), el 37% de los trabajadores remotos elegiría un cafetería como su segunda opción de lugar de trabajo. Como seres humanos, necesitamos conectarnos, por lo que encontrar una forma de trabajar sin sentirse parte del mundo sigue siendo importante. Dar a los empleados la flexibilidad de trabajar en varios entornos remotos puede ser la clave para garantizar la productividad, e incluso la retención en algunos casos.

Cuando los empleados trabajan fuera de la red de seguridad de la empresa, se abre la organización a dispositivos y redes WiFi potencialmente inseguros, así como a usuarios que ya no piensan que están «en el trabajo». Esta combinación de defensas reducidas es una tormenta perfecta para los ciberataques que se aprovechan de los empleados desprevenidos. Utilizando técnicas de ingeniería social, los hackers pueden engañar a los trabajadores para que cedan sus credenciales corporativas a los recursos en línea, instalen malware, cometan fraudes, etc.

Entonces, ¿cómo mantener la seguridad mientras se trabaja a distancia?

Mantener los niveles adecuados de seguridad es un reto con un empleado que trabaja en cualquier momento, en cualquier lugar, con cualquier dispositivo y en cualquier red. La buena noticia es que hay cosas que se pueden hacer, incluyendo:

  • Establecer una responsabilidad compartida – Es importante comunicar que el empleado tiene un papel en la garantía de la seguridad continua de las operaciones, los datos y los recursos de la organización. Se requiere una mentalidad vigilante, ya que los ciberdelincuentes observan las tendencias del sector e idean nuevas estafas y métodos de ingeniería social que se adaptan continuamente a la evolución de las circunstancias.
  • Implementar la seguridad por capas – Soluciones como la autenticación multifactorial (para asegurarse de que la persona que utiliza un ID de inicio de sesión y una contraseña es el propietario de esas credenciales), el inicio de sesión único (para dar a los empleados un único portal basado en la web para acceder a las aplicaciones de forma segura), el antivirus basado en el dispositivo, el escaneo basado en el correo electrónico (para detectar archivos adjuntos y enlaces cargados de malware antes de que lleguen a la bandeja de entrada del empleado), y son sólo algunas de las formas en que las organizaciones pueden protegerse contra las amenazas del trabajo remoto.
  • Supervisar las anomalías Comportamiento – En un reciente Verizon el 39% de las organizaciones había sufrido un ataque a los dispositivos móviles en los últimos 12 meses. Las soluciones que proporcionan visibilidad de la productividad de los empleados deberían tener algún medio para analizar también la actividad de los usuarios para identificar comportamientos sospechosos o anómalos. Por ejemplo, un empleado que se conecta a un sistema a las 3 de la mañana (algo que nunca hacer) puede ser motivo de revisión para asegurar que la actividad es apropiada.

Y, dado que la seguridad es una preocupación, el riesgo de no cumplir con la normativa sobre la privacidad de los datos también debería estar en el punto de mira.

El cumplimiento de la normativa exige un mayor escrutinio

El número de normativas que abordan cuestiones de privacidad y seguridad de datos sigue creciendo, desde la HIPAA y el GDPR hasta la nueva Ley de Privacidad del Consumidor de California. En cada caso, estos mandatos de cumplimiento exigen a las organizaciones que garanticen los controles de seguridad en torno a determinados tipos de datos protegidos, y que sean capaces de saber cuándo no se cumplen esos controles.

Cuando los usuarios trabajan de forma remota, las organizaciones se exponen a un aumento de las posibles infracciones de cumplimiento, desde situaciones tan simples como el robo de un ordenador portátil, a otras más complejas como la estafa de phishing convertida en violación de datos, y todo lo demás.

Entonces, ¿cuál es la forma correcta de garantizar el cumplimiento de la normativa?

Mientras que la seguridad es un objetivo en movimiento, el cumplimiento es un poco más parecido a una casilla de verificación de sí/no: una vez que se sabe lo que se requiere, es posible simplemente poner controles que cumplan con el requisito. Los pasos básicos incluyen:

  • Conocer la normativa – Esto debería ser un hecho. Pero conocer la normativa a la que está sujeta su organización, ya sea relativa a la construcción o de otro tipo (más información), y expertos en su equipo que le ayuden a cumplirlos, es el punto de partida.
  • Entender lo que se requiere – Cada reglamento tiene requisitos que necesitan cierto nivel de interpretación subjetiva, especialmente con respecto a los trabajadores a distancia. Por ejemplo, el GDPR establece que los datos personales de los residentes de la UE deben ser «tratados de manera que se garantice la seguridad adecuada de los datos personalesque estipula que las organizaciones deben protegerse contra «…el tratamiento no autorizado o ilegal y contra la pérdida, la destrucción o el daño accidentales, utilizando medidas técnicas u organizativas apropiadas«. Aunque es bastante general, esta directiva ayuda a la organización a acotar su enfoque; puede identificar fácilmente qué empleados, aplicaciones, conjuntos de datos, etc. son objeto de auditoría, y poner en marcha controles, procesos y soluciones para garantizar la seguridad de los datos regulados.
  • Revisar el cumplimiento Controla – El cumplimiento es una cuestión de comportamiento, por lo que tiene sentido que la organización necesite visibilidad del comportamiento de sus empleados. Los empleados que tienen acceso a sistemas, aplicaciones y datos sensibles pueden ser objeto de auditorías de actividad para garantizar el cumplimiento de mandatos específicos de protección de datos. Soluciones centradas en la supervisión del comportamiento de los empleados pueden proporcionar información y contexto en torno a las acciones realizadas que demuestran el cumplimiento o señalan un incumplimiento.

Mantener a los empleados remotos -y a la organización- contentos, productivos y seguros

En el caso de una posible pandemia como el coronavirus, la parte fácil puede ser la decisión de que los empleados trabajen desde casa. El verdadero reto comienza cuando las organizaciones se esfuerzan por alcanzar los mismos niveles de eficiencia, productividad y rentabilidad que «en el trabajo». Al considerar las implicaciones del trabajo desde casa en el mundo real a través de la lente de la productividad de los empleados, la seguridad digital y el cumplimiento de la normativa, las organizaciones pueden prepararse para el éxito, a pesar del cambio en el funcionamiento de la empresa.