La propagación del Covid-19 ha obligado a los trabajadores a permanecer en sus casas. Para muchas empresas el trabajo en remoto ya forma parte de sus operaciones habituales, aunque quizás en menor medida de lo que probablemente veamos en el futuro. Para otros, será una forma completamente nueva de trabajar. En momentos como estos, la capacidad de continuar la actividad de forma habitual es un salvavidas para muchas empresas, pero hay que adoptar medidas para asegurar que los beneficios no se vean contrarrestados por los riesgos.
Acceso al sistema & resiliencia
¿Hasta qué punto funcionan bien sus sistemas de acceso remoto y sus sistemas críticos de trabajo, si un porcentaje significativo de su personal (posiblemente el 100%) se conecta de forma remota?
Incluya el acceso a los servidores en general y a todos los sistemas críticos de trabajo necesarios para funcionar eficazmente. Si no conoce la respuesta, es importante que lo averigüe ya.
Es importante saber si los usuarios pueden acceder a los sistemas relevantes desde sus propios dispositivos en caso de necesidad. ¿Podrán con sus propios dispositivos acceder a todos los sistemas necesarios para desempeñar sus funciones? Determinadas funciones, como las relacionadas con RR.HH. y Contabilidad, y algunas licencias de software limitadas pueden requerir derechos de acceso especiales. Identifique estos requisitos con antelación y considere medidas provisionales para asegurar la continuidad del servicio.
¿Hasta qué punto funcionan bien sus sistemas de acceso remoto y sus sistemas críticos de trabajo, si un porcentaje significativo de su personal (posiblemente el 100%) se conecta de forma remota?
Incluya el acceso a los servidores en general y a todos los sistemas críticos de trabajo necesarios para funcionar eficazmente. Si no conoce la respuesta, es importante que lo averigüe ya.
Es importante saber si los usuarios pueden acceder a los sistemas relevantes desde sus propios dispositivos en caso de necesidad. ¿Podrán con sus propios dispositivos acceder a todos los sistemas necesarios para desempeñar sus funciones? Determinadas funciones, como las relacionadas con RR.HH. y Contabilidad, y algunas licencias de software limitadas pueden requerir derechos de acceso especiales. Identifique estos requisitos con antelación y considere medidas provisionales para asegurar la continuidad del servicio.
Acceso seguro y prácticas laborales
¿Tiene una política de trabajo en remoto seguro, que aborde (entre otras cosas) los controles de seguridad que se deben utilizar en caso de uso del equipo informático personal de los usuarios?
Trabajar fuera del entorno de la oficina significa menos controles sobre cómo y dónde trabajan los empleados. Es fundamental que se tenga una política amplia y clara sobre el trabajo a distancia. Recomendamos que todo el personal reciba directrices concisas en las que se destaquen los mensajes y requisitos clave, ya que esto es mucho más fácil de seguir, y por lo tanto, de cumplir, que tener que consultar varias políticas en detalle Esto debería extenderse a cuestiones más amplias sobre procedimientos de trabajo; son igualmente importantes las normas para sacar archivos y documentos en papel de la oficina, y los protocolos para conversaciones telefónicas u otras conversaciones en público, así como las precauciones de seguridad que deben adoptarse para reducir el riesgo de pérdida de dispositivos (tarjetas de memoria, teléfonos inteligentes, tabletas y ordenadores portátiles). Al final de esta guía se proporciona un enlace a las plantillas de listas de verificación de QBE.
¿Están todos sus empleados trabajando en ordenadores con Windows10 (o con la última versión de Apple), con programas antivirus actualizados y con los últimos parches instalados?
Ya no hay soporte técnico para Windows7, así que ya no es seguro, independientemente de la tecnología antivirus que esté instalada. Si el personal utiliza sus propios dispositivos, se debe hacer llegar (y notificar) cualquier actualización de seguridad que requiera el acceso a los sistemas de trabajo desde dispositivos Windows10 (o un ordenador de Apple actualizado equivalente). Asimismo, es necesario recordar periódicamente que los parches de seguridad deben instalarse inmediatamente o que se emplee la actualización automática.
¿Tiene una política de trabajo en remoto seguro, que aborde (entre otras cosas) los controles de seguridad que se deben utilizar en caso de uso del equipo informático personal de los usuarios?
Trabajar fuera del entorno de la oficina significa menos controles sobre cómo y dónde trabajan los empleados. Es fundamental que se tenga una política amplia y clara sobre el trabajo a distancia. Recomendamos que todo el personal reciba directrices concisas en las que se destaquen los mensajes y requisitos clave, ya que esto es mucho más fácil de seguir, y por lo tanto, de cumplir, que tener que consultar varias políticas en detalle Esto debería extenderse a cuestiones más amplias sobre procedimientos de trabajo; son igualmente importantes las normas para sacar archivos y documentos en papel de la oficina, y los protocolos para conversaciones telefónicas u otras conversaciones en público, así como las precauciones de seguridad que deben adoptarse para reducir el riesgo de pérdida de dispositivos (tarjetas de memoria, teléfonos inteligentes, tabletas y ordenadores portátiles). Al final de esta guía se proporciona un enlace a las plantillas de listas de verificación de QBE.
¿Están todos sus empleados trabajando en ordenadores con Windows10 (o con la última versión de Apple), con programas antivirus actualizados y con los últimos parches instalados?
Ya no hay soporte técnico para Windows7, así que ya no es seguro, independientemente de la tecnología antivirus que esté instalada. Si el personal utiliza sus propios dispositivos, se debe hacer llegar (y notificar) cualquier actualización de seguridad que requiera el acceso a los sistemas de trabajo desde dispositivos Windows10 (o un ordenador de Apple actualizado equivalente). Asimismo, es necesario recordar periódicamente que los parches de seguridad deben instalarse inmediatamente o que se emplee la actualización automática.
¿Cómo se llevarán a cabo las medidas de prevención de la actividad delictiva, tanto cibernética como de otro tipo?
Es probable que el tráfico de correo electrónico aumente en situaciones prolongadas de trabajo en remoto y esto podría utilizarse para enmascarar intentos de phishing, correos electrónicos falsos y otras formas de ingeniería social. Este sería un buen momento para recordar a sus empleados las políticas clave, lo que hay que tener en cuenta, y la necesidad de estar alerta.
Los aspectos prácticos que se deben considerar incluyen:
• ¿Cómo funcionarán sus medidas de prevención del fraude en los pagos en una situación de trabajo a distancia?
• Para aquellos que están sujetos a los requisitos de “due diligence” del cliente, ¿cómo se llevarán a cabo dichas comprobaciones?
• Si el anterior depende de un pequeño núcleo de personas, y/o los permisos para los controles electrónicos están restringidos, ¿se puede capacitar a otros y/o reasignar los permisos para hacer frente a la escasez de personal?
• ¿Quién es el personal de backup si el personal crítico habitual no está disponible?
¿Cómo se llevarán a cabo las medidas de prevención de la actividad delictiva, tanto cibernética como de otro tipo?
Es probable que el tráfico de correo electrónico aumente en situaciones prolongadas de trabajo en remoto y esto podría utilizarse para enmascarar intentos de phishing, correos electrónicos falsos y otras formas de ingeniería social. Este sería un buen momento para recordar a sus empleados las políticas clave, lo que hay que tener en cuenta, y la necesidad de estar alerta.
Los aspectos prácticos que se deben considerar incluyen:
• ¿Cómo funcionarán sus medidas de prevención del fraude en los pagos en una situación de trabajo a distancia?
• Para aquellos que están sujetos a los requisitos de “due diligence” del cliente, ¿cómo se llevarán a cabo dichas comprobaciones?
• Si el anterior depende de un pequeño núcleo de personas, y/o los permisos para los controles electrónicos están restringidos, ¿se puede capacitar a otros y/o reasignar los permisos para hacer frente a la escasez de personal?
• ¿Quién es el personal de backup si el personal crítico habitual no está disponible?
Supervisión
¿Se han establecido directrices para garantizar que se celebren reuniones periódicas de actualización/revisión entre los jefes de equipo y su personal, independientemente de que estos estén o no físicamente presentes en la oficina?
En una oficina, la supervisión puede ser continua en cierta medida, pero eso se ve claramente limitado en condiciones de trabajo a distancia. Será necesario acordar con cada persona una periodicidad, regularidad y estructuración de las actividades del día, en función del tipo de trabajo, el nivel de experiencia, la capacidad de supervisión a distancia, etc. No existe una solución única para todos y los mecanismos deben estar siempre basados en el riesgo. Los niveles de autoridad del día a día, las autorizaciones y las revisiones deben ser muy claras.
¿Qué reportes se pueden obtener y hasta qué punto son valiosos para la supervisión?
El funcionamiento de los sistemas centralizados de trabajo y de la gestión de documentos electrónicamente permite tanto el control a distancia como la continuidad del servicio en caso de que un miembro del personal se enferme, siempre que dichos registros se mantengan actualizados. Los informes de gestión de estos y otros sistemas deberían permitir identificar en la distancia, los comportamientos y factores de riesgo, como por ejemplo:
• falta de progreso
• carga de trabajo y/o ámbito fuera de alcance
• plazos inminentes / fechas críticas
• puntos de alto riesgo
• altos niveles de trabajo en curso y/o límites de aproximación acordados
• patrones inusuales de descarga de archivos
• patrones inusuales de pagos
También se puede proporcionar otra línea de defensa, mediante la incorporación de alertas y requisitos de aprobación del supervisor en etapas clave o cuando se activen ciertas alarmas de alto riesgo. En ausencia de esos controles, tal vez valga la pena establecer plantillas para la presentación de informes que sirvan de marco para las reuniones periódicas de revisión entre los equipos que trabajan a distancia y sus responsables.
¿Se han establecido directrices para garantizar que se celebren reuniones periódicas de actualización/revisión entre los jefes de equipo y su personal, independientemente de que estos estén o no físicamente presentes en la oficina?
En una oficina, la supervisión puede ser continua en cierta medida, pero eso se ve claramente limitado en condiciones de trabajo a distancia. Será necesario acordar con cada persona una periodicidad, regularidad y estructuración de las actividades del día, en función del tipo de trabajo, el nivel de experiencia, la capacidad de supervisión a distancia, etc. No existe una solución única para todos y los mecanismos deben estar siempre basados en el riesgo. Los niveles de autoridad del día a día, las autorizaciones y las revisiones deben ser muy claras.
¿Qué reportes se pueden obtener y hasta qué punto son valiosos para la supervisión?
El funcionamiento de los sistemas centralizados de trabajo y de la gestión de documentos electrónicamente permite tanto el control a distancia como la continuidad del servicio en caso de que un miembro del personal se enferme, siempre que dichos registros se mantengan actualizados. Los informes de gestión de estos y otros sistemas deberían permitir identificar en la distancia, los comportamientos y factores de riesgo, como por ejemplo:
• falta de progreso
• carga de trabajo y/o ámbito fuera de alcance
• plazos inminentes / fechas críticas
• puntos de alto riesgo
• altos niveles de trabajo en curso y/o límites de aproximación acordados
• patrones inusuales de descarga de archivos
• patrones inusuales de pagos
También se puede proporcionar otra línea de defensa, mediante la incorporación de alertas y requisitos de aprobación del supervisor en etapas clave o cuando se activen ciertas alarmas de alto riesgo. En ausencia de esos controles, tal vez valga la pena establecer plantillas para la presentación de informes que sirvan de marco para las reuniones periódicas de revisión entre los equipos que trabajan a distancia y sus responsables.
¿Qué apoyo y comunicaciones necesitará cada empleado?
Trabajar de forma aislada y en condiciones que no sean rutinarias ni óptimas, así como intentar cubrir las ausencias, provocará ansiedad y estrés en algunas personas. Establecer acuerdos con los compañeros, actualizaciones periódicas y un sistema de registro periódico, tanto individualmente como en equipo usando un medio de comunicación como Skype o Microsoft Teams, pueden ayudar a tranquilizar a nuestros empleados, hacerles sentir más en contacto y permitirles expresar sus preocupaciones. Puede encontrar más orientación sobre el cuidado de su salud mental mientras trabaja desde su casa aquí.
Tenemos un gran número de siniestros incluso durante la jornada habitual de trabajo, que principalmente ocurren por las distracciones como por ejemplo: trabajar desde casa durante las vacaciones, trabajar a distancia durante los viajes, etc. El nivel de distracción podría aumentar drásticamente si se tiene en cuenta el hecho de estar al cuidado de niños y/o familiares enfermos en casa durante largos períodos sobre todo si ocurre en un lugar que normalmente debería ser un lugar tranquilo para concentrarse. Tenga en cuenta este incremento del riesgo: compruebe y vuelva a comprobar, o mejor aún, aplique un protocolo de supervisión más estricto en los trabajos que se consideren de mayor riesgo.
¿Qué apoyo y comunicaciones necesitará cada empleado?
Trabajar de forma aislada y en condiciones que no sean rutinarias ni óptimas, así como intentar cubrir las ausencias, provocará ansiedad y estrés en algunas personas. Establecer acuerdos con los compañeros, actualizaciones periódicas y un sistema de registro periódico, tanto individualmente como en equipo usando un medio de comunicación como Skype o Microsoft Teams, pueden ayudar a tranquilizar a nuestros empleados, hacerles sentir más en contacto y permitirles expresar sus preocupaciones. Puede encontrar más orientación sobre el cuidado de su salud mental mientras trabaja desde su casa aquí.
Tenemos un gran número de siniestros incluso durante la jornada habitual de trabajo, que principalmente ocurren por las distracciones como por ejemplo: trabajar desde casa durante las vacaciones, trabajar a distancia durante los viajes, etc. El nivel de distracción podría aumentar drásticamente si se tiene en cuenta el hecho de estar al cuidado de niños y/o familiares enfermos en casa durante largos períodos sobre todo si ocurre en un lugar que normalmente debería ser un lugar tranquilo para concentrarse. Tenga en cuenta este incremento del riesgo: compruebe y vuelva a comprobar, o mejor aún, aplique un protocolo de supervisión más estricto en los trabajos que se consideren de mayor riesgo.
Reflexión final
Aunque es difícil pensar en futuros eventos de contingencia con una incertidumbre como la actual, la recopilación de información sobre el funcionamiento de las medidas de continuidad y el mantenimiento de un registro de las conversaciones, decisiones y medidas adoptadas, en respuesta a las numerosas recomendaciones, asegurará que, en el futuro, las lecciones aprendidas conduzcan a niveles aún más altos de resiliencia.
Aunque es difícil pensar en futuros eventos de contingencia con una incertidumbre como la actual, la recopilación de información sobre el funcionamiento de las medidas de continuidad y el mantenimiento de un registro de las conversaciones, decisiones y medidas adoptadas, en respuesta a las numerosas recomendaciones, asegurará que, en el futuro, las lecciones aprendidas conduzcan a niveles aún más altos de resiliencia.
Más como esto
Inscríbase para recibir los próximos artículos del Resiliencia Series y otros comentarios, informes y percepciones de QBE.
Inscríbase ahora