Cómo preparar las IT para la siguiente gran crisis

No hay duda de que los departamento de IT fueron los que se llevaron la carga más pesada en las organizaciones a partir de la crisis sanitaria del coronavirus. Incluso las empresas que contaban con planes de continuidad muy probados y una infraestructura de nube completamente desplegada tuvieron que trabajar rápido, improvisar y exponerse en muchos casos a amenazas de seguridad. Nadie estaba preparado, pero las enseñanzas que están surgiendo de la pandemia podrían ayudar a que, para la próxima crisis, los problemas sean mínimos y las sorpresas más fáciles de enfrentar.

La primera gran prioridad para los CIO no debería ser sin embargo— de carácter tecnológico sino humano. El 41% de los líderes IT mexicanos que asistieron a una reciente mesa redonda sobre planes de continuidad, indicaron que cuidar del personal debería estar en el centro de las acciones frente a la crisis. “Para nosotros la continuidad es muy importante. Cada año tenemos que presentar nuestros planes, pero este escenario nos enseñó que lo primero era proteger a las personas, y solo después de eso considerar la operación. No puedes operar con empleados con problemas de salud.», dijo Rafael Salgado, subdirector de Infraestructura y Producción de Banco Nacional de Comercio Exterior.

Pero, ¿qué implica cuidar de las personas? Lo primero es asegurar que no se vean en la obligación de asistir a la oficina: definir el equipo mínimo en terreno que permitirá a las IT seguir trabajando, e incluso contar con las herramientas para que todo pueda ser manejado de manera remota, cuando sea posible. En la mayoría de los casos una laptop, con los protocolos de seguridad y acceso configurados, bastará, pero hasta en las aplicaciones más exigentes es posible establecer estrategias como escritorios virtuales. «No teníamos laptops suficientemente potentes como para asumir la labor», cuenta Enrique Susarrey, gerente de IT de ICA Fluor, quien se enfrentó a la necesidad de sacar a 1,500 ingenieros de la oficina en una semana. Susarrey destaca la rapidez con la que logró desplegar escritorios remotos y asegurar la operación, pero donde encontró la mayor dificultad fue en conseguir proveedores de internet que entregaran un servicio lo suficientemente bueno para llevar a cabo el trabajo.

Ese es un punto en el que coincidió la mayoría de los IT Masters: la infraestructura de conectividad en las ciudades no es la óptima. De nada servirán estrategias remotas que no consideren ese apartado. Si el empleado no puede conectarse forma estable no solo se arriesga su trabajo, sino que puede llevar a un grado de frustración cada vez mayor.

Otro elemento clave es mejorar el soporte a los trabajadores remotos. Una encuesta de IBM descubrió que el 75% de las personas preferirían continuar con el trabajo a distancia una vez que la crisis finalice; pero mover a los empleados a entornos extraños y hacerlos operar con nuevas aplicaciones y servicios, exige un entrenamiento profundo, o por lo menos una estrategia de soporte que los ayude a disipar sus dudas y resolver los problemas con rapidez. Fue el caso del TEC de Monterrey, que, de acuerdo con su directora de IT, Claudia Galindo, se vio en la obligación de generar un área de soporte remoto para asistir a los más de 10,000 profesores y 90,000 alumnos a los que dan servicio.

Más aun porque las crisis nunca avisan, y es posible quedar entrampado en la mitad de un proceso de migración o habilitación de herramientas. “Teníamos que ligar nuestra plataforma de colaboración y de correo electrónico de la nube pública de IBM a soluciones de Microsoft con Office 365. Comenzamos cuando ya estaba la crisis, el 27 de marzo. La gente ya estaba en casa y fue un reto porque nos decían, comprensiblemente, ‘¿quién me va a capacitar?, ¿cómo va a ser el soporte?’. Si yo hubiera sabido que esto nos iba a pasar, habría hecho la migración antes», relató César Quiroz, CIO de Grupo Kasto.

Ciberseguridad: siempre una piedra en el zapato

Algunas acciones pueden ser más obvias: tener planeado cómo escalar el uso de las VPN y a qué perfiles habilitarlas, considerar un aumento en ancho de banda en los servidores, y un crecimiento en el uso de la nube (con el consiguiente aumento en la factura), pero en lo que respecto a ciberseguridad, las precauciones deberán extremarse, principalmente por dos motivos: la gran cantidad de ataques que los hackers realizan aprovechando los contextos críticos, y la suma de vulnerabilidades que un cambio dramático en las formas de trabajo implica.

José Luis Cisneros, director de Sistemas de Casa de Bolsa Finamex, indicó que aun considerando la gran cantidad de regulaciones a las que las instituciones financieras deben someterse, la ciberseguridad en estos contextos es algo muy difícil de resolver: «Hay demasiadas puertas y es muy difícil asegurar que todas tengan los candados al 100%”.

Un elemento que puede pasar desapercibidos son las API, que están recibiendo cada vez más ataques en esta cuarentena. La empresa de seguridad Cequence indicó que los ataques a las API de un cliente escalaron en 291% a finales de abril. Uno de las campañas de ataques que registraron incluía 1.5 millones de direcciones IP utilizando más de cuatro millones de usuarios diferentes para acceder a un solo endpoint.

El código fuente de las aplicaciones también debe reforzarse para enfrentar cualquier crisis futura. Un reciente estudio de Veracode detectó que el 70% de las aplicaciones en las empresas tienen vulnerabilidades de seguridad en su código. La cifra incluía también código abierto, que suele destacarse como más seguro. Si, además, se cuenta con una gran cantidad de aplicaciones legadas, las amenazas se multiplican hasta volver inmanejables. Y no importa el rubro en el que se opere, L’Oreal México registró 20,000 ataques tan solo en abril, de acuerdo con Edgar Romero, su CIO.

Finalmente, si algo probó el coronavirus para los IT Masters es que los desastres, tarde o temprano, van a llegar. Por lo mismo, contar con un plan de continuidad y una estrategia de recuperación ante desastres deberá ser prioritario, pero no solo como una medalla al cinto, sino que constantemente actualizado y con la flexibilidad suficiente para adaptarse a situaciones no presupuestadas. En La Comer, por ejemplo, no contaban con un plan de continuidad para una pandemia, pero sí con uno para enfrentarse a terremotos. Su CIO, Flor Argumedo, explicó que con algunas modificaciones al plan lograron trasladar a 1,000 personas a trabajo remoto y soportar un crecimiento de 10 veces en la demanda.

Además, estas acciones pueden servir también para crear nuevas oportunidades de negocio: no solo se activan al sufrir una calamidad. El 61% de los CIO consultados consideró que esta debía ser una prioridad una vez que los otros problemas estuvieran resueltos.

En suma, los consejos para preparar las IT para soportar las crisis del futuro son:

  • Asegurar el bienestar de los equipos de trabajo.
  • Establecer estrategias de acceso seguro a las plataformas, en cualquier parte y para todos los trabajadores que sea posible. Incluyendo las opciones de conectividad.
  • Mejorar el soporte remoto para toda la organización.
  • Reemplazar cuanto antes las aplicaciones heredadas y revisar en detalle las API, el código y las posibles fuentes de ataques cibernéticos.
  • Contar con opciones de virtualización y trabajo remoto listas para los equipos que las requieran.
  • Actualizar los planes de continuidad y recuperación de desastres, de forma constante y con el mayor cuidado.
  • No descuidar las grandes oportunidades que podrían surgir para el negocio.

 

Christopher Holloway

http://salalacalleymuere.tumblr.com

Director editorial de IT Masters Mag. Experto en gatos, libros y en los intrincados procesos tecnológicos que atraviesan el funcionamiento de las sociedades en todas sus expresiones.

Related posts

Deja un comentario