Casi once años. Ese es el tiempo que Daniel Chromek lleva trabajando para ESET. Comenzó como consultor; hoy maneja la seguridad informática interna de toda la compañía.
La pandemia del coronavirus ha introducido uno de los desafíos más grandes de su carrera: en pocos días, Daniel y su equipo debieron respaldar la migración de cientos de empleados de la oficina a sus hogares.
En febrero, alrededor de 800 empleados trabajaban diariamente en las oficinas de ESET en Eslovaquia. ¿Cuántos hay allí ahora?*
Veinte, aproximadamente. Se trata principalmente del personal del edificio, equipo de IT y recepcionistas. El resto trabaja desde casa.
La migración parece haber sido un éxito. ¿Estaban preparados para realizar estos cambios en el modo de trabajo?
En parte sí. Ayudó el hecho de haber estado tomando medidas desde fines de enero y actualizando nuestro plan de continuidad del negocio ante la pandemia según se iba desarrollando. Éste incluía tres fases diferentes: monitoreo de la situación, uso limitado de las oficinas y cierre total de las oficinas. El documento también nos ayudó a identificar quién era responsable de cada paso que había que dar, desde recabar la información importante sobre la pandemia hasta distribuir equipos de protección y comunicarse con los empleados.
¿Subestimaron algún aspecto del proceso?
El número de dispositivos que puede utilizarse para el trabajo remoto. Eventualmente, algunos empleados tuvieron que utilizar el clásico equipo de escritorio, con monitor y otros accesorios. Todos los discos duros de estos dispositivos debieron ser cifrados, y las laptops nuevas debieron configurarse rápidamente, algo que resultó muy demandante. Además, nuestro equipo de desarrollo para iOS suele trabajar en estaciones de trabajo de Mac y MacBooks, que no se consiguen fácilmente. Recuerdo a los gerentes de IT yendo y viniendo de los negocios para conseguir todo lo que se necesitaba y al equipo de IT preparando todo lo necesario durante un largo fin de semana de cambios.
También experimentamos algunos problemas a la hora de asegurar la conectividad. Muchos de nuestros sistemas son internos, por lo que no teníamos suficientes licencias VPN para permitir que nuestros empleados se conectaran a los sistemas desde casa. Algunos departamentos no acostumbraban a trabajar de forma remota, así que rápidamente tuvimos que preparar perfiles VPN para ellos.
¿Lograron gestionar todo?
Eventualmente, lo logramos. Sin embargo, tuvimos algunos problemas con parte de nuestra infraestructura y nuestros sistemas en la nube. Los proveedores no podían lidiar con el aumento en la demanda de todos nuestros viejos y nuevos clientes durante las primeras semanas. Uno de nuestros proveedores de servicio en la nube nos comentó que la demanda creció un 600%. Nos avisó que nuestra solicitud había sido recibida y contemplada, pero que simplemente no podía abarcar todo en aquel momento. En los primeros días, tuvimos que manejarnos con servicios limitados.
¿Podrían haber hecho algo más para evitar la falta de licencias VPN?
En teoría sí, pero es complejo. Normalmente, los puertos VPN son utilizados por el 20% de nuestros empleados. No necesitamos más; solo estaríamos perdiendo dinero. Pero de repente, la situación escaló a mucha velocidad, y el 80% de nuestros empleados necesitó acceso remoto.
La mejor forma de estar preparado es investigar qué tan listo está el proveedor para tales eventos – preguntar qué podemos esperar si el régimen de trabajo cambia drásticamente y necesitamos aumentar el número de licencias o servicios radicalmente. Esto aplica no solo a los proveedores de VPN, sino también a servicios en la nube o conectividad a internet.
La infraestructura minimalista puede ser una ventaja
Como compañía internacional, debieron lidiar con la situación en múltiples mercados también afectados por la pandemia. ¿Hubo alguna oficina que lograra migrar al trabajo remoto con mayor fluidez que en Eslovaquia?
Sí – principalmente las oficinas que no tenían estaciones de trabajo integradas y contaron con más tiempo para prepararse. La pandemia se extendió gradualmente, por lo que intentamos alertar a nuestros colegas en otros países. Por ejemplo, cuando aquí se agotó de forma inmediata el equipamiento médico, informamos a nuestras oficinas en Latinoamérica. Tuvieron dos semanas de bonus para adquirir todo lo que necesitaban. Paradójicamente, la situación fue muy bien manejada por nuestros colegas en Milán, que estaban en pleno proceso de mudanza a las nuevas oficinas. No tenían infraestructura alguna, solo el espacio físico y la conexión Wi-Fi. No dependían de las instalaciones en absoluto.
De todas formas, nuestro plan de continuidad ante pandemias acabó teniendo un enfoque muy local, y eso generó problemas. No esperábamos que tantos países fueran afectados ni tampoco que se frenara el tránsito entre ellos. Sucedió que algunas personas claves, incluyendo altos directivos de Eslovaquia, estaban en viaje de negocios en Estados Unidos cuando comenzó la crisis. Esto dificultó su viaje de regreso a casa, y la demanda de pasajes aéreos era extremadamente alta.
Las estadísticas muestran que, con el comienzo de la crisis, el número de ciberataques ascendió. ¿Han notado esto?
Definitivamente. Los atacantes sacan ventaja de la incertidumbre y los nervios de la gente, y del hecho de que estén trabajando desde casa, donde no tienen el nivel de protección de red de las oficinas. Nuestros empleados recibieron el doble de correos de phishing de los que acostumbran, algunos incluso especialmente diseñados para ESET. Lejos quedaron los tiempos en que los atacantes solo querían que el receptor hiciera clic en algún sitio.
¿Cómo luce un correo de phishing hecho a la medida?
Los atacantes utilizan nombres reales y contactos de empleados. Por ejemplo, nuestro nuevo country manager en Australia recibió un correo falso, aparentemente escrito por el CEO de ESET, que le solicitaba la realización de ciertas tareas. Otro correo malicioso llegó en abril; el emisor pedía detalles de la cuenta bancaria para que el empleado pudiera recibir su sueldo.
Debimos educar a nuestros empleados en alfabetización audiovisual y en cómo evitar la búsqueda o descarga de información de fuentes sospechosas. No solo la información puede ser falsa, sino que los sitios falsos asociados al COVID-19 pueden distribuir software malicioso y dañar la computadora. Además, han aparecido nuevas formas de engaño – por ejemplo, sitios de compras en línea ofreciendo suministros médicos que los clientes nunca recibirán.
Piénsalo y explícalo dos veces
¿Cómo le dices a la gente que debería pensar dos veces mientras navega en línea para no poner en peligro la seguridad interna?
La concientización es esencial. Informamos regularmente a nuestros empleados y hasta los ponemos a prueba para ver cómo responden a correos fraudulentos. Sucede que en general conocen la teoría, y cuando tienen el tiempo suficiente y una mente tranquila, responden de forma adecuada – pero tan pronto como comiencen a revisar correos en medio de un apuro o bajo presión, es posible que olviden todo y caigan en la trampa.
Apenas comenzó la crisis del coronavirus, pusimos a disposición ayuda psicológica. A comienzos de febrero se configuró una dirección de correo especial para que los empleados pudieran enviar sus consultas de forma privada. En un principio, muchos parecían estar en pánico. Preguntaban, por ejemplo, si quienes llegaban de Japón podían estar infectados. Pero fue útil explicar las cosas, y la situación se tranquilizó. Nuestro departamento de Recursos Humanos jugó un rol clave, y comenzamos a trabajar más cerca con ellos, ya que parte del equipo está compuesto por psicólogos profesionales.
Por el contrario, algunas personas preferirían permanecer completamente offline. No confían en apps o en el entorno digital en sí – temen, por ejemplo, ser observados. En consecuencia, se niegan a utilizar herramientas digitales, que son necesarias a la hora de trabajar de forma remota. ¿Cómo se abordan estos miedos?
Afortunadamente, este no es un problema en ESET. La paranoia por el mundo digital suele ser generacional, y el promedio de edad de nuestros empleados es relativamente bajo. Están acostumbrados a comunicarse en línea cada día, ya sea vía Skype o telefonía VOIP. En cierta medida, sin embargo, las aplicaciones deben manejarse con cuidado y usarse en una instalación que no comprometa la seguridad interna o la privacidad. Nuevamente, la concientización y la protección de la información juegan un rol crucial.
La confianza en un ecosistema en línea depende también de cómo le hablas a tus empleados sobre la digitalización. Siempre tratamos de introducir nuevas herramientas como algo que simplificará sus vidas y ayudará a la compañía. Cada empleado debe ser tratado de forma individual; por ejemplo, no nos comunicamos de la misma forma con aquellos que son expertos en tecnología que con quienes no están tan familiarizados con ella. De todas formas, la confianza en las aplicaciones es condición previa para una digitalización exitosa.
Aparte de las nuevas licencias VPN, ¿qué han adoptado de la crisis?
Ahora todos estamos trabajando en remoto, así que intentamos evaluar la eficiencia, mejorar la estructura de los equipos, y analizar nuevas soluciones que hemos adoptado. La pandemia finalmente nos ha forzado a emplear firmas electrónicas y a repensar cómo llevamos adelante las pruebas para las nuevas contrataciones. Ahora tuvimos que hallar una solución en línea, que planeamos conservar en el futuro.
¿Cómo reaccionan sus empleados ante estos cambios hacia la digitalización?
Los aprecian. Mucho antes del comienzo de la crisis, las encuestas internas nos mostraron que nuestros empleados buscan mayor flexibilidad. Nos preguntábamos cómo satisfacer sus deseos. La crisis nos ayudó a movernos hacia un ecosistema de trabajo más digitalizado y aceleró nuestra toma de decisiones. Hemos hallado soluciones que nos servirán a largo plazo. Es hora de aprender cómo operar de forma remota, porque para las nuevas generaciones, que ya están ingresando al mercado, la flexibilidad no es negociable.
También hemos aprendido que incluso cuando las cosas vuelvan a la normalidad, debemos estar listos para retornar a un flujo de trabajo completamente remoto - en cualquier momento. Nadie sabe cuándo podríamos tener que volver hacerlo.
*La entrevista fue realizada a fines de abril de 2020.