La nube y el COVID19. La vuelta al trabajo y las necesidades empresariales del teletrabajo

Una de las cosas que nos ha mostrado el COVID19, es la necesidad de las empresas y profesionales de aplicar el teletrabajo a sus procesos. Sin embargo, a rio revuelto, ganancia de pescadores y en un mercado lleno de intrusismo, de responsables con poca o nula formación real en IT (Tecnologías de la información), y con mucho experto, en los habituales canales de monetización (Youtube, Instagram,…) o en los de exposición del ego (LinkedIn, Xing, y otros), los vendedores de humo, profesionales o empresariales, están al orden del día.

Si a eso le unimos el creciente impacto del marketing digital, tenemos una bomba explosiva que aumentará los problemas y dificultades de la pequeña y mediana empresa, para una digitalización real, efectiva y segura.

Introducción

Este artículo no trata de mostrar el tema, en forma de documento técnico, ni mucho menos. Trata de concienciar desde un ángulo especifico, a los propietarios o ceo’s de empresas pequeñas o medianas, en relación con algo, que desde mi punto de vista como profesional conozco, vivo día a día, y he visto como lo sufren muchos en su vida profesional.

Un desastre informático ya sea por la acción de una intrusión o como consecuencia de un error humano, es algo que no suele ocurrir muchas veces, aunque por desgracia, cada vez ocurre más a menudo. Lo que si es cierto, es que cuando ocurre, el 90% de las veces, la victima no esta debidamente preparada o cubierta, pese a que pensaba que si lo estaba.

El estado actual de la informática en las PYMES

Muchas empresas pequeñas y medianas incluso, siguen a día de hoy con problemas estructurales en cuanto a su digitalización, y cumplimiento de las normas que regulan la actividad empresarial, en muchos aspectos, lo que las deja en una posición muy débil frente a ataques informáticos, errores con destrucción de datos, desastres con perdida total de información, posibilidad de adaptarse o reconvertir parte de sus procesos operativos a teletrabajo, escasa capacidad competitiva y otras muchas problemáticas.

Ausencia de profesionales contratados

Uno de los problemas más importantes es la ausencia de profesionales adecuados, que formen parte de la plantilla, que muchas veces es suplida, por la cesión de competencias a uno de los directivos o mandos intermedios, porque su titulación o sus aficiones puedan, hacerle más competente.

El problema de esta formula es que muchas veces, aunque la capacidad y las intenciones son buenas, puede encontrarse en situaciones en que por mucho que lea o se esfuerzo, la presión o el estado actual de sus otras funciones, puede hacerle creer que la decisión tomada es la más adecuada. Además de estar muy expuesto a la presión ejercida por el sector a través de los canales de comunicación, ya sean eventos, redes sociales, blogs, o comerciales visitadores.

Ni que decir que esto, incluso afecta a la terminología que usamos (cloud, nube, agile, crud, …) sino a la falsa realidad que de esas decisiones se encuentra: fallos gravísimos en la seguridad.

Se siguen sin contratar profesionales en activo del sector, y cuando se hace se hace bajo la premisa de “bueno, bonito y barato”, es decir, un técnico de FPII, con como mucho un año o dos de experiencia (en el mejor de los caso pues mucha veces se optará por el contrato en prácticas) , que realmente tendrá nula capacidad en la toma de decisiones de su jefe, y acabará instalando Windows, y soportando actividades que debería ser realizadas por los propios usuarios.

Un anuncio típico de los portales de trabajo sería algo así:

“Técnico en Informática, grado FPII, con conocimientos de Windows, Linux, SQL, MySQL, Redes, Sistema de monitorización, SNMP, Agile Python, React, Javascript, PHP, Java, AWS Cloud, Sistemas de backup. Imprescindible Ingles medio/alto. Salario: 18.000”

Ya se que he mezclado churras con merinas, pero es así el modelo típico de anuncio.

Bueno, esto sería mucho pedir porque muchas veces el salario ni llega a ese punto, ni lo indican, o lo indican con la coletilla, “según valía”. Después se quejan de que muchos, salgan a fuera a trabajar, pues Reino Unido, Alemania, Francia triplican los salarios sin toser lo más mínimo.

El que puso el anuncio, esta claro que es ese directivo, que adquirió las atribuciones de Director de Informática (o responsable) y que al poner el anuncio, no se puso ni colorado. No se dio cuenta, de que lo que puso no es ni siquiera casi posible, y de darse ese perfil, que los hay, desde leugo no sería para regalarle los conocimientos y experiencia a ese precio. Y los que no lo descartaron, asfixiados por el nivel de paro, lo rellenaran a disgusto, mintiendo porque muchos saben que al final, todo queda en un anuncio, sin ton ni son. Y lo peor, es que trabajaran a disgusto, sin ningún posible vínculo con a empresa. Sólo cumplir.

Ni que decir tiene, que este también es el perfil de los Directores de Recursos Humanos, ya sean propios, o de la empresa que va hacer la selección. En base, ni idea de las necesidades reales de la empresa, y si tener muy claro que se trata de un currito para cubrir la página, pero poniendo todo lo que nos suena., para un puesto de informático.

La seguridad

Bueno, estamos en un país, muy peculiar, donde el CET de Seguridad de una de las grandes empresas en su filial de seguridad, ha tenido ya dos incidencias graves, aunque como es normal, siendo España, la culpa, la culpa fue de otros, no de su departamento, que para eso vende humo, y soluciones de gran calado.

¿Como no va a ser igual en el resto?

Bien, como comentario, empresa importante del Sector IT, no diré el nombre ni la comunidad autónoma, contrata hace años a un “experto” en “Seguridad Informática” en nomina, y con una buena nomina. (>40000€ brutos anuales)

Un buen día a alguien de la empresa se le ocurre, hacer una prueba de resiliencia en la seguridad de la empresa, al margen del departamento de seguridad.

Para ello, eligió una prueba básica: el envío de un email de phishing, no muy burdo, pero con claros matices de ser un Phishing, y que estaba contemplado en el documento de seguridad y formación para empleados, que el departamento de informática, el cual había plasmado como necesario, para la formación del personal de oficina o con acceso a elementos de información (correo electrónico, ordenador, pda, etc)

¡Sorpresa! Al margen de una persona del personal de contabilidad, el responsable de seguridad, fue quien calló en la trampa, usando para ello, el ordenador de la propia oficina, y rellenando los datos que le fueron solicitados.

Oh… esto es una falacia, dirán ustedes. Bueno, yo se lo cuento. Y ustedes deciden.

La seguridad mal entendida en termino de recuperación de desastres

Otro de los grandes males del sector empresarial español. Creer que tienen un sistema de backup, y dormir pensando en que el día que lo necesiten funcionará.

No existe un plan de Recuperación de Desastres, no existe un sistema de copias de seguridad real, y el hacker nos pide 2 bitcoins (a dia de hoy 17105€). ¡Ay que dolor!

Normal. Este fin de semana, leí en un artículo de uno de tantos periodistas especializados, o de uno de tantos bloggers o influencers que desarrollan su actividad por la red, que decía:

– “Nunca me sentí tan seguro desde que adquirí mi NAS de Synology. Es hora de olvidar las copias en la nube”

¡Toma ya!. Si señor. Nada mejor que un artículo de dos páginas, encaminadas a vender el producto de Synology y a venderse el mismo, pero olvidando que de sus palabras pueden surgir peligrosos elementos tomados con verdades absolutas.

¿Cómo? No entiendo.

Sencillo. Una copia de seguridad o mejor dicho, un sistema de copias de seguridad, cuyo objetivo debe ser el poder restaurar a un punto concreto el estado de nuestros datos, no puede estar basado sólo en un punto, y menos que dicho punto se encuentre en el mismo lugar en que reside nuestra información.

Esto no lo digo yo. Esto es así, desde que la informática comenzó, y fue ampliado, con el aprendizaje de los múltiples desastres que han surgido a lo largo de la historia de la informática, hasta tal punto, que no solo es una realidad o una norma informática. Es una obligación legal, de acuerdo a las leyes y normas actuales, de aplicación en la CEE. Algunos lo llamamos, Plan de Contingencia y Continuidad de Negocio, cuya ausencia puede determinar si una empresa sobrevive a un desastre informático o no. Y dentro de la normativa del Reglamento Europeo de Protección de Datos o RGPD.

Si quieres conocer más sobre esto, es altamente recomendable, leer cuando menos, Copia de Seguridad. La guía de aproximación para el empresario y Ganar en competitividad cumpliendo el RGPD: una guía de aproximación para el empresario  ambos del Incibe.

Ejemplos vividos

• Empresa de publicidad que confió en su Director de Informática (en realidad era un simple especialista en Photoshop de los años 90). Sistema de contabilidad basado en un sistema de discos en RAID 1, sin copia de seguridad. Avisado estaba de que el RAID no estaba instalado a nivel real tras una petición de que revisará el equipo, (sólo estaba la tarjeta raid instalada pero no estaba creado el raid), y un buen día, llego un técnico que sin previo aviso manipulo el servidor, de tal forma que el disco 1 se rompió. Oh… el disco 2, no estaba atado al 0 en RAID. 8 años de contabilidad a la basura. 1 despido.
• Empresa de artes gráficas que confió en el “friki” de turno, que les dijo que con guardarlo todo en discos ópticos valdría — “esos discos, no son como los de los Pcs” — (nota, era makero). Bueno los discos ópticos los tenían los PC’s también. Y sí, eran súper seguros. Pero no tanto para aguantar los mil y pico grados centígrados que se montaron cuando un día comenzó a arder la imprenta, sus productos disolventes, y sus resmas de papel. Pobrecitos. 10 años de contabilidad, los mejores trabajos de su vida, la colección de logotipos hechos a mano con Freehand, y miles de horas perdidas que ya no se facturarían.
• Estudio de arquitectura. Copias de seguridad en local con un NAS en raid 60, y copias en la nube, en AWS. Todo bien, pero alguien olvido verificar que el sistema de copias de seguridad, realizaba bien su trabajo, parte del plan de contingencias de un sistema de copias de seguridad. El resultado fue desastroso, pues se recuperaron los archivos gráficos, pero la meta información guardada en una aplicación basada en Oracle, no tenia copia de seguridad valida, ya que no se había verificado.

En fin, que todos se olvidaron de alguna o todas, las cuestiones básicas de los sistemas de las copias de seguridad.

• Tener copias en varios sistema, y al menos uno de ellos fuera de las instalaciones. Lo que ahora mal se llama, la nube.
• De los elementos a respaldar, uno muy importante y obviado, es el respaldo de los datos (bases de datos) de nuestras aplicaciones empresariales (Contabilidad, CRM, ERP,..), que la gran mayoría de las veces es olvidado, con la consecuencia directa, de no tener en realidad un sistema de respaldo de los datos, o de tenerlo en condiciones que pude requerir esfuerzos técnicos y de tiempo muy elevados.
• La necesidad de verificar, que el proceso de recuperación es valido y que se pude realizar en un tiempo adecuado a cada necesidad. De nada sirve, tener sistemas de respaldo si no están verificados regularmente. Si el día que se necesiten, no funcionan, de que nos servirán las copias de seguridad, en local y en la nube?

Muchas veces, el empresario no es consciente, o si lo es, lo es parcialmente. Antiguamente era un incendio, una explosión. Hoy, gracias a el uso de sistemas operativos deficitarios, formación poco adecuada, y la dificultad de los medios policiales para actuar contra la Darkweb globalizada como la que más y mejor, he visto en los últimos 8 años, a muchos empresarios y profesionales, llorar por la perdida de datos, debido a la dificultad en la recuperación del desastre desde sus copias de seguridad inexistentes o existentes.

Orientación para sistemas de copias de seguridad o backup

Es difícil hacer una valoración final y una orientación típica, ya que los escenarios y por tanto las necesidades, son muy variadas.

Cada empresa en función de sus características tendrá que analizar sus necesidades para el RPO (Punto Objetivo de Recuperación), el RTO (Tiempo Objetivo de recuperación) y sus costes.

Aun así, son básicas una serie de cuestiones:

• tener la copia en local (NAS o similar con discos en RAID)
• tener las copias necesarias en remoto (nube)
• tener las copia adecuadas, tanto de datos (bases de datos, programas propietarios) así como los ficheros físicos (documentación, multimedia, etc)
• tener un protocolo de verificación de recuperación de desastres, es decir, un simulador que nos permita comprobar que las copias de seguridad en cada uno de los sistemas (local y remoto) son validos y que nos permitirán restaurar nuestra empresa a un punto determinado (RPO) en un tiempo objetivo (RTO). Por supuesto la simulación debe realizarse cada cierto tiempo, y sobre todo cuando se añade algún sistema informático o software nuevo, con más razón.

Sin estos puntos, cualquier cosa llamada backup o copia de seguridad, es una quimera, una ensoñación peligrosa, que un día puede significar el final de nuestra empresa. No es una broma, no es una exageración. Es una triste y dura realidad.

Teletrabajo

Yo llevo 12 años de teletrabajo al 100% y otros 8 anteriores con un elevado porcentaje de mi trabajo en remoto. He trabajado sólo y en equipo. Lo único que lamento de mi experiencia es haber conocido a algunos empresarios, amigos del teletrabajo, bajo el prisma de “falsos autónomos”, poniendo la zanahoria a sus trabajadores, muchos de ellos, trabajando en América Latina, otros como programadores en India o Pakistán, y diseñadores de Vietnam o Laos. Pero en realidad, el tema del teletrabajo también tiene su lado bueno a nivel empresarial y a nivel personal como trabajador, siempre y cuando se cumplan ciertos requisitos.

Bien, es España, y el tema es complicado. País de la picaresca, donde todo el mundo sospecha y todo el mundo se aprovecha. Pero aun así, se trata de que para el teletrabajo, se necesita modificar parte de las estructuras, de los patrones de trabajo y de la mentalidad de ambas partes. Además el teletrabajo, pone contra las cuerdas a los malos gestores o responsables, pues muchos de ellos, quedan al descubierto, pudiendo peligrar incluso su puesto de trabajo por innecesario y obsoleto.

Ahora vivimos momentos, en los que las modas calzadas a golpe de marketing digital, están inundando la cultura empresarial en el área de la informática. Es el espanglish como forma de comunicación, junto con los certificados de capacitación de las grandes empresas (AWS, Microsoft, RedHat,…), las modas (Aguile, Serverless, …) , los meetings profesionales y las formaciones ya sean directas o en formato webminars, la IA, son parte del camelo actual.

Pero la realidad es que al final, el pequeño empresario, la PYME, tiene que lidiar con mínimo con los siguientes problemas:

• La cultura tecnológica en España sigue siendo muy deficitaria. Seguimos pensando que, “yo soy abogado, yo soy arquitecto, yo soy contable, yo, compañero, no tengo que arreglar nada. Que venga el de mantenimiento” y creo que eso ya no es valido. La tecnología es parte de casi todos los trabajos. Además, el que dice ser menos cualificado, suele ser en la mayoría de los casos, el que luego en su casa es el más friki. Tanto que le da para conectar un sistema de multimedia en remoto, por supuesto, muchas veces de manera ilícita mediante dispositivos y conexiones de la DarkWeb, lidiando con difíciles y complejos manuales. Y sino, un hacha montando su canal de Youtube, aunque luego en el trabajo diga no saber hacer ni la o. Si hablamos de jefes de área, responsables de informática, ya el disgusto puede ser tremendo. En mi tiempo era como el colega del barrio, que era el motorista de revista, que nunca había montado en moto. Lo sabia todo, tumbaba en la curvas, derrapaba, era un máquina en su imaginación, y hasta se lo creía.
• El empresario o su responsable de producción, no tiene ni idea en realidad de que pasará y tiene miedo a que la producción no sea correcta, o a algunos no les interesa empezar esa forma de trabajar, porque entonces ¿cual será su trabajo?. Bueno, eso detecta ya algunas fallas.
• Empresarios que piensan que el teletrabajo, es un cheque en blanco para que el trabajador se convierta en un trabajador a tiempo completo, y con los tiempos de producción “flexibles” y superiores a las 40 horas semanales. Bueno, en esto muchos no diferencian entre teletrabajo y trabajo.
• El teletrabajo a comenzado en la pandemia con mal pie. El empresario ha olvidado, que su función es aportar capital y elementos de producción y el trabajador poner su trabajo a disposición del empleador, con dichas herramientas. Vamos, que la conexión, el ordenador, el despacho, el mobiliario, lo tiene que poner el teletrabajador. No, no, no. Eso no es así. Y va por todos.
• Ahora, el teletrabajador ya no puede llamar a Juan, el informático, para que le arregle la impresora que se atasco, ni el empresario pretender que la empresa que le lleva el mantenimiento, le siga cobrando lo mismo, teniendo que desplazarse kilómetros y kilómetros.
• Ahora, el responsable de informática, no puede obviar las reglas de seguridad, ni dejar de seguir el documento de seguridad (¿eso que es?), ni puede con todo. Esta desbordado. Ya no puede seguir con esa presión.
• Ahora es cuando se baja la guardia, y Pepe, de finanzas se conecta con la nube, después de haber visto unas paginitas raras en su flamante windows 10, y un troyano simpático, instalado por gentileza de la página rarita, le coloco un keylogger que esta comprobando como mete la contraseña en el CRM de la empresa. No pasa nada. Unos días después, un cliente recibe un correo indicándole que la factura de 60000€ que tiene que abonar, “por favor que la abone en el First Credit Bank de Malasia”, y la secretaría (perdón pero para ser igualitarios no siempre iban a ser hombres los pardillos) del cliente, da por bueno el email, pide autorización al jefe, y zas “abona” los 60.000 eurazos (esta también la he vivido como forense informático). Días después, Pepe comienza a protestar al cliente el retraso del pago. Y aquí es cuando, comienza el baile, en el que se tiene que contratar un auditor externo, que descubre, que Pepe, veía porno desde el ordenador particular, y le instalaron un keylogger. Que la secretaría y su jefe, son también algo cortitos, y que ahora os toca a vosotros y los abogados ver quien palma los 60.000€.
• Pepe, no debería trabajar con su ordenador.
• Pepe, no debería trabajar con Windows (aquí me van a crujir pero es verdad), pero si lo hace, que menos que lo que haga, es trabajar sobre una sesión remota a la que accede desde una conexión vía VPN (de pago y buena por favor), y sus sesión debería estar configurada para su trabajo, con elementos de seguridad adecuados a su cargo y sus niveles de acceso.
• Pepe, debería estar mejor formado en IT y en Seguridad Informática.
• El jefe de Pepe, no debería estar tan obsesionado en que Pepe rellene formularios de control del trabajo, gestores de tiempo, y otras herramientas de control. Debería estar más preocupado de que Pepe y todos los demás, incluido él, tenga una formación adecuada.
• – …

Me acuerdo tantas y tantas anécdotas a lo largo de más de 20 años, que a veces me dan ganas de llorar (de risa).

Ahora en serio.

La nube es un sitio maravilloso, pero es tan peligroso como hace ala delta y pillar una térmica. Como no estés preparado, ya no bajas vivo.

Vende humos, el baratillo, la falta de inversiones, la falta de verdaderos jefes de equipos de producción, comerciales, …

Aquí os dejo, que hoy tengo que descansar algo más. Me lo merezco.

 

Enlaces interesantes

• Copia de seguridad y recuperación ante desastres por TecnoZero
• Plan para la recuperación de desastres de TI

 

Agradecimientos

Por la foto de Luke Peters en Unsplash y a Canvas por su software en linea