En solo unas pocas semanas, trabajar desde casa se ha convertido en una garantía para la supervivencia de muchas industrias en todo el mundo y también una forma de mantener empleos: los procesos de trabajo se están adaptando, y la cultura de reuniones, establecida en las empresas desde hace mucho tiempo, se está modernizando a […]
Dirigentes Digital
| 20 abr 2020
En solo unas pocas semanas, trabajar desde casa se ha convertido en una garantía para la supervivencia de muchas industrias en todo el mundo y también una forma de mantener empleos: los procesos de trabajo se están adaptando, y la cultura de reuniones, establecida en las empresas desde hace mucho tiempo, se está modernizando a la velocidad de la luz. Sin embargo, un aspecto importante para las empresas es también el tema de la seguridad: ¿cómo de segura es la telefonía en la nube? ¿Qué significa seguridad cuando trabajamos desde casa, y qué deben tener en cuenta las empresas que desean unirse a las comunicaciones en la nube? Jan-Peter Koopmann, Director de Tecnología de NFON AG, responde a estas y otras cuestiones.
¿Puede una oficina en casa ser segura?
Pasar de una oficina en un espacio abierto a una sala de estar de un hogar siempre implica riesgos. Importante: las empresas que tienen la posibilidad de que sus empleados trabajen desde casa no solo deben proporcionarles un ordenador portátil y unos auriculares, también deben ayudarlos con el tema de la seguridad. Hay empresas que ya cuentan con una organización de TI bien estructurada capaz de implementar rápidamente un software de seguridad en las oficinas en casa. Uno de los clásicos: ¡VPN! Seamos sinceros: no existe una seguridad 100% infalible, pero se debe buscar siempre la mayor seguridad posible y, en este sentido, los empleados, los directores y el departamento de TI deben trabajar juntos durante estas semanas o meses. Un buen consejo es establecer una ruta de comunicación lo más corta posible desde el empleado hasta el departamento de TI, de manera que cada asunto se pueda aclarar rápidamente. La comunicación es una regla de oro: ninguna pregunta es demasiado estúpida, y la calidad de la seguridad también se caracteriza por la comunicación de algunas incertidumbres.
La RDSI está en retirada: ¿es la VoIP más segura y más fiable que la comunicación por cable de cobre?
La telefonía en la nube es más segura, incluso cuando se tienen en cuenta aspectos como las conexiones de red redundantes. Esto también fue así en los tiempos de la RDSI, pero por lo general solo contaban con ellas las grandes empresas; comparativamente, hoy en día es mucho más fácil obtener una red redundante. Otra pregunta es si el sistema telefónico es realmente más seguro que la telefonía en la nube de un proveedor con soluciones redundantes. Ciertamente, hay ejemplos en los que no ha habido problemas en 30 años de RDSI. Pero desde la perspectiva de hoy en día, con la tecnología actual, la telefonía en la nube se puede clasificar como más segura.
¿Dónde están los puntos débiles en términos de fiabilidad para la telefonía en la nube?
Se enumeran rápidamente: el proveedor y la calidad de su oferta, la estabilidad de la conexión a Internet y, en tercer lugar, la infraestructura de la red interna local. ¿Y qué significa esto para el empleado que ha instalado su oficina en casa? Como regla general, no necesita preocuparse por eso, porque en el mejor de los casos tiene un proveedor cuya solución es fácil de usar y requiere un mínimo de adaptación para que funcione con la máxima fiabilidad. También debe resaltarse que la seguridad también puede traducirse en comodidad. Si, por ejemplo, la conexión a Internet falla porque la hija de cinco años del empleado ha vertido zumo de manzana en el router, el centro de datos cambia automáticamente a la del teléfono móvil, y el empleado podrá usar su smartphone para hacer llamadas desde el número de la oficina. La redundancia inmediata también significa seguridad inmediata para poder seguir trabajando o haciendo llamadas telefónicas. Además, la telefonía en la nube es un clásico en el ahorro de tráfico y la base para la comunicación, prácticamente la disciplina suprema.
Hay muchos proveedores, tal vez incluso cientos en Europa. ¿Cómo me aseguro de que mi proveedor tenga buena reputación y pueda cumplir su promesa?
Eso depende de cuánto tiempo quiera invertir una empresa en la toma de decisiones. Contar con información sólida es un requisito previo a la elección, y la experiencia de otras compañías puede ser útil. Por ejemplo, es posible investigar ciertos factores, como cuánto tiempo tomará cambiar de la telefonía clásica a la telefonía en la nube. Primero, por supuesto, un usuario puede mirar un mapa para ver dónde se encuentra el proveedor y sacar conclusiones de esto, pero eso sería demasiado fácil. Una empresa interesada también puede solicitar una descripción del centro de datos y, a menudo, se le permitirá visitarlo para verlo físicamente. Además, la telefonía en la nube también es una forma de procesamiento de datos por encargo, por lo que se aplican las leyes y regulaciones. Todo esto ayuda a las empresas más grandes, pero es de poca utilidad para las pequeñas y medianas empresas. En realidad, solo pueden confiar en las certificaciones que anuncia el proveedor, y por ello es útil hablar con conocidos y compañeros de la industria para intercambiar conocimientos y experiencias. Otra opción es verificar la reputación del proveedor de la nube en portales u otras ofertas de información, como medios especializados. ¿Se considera al proveedor visible por la pérdida de datos o fallas constantes? En la era de Internet, esto es muy transparente, quieran o no las empresas.
Por ejemplo, ¿cómo puede una pequeña o empresa mediana empresa verificar que la información sobre disponibilidad y fiabilidad no es falsa? ¿Cómo se verificó la disponibilidad de la conexión RDSI o DSL en el pasado?
Técnicamente hablando, es posible verificar la disponibilidad de telefonía en la nube utilizando instrumentos de medición. Sin embargo, muy pocas empresas están preparadas para asumir los costes de esta acción, especialmente en el caso de una empresa de tamaño bastante pequeño. El emprendedor depende de la transparencia del proveedor de la nube: ¿qué información proporciona además de la promesa de una disponibilidad del 99.x%? Se debe sospechar si el proveedor no proporciona nada parecido a servicios de mantenimiento o si no se proporciona información obligatoria, etc. Estamos hablando de soluciones técnicas y no puede haber un cien por cien de disponibilidad. Por otro lado, existe la disponibilidad percibida. ¿Realmente afecta a un negocio si el proveedor de telefonía en la nube regularmente tiene su mantenimiento entre las 3:00 y las 3:30 a.m.? Por otro lado, se debe prestar atención a si se producen fallas durante el transcurso de un día hábil y cuánto tiempo necesita el proveedor para solucionarlas, plazos…. Si un proveedor no proporciona ninguna información sobre todo esto, ¡no lo escoja! Y en realidad, la misma respuesta aplicaría aquí para verificar lo que promete sobre su servicio.
Telefonía a través de Internet, PBX en la nube. ¿No supone un riesgo incalculable para mi empresa?
Bueno, en este aspecto a menudo se comparan manzanas con naranjas. Incluso si este es un pensamiento justificado, esta pregunta se está volviendo cada vez menos relevante en el presente y ciertamente no surgirá en el futuro: el camino hacia la nube y las numerosas aplicaciones se han asentado, y la infraestructura técnica está cambiando cada vez más y lo está haciendo más rápidamente en la situación actual. Entonces surge la pregunta: ¿cómo de segura es una empresa que no se mueve a la nube y cuáles son los aspectos de seguridad? Cifrado, fiabilidad, seguridad de datos y más. Pero, ¿cuántos microempresarios o empresas medianas están realmente en condiciones de saber dónde están las vulnerabilidades de seguridad actuales y están instalando constantemente las últimas actualizaciones de seguridad? ¿Cuál de ellos tiene tiempo? Como todos sabemos, el tiempo equivale a dinero. En última instancia, todas las compañías, sin importar cuán grandes y sin importar en qué industria, con la excepción de bancos, compañías de seguros, etc., deben hacerse la pregunta de cuánto tiempo y dinero pueden o quieren invertir en seguridad. Solo los clientes seguros son clientes satisfechos. Conclusión: los clientes satisfechos se quedan con su proveedor de servicios.
¿Qué puede hacer la propia empresa en términos de seguridad, incluso para los empleados que trabajan en casa?
Para empezar: cuanto más piense un empresario en el proveedor de telefonía en la nube y los requisitos de seguridad que ofrece durante el proceso de selección, menos tendrá que preocuparse por la seguridad después. Desde el principio, vimos la seguridad como un elemento central en el desarrollo de nuestra plataforma e invertimos en este aspecto. Por cierto, este es un proceso continuo. Un buen proveedor en la nube tomará medidas para identificar problemas de seguridad entre sus clientes y, por ejemplo, evitará abusos como fraudes lo antes posible. Las pequeñas y medianas empresas deben consultar a los expertos, que no necesariamente tienen que ser el fabricante o proveedor de servicios; también puede ser el socio de TI. Muchas empresas de sistemas también se especializan en seguridad. Dejando de lado este aspecto, el usuario que no tiene experiencia en cuestiones de seguridad solo tiene la opción de confiar en la reputación de la empresa. Además, debería buscar en los medios y otras fuentes de información para ver cómo de importantes son los problemas y la protección de datos del proveedor, si se comunica de forma transparente, o si sus servicios no funcionan como deberían. En este contexto, la transparencia es un importante factor de confianza que a menudo se subestima. NFON, por ejemplo, trata los fallos . algo que sucede a todos todos los proveedores- de manera muy transparente. Un servicio especialmente configurado permite verificar en línea si existe alguna sospecha de un problema y el estado de la resolución del problema. Por lo tanto, la transparencia y la comunicación correspondiente también es un componente esencial de la seguridad.
¿Cuándo es la seguridad responsabilidad de la empresa y cuándo es responsable el proveedor? ¿Hay una separación clara?
Las tecnologías en la nube y sus aplicaciones se están volviendo cada vez más populares y eso es algo bueno. La definición y asignación de las responsabilidades es algo bastante cuestionable. En el pasado, solía darse el caso de que todo lo que tiene lugar en la red de la empresa o de empleados que trabajaban desde casa, es decir, detrás del firewall, era responsabilidad del usuario. Esto sigue siendo cierto en general. Sin embargo, surge la pregunta de si un proveedor de la nube no debería ayudar al usuario con los errores típicos que el usuario comete o puede cometer. Un ejemplo podrían ser los usuarios que desactivan explícitamente la protección con contraseña de los teléfonos IP. ¿Debería un proveedor de la nube decir que es responsabilidad del usuario, deberían explicárselo al usuario o, mejor aún, garantizar la máxima seguridad por iniciativa propia? En última instancia, en la era de la nube, esta es una línea difusa y ya no hay una separación clara como en el pasado. Importante: la disposición de un proveedor de telefonía en la nube, por ejemplo, a tomar las riendas y proporcionar información transparente y eficiente sobre obligaciones y servicios, también puede ser otra característica de calidad del proveedor.
¿Qué requisitos mínimos de seguridad debe ofrecer un proveedor de telefonía en la nube?
Claramente: cifrado de voz, operación redundante del centro de datos y aprovisionamiento seguro de los dispositivos finales: estos puntos deberían ser un estándar para todos los proveedores. Pero los problemas se esconden tras los detalles. ¿Cuánto trabajo hace realmente el proveedor? ¿Con qué frecuencia cuestiona su propia estrategia de seguridad, cómo de actualizada está y cuánta atención presta a los posibles errores cometidos por el usuario?
¿No es exagerado el tema de la seguridad y simplemente se hace para ganar dinero? ¿Licencias de software, servicios de consultoría, actualizaciones costosas? ¿Realmente no importa mientras un empleado discuta en voz alta las estrategias corporativas, las cifras comerciales y otros secretos en el tren o en otros lugares públicos a través del teléfono?
Desafortunadamente, esto se puede observar con mucha frecuencia. Cada vez que voy en tren, siempre es muy entretenido ver cómo los empleados despistados, imprudentes y casi negligentes, pero también los directores ejecutivos, consultores y otros están literalmente dando vueltas con muchos datos de su compañía. Ya sea en el teléfono, en presentaciones impresas visibles para todos, en las pantallas del ordenador desprotegidas y también, increíblemente, en cuadernos que pueden dejarse en el tren. Como CTO de una empresa que cotiza en bolsa, a veces me resulta difícil comprender cómo el descuido puede socavar la profesionalidad, es decir, el esfuerzo serio para establecer la seguridad de TI. Todo esto es una triste realidad y, en el peor de los casos, simplemente destruye todos los sistemas de seguridad en la empresa. La seguridad de TI no se detiene en el límite del propio escritorio de oficina, esto es importante. Pero este comportamiento del usuario no exime a un gerente de TI de la responsabilidad de comprar la tecnología más segura posible y de ofrecer programas con los que, por ejemplo, un empleado puede sentirse seguro trabajando en casa.
¿El trabajador en remoto tiene que tener miedo de trabajar ahora?
No, mientras el empleado se adhiera a las pautas de la compañía y el empleador use las tecnologías correctas. Simplemente debe seguir las reglas de la compañía, no permitir que terceros accedan al cuaderno de la compañía, por ejemplo, etc. La lista de consejos es tan individual como interminable. Lo importante es simple y no estoy cansado de repetirlo: ¡ninguna pregunta es demasiado estúpida como para hacerla mil veces en TI! Sin lugar a dudas, hacer preguntas aumenta la calidad de la seguridad. Y en caso de duda: durante el horario de oficina, siempre coloque el zumo de manzana de su hija o hijo lejos del cuaderno.