Trabajo Remoto 2.0: continuidad del negocio con seguridad y compliance

En 2021 Ciclo de Riesgo SUMMIT

Aliados de Negocio

Edición impresa

Rodrigo Rocha Ajuria, Líder del Negocio “Modern Work” en Microsoft

Por: Rodrigo Rocha Ajuria - Líder del Negocio “Modern Work” en Microsoft

El mundo se volcó repentinamente a la virtualidad y en cuestión de días se normalizaron la compra sin contacto físico, la telemedicina, la educación y los eventos virtuales, entre muchas otras actividades.

Desde Microsoft el compromiso ante esta realidad es transparente: empoderar a cada persona y a cada organización para lograr más. Con nuestras soluciones de Modern Work, habilitamos la continuidad de los negocios mientras navegamos juntos la crisis del COVID-19, pero también nos prepara ante la realidad que vamos a encontrar a encontrar al salir de ella. En palabras del CEO de Microsoft, Satya Nadella, “nos vemos a nosotros mismos como socorristas digitales, proporcionando infraestructura crítica para la transición al trabajo remoto”.

Conforme la tecnología va tomando su lugar en este proceso, surge la necesidad imperativa de transformar también las formas de trabajo de las personas. En un mundo más virtual y conectado, el sector financiero enfrenta un reto mayúsculo a la hora de mantener sus altos estándares en gestión de riesgos, protección de datos y preservación de la propiedad intelectual. Para lograrlo, las entidades deberán dotar a sus empleados de las habilidades necesarias para generar confianza bajo un modelo de trabajo que los obliga a estar conectados y productivos fuera de las fronteras digitales tradicionales del negocio.

En este sentido, Microsoft ha ayudado a las organizaciones a consolidar la productividad remota. El eje transversal de este proceso ha sido Microsoft Teams, el centro de trabajo en equipo que ayuda a las empresas a tener trazabilidad de su información, al tiempo que habilita la colaboración sin importar desde dónde trabajen los colaboradores de la empresa.

Analizando el caso colombiano, encontramos que el país tiene la penetración más alta de Office 365 en Latinoamérica, lo cual nos permite concluir que Teams ha contribuido significativamente en la continuidad operacional de un gran número de organizaciones del sector.

Si bien este ha sido un avance relevante, que ha garantizado una continuidad del negocio desde el trabajo remoto, es necesario aclarar que aún falta camino por recorrer. Ya conocimos el punto de partida, pero no aún el de llegada, seguimos transitando un proceso que debe evolucionar al ritmo de las políticas públicas que crean nuestros líderes para enfrentar la crisis del COVID-19. Esto quiere decir que, ante las extensiones de aislamiento preventivo en Colombia, las entidades financieras deben avanzar también en procura de un modelo de Trabajo Remoto 2.0, atendiendo no solo la productividad de las personas desde la virtualidad, sino garantizando la seguridad y el cumplimiento normativo.

¿Cómo fortalecer el cumplimiento normativo y la mitigación de riesgos?

Como habilitar el trabajo remoto

Adoptar un Modelo Confianza Cero

Las entidades financieras más conocedoras están superando el paradigma de la seguridad perimetral empleando un enfoque moderno de ciberseguridad: el modelo de Confianza Cero. El principio fundamental es no confiar en nadie (interna o externamente) por defecto y exigir una verificación estricta de cada persona o dispositivo antes de concederle acceso. Esto fortalece la posición de seguridad de las entidades soportar de forma segura la flexibilidad de acceso a usuarios dentro y fuera de las instalaciones. Microsoft es líder en seguridad procesando más de 8 billones de señales de seguridad a diario y usando Inteligencia Artificial protege de manera proactiva contra amenazas avanzadas remediando automáticamente.

Saber dónde residen sus datos mientras los empleados trabajan de forma remota

Es una pregunta vital, en negocios centrados en la gestión de riesgos. Por ejemplo, los datos de Teams se cifran en reposo y en transporte; usan un protocolo seguro en tiempo real para compartir vídeo, audio y escritorio.

Hay directivas que pueden agregar una capa de seguridad, como restringir experiencias para invitados y externos a la organización, así como controlar acceso a aplicaciones de usuarios.

Entender como su plataforma cumple normativamente y le permite demostrarlo ante organismos

Microsoft 365 incluyendo Teams cumple con las más estrictas regulaciones globales, regionales y locales. Facilita la labor de los auditores, gracias a la visualización de informes de auditoría en el Portal de Service Trust, así como la consola de Compliance Management puede monitorear cumplimiento a más de 90 regulaciones globales, nacionales, regionales, y específicos de la industria; algunas son GDPR, ISO 27000 (27001, 27018, 27701), NIST, LGPD, FedRAMP y SOC/2.

Implementar directivas de Prevención de Pérdida de Datos

La prevención de pérdida de datos (DLP) aborda preocupaciones en torno a la información confidencial y realizar acciones cuando esta se comparte. Por ejemplo, alguien intenta compartir un documento conteniendo información confidencial con externos en un canal o chat de Teams. Con DLP el documento no se abrirá para esos usuarios.

Aplicar etiquetado de sensibilidad para proteger los datos confidenciales

Clasificar fácilmente documentos importantes y asociarlos con directivas y acciones de protección como cifrado, marcado visual y controles de acceso para protegerlos a lo largo de su ciclo de vida con usuarios internos o externos.

Los usuarios pueden clasificar manualmente documentos de Office o información que comparten a través de correos electrónicos o Teams basándose en su evaluación del contenido y su interpretación de las políticas organizacionales. Sin embargo, los usuarios olvidan o aplican etiquetas de forma incorrecta, especialmente en estos momentos estresantes, por lo cual se puede configurar también la clasificación automática.

Minimizar el riesgo interno por mal manejo de información privilegiada

Situaciones estresantes aumentan riesgos relativos a la información privilegiada, como fugas, robo de Propiedad Intelectual, entre otros. Aplicar directivas de Insider Risk Management permite identificar posibles actividades sospechosas de forma temprana. Adicionalmente identificar infracciones al código de conducta de la entidad en los canales de comunicaciones de la empresa (por ejemplo, mediante el análisis de lenguaje señalar problemas posibles amenazas o acoso) minimizando el impacto del Insider Risk y contribuyendo en la salud mental de los empleados en tiempos inciertos como este.

Habilitar políticas de retención sencillas

Se trata de asegurar que se conserva toda la información requerida, mientras que se eliminan los datos que se consideran “liability” si no está obligado a conservar.

La organización puede configurar directivas de retención para mensajes de chat y canales, y puede aplicar una directiva de retención donde, por ejemplo, los usuarios puedan trabajar en colaboración y si un usuario edita o elimina los datos que están sujetos a la directiva de retención, una copia se guarda en una ubicación segura. Los datos se conservan y están disponibles para eDiscovery hasta que expire el período de retención, donde la directiva indica si se deben mantener o eliminar.

IDC estima que, en 2025, el mundo creará y compartirá 163ZB (zeta bytes) de datos, lo que representa un aumento 10x con respecto a la cantidad de datos creados en 2016. Así pues, en el “nuevo normal” cada vez más virtual, más móvil y conectado seguramente esta cantidad será mayor a la estimada, y siendo los datos el activo más valioso de las organizaciones, ahora más que nunca,  es fundamental que el sector financiero tome acciones para mejorar significativamente su postura de seguridad y simplificar el cumplimiento normativo mitigando así riesgos asociados al manejo de los datos en entornos de trabajo remoto.