Menú Cerrar

Entrevista a Gonzalo Romero: La continuidad del negocio frente a la pandemia

Gonzalo Romero es el director de Seguridad de la Información de .CO Internet, el administrador del ccTLD colombiano (.CO). En esta entrevista, analiza los efectos de la pandemia de coronavirus (COVID-19) en la continuidad del negocio y las operaciones de los ccTLD. Asimismo, explica la importancia de contar con un plan de continuidad del negocio permanentemente actualizado.

¿Qué es un plan de continuidad del negocio?

Un plan de continuidad del negocio es una estrategia de las organizaciones para preservar el desarrollo de sus operaciones, su objeto misional, sus políticas y procedimientos, ante la presencia de una disrupción que pueda llegar a afectar la estabilidad, seguridad y desempeño de sus recursos, en especial el recurso humano y el bienestar de quienes trabajan en ellas.

Se trata de desarrollar un esquema que permita que la organización puedan continuar funcionando frente a eventualidades de tipo ambiental, de terrorismo, de ciberseguridad, de fallas en la prestación de los servicios o, como en el caso actual, de una pandemia. El plan debe contemplar las medidas que se toman para que el objeto misional y/o el core del negocio no se interrumpa, es decir, para hacerlo resiliente. De modo que, independientemente de lo que esté sucediendo en su desarrollo interno operativo, el cliente o el servicio como tal no se vean afectados.

¿Qué elementos componen un plan de continuidad del negocio?

El plan se plasma en un documento de acciones a seguir. Este documento contempla el alcance del plan y los supuestos referidos a los escenarios posibles, evalúa las facilidades y las características de la organización, hace una gestión de riesgos y una identificación de amenazas, tales como: pandemia, pérdida de recurso humano, personal experto, desastres naturales, disrupción deliberada u organizada, pérdida de servicios, fallas en los sistemas o incidentes en la seguridad de la información. El documento incluye también un apartado de operaciones, donde se detallan las acciones de disposición previa, respuesta y mitigación. Finalmente, se incorpora una sección que contiene lista de notificaciones o de chequeos ante cualquier situación que afecte la continuidad; dicha sección incorpora de manera explícita a quién o quienes se puede acudir como parte de la organización para darle seguimiento al plan y despejar dudas sobre su contenido y directivas.

¿Cómo se adapta este plan en un contexto de pandemia?

En una pandemia como esta, es muy importante mantener un aislamiento social. Se requiere que el recurso humano mantenga unas condiciones de cuidado de la salud y del bienestar, tanto a nivel personal, como de su familia y de su entorno. Al respecto, lo que hemos observado es que las organizaciones, a partir de recomendaciones e incluso decretos gubernamentales, han tomado la decisión de que la casi totalidad de su talento humano labore desde su hogar, en la modalidad de teletrabajo.

Algo muy importante a tener en cuenta es que cuando se toman medidas tan drásticas como esta, tenemos que revisar muy bien lo que se denomina la capacidad instalada. Cuando una organización considera la opción del teletrabajo, no necesariamente se ha puesto a pensar en la capacidad que tiene para que todo su personal trabaje desde los hogares. Muchas veces, asume que los empleados tienen en su casa todas las condiciones de tecnología, espacio y entorno para trabajar. Entonces, hay que hacerse preguntas de riesgo como: ¿Tengo suficiente capacidad de redes privadas virtuales? ¿Los teletrabajadores (y sus familias) tienen suficiente ancho de banda en su conexión a Internet? ¿Se tienen condiciones de trabajo aptas: silla, escritorio, espacio, luminosidad, etc.?

Tenemos que dimensionar si nuestros trabajadores tienen las capacidades instaladas suficientes para garantizar un óptimo trabajo, así como también si la propia organización tiene las capacidades para brindar todos los requerimientos tecnológicos a esos niveles.

En las organizaciones responsables de la gestión y operación del DNS, ¿cuáles son, en una situación de teletrabajo, las medidas que se tienen que llevar a cabo dentro de este plan para garantizar la seguridad digital y el correcto funcionamiento y operación del DNS?

Se trata de medidas que requieren monitoreo continuo y exhaustivo. Pienso que todos nosotros, particularmente en organizaciones de registro de nombres de dominio y gestión del DNS, debemos estar muy alerta y tener muy buenas herramientas de monitoreo, de seguimiento y de trazabilidad. En nuestros tableros de control, tenemos que ser muy agudos en la identificación de alertas amarillas y rojas frente a capacidades en determinados servicios de core o misión crítica. Este seguimiento −que debe realizarse siempre, aunque no haya una situación crítica a la vista− nos sirve para establecer dónde tenemos que mejorar la capacidad, dónde tenemos que optimizarla. Llegado el momento, no vamos a poder resolver el problema de la noche a la mañana, lo vamos a tener que resolver durante la misma crisis. Por ejemplo, en una situación como la actual, muchas organizaciones se dan cuenta después de dos días de teletrabajo que algunos trabajadores no tienen una pantalla de computador lo suficientemente apta y acondicionada para su trabajo. Porque tienen unas condiciones ergonómicas muy buenas en la oficina, pero nunca habían previsto qué pasaría si los trabajadores tuvieran que trabajar desde sus hogares. En esos casos, los problemas deben resolverse a medida que se presentan, con el apoyo solidario del teletrabajador, de tal manera que no se sumen dificultades a la crisis.

Con respecto al ccTLD .CO, ¿Han desarrollaron algún tipo de esquema de etapas de adaptación a la pandemia? ¿Qué medidas tomaron y cuáles piensan tomar más adelante en el caso de que la propagación siga aumentando?

El primer paso fue concientizar a la organización de la presencia de una situación como esta, luego actuar en consecuencia. Antes de tomar una decisión de esa naturaleza, debimos evaluar de qué manera estábamos preparados para el teletrabajo. Esto implicó revisar si tanto desde la óptica corporativa como desde la perspectiva individual teníamos facilidades para teletrabajar, si cada persona en su hogar tenía los recursos necesarios para continuar con sus tareas. En los casos en los que no era así, nos ocupamos de brindarlos. Y ahora estamos en la etapa de ajustes y acondicionamiento a este nuevo esquema de teletrabajo y viendo, a partir del progreso de esta situación, de qué manera avanzar. Es importante ir un paso más adelante en identificar cuáles son los siguientes pasos que se deben dar.

Nosotros somos un grupo reducido de personas, pero lo que hemos visto es que hay asuntos que definitivamente no podemos dejar de realizar. Hemos encontrado en este proceso que hay elementos que ajustar. Yo, en este momento, tengo que ir a la oficina una vez a la semana a chequear el status de los equipos, la temperatura del centro de datos local, realizar monitoreos físicos de rutina. Alguno de nosotros tiene que ir a la oficina por la correspondencia física. Esas son cosas que se van ajustando en el tiempo y que seguramente van a aumentar o reducir su frecuencia en la medida en que las demás partes (usuarios, proveedores) también sean conscientes de la situación y comiencen a utilizar canales digitales para intercambiar información.

Lo importante, a medida que se ejecuta el plan, es tener la flexibilidad necesaria para ajustar los puntos que van demostrando no estar bien dispuestos. El plan es dinámico y tiene que ser maleable. Debe permitir moverse, abrirse, darle oportunidades a nuevos escenarios, sobre todo en unas circunstancias tan inciertas como las que estamos atravesando. No sabemos cuándo terminará este momento de crisis, pero sí tenemos claro que debemos continuar con nuestra operación, debemos continuar con nuestro objeto misional, bajo un concepto muy claro de consciencia, de responsabilidad, de autorregulación y de seguimiento a las indicaciones de las autoridades.

¿Qué medidas debería tomar un ccTLD con respecto a los Registrantes, que probablemente también se vean en una situación de crisis? ¿El Registro debería evaluar alguna medida en el plan de continuidad del negocio, ya sea para una pandemia o para algún otro tipo de emergencia?

Hay que identificar que, como ccTLD, va a aumentar el número de llamadas, inquietudes o requerimientos. La demanda en tu servicio de atención al cliente se va a incrementar, dado que los trabajadores de los Registrantes no van a trabajar en una oficina sino en unas condiciones distintas. Hay que ajustarse. Esta realidad nos impacta a todos de la misma manera, entonces debemos mostrarnos comprensivos con los clientes, pero también hacerles ver cómo estamos garantizando el servicio. Porque nosotros también nos estamos viendo afectados.

¿Algún comentario final?

Considero que en este momento, más que nunca, es muy importante el compromiso, la cooperación y la colaboración entre los ccTLD de la región y del mundo. Debemos aunar esfuerzos, compartir buenas prácticas y asegurar la continuidad de nuestros servicios, sean o no de misión crítica, con el fin de garantizar las condiciones aptas de estabilidad, seguridad, rendimiento, confiabilidad y resiliencia del DNS y de Internet.