Gestión del impacto comercial del coronavirus: implicaciones para el teletrabajo y la seguridad de los datos

«Es apropiado actuar con precaución. Es apropiado estar preparados. No lo es entrar en pánico.» (~ Dr. Jerome Adams, cirujano general de EE. UU., en referencia al brote de coronavirus).

El coronavirus (también conocido como COVID-19) se ha documentado ya en más de 100 países y territorios. Se han documentado más de 120 000 casos en todo el mundo, lo que ha provocado más de 4000 muertes, y los casos fuera de China se han triplicado solo en la última semana. En Estados Unidos, se han registrado más de 1000 casos en al menos 45 estados, lo que ha provocado 38 muertes. El coronavirus ha afectado a los viajes nacionales e internacionales, ya que los Centros para el Control y la Prevención de Enfermedades han emitido una advertencia de nivel 3 (evitar viajes no esenciales) para los viajes a China, Irán, Corea del Sur e Italia, y una alerta de nivel 2 (tomar precauciones adicionales) para los viajes a Japón. El Gobierno italiano ha emitido un decreto para poner en cuarentena a 17 millones de personas en su región norte, incluyendo Milán, Venecia y Parma, con excepciones para «necesidades laborales demostradas» que permiten que algunas operaciones comerciales continúen. Además, muchas empresas han impuesto restricciones a los viajes nacionales e internacionales de sus empleados. Twitter, Amazon, Salesforce y Nike, además de decenas de fabricantes y empresas de servicios profesionales, se encuentran entre las empresas que prohíben determinados viajes de sus empleados debido al coronavirus. Muchas universidades de todo el mundo, incluidas las de Estados Unidos, han suspendido las clases presenciales y determinados eventos hasta varias fechas de abril, instando a quienes se encuentran en el campus a practicar un «distanciamiento social» adecuado para detener o ralentizar la propagación del coronavirus. 

En el centro del impacto financiero se encuentra la creciente interrupción de las cadenas de suministro y las operaciones comerciales en todo el mundo en muchos sectores, entre los que se incluyen la fabricación, la tecnología, la energía solar, la hostelería y los viajes, la sanidad, la alimentación, la moda y la confección, por nombrar solo algunos. China es la segunda economía más grande del mundo, por lo que el efecto del coronavirus se extiende, al igual que el propio coronavirus, mucho más allá de sus fronteras. De hecho, según Fortune.com, a finales de febrero, el 94 % de los fabricantes de la lista Fortune 1000 se habían visto afectados por las perturbaciones causadas por el coronavirus.¹ Un posible factor de perturbación es el aumento del uso de trabajadores remotos, ya que las empresas de todo el mundo se enfrentan a medidas para proteger la salud y la seguridad de su personal y de la comunidad en general, al tiempo que mitigan los riesgos tecnológicos y de seguridad.

Mitigación de los riesgos tecnológicos y de seguridad de los trabajadores remotos

A medida que el brote de coronavirus continúa desarrollándose, entre otras cuestiones tratadas en esta alerta, las empresas deben considerar si permiten que parte o la totalidad de su plantilla, y posiblemente la plantilla de sus proveedores más importantes, trabajen a distancia. Conceder esa posibilidad plantea una serie de cuestiones potenciales: ¿los trabajadores a distancia crearán riesgos para la seguridad de la información, comprometerán la confidencialidad de la información comercial sensible, generarán problemas de cumplimiento normativo, etc.?

Aunque muchos departamentos de TI están acostumbrados a lidiar con problemas de acceso remoto y seguridad, muchos (la mayoría) no estarán lo suficientemente preparados, al menos al principio, para manejar un aumento importante en el acceso remoto, tanto de su propio personal como de sus proveedores externos. Es probable que las medidas a tomar vayan más allá de la distribución de algunos ordenadores portátiles. Es probable que las circunstancias obliguen a muchas empresas a configurar desde cero un gran número de usuarios remotos, y a hacerlo de forma totalmente remota y en poco tiempo. Esto no es algo con lo que se ocupe un departamento de TI medio.

Empleados que trabajan a distancia

Las empresas pueden tomar las siguientes medidas para abordar de manera más eficaz los problemas asociados con un gran número de empleados que trabajan a distancia desde casa: 

• Si bien las soluciones técnicas son fundamentales, el elemento «humano» es igualmente importante. Las empresas deben evitar centrarse únicamente en la solución técnica más conveniente a expensas de la comprensión de la solución por parte de los empleados, el reconocimiento de la necesidad de la solución y la capacidad de utilizarla. Si las soluciones de seguridad de datos son demasiado engorrosas, los empleados descontentos buscarán sus propias soluciones de «TI en la sombra». Aunque estas soluciones de autoayuda pueden resultar más cómodas para el usuario, a menudo suponen un mayor riesgo para la seguridad. Por lo tanto, asegúrese de que los empleados aporten sus opiniones sobre las soluciones de trabajo a distancia. Considere también la posibilidad de crear un «portal de autoservicio» que usted o su equipo de TI creen (o tal vez ya hayan creado) o que pueda ser proporcionado por un proveedor de soluciones externo.
• En el aspecto técnico, céntrese en la defensa perimetral, los parches de software y otras tecnologías, y el cifrado de datos. Las casas, los coches y las empresas tienen cerraduras en sus puertas por una razón. Del mismo modo, las empresas no pueden permitirse en el mundo actual tomar atajos en lo que respecta a la seguridad perimetral: dejar entrar a las personas buenas y mantener fuera a las malas. Esto implica disponer de la tecnología de acceso remoto adecuada (por ejemplo, una red privada virtual, VPN), tecnología de protección perimetral y también asegurarse de que el software que ejecuta y gestiona la tecnología se mantenga actualizado y con los parches necesarios. Por último, las empresas deben considerar la posibilidad de cifrar los datos especialmente sensibles, como la información personal de los empleados o los clientes, y los datos comerciales de la empresa (como los precios confidenciales y la información financiera).
• Confía, pero verifica. Con esto queremos decir que debe asegurarse de contar con un sistema de supervisión sólido. Se trata de supervisar no solo quién accede a su red, sino también qué hacen mientras están allí y los dispositivos que utilizan fuera de sus instalaciones físicas para acceder de forma remota a su red. Al igual que se actualizan los cortafuegos y otras medidas de seguridad perimetral de la organización, los dispositivos que acceden a su red deben contar con antivirus y otro software y tecnología de seguridad de datos actualizados.
• BYOD. Si la empresa cuenta con un programa establecido de «traiga su propio dispositivo» para su personal, el plan de respuesta debe estar vinculado a dicho programa.
• Directrices para los empleados. Los empleados deben comprender y recibir formación sobre las medidas de seguridad de la información relacionadas con el acceso remoto (por ejemplo, no acceder a los sistemas de la empresa en cafeterías y otros lugares públicos donde terceros puedan ver información confidencial, evitar el uso de redes Wi-Fi públicas que puedan no estar adecuadamente protegidas, mantener los dispositivos utilizados para el acceso remoto bajo su control o adecuadamente protegidos en todo momento, etc.).
• Documenta tu plan. Por último, una vez desarrollado, las organizaciones deben documentar su plan en una Política de trabajo remoto (o revisar su política de trabajo remoto existente para tener en cuenta cualquier ajuste en el plan). Al igual que con cualquier política crítica para el negocio, también es necesario impartir formación y educación eficaces para que los empleados comprendan y puedan cumplir la política.

Personal del proveedor que trabaja a distancia

Permitir que un proveedor crítico permita a su personal trabajar a distancia conlleva riesgos y preocupaciones similares. Sin embargo, en el contexto de los proveedores, las empresas deben ir más allá y exigir al proveedor que firme un anexo de acceso remoto a su contrato actual que cubra cuestiones clave:

• Solo se pueden utilizar dispositivos propiedad del proveedor.
• Uso de una VPN aprobada para acceder a los sistemas del cliente.
• Configuración de seguridad de los dispositivos móviles (acceso biométrico, uso de cifrado de disco, instalación del software antivirus más reciente, etc.).
• Formación de todo el personal pertinente sobre las mejores prácticas de seguridad para el acceso remoto.
• Mantener registros precisos y actualizados de todo el personal autorizado para trabajar a distancia, incluidos los archivos de registro de sus actividades.
• Garantizar el derecho del cliente a revocar o suspender, a su entera discreción, el acceso remoto a sus sistemas cuando lo desee.

Consideraciones sobre recursos humanos para los trabajadores remotos

A medida que evoluciona la situación del coronavirus, las empresas deben gestionar adecuadamente a los trabajadores remotos. Cada vez son más los empleados que expresan a sus supervisores y compañeros su deseo de trabajar desde casa por precaución. Del mismo modo, muchos empleadores están animando a sus empleados a trabajar desde casa si presentan síntomas similares a los de la gripe o el resfriado, pero se sienten lo suficientemente bien como para trabajar. Los empleadores pueden tomar las siguientes medidas para ayudar a gestionar el mayor número de trabajadores remotos que probablemente habrá en las próximas semanas o meses: 

• Proteja sus secretos comerciales. En la práctica, ¿qué ocurre cuando los empleados trabajan desde casa? Es posible que utilicen sus dispositivos electrónicos personales o impriman documentos comerciales en papel para consultarlos. Por lo tanto, en cualquier situación de trabajo a distancia, los empleadores deben pensar específicamente en proteger sus secretos comerciales. Además de las medidas de seguridad de los datos y otras consideraciones descritas anteriormente, los empleadores también deben, cuando sea viable desde el punto de vista financiero y tecnológico, exigir que todo el trabajo se realice utilizando únicamente el acceso remoto protegido a la red de la empresa y/o utilizando únicamente equipos proporcionados por la empresa que se devuelven cuando finaliza el trabajo a distancia (o que se devuelven al cesar en el empleo). Si eso no es posible, los empleadores deben aclarar por escrito todas las expectativas relativas a la información almacenada electrónicamente o a los documentos impresos. Esto podría incluir el requisito de que los empleados verifiquen por escrito que han devuelto o eliminado toda la información almacenada en sus dispositivos electrónicos personales o impresa en casa. 
• Garantizar la precisión en la notificación de las horas trabajadas. El Departamento de Trabajo deja claro que todo el trabajo realizado en casa se considera «horas trabajadas» a efectos de los requisitos salariales y horarios (por ejemplo, horas extras, salario mínimo, etc.). Por lo tanto, es imperativo que los empleadores se aseguren de que los trabajadores remotos no exentos (es decir, con derecho a horas extras) informen con precisión de sus horas trabajadas. En primer lugar, los empleadores deben reiterar, por escrito, que los empleados están obligados a fichar la entrada y la salida a las horas reales en que comienzan y terminan el trabajo. En segundo lugar, los empleadores deben verificar y validar periódicamente que los empleados lo están haciendo. Por ejemplo, si los registros presentados muestran semanas laborales perfectas de 40 horas con horas de inicio y finalización exactamente a las 9:00 a. m. y 5:00 p. m., respectivamente, eso puede indicar que el tiempo no se está informando con precisión. Y en tercer lugar, cuando las leyes estatales lo exijan (por ejemplo, en California), los empleadores deben asegurarse de que todas las pausas para comer y descansar se tomen y se registren adecuadamente.  
• Reembolsar los gastos comerciales apropiados. Una cuestión que a menudo se pasa por alto en el trabajo a distancia es el reembolso adecuado de los gastos profesionales. Es decir, ¿tienen los empleadores que reembolsar a los empleados los gastos de Internet, teléfono y similares en que hayan incurrido en nombre o en beneficio de la empresa? La respuesta suele estar recogida en la legislación estatal. En California e Illinois, por ejemplo, los empleadores están obligados, en términos generales, a indemnizar o reembolsar a los empleados los gastos incurridos como «consecuencia directa» o «directamente relacionados» con las funciones laborales del empleado para el empleador. Por consiguiente, los empleadores deben empezar por verificar los requisitos de la legislación estatal aplicable y, si es necesario, elaborar una lista de los gastos esenciales en los que se espera que incurran los empleados mientras trabajan desde casa y evaluar un reembolso adecuado y razonable por los mismos. 
• Establezca directrices para gestionar los asuntos relacionados con la indemnización por accidentes laborales. Seamos realistas. Las lesiones pueden ocurrir en cualquier lugar y en cualquier momento. Pero, ¿qué sucede cuando un empleado se lesiona en su casa mientras está trabajando? Las leyes estatales pueden ser de aplicación exclusiva en esta situación. Sin embargo, en general, los empleadores deben establecer normas y directrices claras para garantizar que solo las lesiones realmente sufridas «en el trabajo» estén sujetas a la indemnización por accidentes laborales. Esto podría incluir el establecimiento y la aplicación de horarios de trabajo específicos y la aclaración del alcance de las funciones del puesto y las expectativas de rendimiento que deben cumplirse en casa. Esto tendrá la ventaja añadida de ayudar a los supervisores directos a gestionar y documentar adecuadamente los problemas de rendimiento. 

En resumen, es importante que las empresas tomen medidas adicionales ahora en lo que respecta al trabajo a distancia, con el fin de mitigar el riesgo de sufrir los efectos negativos del coronavirus. Para obtener más información sobre las medidas recomendadas, póngase en contacto con su socio de Foley. Si desea obtener recursos adicionales en Internet que le ayuden a seguir la propagación del coronavirus a nivel mundial, puede visitar los sitios web de los Centros para el Control y la Prevención de Enfermedades (CDC) y la Organización Mundial de la Salud (OMS). 

Foley seguirá manteniéndole informado sobre los acontecimientos relevantes. Haga clic aquípara acceder al Centro de recursos sobre el coronavirus de Foley, donde encontrará información y recursos para apoyar a su empresa durante estos tiempos difíciles.

—————————————

¹ https://www.foley.com/en/insights/news/2020/02/uetz-quoted-fortune-impact-coronavirus-auto