La deslocalización de las funciones de Seguridad de la Información y Auditoría

Hola,

Ya que hemos tocado el tema laboral en el último post, quería hablar un poco sobre deslocalización en lo que a auditoría y seguridad de la información se refiere.

Para no mezclar conceptos, hablaremos solo de deslocalización y no de outsourcing. La diferencia entre ambos conceptos puede requerir una pequeña explicación para dejar claro el ámbito de cada proceso: en el outsourcing tradicional lo que hacemos es trasladar una función en cuestión fuera de la organización, que normalmente será ejecutada por una tercera parte bajo nuestro gobierno. En la deslocalización la función no tiene por qué trasladarse fuera de la organización, aunque sí conlleva un cambio geográfico: hablamos principalmente de personal de la empresa que por los motivos que correspondan, deja de prestar servicios en localizaciones determinadas (el centro de trabajo primario, normalmente) para pasar a hacerlo en otras ubicaciones geográficas que pueden ser de interés para el empleador. Hay modelos de deslocalización mucho mas agresivos, en los que la totalidad de los centros de trabajo son trasladados geográficamente, incluyendo cambios en la mano de obra, pero de estos casos no hablaremos hoy. Tampoco conviene confundir y mezclar la deslocalización con el teletrabajo, aunque ambos conceptos son compatibles y generalmente van de la mano, aunque por definición no representan lo mismo.

Este es un tema extremadamente interesante -a la vez que controvertido- por motivos obvios, principalmente porque estos procesos pueden ser asumidos muy negativamente por la fuerza de trabajo (cuando se obliga a alguien a trasladarse forzosamente a un centro de trabajo que no le conviene) o todo lo contrario: quizás sean lo que los trabajadores estaban esperando desde hace tiempo (si la ubicación del nuevo centro de trabajo les conviene, claro). Para mí existe una tercera postura, más propia de las funciones tecnológicas, en la que la deslocalización es simplemente dejar de hacer en el centro de trabajo lo que el trabajador puede hacer en cualquier localización del mundo, a escoger por él, y en consenso con el empleador, sin que se produzca una externalización de la función y sin limitarse las partes al teletrabajo.

Imaginaos un empleado que trabaja en Barcelona, en una sede centralizada. Este empleado lleva años en la compañía, y ha hecho su vida en la ciudad: hipoteca, colegio para los hijos, incluso algunos de sus familiares se han trasladado con a vivir en sus cercanías, algo de lo más normal en esta vida. Por motivos diversos, la empresa para la que trabaja decide trasladar sus operaciones a Valencia, y por tanto, se le ofrece la posibilidad de trasladar su puesto allí. ¿Agradecería este empleado poder realizar la mayoría de sus asignaciones en Barcelona, yendo a Valencia lo justo y necesario? Seguramente sí. ¿Supondría un grave problema la inflexibilidad del empleador a a hora de ofrecer esta posibilidad? Probablemente, también.

Escenarios para considerar a modo de ejemplo, infinitos, y cada vez son más frecuentes. Estas cosas pasan todos los días, e invitan a que cada empleador haga una investigación profunda sobre las posibilidades de deslocalizar sin quebrantar, o quebrantando lo mínimo posible, los aspectos privados de sus empleados. Generalmente no es así, y cuando se produce un movimiento de deslocalización, lo único que se suele ofrecer es trasladar el puesto de trabajo, y con suerte. Razones para esto se me ocurren muchas:

• Cuestiones legales. No siempre se puede fomentar esta práctica por algún impedimento legal. Esto es especialmente relevante en los movimientos internacionales, y casi siempre la problemática reside en aspectos como los permisos de trabajo y los aspectos fiscales. Muchas empresas tienen localizaciones específicas por incentivos fiscales, y necesitan ante determinadas instancias demostrar que existe una presencia física de un cierto numero de empleados para mantener esos beneficios.
• Cuestiones culturales, hay empresas que simplemente, por cultura, no conciben que alguien pueda trabajar en un sitio lejos de la oficina. Generalmente esto esta asociado a estilos gerenciales que no han evolucionado, a gerentes que son incapaces de gestionar a sus equipos si no los tienen al alcance de su visual (ya sabéis, algunos solo se centran en ver quien entra y sale, el número de veces que salen a fumar y las veces que toman café durante la jornada)
• Aspectos relacionados con la fuerza del trabajo. Señoras y señores, seamos honestos con nosotros mismos, a veces los que impiden estos métodos no son los empleadores, sino los propios empleados, que no han sabido demostrar que son capaces de gestionar su tiempo sin la supervisión permanente de alguien. Esto es una realidad palpable, con lo que antes de apuntar solo a los empleadores, reflexionemos primero si somos capaces de trabajar sin pisar la oficina y sin un jefe tras la nuca.

A poco que toméis cualquier libro al respecto, es fácil encontrar razonamientos diversos para posicionarse a favor o en contra de los procesos de deslocalización. Curiosamente, casi todos estos pros vs cons se escriben desde la óptica de la deslocalización más agresiva, la que combina cambios geográficos con cambios en la plantilla, siendo las razones estandarte la reducción del coste laboral y de las operaciones por incentivación, que para más inri, benefician la país destino y le hacen un flaco favor al país origen, lo cual añade más leña al fuego sobre si estos procesos son adecuados o no. Sin embargo, de las deslocalizaciones menos agresivas, aquellas que hemos descrito como las que conllevan que el empleado tenga la opción de escoger dónde realizar sus funciones ante un eventual cambio estratégico del empleador, poco o nada se dice. Es probable que los modelos productivos actuales, que tanta revisión necesitan, tengan mucho que ver al respecto.

Centrándonos ahora en el mundo de la seguridad y la auditoría, estas tendencias, aunque no plenamente instauradas, hace mucho tiempo que son posibles en empresas tecnológicas y poco a poco van tomando forma en aquellas que no lo son. Un ejemplo son los trabajos home based, como por ejemplo el que se narra en esta oferta . En este tipo de modelo lo único que se requiere al candidato es la cercanía a un aeropuerto relevante para poder desplazarse cuando sea necesario, quedando al albedrío del candidato la localización. A fin de cuentas, si lo que tiene que hacer es trabajo de campo internacional y luego procesar informes, da igual realizar esta función en Barcelona, Roma o Londres, con lo que el beneficio para el empleado es inmediato: puede escoger estar cerca de su lugar de origen. También hay beneficios para la empresa, ya que por ejemplo, entre otras cosas, no es necesario recurrir a fuertes inversiones de inmovilizado para acomodar a estos trabajadores y todos los costes que ello lleva asociado. Por poner un ejemplo, de costosos edificios emblemáticos podemos pasar a oficinas alquiladas en rotación, y estaremos cultivando un beneficio a largo plazo que es tremendamente importante para el éxito de la companía: la satisfacción de un empleado que se traduce en mejor productividad, mayor calidad y creciente fidelidad.

Soy de la opinión que para cada organización, para cada función y para cada persona es factible encontrar un balance entre tiempo trabajado en la localización central como tiempo trabajado en el emplazamiento deslocalizado. Sólo hay que tener un programa real y efectivo de retención del talento y de conciliación laboral en Recursos Humanos. Es obvio que en algunos casos, con personas altamente competentes en la autogestión y la orientación a objetivos, un 10% de tiempo en la sede central bastará. En algunos, por desgracia, casos pasará todo lo contrario. Lo que seguro que sucederá es que una persona que puede estar localizada geográficamente en otro lugar de su conveniencia, que demuestre estar capacitado para hacerlo y que no reciba la oportunidad de llevarlo a cabo, acabará cansándose de ello.

Tampoco este es un alegato que defienda que cualquier posición es factible de optar a un programa de deslocalización como el que citamos. Quizás haya que distinguir aquí entre las funciones operativas y las no operativas. Es evidente que aquellas funciones operacionales basadas en explotación tecnológica son las claras candidatas a ofrecer modelos flexibles. Si eres un operador de seguridad, y tu trabajo consiste en mirar la consola del SIEM, clasificar las alertas e iniciar el proceso de escalado, tu trabajo podrás hacerlo con un ordenador, una conexión a Internet, un token VPN y un teléfono. Da igual que estés en La Coruña o en Almería.

Sin embargo, si eres un auditor, posiblemente tendrás que pasar cierto tiempo entrevistando al personal, discutiendo recomendaciones, presentando los informes y aprendiendo con el equipo tras la conclusión del trabajo como mejorar las cosas. Este es un problema que las organizaciones modernas han solventado con las teleconferencias y la telepresencia, pero que muchas compañías ni han resuelto ni quieren resolver, principalmente por la desconfianza en la obtención de resultados. Evidentemente, cuando no estés haciendo trabajo de campo, da absolutamente igual que proceses un log de Linux en tu casa o en la oficina, y la comparación de dos ficheros de datos transaccionales traerá iguales resultados si la haces en el sofá en pijama o vestido en la oficina.

Los trabajos técnicos son en general buenos candidatos para ser deslocalizados. ¿Es necesario estar en la oficina para hacer un pesting? ¿O para revisar código fuente? o para lanzar un fuzzer contra una aplicación? ¿Sería suficiente iniciar el proyecto in situ, recabar la información, realizar el trabajo allí donde convenga, y volver para entregar el informe? Posiblemente.

Los trabajos menos técnicos quizás tengan todavía menos recorrido, ya que se basan en actividades interpersonales que en buena parte requieren la presencia física. El diseño e implementación de un SGSI, las auditorias de procesos o la verificación de cumplimiento normativo son algunos ejemplos que en mi opinión gozan de valor añadido si se realizan con presencia en las dependencias, por motivos puramente interpersonales. Aunque es posible recabar información a distancia, la experiencia nos dice que la proximidad acelera los resultados.

A título estrictamente personal he elaborado la siguiente tabla (aquí para ampliar), la cual estoy dispuesto a debatir. En ella hago una estimación de la repartición de tiempo de trabajo presencial y no presencial en algunas disciplinas técnicas y no técnicas frecuentes en seguridad y auditoría, acorde a mi experiencia. El código de colores es fácil de comprender: verde implica fácilmente deslocalizable, rojo implica difícilmente deslocalizable, y el amarillo implica según el caso. Ni que decir tiene que es una aproximación genérica, ya que por ejemplo, se puede hacer un test de intrusión con 0% de presencia física en dependencias, dejando la presencia mínima al líder del proyecto, encargado de abrir y cerrar el proyecto, y de reunirse un par de horas semanalmente para ir discutiendo resultados, mientras el pentester trabaja en casa o en otro emplazamiento. Ídem para el trabajo forense, que a veces solo requiere presencia física para iniciar, recabar evidencias y presentar resultados, y que otras veces requiere mayor presencia para las entrevistas si la investigación tiene menos componente técnica.

La última columna, commodity, es un añadido en el cual hago una valoración sobre la disciplina, en referencia a su abundancia en la oferta sin diferenciadores en los mercados. Flechas arriba implican tendencia a generalización y abundancia no diferenciada, flechas abajo implican que tienden a la especialización muy diferenciada. A mayor número de flechas, más marcada la tendencia.

Como resulta fácil comprobar, creo que hay mucho recorrido para las tareas deslocalizadas en el mundo de la seguridad de la información y la auditoría. ¿Qué opináis vosotros?

Un saludo,