Llegamos a ustedes gracias a:



Reportajes y análisis

Hablar de los riesgos con las áreas de negocios

Siete maneras de mejorar el diálogo

Seguridad, riesgo

[17/06/2014] Es una queja familiar: Los ejecutivos de un departamento de negocios conocen un nuevo producto, a menudo basado en la nube, y quieren probarlo. Solo que no pueden, porque el área de TI ha decretado que aquel producto nuevo y maravilloso origina demasiado riesgo. Los ejecutivos de negocios, frustrados, se quejan de que los responsables de TI obstaculizan el camino del progreso. Como dijo un ejecutivo de la empresa, el área de TI es donde los sueños van a morir.

El problema podría no estar en un rechazo obstinado de los profesionales de la tecnología por los productos nuevos e innovadores. El problema, según expertos en la materia, es que la mayoría de las organizaciones no cuentan con un sistema realista, equilibrado y maduro para la evaluación y la toma de decisiones acerca del riesgo tecnológico. Especialmente, el riesgo natural que viene siempre con una nueva implementación.

"Alguien, normalmente perteneciente a una línea de negocio, tiene un producto SaaS que quiere usar, y proporciona un modelo de negocio para tal objetivo: Aquí están todos los beneficios que pueden resultar de la utilización de este producto. Lograré mis números. Puedo tener acceso a la aplicación desde cualquier lugar'", señala Jay Heiser, analista de Gartner.

En ese punto, se le pide al área de TI determinar si el software en cuestión es seguro de usar. "Entonces se inicia un absurdo intento por evitar que algo malo suceda", agrega Heiser. Garantizar una indemnización completa por las pérdidas sufridas en el caso de una violación de la seguridad, probablemente significará insertar disposiciones en el contrato establecido por el proveedor. "Se trata de productos uniformizados. La empresa cuenta con 30 mil clientes No van a negociar los contratos", anota.

Luego vienen las preguntas acerca de las prácticas de seguridad del proveedor de la nube, pero aquí de nuevo, añade Heiser, es difícil -o imposible- hacer un cuestionario que determine plenamente que el proveedor mantendrá los datos seguros. Una visita física podría ser útil, pero la gran cantidad de clientes que tienen hará que sea imposible para el proveedor recibir a la mayoría. E incluso si se encuentra parado en las instalaciones de un proveedor mirando directamente hacia sus servidores, eso no le dará acceso a la persona que escribió el código.

En resumen, no hay forma de garantizar la seguridad, sobre todo la de un producto basado en la nube, indica Heiser. Y por lo tanto, los profesionales de TI tienden a tomar el camino más fácil y declinan dar su aprobación, lo que a su vez aumenta su reputación de asesinos de sueños. Se trata de una disposición que genera frustración en todos los lados, que es más que propicio ajustarla.

Pero el cambio requiere de un serio replanteamiento sobre cómo las empresas trabajan con su área de TI para tomar las decisiones tecnológicas. Eso no va a ser fácil, pero aquí tiene algunas consideraciones para empezar.

1. Saque al CIO del banquillo de los acusados
Hable con cualquier CIO lo suficiente sobre el tema del riesgo tecnológico, y es probable que aparezca el nombre de una empresa: Target. El minorista ha sufrido una violación de datos ampliamente publicitada que comprometió a un total de 110 millones de tarjetas de crédito entre diciembre y enero -un número que es equivalente a más de un tercio de la población de EE.UU., asumiendo que todas las tarjetas pertenecían a diferentes personas. Cuando el polvo se asentó y se presentaron las demandas, nadie se sorprendió cuando Beth Jacobs, CIO de Target, presentó su renuncia.

Jacobs había desempeñado su cargo durante unos seis años, colocándola en el promedio de permanencia de un CIO en su puesto, según la encuesta State of the CIO 2014 de la revista CIO. Este es un hecho digno atención, porque detrás se esconde una verdad más oscura: La mayoría de los directores de TI asumen que un gran fracaso tecnológico puede hacerlos perder sus puestos de trabajo. "No sé si ella hizo un buen trabajo o no, pero la despidieron", señala Heiser. "En la práctica, si algo fracasa, se va a ir en busca de un chivo expiatorio". Debido a que los directores de TI se enfrentan a esta realidad, añade, es fácil ver por qué la mayoría de los CIO se inclinan por tomar "decisiones extremadamente conservadoras".

"Hemos cifrado nuestros sistemas y hacemos auditorías regularmente", confiesa un CIO. "Hemos hecho todo lo mejor posible para asegurarnos de que nunca haya una violación. Aun así, al igual que la CIO de Target, si me quedo aquí el tiempo suficiente, seguro habrá alguna situación de la que seré culpado".

2. Deje de hacer las preguntas incorrectas
"Nos llegan muchas inquietudes de nuestros clientes por conocer una respuesta definitiva sobre si algún sistema de nube es seguro o no, señala Heiser. "Es la respuesta incorrecta y la pregunta incorrecta".

Para empezar, no existe un sistema perfectamente seguro. "Inevitablemente, algo va a salir mal porque eres un arquero y a veces alguien va a meter gol", comenta Matt Powell, CIO de Kirshenbaum Bond Senecal + Partners, una agencia de publicidad con sede en Nueva York. "Lo que hacemos es hablar de riesgo relativo". Powell señala que ha leído que la postura de la Agencia de Seguridad Nacional es que todos sus sistemas han estado comprometidos el 100% del tiempo. Si una agencia gubernamental, con legendaria capacidad técnica, hace una suposición como esa, Powell sugiere que todo el mundo debería hacer lo mismo. Una vez que se adopte esa forma de pensar, agrega, "es una cuestión de cuánto es lo que está en riesgo, y por cuánto tiempo lo estará".

Desafortunadamente, anota Heiser, "no hay manera de conceptualizar el riesgo". A pesar de que muchas organizaciones, incluyendo Gartner, han tratado de puntualizar los perfiles y escenarios de riesgo, "no hay una buena manera de cuantificarlo", agrega. "Si le puede decir a una empresa que hay un 5% de probabilidad en el año de que su competidor tenga acceso a sus datos, y puede respaldar esta afirmación con estadísticas, usted podría tomar una decisión en torno a eso, pero aun así seguirá siendo una decisión emocional".

3. Comience a balancear Riesgo vs Recompensa
No hay manera razonable de tomar una buena decisión, si lo único que vemos son las cosas malas que pueden suceder, si la implementación de un nuevo sistema lleva a una pérdida de datos o averías. Un enfoque sabio de la gestión TI requiere sopesar el aumento de riesgo frente a los beneficios empresariales de la adopción de la nueva tecnología, así como el riesgo de no adoptarla, perdiendo una oportunidad o una ventaja competitiva.

¿Cómo pueden los CIO hacer juicios como estos, sin tener una visión panorámica de la organización y su estrategia? Ellos deberían poder tener esa visión panorámica, aconseja Frank Petersmark, defensor del CIO en la consultora de management X by 2 en Farmington Hills, Michigan, y ex CIO de Amerisure Insurance, una compañía de seguros de 102 años con más de 600 millones de dólares en primas directas, con sede, también, en Farmington Hills. "Tiene que considerar los riesgos tecnológicos en términos de negocio", señala. "Si hay una fuga de datos y la información de los clientes anda suelta por ahí, ¿cómo se sentiría al respecto? ¿Cómo va a afectar eso a las ventas o a la rentabilidad?"

Es parte del nuevo rol del CIO. "El CIO ha evolucionado de ser el CIO 1.0, persona tec del área, hacia donde todas las luces se dirigen pero no sabemos qué es lo que hacen ", anota. "Ahora estamos, creo, en la versión CIO 6.0, que está dirigiéndose hacia un socio de negocios completo con colegas ejecutivos. Se espera que conozca el negocio de su organización, tan bien como alguien que trabaje allí. Y la razón es obvia. La tecnología puede ser ahora un facilitador o un neutralizador, esa es la clase de líder TI que quieren las empresas".

4. Establezca un perfil de riesgo tecnológico
Sus líderes corporativos, trabajando en conjunto con los asesores financieros de su empresa, han determinado, sin duda, cuál es su "apetito de riesgo" cuando se trata de hacer inversiones -cuanta cantidad de pérdida están dispuestos a arriesgar en la búsqueda del beneficio económico. Ellos probablemente han hecho lo mismo con sus inversiones personales.

Es hora de mirar a la tecnología a través de los mismos lentes. Petersmark sugiere que usted podría ir a la alta dirección y decir: "Hemos estado pensando un poco acerca de ello y podemos hacer un gran impacto en el mercado si estamos un poco más abiertos al riesgo. Y nos gustaría que usted, Sr. o la Sra. CEO, nos ayude a pensar en ello, y nos dé un lugar en el continuum entre el impacto en el mercado y el riesgo de pérdida de negocio.

Una organización inteligente adoptaría este enfoque, señala, "en lugar de simplemente dejar que el CIO sea como César para los gladiadores, siempre señalando los pulgares hacia arriba o hacia abajo".

5. Aprenda a vivir con los matices
"Si quiere adoptar los servicios de la nube, tiene que aprender a vivir con la ambigüedad", pero para hacer esto se necesita tener a una organización madura, señala Heiser. "Si los responsables de tomar las decisiones comprenden que se trata verdaderamente de una decisión diferenciada y que es perfectamente correcto ejecutar un nivel aceptable de riesgo, podrán tomar buenas decisiones. La organización necesita tener una cultura saludable que permita manejar una decisión ambigua. Debe evitar como CIO el pensamiento: si algo falla, será mi culpa.

También debería tener una visión más pormenorizada de los sucesos malos que podrían ocurrir si algo falla, anota Heiser. A pesar de la experiencia de Target, no todas las violaciones a la seguridad son iguales. "La mayoría de las fallas de seguridad no se notan y la vida continúa", agrega.

Sin embargo, algunos líderes de TI, protegen cuidadosamente tanto las redes de sus empresas como sus propios puestos de trabajo, tratando de llegar a la mayor seguridad posible. "Algunos tecnólogos consideran que hablar del concepto de riesgo aceptable puede ser algo contradictorio. Son perfeccionistas", señala Heiser. Al otro extremo del espectro, están los que él llama los hojas de parra -que son quienes encuentran que la seguridad estándar proporcionada es probablemente suficientemente buena.

"Una organización exitosa gestiona ese conflicto", señala. "La respuesta está en un lugar al medio de esos dos extremos".

6. Empiece a compartir tanto el crédito como las culpas
Un profundo problema de la forma como se gestiona el riesgo tecnológico es que no se reparten bien los créditos ni las responsabilidades por los buenos y malos resultados, respectivamente. Si el área de TI aprueba un nuevo servicio en la nube que un departamento de negocios quiere, y el aumento de las ventas de servicios u otros elementos benefician al negocio, es probable que el departamento de negocios que está utilizando el nuevo servicio obtenga el prestigio y, tal vez, las recompensas financieras que el éxito traerá. Por otro lado, si el nuevo sistema conduce a una falla de seguridad o a otro mal funcionamiento, se pondrá toda la culpa en la gestión TI.

Con nada que ganar y mucho que perder, los líderes de TI pueden tener pocos incentivos para explorar los riesgos y beneficios de un nuevo producto, sobre todo porque ya están trabajando tratando de mantenerse al día con el rápido ritmo del cambio tecnológico. "Cuando eres un CIO, la reacción puede ser espera un minuto, no tengo tiempo para pensar en esto ahora, solo voy a decir que no'", señala Petersmark. "Los CIO quedan condicionados a hacer eso."

Idealmente, un departamento de TI que evaluó una nueva tecnología y determinó que era una buena idea implementarla, debería obtener alguna recompensa cuando esa nueva tecnología tenga un impacto positivo en el resultado final. Más importante aún, es que el área TI no sea el único centro de atención cuando algo sale mal. Y las organizaciones inteligentes están desarrollando cada vez más un entorno en donde no se genere esto.

"He estado en lugares en los que el precio del riesgo cae completamente en el área TI", anota Michael Statmore, CIO de Post University, ubicada en Waterbury, Connecticut, institución que tiene 800 alumnos en el campus y 16 mil en modalidad en línea. "Tenemos una cultura que entiende que compartimos el riesgo. Ha crecido con el tiempo, y ha sido un esfuerzo conjunto por parte de mi equipo lograrla y realmente apelar al sentido común."

Statmore utiliza esa responsabilidad compartida para hacer cumplir las decisiones cuando sea necesario. "Si alguien quiere hacer algo y les decimos que podría ser riesgoso, es posible que aún quieran hacerlo", señala. "Pero si yo les pregunto: '¿Estás dispuesto a firmar su nombre en la línea punteada junto al mío para compartir la responsabilidad? Entonces, 99 de cada 100 veces, dirán 'No, no lo estoy'".

7. Vaya más allá de un simple 'No'
Es fácil para los CIO ocupados y para los ejecutivos que constantemente están bajo presión mantenerse firmes en sus puntos de vista opuestos acerca de una pieza de tecnología en disputa. Es importante evitar ceder a esta tentación, y el mejor enfoque consistirá en encontrar soluciones alternativas que alivien el problema de la empresa sin crear un riesgo de seguridad.

En Kendra Scott Jewelry, un fabricante de joyas con cerca de 200 empleados, que opera en Scottsdale, Arizona; Newport Beach, California; y en Baton Rouge, el consultor de tecnología Nathan Toups se enfrentó a un dilema cuando el departamento de finanzas pidió bloquear Spotify, ya que el uso de ancho de banda estaba obstaculizando las velocidades de transmisión. Sin embargo, el servicio de música resultó ser muy valorado por los empleados de Kendra Scott. Así, a Toups se le ocurrió una solución: Se instaló una conexión de alta velocidad completamente separada del sistema financiero y se pidió a los empleados utilizar la nueva conexión para servicios como Spotify. La medida resolvió varios problemas a la vez, ya que el equipo web y de marketing de la compañía también había estado clamando por ancho de banda adicional.

Adoptar un enfoque de resolución de problemas mantiene a todo el mundo participando y hablando. Cuando se enfrenta una petición de un equipo de negocios, su respuesta inicial podría ser no, pero luego, usted podría agregar: "si eso es lo que quieres hacer, ¿qué podríamos hacer para que eso suceda?", señala Statmore. "Y luego nos las arreglaremos. Que la conversación no quede allí dependerá de su confianza".

Tener esa confianza en su lugar es la clave del éxito, señala Bart Murphy, CIO de CareWorks, una compañía que gestiona planes de compensación para trabajadores en Dublin, Ohio. Murphy ha asumido muchas de las funciones que antes tercerizaba y se ha ganado la confianza de sus compañeros de trabajo en el proceso. "Hemos hecho mucho desde una perspectiva de entrega para conseguir ese asiento en la mesa y no ser perdidos de vista en un correo electrónico o en una reunión -u, honestamente, ser omitidos deliberadamente porque conseguir involucrar al área TI retrasa los procesos", añade. "Nos movemos muy rápido. Somos bastante flexibles y el negocio cuenta con las TI. Si hay una necesidad, ésta necesita ser resuelta".
Minda Zetlin, Computerworld (EE.UU.)

Zetlin es un escritor de tecnología y co-autor de The Geek Gap: Por qué los profesionales de negocios y de la tecnología no se entienden entre sí y por qué se necesitan mutuamente para sobrevivir.