Llegamos a ustedes gracias a:



Columnas de opinión

Amenazas para la gestión estratégica

Por Gabriel Marcos, Gerente de Data Center, Seguridad y Outsourcing para Latinoamérica y el Caribe de Global Crossing

[28/10/2010] Habitualmente escuchamos hablar de táctica y estrategia en reuniones de trabajo, en diferentes libros y en eventos del sector de TI y seguridad, por nombrar algunas fuentes. De hecho, podríamos decir, sin temor a equivocarnos, que ante casi cualquier situación de conflicto en el trabajo, el consejo por excelencia es: hay que ser más estratégico.
Esto es así, porque cualquiera que haya tomado desde un curso básico de márketing o que haya realizado un posgrado, pasando por todos los grises intermedios, puede recitar desde la primera clase las definiciones de táctica y estrategia, entender la necesidad de su aplicación, y hasta determinar cuándo conviene aplicar una serie de técnicas o la otra.
 
Pero a pesar de que todos sabemos de qué se trata, y tratamos de aplicarlo en el día a día, ¿podríamos asegurar que realmente estamos siendo metódicos en la aplicación de los lineamientos de la gestión estratégica? La experiencia enseña que, en la mayoría de los casos, los problemas operativos toman preponderancia, y que la mayoría de los planes estratégicos, a mediano y largo plazo, terminan convirtiéndose en soluciones de corto plazo que no tienden a alcanzar objetivos superadores, sino apenas resolver situaciones coyunturales.
 
Sin embargo, también es posible observar que en varias ocasiones estos desvíos no se deben a imposibilidades del entorno como nos gustaría pensar, sino, simplemente a una falla en la metodología de aplicación de los principios de la gestión estratégica.

¡La buena noticia es que estos principios incluyen, desde su misma base, la corrección de desvíos! ¿Qué estamos esperando entonces? Repasemos cómo aplicar, metodológica y sistemáticamente, los principios de la gestión estratégica en las áreas de TI y seguridad, y de esta manera cada uno podrá aplicarlos para enderezar el curso de su embarcación hacia el puerto que hace tanto tiempo anhela llegar. Quizás nos demos cuenta que nadie está tan lejos como parece.
 
Análisis de riesgo
Antes de ingresar al análisis de una metodología en particular, quisiera aplicar un concepto tomado de la gestión de la seguridad de la información que me parece de particular importancia en este caso: la realización de un análisis de riesgo, pero esta vez sobre la aplicación misma de los principios de la gestión estratégica.
 
Elegí comenzar así el camino, porque al abordar este tema, la primera pregunta que me surge es por qué siendo un tema tan conocido y aceptado desde el punto de vista teórico, es tan difícil aplicarlo en la vida real.
 
Es por esto que antes de presentar la metodología para su aplicación, me parece interesante traer a la luz aquellos puntos que habitualmente dificultan la implementación de estos principios, con el objetivo de estar advertidos y poder tomar las medidas necesarias para disminuir el impacto que estas amenazas pudieran tener sobre nuestros planes de desarrollo y gestión estratégicos.
 
He podido comprobar que las amenazas para la gestión estratégica giran principalmente alrededor de dos ejes: aspectos relacionados a la utilidad, y otros relacionados a la obligación. Es interesante observar, que si bien ambos pueden considerarse atributos positivos, el concepto de utilidad es extremadamente práctico para una gestión estratégica, y el de obligación es directamente lo opuesto a lo que uno debería implementar cuando desea alineamiento estratégico en una organización.
 
En ambos casos, el desarrollo y la implementación de una estrategia o de un plan estratégico, requieren principalmente de concientización. Se trata de elegir un camino que, en su inicio, tiene un alto nivel de incertidumbre, que requiere un esfuerzo no despreciable, pero sobre la base de estar convencido que esa es la mejor manera de hacer las cosas.
 
De acuerdo a los cuadrantes de la matriz de riesgos para la gestión estratégica que queda conformada con los atributos que mencionamos, podemos decir algo acerca de cómo detectar las vulnerabilidades en la gestión que nos acercan a cada uno de esos riesgos, y cuál podría ser el antídoto en cada caso:
 
Se hace para cumplir: Si bien el cumplimiento (como traducción de compliance) es una parte fundamental de la mayoría de las normas más utilizadas a nivel mundial y regional, es claro que no es éste el sentido que se pretende para un sistema de gestión. Cuando se habla de cumplimiento, se trata de incorporar a la cultura organizacional la operación en base a la legislación vigente y las políticas corporativas, con el imprescindible compromiso que todos los sistemas de gestión necesitan para ser mantenidos en el tiempo pero, principalmente, para evolucionar. Cuando nos encontramos en la situación de documentar planes estratégicos y de conducir proyectos con la finalidad de que solamente tiene sentido para cumplir, estamos quitando ese compromiso que tan importante resulta, y corremos el riesgo de que nuestro trabajo no trascienda, que los sistemas de gestión no evolucionen, y por lo tanto, se puede perder la oportunidad de aprender y crecer a través de la experiencia. Lo que debería ser un momento de reflexión para la definición de los objetivos que marcarán los esfuerzos de todo un período, se convierte en algo traumático que es necesario finalizar cuanto antes para luego sí dedicarse a lo que consideramos importante.
 
No lo necesitamos: Es claro que tanto este punto como el anterior están muy relacionados a la concientización; sin embargo, en este caso resulta paradigmático cómo se consigue el ejemplo opuesto de lo que se considera una concientización saludable para la organización. Es realmente difícil conseguir que una persona cambie tan radicalmente su posición respecto a la gestión estratégica cuando está convencida de que no es necesaria. De hecho, en la mayoría de los casos, este tipo de pensamiento es generado, a través del tiempo, sobre la base de distintas experiencias donde se realizaron malas implementaciones y se condujo estratégicamente de forma errada, sembrando en la gente la sensación de que la gestión estratégica es más bien una fuente de impedimentos que de beneficios. En este sentido, es necesaria una nueva experiencia traumática que modifique la percepción sobre la gestión estratégica (comenzando generalmente por imponer temporalmente una obligación para permitir que la gente compruebe los beneficios en el tiempo de la gestión estratégica, requiriendo un fuerte liderazgo presencial y ejemplificador en el inicio), aunque también existe el largo camino de la capacitación para contrarrestar los prejuicios formados y desarrollar el convencimiento y la concientización necesarias.
 
A nadie le interesa: Esta categoría de amenazas es una excelente demostración de que concientizar es condición necesaria, pero no suficiente. En realidad, la sensación de que los desarrollos estratégicos no son interesantes para la organización, aún cuando en la gente exista el convencimiento de que son necesarios, es un claro ejemplo de desalineamiento estratégico, ya que la energía del personal está enfocada hacia objetivos que no se perciben como valiosos para el negocio. En realidad, son muchos los casos en los que lamentablemente se dice que todo debe comenzar por la estrategia y que las buenas prácticas son el camino a seguir, pero en la práctica, y especialmente cuando es necesario tomar decisiones, siempre se elije otro camino.
 
Ya lo estoy haciendo: Creo que no hay nada menos estratégico que creerse estratégico. Y es que cualquier sistema de gestión se basa en la mejora continua, y cualquiera que realmente haya vivido la experiencia de implementar y/o trabajar con un sistema de gestión, sabe que siempre hay lugar para la mejora, ya que en definitiva lo que se busca alcanzar es la excelencia, y es un camino que no tiene fin. Sin embargo, es habitual que cuando una organización comienza a aprovechar los beneficios de un sistema de gestión estratégico, los niveles directivos sientan que con lo alcanzado ya es suficiente, y se genera la conciencia de que hasta ahí se llegó, y no es necesario más. Es ahí cuando lo que empezó siendo un desarrollo estratégico se transforma en una serie de procedimientos y procesos, con formularios y planillas para completar, que nadie entiende realmente para qué sirven.
CIO, Perú
 
Gabriel Marcos es gerente de Data Center, Seguridad y Outsourcing para Latinoamérica y el Caribe. Bajo su responsabilidad se encuentra el desarrollo, posicionamiento, lanzamiento y generación de demanda de los servicios de Virtualización, Business Intelligence, y Seguridad de la Información que utilizan los clientes de Global Crossing. Participa también como líder de proyecto en el proceso de certificación ISO 27000 para el Security Operation Center regional de Global Crossing. Gabriel publica habitualmente artículos y papers en diferentes medios del sector, y participa como orador en eventos referidos a Seguridad de la Información, abordando problemáticas relacionadas a la gestión del riesgo como parte fundamental de los procesos de negocio, y la gestión de inversiones y el outsourcing de servicios de tecnología y seguridad. Gabriel Marcos es Analista de Sistemas, ha recibido formación en estándares internacionales como ISO 9000, ISO 27000, ITIL, COBIT, y forma parte de la empresa desde 1997.