En 2021, los ejecutivos de C-Level que tienen sobre sus hombros el direccionamiento estratégico de la compañía, estudiarán la gestión de riesgos y, en particular, los riesgos de TI, de una manera nunca vista. La digitalización que experimentó la economía mexicana en 2020 y seguirá experimentando en 2021 hace urgente esta nueva mirada a la administración de riesgos ya que el volumen de transacciones, accesos, interacciones aumenta exponencialmente.
En el caso de empresas con ofertas B2C masivas, en particular, las transacciones digitales están claramente por delante de las transacciones tradicionales con la presencia física del cliente en la tienda o sucursal bancaria. En 2020 el comercio electrónico en México representó 316 mil millones de pesos en ventas, de acuerdo con la Asociación Mexicana de Venta Online (AMVO), esto significó un aumento de 81% en comparación con los resultados de 2019. Como resultado, los riesgos que antes se habrían limitado a un universo limitado y con pérdidas potenciales igualmente restringidas, ahora se convierten en factores extremadamente críticos para los negocios.
Hablamos de riesgos como el robo de contraseñas, incidentes de seguridad de la información e interrupciones en los servicios digitales.
Para afrontar esta situación, es fundamental contar con una estrategia de gestión de riesgos que no solo prevea, sino que también mitigue, los problemas potenciales que podrían provocar interrupciones en los procesos de negocio.
En 2021 será fundamental trasladar los factores técnicos al C-Level, comunicando claramente el impacto potencial del riesgo en las operaciones de la empresa. En la nueva era en que el C-Level anhela comprender lo que está sucediendo en los entornos digitales de la empresa, para poder comunicar información esencial a inversores y asesores, es importante que, además de afrontar el riesgo, el gerente adquiera habilidades que integran su trabajo de manera armónica con sectores y ejecutivos que antes vivían al margen de esta área.
Para lograr este resultado, es necesario seguir unos pasos muy claros:
Paso 1: Enumere y clasifique los riesgos según el costo para el negocio
El primer paso es identificar los principales riesgos. Las listas de riesgos estándar están disponibles en completas bases de datos que cubren temas que van más allá de lo que un departamento de TI podría incluir. Cada proyecto, independientemente del área de la empresa, implica una serie de riesgos, incluso si la tarea nunca se completa, se descubran defectos o exceda el presupuesto y el cronograma.
Si bien desarrollar una lista de riesgos completa puede ser muy fácil, clasificarlos de acuerdo con el costo potencial y la importancia para el negocio es más difícil. Pero de eso se trata la comunicación con el C-Level: se convierte en el trabajo del gestor de riesgos, con la ayuda de compañeros de otras áreas, cuantificar los costos que el riesgo impone al negocio. Esta información puede variar ampliamente entre verticales y organizaciones. Por ejemplo, los operadores financieros no pueden tolerar retrasos mínimos en la transmisión de transacciones, pero un fabricante puede tolerar retrasos en el procesamiento de pedidos. La empresa de comercio electrónico, por otro lado, sabe que las fallas en su infraestructura crítica pueden afectar la experiencia del consumidor, causando pérdidas reales en los ingresos.
Calcular el costo total para la empresa de cada riesgo puede resultar difícil. Los gestores de riesgos deberán trabajar en grupos multidisciplinarios que incluyan ejecutivos de empresas. Otra fuente de información para el gerente de riesgos de TI es buscar orientación en asociaciones industriales u otras organizaciones que operan en el mismo mercado vertical. Aunque la estimación del impacto del riesgo no tiene que ser precisa, es importante establecer un marco que tenga sentido para los gerentes comerciales. Esta información será la base para determinar cuánto se debe invertir en mitigación de riesgos.
Paso 2: Mitigación de precios
Esto no tiene por qué ser exacto y no debe implicar la preparación de propuestas detalladas. Las estimaciones basadas en investigaciones en Internet y experiencias pasadas son suficientemente buenas. Los planificadores deben tener en cuenta que los costos incluirán la disponibilidad de personal y tiempo, así como el dinero gastado. Algunos casos son simples, como cuando la mitigación implica la compra e instalación de una solución de hardware o software. En otros, y particularmente en el caso de la recuperación ante desastres (RD), vale la pena emplear múltiples estrategias con una amplia variación en costos y efectividad.
Determinar qué enfoque de recuperación ante desastres es el mejor para cualquier organización depende de la tolerancia durante períodos prolongados de inactividad, la disponibilidad de recursos para la resolución de problemas y la capacidad de sobrevivir a un desastre mayor.
Una pequeña empresa que no pueda sobrevivir a un desastre estaría desperdiciando dinero, por ejemplo, en una solución de recuperación de datos de un sitio remoto.
Otras soluciones creativas, como el uso de un proveedor de SaaS o empresas de subcontratación de recuperación ante desastres, son opciones importantes para considerar. Es una oferta OPEX que elimina la necesidad de inmovilizar inversiones en mitigación de riesgos. También vale la pena señalar que, en algunos casos, los planificadores pueden llegar a la conclusión de que el costo de mitigar algunos riesgos es mayor que la pérdida potencial estimada. En este caso, no invertir en mitigación puede ser una buena opción.
Paso 3: Planificación durante varios años
La mitigación de riesgos de TI es un ciclo permanente, en gran parte porque los recursos disponibles siempre son escasos para satisfacer las necesidades, lo que hace que la planificación durante varios años sea una necesidad. Los riesgos cambian con el tiempo; por lo tanto, es necesario considerar constantemente nuevos enfoques.
El riesgo de virus, por ejemplo, es una constante. Los virus evolucionan con frecuencia, pero si bien una organización puede ser veterana en el manejo de riesgos de virus, existe la necesidad de una vigilancia constante. En cualquier momento pueden aparecer nuevos riesgos, como redes inalámbricas; las actividades comerciales, como la expansión a nuevos mercados e industrias o adquisiciones, cambiarán la postura básica en relación con los riesgos.
Los negocios digitales exigen un nuevo enfoque del riesgo.
La pandemia ha llevado a muchas organizaciones a depender completamente de su infraestructura de TI para respaldar sus negocios. Pero todavía es común que las decisiones sobre la gestión de riesgos de TI se tomen en función de los costos relativos, y de la disponibilidad de habilidades específicas o políticas internas.
Es hora de cambiar ese enfoque. La gestión de riesgos de TI que realmente marca la diferencia debe ser técnicamente precisa, y al mismo tiempo, estar alineada dinámicamente con los objetivos comerciales de C-Level de la empresa.
Luis Arís, Gerente de Desarrollo de Negocios de Paessler Latinoamérica.