Dirigir la conciencia de los tomadores de decisiones hacia los objetivos correctos es una habilidad clave para el éxito del CIO. Los riesgos de inversión que enfrentan la seguridad de la información frente a la tecnología de la información ponen a prueban esta aseveración.

¿Quiere sobrevivir como CIO? Necesita las prioridades correctas. Y para la mayoría de los CIO, en este preciso momento, las 5 principales prioridades promedio son:

1. Seguridad.
2. Seguridad.
3. Seguridad.
4. Seguridad.
5. Por no hablar de la seguridad.

Y es que la seguridad es, para el CIO actual, una espada de dos filos: en el pasado, invertir muy poco en seguridad significaba aceptar un mayor riesgo de intrusiones que podían generar importantes problemas financieros.

Pero el ransomware ha cambiado el juego. Invertir lo suficiente en seguridad ahora significa aceptar un mayor riesgo de quedar completamente fuera del negocio. Por lo tanto, invertir poco en seguridad es una ventaja.

El riesgo real del liderazgo de TI

En caso de que se haya perdido las noticias, lo “digital” como sustantivo es algo muy, muy importante. Se trata de utilizar las tecnologías de la información para impulsar los ingresos y la ventaja competitiva. Invierta poco aquí y los competidores más agresivos, con el tiempo, se comerán el almuerzo de su empresa.

Es la elección de Hobson: arriesgarse a quedar fuera del negocio con un solo golpe, frente a arriesgarse a un resultado lento, pero igual de letal por la pérdida de clientes, participación de mercado y participación mental.

Agregue al desafío esta máxima de gestión de riesgos: la prevención exitosa es indistinguible de la ausencia de riesgo. Lo cual que nadie le felicitará a usted y a tu equipo por un trabajo bien hecho, ni nadie le preguntará qué apoyo necesitará para continuar manteniendo la seguridad de la empresa.

No, cada año que sus prácticas de seguridad de la información tengan éxito es un año más; los encargados de aprobar el presupuesto de TI estarán convencidos de que ha exagerado los riesgos.

Si no me cree… recuerde el Y2K.

La trampa del contracargo

¿Está listo para caer en el pozo de la desesperación?

No se rinda todavía. Aún tiene alternativas. Algunas son más atractivas que otras, pero todas son mejores que rendirse.

Llame a la primera la maniobra NoSuch, abreviatura de No existe tal cosa como un proyecto de TI , algo que debería defender con o sin los desafíos actuales de seguridad de la información.

Detrás de NoSuch está la idea de que los llamados “Proyectos de TI” son realmente intentos de hacer que una parte del negocio funcione de manera diferente y mejor. Siendo ese el caso, el financiamiento de estos proyectos –que ya no son de TI– no debería salir del presupuesto de TI. Deben ser financiados por los departamentos que se beneficiarán de ellos. De esa forma, su financiamiento no competirá con TI por el mayor presupuesto necesario para la seguridad de la información.

Contracargos. Si la administración de su empresa adopta un enfoque más tradicional de la relación TI/Negocio, puede evitar que la seguridad de la información compita por los recursos con un nuevo valor empresarial a través del tradicional mecanismo de contracargos, el cual cambiará el costo de los servicios de aplicaciones de TI a las áreas comerciales. que hará uso de lo que sea que le pidan a TI que desarrolle e implemente.

La diferencia entre las devoluciones de cargo y la maniobra NoSuch es sutil, pero importante. Cuando no existe tal cosa como un proyecto de TI, la participación de TI en el cambio comercial es como líder en la identificación y defensa de oportunidades, y como colaborador pleno e igualitario para lograrlas.

Cuando TI cobra por sus servicios, abandona sus roles de liderazgo en la identificación de oportunidades estratégicas y el logro de cambios comerciales intencionales. En cambio, relega a TI a ser un mero “tomador de pedidos”.

Una estrategia alternativa para abordar el gasto en seguridad

Aquí hay una opción más. Sugiera la reasignación de la responsabilidad de la seguridad de la información a un grupo que no le informe a usted. Los candidatos potenciales son la práctica de Gestión de Riesgos Empresariales (ERM) y el propietario de la planificación de la continuidad del negocio.

Llámelo el gambito SEP (Someone Else’s Problem, o el Problema de Otra Persona, para los no iniciados). Porque reasignar la responsabilidad de la seguridad de la información le permite a su nuevo propietario poner de relieve la necesidad de financiamiento adicional, esquivando las quejas habituales de que TI es un pozo de dinero.

Estas tres alternativas, la maniobra NoSuch, las devoluciones de cargo y el gambito SEP, tienen el mismo objetivo. Eso es para evitar que la seguridad de la información y las inversiones en nuevas capacidades compitan por el tiempo y la atención de los ejecutivos, algo que se traduce directamente en sus decisiones de financiamiento.

Hablamos de poseer una verdadera habilidad: ser capaz de dirigir la toma de decisiones hacia los objetivos correctos, que es fundamental para el éxito de cualquier CIO.

Bob Lewis, CIO.com