Con la tecnología cada vez más crítica para el éxito y la supervivencia de la empresa, los líderes de TI están asumiendo un papel más importante y estratégico en la evaluación de los desafíos y oportunidades comerciales.
Antonio Vázquez ve el potencial de problemas en todas partes.
Vázquez, quien comenzó en enero de 2021 como el primer CIO en la empresa de tecnología Bizagi, ofrece una larga lista de áreas en las que algo podría salir mal: seguridad, privacidad de datos, cumplimiento, relaciones con proveedores, administración de costos, acceso de los empleados a los sistemas, personal y proyectos de TI.
Está pensando en si los empleados comprenden y siguen las políticas y estándares de ciberseguridad de la empresa; si sus vendedores y proveedores se modernizarán a un ritmo que satisfaga las necesidades de su empresa; si los costos de los proveedores se dispararán; y si las inversiones transformacionales brindarán las experiencias que los clientes desean o, en cambio, pondrán en peligro la relación con ellos.
“Desde el momento en que piensas en proyectos, contratos o nuevos procedimientos, también tienes que pensar en el riesgo”, afirma Vázquez, y agrega que el año pasado demostró que pueden surgir riesgos nuevos e inesperados en cualquier momento.
“El panorama ha cambiado bastante, y quizás hace dos años sentíamos que teníamos todo bajo control. Ahora vemos que a veces no lo hacemos. Podría tener los mejores documentos y estándares, pero de repente sucede algo y todo cambia”, señala.
En realidad no hay nada nuevo en la necesidad de que los líderes empresariales identifiquen el riesgo y comprendan su apetito y tolerancia al mismo. Sin embargo, los tipos de riesgos que enfrentan están cambiando, al igual que la velocidad de esos cambios, lo que obliga a muchas organizaciones a evaluar y reevaluar con mayor frecuencia sus umbrales de riesgos aceptables.
El papel del CIO en estas discusiones también está evolucionando, ya que la tecnología se ha vuelto cada vez más crítica para la empresa en términos de éxito y supervivencia, como lo han demostrado la pandemia y otros eventos recientes.
Eso deja a los CIO con la tarea de evaluar nuevas áreas de riesgo, así como de restablecer su apetito, tolerancia y umbral de riesgo, todo lo cual está cambiando a medida que enfrentan un mundo postpandémico de nuevos desafíos y nuevas oportunidades comerciales.
“Depende de cuánto riesgo puede asumir, y será diferente según cada proyecto y proceso. Y para muchos CIO ha cambiado; después de la pandemia, uno encuentra que los parámetros de riesgo han cambiado”, explica Vázquez.
Una nueva era de riesgo de TI
Incluso cuando los CIO se enfrentan a más riesgos que nunca, las consecuencias de juzgar mal esos riesgos son cada vez mayores. Las organizaciones se han vuelto completamente dependientes de sistemas robustos para todas sus funciones, por lo que recurrir al lápiz y el papel en un apuro ya no es una opción.
Los CIO deben realizar correctamente el cálculo de riesgos, y tienen mucho que tener en cuenta.
Los riesgos de seguridad encabezan la lista de preocupaciones de muchos CIO, por ejemplo. La erupción de ataques de ransomware durante la primavera, incluido el ataque de mayo de 2021 contra Colonial Pipeline que se atribuyó a una VPN desprotegida, ciertamente destaca los desafíos para los CIO en esta área.
Los CIO también se centran cada vez más en el riesgo de cumplimiento, ya que más normativas y leyes como el “derecho al olvido” les exigen saber con precisión dónde residen los datos.
“Eso es una función del panorama tecnológico y la arquitectura y las aplicaciones que tiene en su tienda”, explica Benjamin Rehberg, director gerente y socio senior de Boston Consulting Group. “Y cuanto más no tenga claro cuál es la única fuente real de verdad y si sus sistemas solo acceden a esa única fuente de verdad, mayor será el riesgo de cumplimiento”.
Los riesgos asociados con los sistemas heredados también son las principales preocupaciones. La pandemia destacó los riesgos asociados aquí, ya que las organizaciones que habían reemplazado la tecnología antigua con soluciones en la nube cambiaron más fácilmente al trabajo remoto y a nuevos modelos comerciales que las que se quedaron con sistemas más antiguos.
Por otro lado, los esfuerzos de modernización y transformación, junto con el rápido ritmo esperado para lograrlos, también crean riesgos que los CIO deben considerar.
“A menudo nos presionan para entregar cada vez más rápido, y no nos tomamos el tiempo para obtener comentarios de las partes interesadas de manera oportuna”, dice Eric Naiburg, director de operaciones de Scrum.org. “Y eso es un riesgo porque a medida que el equipo sigue construyendo más, se vuelve más difícil cambiar. Causa retrasos porque luego tendrás que volver a diseñar”.
Los riesgos relacionados con los proveedores también son problemas importantes para los CIO. Las fallas de alto perfil, como la violación de SolarWinds 2020, demuestran cómo los problemas con los proveedores de tecnología pueden generar problemas dentro del departamento de TI empresarial y, por lo tanto, en la organización en su conjunto. También existen riesgos a considerar del ecosistema de la empresa, como los introducidos por los proveedores de servicios administrados y los socios comerciales. Una interrupción del sistema en un proveedor de nube, por ejemplo, puede ser un gran riesgo para un CIO si ese proveedor aloja un sistema crítico.
Los riesgos relacionados con la integridad de los datos también han subido en la lista. Las organizaciones dependen cada vez más de los datos para impulsar las decisiones, la automatización y los sistemas inteligentes, según la analista de Forrester, Alla Valente. Como resultado, muchos han visto disminuir su tolerancia a la integridad de los datos menos que perfecta.
Y luego están los riesgos sistémicos externos al negocio: huracanes, incendios forestales, recesiones y pandemias, por nombrar algunos.
La forma en que los CIO sopesan todos estos riesgos varía de una organización a otra, según los analistas, asesores ejecutivos y CIO entrevistados sobre el tema. No parece haber una tendencia generalizada más allá de que los CIO revisen el tema con más frecuencia mientras trabajan con sus colegas ejecutivos para trazar sus estrategias posteriores a la pandemia.
“Están aprendiendo de lo que acaba de suceder y se están adaptando, y están decidiendo dónde y cómo eliminar los riesgos”, manifestó Naiburg.
El contexto empresarial para la elaboración de estrategias de riesgo
Saby Waraich, CIO de Clackamas Community College en Oregon, ofrece una lista similar y completa cuando habla de riesgos. Y al igual que otros, dice que su tolerancia al riesgo está cambiando por una variedad de razones. Por ejemplo, Waraich está reconsiderando los riesgos a los que se enfrenta el centro de datos de la universidad después de que un reciente incendio forestal golpeó cerca de él por primera vez.
Al considerar los riesgos que le incumben como CIO, Waraich ve que todos están interrelacionados y entrelazados con el negocio. “No hay riesgo de TI. Tenemos que cambiar ese lenguaje y preguntarnos, ‘¿Cuáles son los riesgos comerciales?’ ”, cuestiona.
Después de todo, si el centro de datos se incendia, no solo obstaculizará la TI, se bloqueará e incluso podría cerrar temporalmente la organización en su conjunto.
Waraich agrega: “Entonces, si TI evalúa estos riesgos en un enfoque aislado, no tendrá mucho éxito [en esa tarea]. Puede tomar una decisión, pero si eso no es lo que le preocupa a la empresa, entonces no es la decisión correcta “.
La pandemia reforzó el valor de ese enfoque, agrega. “Hace dos años, la atención se centró más en la tecnología y el riesgo para la tecnología. La pandemia fue una llamada de atención para que los CIO se centraran en los riesgos comerciales, de modo que siempre puedan mantener el negocio en funcionamiento”.
Waraich evalúa los riesgos con eso en mente, pensando en cómo los problemas o fallas, ya sea en el centro de datos o como resultado de una iniciativa de transformación, podrían afectar las funciones comerciales y la empresa en su conjunto.
Luego identifica qué riesgos podrían poner en peligro las operaciones comerciales y en qué grado, un proceso que utiliza para luego priorizar el trabajo que mitiga los riesgos, traduciéndolos en los principales objetivos de TI.
Por ejemplo, consideró la falta de personal las 24 horas del día en la mesa de ayuda como un riesgo inaceptable dado el número de usuarios que necesitan ayuda en horas impares; está implementando chatbots para ayudar a mitigar ese riesgo.
Mientras tanto, está trabajando con otros líderes universitarios para evaluar los protocolos de seguridad y los controles tecnológicos a la luz tanto del aumento de los ataques cibernéticos como de las crecientes primas de los seguros cibernéticos.
Los analistas de Forrester están de acuerdo con ese enfoque. “El riesgo tecnológico es un riesgo empresarial”, opina Naveen Chhabra, analista senior de infraestructura y operaciones en Forrester.
Según Forrester, un número creciente de organizaciones ha creado comités de riesgo, con la participación del CIO, para identificar riesgos y establecer el apetito y la tolerancia al riesgo. Eso ayuda a orientar sobre lo que el CIO debe hacer dentro del dominio de TI para alinearse con esos parámetros.
Bryce Austin, un CIO y CISO experimentado que ahora se desempeña como CEO de la firma consultora de ciberseguridad TCE Strategy, ve de manera similar el valor de que los CIO trabajen junto con otros ejecutivos en este tema. Señala que los riesgos dentro de TI no solo representan un riesgo para las funciones comerciales existentes, sino que también presentan un riesgo para las oportunidades comerciales futuras.
Esa es una razón por la que aconseja a los CIO que piensen en los riesgos junto con la planificación estratégica y que ajusten ambos a medida que cambian las circunstancias. Al enmarcar la conversación en torno a cómo los riesgos, si se cumplen, podrían dañar los objetivos estratégicos, los CIO pueden determinar mejor la tolerancia que tienen para cada riesgo dentro de TI.
Sin embargo, por otro lado, los CIO no pueden ser demasiado reacios al riesgo, especialmente ahora, a medida que el mundo avanza y se prepara para lo que venga después, dice Rehberg.
“Los CIO que estén dispuestos a hacer movimientos muy audaces y que estén dispuestos a correr riesgos con el espíritu de tomar riesgos sobrevivirán a largo plazo”, añade. “La tecnología es ahora un factor estratégico de cómo las empresas salen al mercado. Eso debería ayudar a definir el apetito por el riesgo y lo que el CIO debería estar dispuesto a hacer. Y esa es una discusión empresarial muy individual, una decisión comercial y tecnológica conjunta”.
Vázquez está de acuerdo y explica que adopta la noción que él llama “riesgo por diseño”, un enfoque mediante el cual identifica áreas de riesgo, implementa mitigaciones para llevar esos riesgos a niveles aceptables y ajusta si es necesario. De esa manera, dice, la empresa está protegida, pero TI no está desperdiciando recursos por ser demasiado cauteloso.
Mary K. Pratt, CIO.com
