El 90% de las empresas en nuestro país clasifican como pequeñas y medianas; el restante son las transnacionales y/o líderes de su correspondiente vertical en la industria. A lo largo de mi vida profesional he tenido la oportunidad de colaborar en toda la gama de tamaños de organizaciones, desde una fábrica de buriles hasta la empresa más grande en alimentos de América Latina, así como en servicios, gobierno… pero esa es otra historia.
Las áreas de Sistemas, Tecnologías de la Información, Informática o como se les llame en cada organización, típicamente deben tener una parte dedicada a los sistemas, otra a las redes/telecomunicaciones y otra al mantenimiento/soporte/atención a usuarios. Todas las demás –como Operación, Calidad, Aplicaciones, Seguridad– se aglutinan en una persona o, en el mejor de los casos, en un área específica.
La mayoría de quienes leen este tipo de artículos, estamos al menos conscientes de que existen estándares –ISO, COBIT, ITIL, TOGAF– y metodologías de clase mundial –como RUP, SCRUM, OSSTMM, etc. Dependiendo del presupuesto que tengan donde trabajes y el tipo de programadores o experiencia que posean, tienes un framework .Net o Java, obviamente hay más, pero la enorme mayoría en México entran en los dos anteriores. Recientemente escuche a IDC México dar la escalofriante cifra de que el promedio presupuestal invertido en seguridad es de apenas el 2%, lo cual me parece terrible.
Todo lo anterior sirve de preámbulo para dar un panorama de la realidad en la mayoría de las organizaciones en México, dónde los CIO y CTO tenemos aún mucho por hacer. Y si no me crees, hazte estas cuatro preguntas: ¿tu empresa o institución cuenta formalmente con arquitectura empresarial?, ¿tienes operando o en camino la iniciativa de DevOps?, ¿cuentas con una estrategia de seguridad incluyendo el “tratamiento de incidentes”, es decir, qué hacer en caso de ser hackeado?, ¿cuentas con una estrategia de movilidad? Al hablar con mis colegas –cerveza en mano y relajados en congresos o simposios–, las respuestas de una abrumadora mayoría es “no” al menos a tres de mis preguntas. Luego viene la explicación de que “ya lo están contemplado” o “en eso están”.
Ciertamente, tener un ERP como SAP, Oracle, Dynamics o cualquier otro no garantiza que se cuenta con los sistemas alineados a las necesidades del negocio. Además, el asistir a conferencias de Gartner, Forrester, IDC o cualquier otra firma analista de buen nivel es fundamental para estar actualizado y mantener la visión correcta.
Por dónde empezar
Comienza por armar en conjunto con tus stakeholders un Plan Maestro Tecnológico; segundo, arma una estrategia de seguridad, y no me refiero a instalar firewalls y antivirus, sino a establecer procesos, realizar pláticas de sensibilización con el personal de otras áreas, elaborar un diagnóstico de la situación actual, así como tener visibilidad de lo que está pasando con tu red y plataforma. Por último, es conveniente hacer un presupuesto acorde con las inversiones que hayas logrado justificar y fundamentarlas en las necesidades que tiene el negocio.
El criterio, o criterios, para que puedas hacer realidad tus proyectos puede ser cualquiera de estos:
- Porque vas a reducir los costos de la organización a través de lo que propones;
- Porque vas a incrementar las ventas o el porcentaje de clientes;
- Porque incrementarás la satisfacción del cliente;
- O porque aumentarás la ganancia por transacción.
De lo contrario, es altamente probable que te “encuentres con pared”.
El 2% que se invierte en México en materia de seguridad, debería ser al menos de 10% para estar al nivel de las actuales circunstancias en hardware, software y “humanware” (capacitación).
Y así como existe esa brecha de un 8%, también hay otras diferencias entre el deber ser y la realidad. La buena noticia es que, en gran medida, muchos aspectos dependen de ti y cómo los justifiques. Para finalizar, siempre debes tener presente que, si tú no puedes, alguien más sí podría hacerlo en tu lugar.
