¿Las creencias erróneas están dañando el marco de gobierno de su organización de TI? A continuación, se muestra un resumen de las falacias comunes que deben eliminarse de inmediato.
Cuando se diseña y funciona correctamente, la gobernanza de las Tecnologías de la Información (TI) juega un papel integral en la alineación de las metas comerciales y de TI, ayudando a enfocar, fortalecer y hacer avanzar la estrategia comercial general de una empresa. Sin embargo, con demasiada frecuencia, los líderes de TI son víctimas de conceptos erróneos populares que no sólo descarrilan el gobierno de TI efectivo, sino que entran en conflicto directamente con los objetivos comerciales clave.
El resultado final es una empresa cargada de riesgos innecesarios, vulnerabilidades de cumplimiento y oportunidades perdidas, entre otras deficiencias graves.
Lograr que los marcos de gobierno de TI y de negocios funcionen sin problemas y en el mismo camino requiere evitar las muchas falacias que han surgido con el tiempo para descarrilar estrategias que de otro modo serían sólidas.
Aquí hay siete mitos particularmente destructivos que usted debe esquivar o deshacerse de inmediato.
La subcontratación de un proceso empresarial subcontrata su riesgo
Muchos líderes de TI asumen alegremente que los proveedores externos practican una buena higiene cibernética. “[Ellos] a menudo no realizan la debida diligencia para validar que el proveedor está … operando controles básicos de TI sobre todos los aspectos de su empresa”, observa Tom Garrubba, vicepresidente y CISO de Shared Assessments, una organización global de membresía dedicada al desarrollo las mejores prácticas, educación y herramientas necesarias para impulsar la garantía de riesgos de terceros. “Tal fe ciega puede tomar al subcontratista con la guardia baja de inmediato en caso de un incidente cibernético, incluida la falta de disponibilidad del sistema”.
Garrubba aconseja realizar evaluaciones periódicas y detalladas destinadas a validar los controles de higiene de TI de los proveedores y cómo se alinean con el riesgo de que se manejen los datos. “Además, es aconsejable monitorear continuamente el desempeño cibernético [del proveedor] con varias herramientas para garantizar que estén a la altura de las expectativas”, agrega.
Garrubba advierte que las organizaciones que no realizan evaluaciones completas de riesgos de terceros, independientemente de la industria, ya están rezagadas. “Tales evaluaciones ahora se consideran un procedimiento operativo estándar en todas las industrias”.
El software puede resolver problemas arraigados dentro de la organización
El software de flujo de trabajo se puede utilizar para guiar eficazmente las operaciones de una organización a fin de garantizar el cumplimiento y la finalización de un proceso bien definido. Sin embargo, para muchas organizaciones, un “proceso bien definido” es poco más que un concepto mítico, observa Bryan Shoe, instructor de gobierno de TI en la firma de capacitación de software DevelopIntelligence. El software sólo puede proporcionar soporte para un proceso organizacional, señala: “Las herramientas no son el proceso. No son una panacea para resolver los problemas organizativos en cuestión”.
Antes de recurrir al software como guía de gobernanza, las organizaciones deben asegurarse de haber definido claramente su visión, misión, metas y objetivos. “A partir de ahí, la gobernanza guía las decisiones en torno a la creación de procesos operativos para respaldar la visión, misión, metas y objetivos de la organización”, dice Shoe. “Entonces, la organización puede seleccionar y configurar herramientas de software para facilitar los procesos que ayudarán a lograr los objetivos de la organización”.
La gobernanza se puede lograr a través de un solo panel de vidrio
El gobierno de TI exitoso optimiza la gestión de riesgos, los recursos y las estrategias para cumplir con los objetivos planificados. “La capacidad de recopilar e informar sobre aspectos críticos del desempeño y la entrega de TI en múltiples dominios es la base para determinar la efectividad de su programa de gobierno de TI”, señala Andrew Morrison, líder de soluciones de respuesta, defensa y estrategia de servicios de riesgo cibernético en Estados Unidos de la firma de asesoría de TI, Deloitte.
Desafortunadamente, el deseo de visualizar los informes de gobierno de TI en términos comerciales claros y concisos en una forma que sea fácilmente consumible por los tomadores de decisiones, ha creado un mercado lleno de afirmaciones de proveedores de que una sola herramienta o solución puede proporcionar toda la visibilidad y la evaluación compleja necesaria. en toda la empresa.
La realidad es que la demanda de datos en tiempo real, agregados a través de tecnologías, procesos, políticas y personas dispares, supera con creces el suministro real de dichos datos.
“Además, la complejidad de los sistemas de TI actuales y el ritmo acelerado de cambio dentro de TI hacen que el mantenimiento de la conectividad a las entradas que cambian rápidamente sea una tarea potencialmente tonta”, afirma Morrison. “Si bien muchas herramientas excelentes brindan una vista unificada de partes del gobierno de TI, como riesgo, seguridad, cumplimiento, controles y costos operativos, la mayoría de las organizaciones serán más efectivas optimizando el uso de múltiples soluciones de informes diseñadas específicamente en lugar de intentar lograr un verdadero ‘único panel de vidrio'”.
Las métricas garantizan el cumplimiento
En realidad, las métricas carecen prácticamente de sentido a menos que se presenten en contexto. “El liderazgo necesita métricas para comprender la seguridad y demostrar la madurez del programa, pero las métricas por sí solas no prueban el cumplimiento”, dice Karen Walsh, fundadora y directora ejecutiva de Allegro Solutions, una firma de asesoría de cumplimiento de seguridad cibernética.
El contexto surge de casi todo lo que rodea a las métricas, incluidas las personas, los procesos y las tecnologías. “Al final del día, la gobernanza se trata de conocer su negocio y su pila de TI y comprender cómo uno impulsa la adopción del otro”, observa Walsh. “Sus objetivos comerciales impulsan sus compras de TI que, a su vez, impulsan en última instancia la próxima evolución de objetivos”.
En lugar de preocuparse por si los equipos alcanzarán ciertas métricas objetivo, el objetivo del líder de TI debería ser comparar un trimestre con el siguiente, dice Walsh. “Si ves consistencia de un trimestre a otro y estás satisfecho con lo que estás viendo, entonces tienes estabilidad”, señala.
La gobernanza elimina los problemas de control de costos
Aunque los controles de gobernanza pueden aumentar la visibilidad de los costos, así como ayudar a la ubicación y el tamaño de la carga de trabajo inicial (lo que afecta el costo), la gobernanza no es una cura instantánea para todo lo relacionado con los costos, afirma Brian Adler, director senior de estrategia de nube en la gestión de activos de software y proveedor de optimización de licencias Flexera.
La optimización de costos de TI es un esfuerzo interminable, pero se vuelve más fácil con el tiempo. “A medida que las organizaciones continúen desarrollando controles de gobernanza relacionados con el aprovisionamiento, se reducirá su exposición inicial a sobrecostos”, explica Adler. Agrega que las organizaciones deben darse cuenta de que el control de costos y la optimización no es una tarea de “sólo una vez y queda hecha”. “En realidad se trata de un proceso continuo e iterativo”, señala.
La gobernanza juega un papel importante en el control de costos, especialmente durante el proceso de aprovisionamiento. Sin embargo, optimizar los costos también implica otras funciones clave que no son necesariamente parte de la mentalidad desarrollada en los entornos locales tradicionales.
Adler insta a los CIO a resistir la tendencia al aprovisionamiento excesivo. “Si está en la nube, utilice la escalabilidad que ofrece”, aconseja. “Ponga los recursos que no sean 24×7 en un horario”. También les recomienda aprovechar las ofertas de descuento de proveedores, como instancias reservadas y modelos de licencia. “La gobernanza es un gran primer paso para controlar los costos, pero es exactamente eso: el primer paso”, concluye.
La gobernanza puede obligar al cumplimiento
Un número significativo de CIO cree que el gobierno de TI sirve principalmente para disciplinar a las partes que no cumplen con las políticas de cumplimiento del gobierno, así como con varios requisitos internos y externos.
“Si bien el cumplimiento es sin duda una función del gobierno de TI, no debería dominar la narrativa frontal sobre los programas de gobierno de TI”, dice Matt Donahue, analista de cumplimiento y riesgo del proveedor de software de optimización y gestión de TI Entrust Solutions.
La principal prioridad del gobierno de TI es generar una fuerte sinergia entre los objetivos financieros y tecnológicos, abordando los intereses tanto de las partes interesadas como de los clientes. “Los conceptos erróneos que describen la gobernanza de TI como un organismo disciplinario niegan el potencial de un trabajo poderoso y el valor aditivo que la gobernanza proporciona tanto a los proveedores como a las partes interesadas”, explica Donahue. “Es probable que menos empresas inviertan en estructuras de gobierno de TI si no creen que pueda ser beneficioso”.
La gobernanza es algo intrínsecamente malo
El mayor mito de la gobernanza de TI es que la gobernanza es, en el mejor de los casos, un mal necesario. Eso simplemente no es cierto. En cambio, los CIO deben ver la gobernanza como una herramienta poderosa que es necesaria para lograr los objetivos deseados.
“Use lo que necesita y no use lo que no necesita”, aconseja Mike Kelly, CIO del proveedor de servicios y software de código abierto Red Hat. Elija qué gobernar y cuánta gobernanza es necesaria. “De esta manera, la gobernanza siempre sirve al bien común”, afirma.
Además, la gobernanza nunca debe imponerse de arriba hacia abajo. “Para aumentar la aceptación, haga de la gobernanza un esfuerzo de colaboración y de base”, dice Kelly. “Con la aceptación, usted obtendrá excelencia en la implementación”.
Lo último que hay que recordar es que la gobernanza de TI debe evolucionar continuamente. “Réstele al proceso o agregue al proceso”, explica Kelly, “pero considérelo siempre como algo que puede y debe cambiarse para satisfacer las necesidades y condiciones cambiantes”.
John Edwards, CIO.com
