Cómo convencer a los directivos para que inviertan en TI de forma preventiva
Un mayor escrutinio de los márgenes significa que es difícil dar luz verde a proyectos que no producen un ROI inmediato, como la recuperación ante desastres. He aquí cómo los CIO pueden argumentarlo.
Entre los CIO es bien sabido que los consejos de administración de las empresas siempre restan prioridad a las inversiones en recuperación ante desastres, hasta que ocurre una catástrofe.
Pero la recuperación ante desastres es sólo un ejemplo de los proyectos importantes y preventivos que los CIO quieren financiar, pero a los que se quita prioridad a la hora de aprobar el presupuesto. Otros son la preparación para ataques de día cero, casi cualquier cosa que tenga que ver con la administración de datos, la formación en TI y las auditorías de ingeniería social.
Y lo que es peor, cuando los presupuestos se ajustan, estos proyectos quedan prácticamente olvidados en los consejos de administración, a pesar de que los problemas subyacentes permanecen, y es probable que se agraven con la falta de atención.
2024 parece ser ese tipo de año, con John-David Lovelock, distinguido analista de VP, informando de que "el gasto en TI se verá impulsado por fuerzas más tradicionales, como la rentabilidad, la mano de obra, y arrastrado por una ola continua de fatiga por el cambio".
Con un mayor escrutinio de los márgenes y el retorno de la inversión (ROI), los CIO deben gastar con prudencia, lo que hace que el entorno económico actual sea más difícil para vender proyectos preventivos que no produzcan un ROI inmediato.
A pesar de estos retos, contar con un plan actualizado de recuperación ante desastres que funcione y garantizar un marco sólido de red, seguridad y soporte de sistemas para las nuevas orientaciones empresariales son elementos fundamentales de TI que no pueden ignorarse, y que deben financiarse.
Entonces, ¿cómo conseguir apoyo para proyectos que parecen ofrecer tan pocos beneficios tangibles e inmediatos? Hay un truco que, en última instancia, su organización le agradecerá.
He aquí tres estrategias para conseguirlo.
1. Invoque el factor miedo
La financiación y priorización preventivas de proyectos suelen fracasar debido a otras prioridades de proyectos más urgentes que se adelantan porque la probabilidad de que se produzca el evento preventivo es pequeña. Cuando esto ocurre, el riesgo corporativo aumenta, ya que los proyectos preventivos se retrasan, a veces por periodos de tiempo indefinidos.
Los CIO pueden cambiar esta forma de pensar incorporando proyectos preventivos como la recuperación de desastres a sus estrategias de gestión de riesgos corporativos.
¿Qué pasaría, por ejemplo, si la TI de su empresa se viera afectada por un ataque de denegación de servicio, o por la demanda de un hacker de pagar millones de dólares antes de desbloquear sus sistemas? Incluso si esto no ocurre, ¿qué tipo de primas tendrá que pagar a sus aseguradoras corporativas y de responsabilidad cibernética cuando lean sus últimos informes de auditoría y vean que no ha actualizado su plan de recuperación de desastres o invertido en reforzar la seguridad de su red durante más de dos años?
El coste medio de una violación de datos es de 4,64 millones de dólares y, en 2022, dos de cada tres medianas empresas sufrieron un ataque de ransomware, por lo que la recuperación ante desastres y la seguridad corporativa son asuntos serios.
Las inversiones en proyectos preventivos que se necesitan con más frecuencia en estas áreas son: actualizaciones de los planes de recuperación ante desastres, y disposiciones para probar esos planes para asegurarse de que funcionan; mecanismos para la conmutación por error, ya sea a otro centro de datos o a una nube; inversiones en software de seguridad, sistemas endurecidos y redes zero trust; y capacitación del personal de TI y/o adiciones de personal.
2. Combinar las necesidades de infraestructura de TI con las estrategias corporativas
Si el plan corporativo es descentralizar las operaciones incorporando plantas de fabricación remotas o trasladando más empleados a oficinas domésticas remotas, es probable que tenga un impacto en TI.
Sin embargo, cuando se conceptualizan los planes de instalaciones remotas, como el teletrabajo de los empleados, su ROI se centra sobre todo en el ahorro debido a la reducción de metros cuadrados necesarios para el espacio de oficinas alquilado. Cuando se presentan planes de fabricación descentralizada, los ROI suelen proyectar una reducción de los impuestos/costes laborales o de los gastos de envío, ya que las nuevas plantas estarán situadas cerca de las materias primas necesarias para la fabricación.
Lo que los cálculos del ROI tienden a pasar por alto son los mayores costes asociados a la ampliación de las redes y sistemas de TI a más ubicaciones periféricas, y a garantizar que la seguridad sea sólida. Cuando aparecen estos costes adicionales, los pronosticadores originales del ROI se descontentan.
Los CIO pueden evitar que esto ocurra participando en las primeras fases de los planes de descentralización corporativa, de modo que los costes de las mejoras informáticas adicionales puedan incluirse en las estimaciones antes de calcular el ROI.
Las mejoras informáticas que probablemente se necesiten incluyen redes y equipos zero trust, software adicional de seguridad y observabilidad, más ancho de banda e incluso SASE (secure access service edge).
3. Adoptar métricas para destacar la importancia de la formación
A menudo la primera categoría en caer en el campo de batalla presupuestario, la formación para el personal de TI y los usuarios finales es una inversión importante, y difícil de reconocer en términos de resultados tangibles aparte de los gastos. Sin embargo, sin formación, tanto el personal de TI como los usuarios finales están mal equipados para avanzar con las nuevas tecnologías que necesita la empresa.
No se puede calcular el ROI de la forma habitual cuando se trata de formación, pero se puede concienciar a la empresa sobre los riesgos de no tener empleados formados para hacer su trabajo.
Las métricas importantes a tener en cuenta para las inversiones en formación son la retención de empleados, el crecimiento de los empleados y los costes de traer nuevo talento en lugar de hacerlo crecer internamente.
En 2024, las encuestas de LinkedIn muestran que la mitad de los estadounidenses quieren cambiar de trabajo. El coste de sustituir a un empleado asciende a entre seis y nueve meses de su salario, por no mencionar la posibilidad de retrasos en los proyectos o el impacto negativo en la moral de los empleados.
Los CIO deben señalarlo a la junta directiva, al CEO y a otros ejecutivos de alto nivel. En otras palabras, ¿cuánto riesgo empresarial corre su empresa si no puede encontrar (o formar) empleados para los trabajos que necesita?
