La prioridad perdida del CIO
Dirigir la conciencia de los responsables de la toma de decisiones hacia los objetivos correctos es una habilidad clave para el éxito del CIO. Los riesgos de inversión que enfrentan a la seguridad de la información con la tecnología de la información lo demuestran.
Para que un CIO sobreviva, necesita las prioridades adecuadas. Y para la mayoría de los CIO, en este preciso momento, sus cinco prioridades principales promedio son:
Seguridad.
Seguridad.
Seguridad.
Seguridad.
Por no hablar de la seguridad.
¿Nota lo que falta? Si su respuesta es "falta todo", pase a la cabeza de la clase.
La seguridad es, para el CIO de hoy, una hoja de dos filos. Un filo es invertir poco en seguridad. En el pasado, invertir demasiado poco en seguridad significaba aceptar un mayor riesgo de intrusiones que podían provocar un importante dolor financiero.
El ransomware ha cambiado el juego. Invertir poco en seguridad significa ahora aceptar un mayor riesgo de quedar completamente fuera del negocio. Por lo tanto, invertir poco en seguridad es una de las aristas.
La otra es no invertir lo suficiente en el nuevo valor empresarial impulsado por las TI.
El verdadero riesgo del liderazgo en TI
En caso de que esté un tanto perdido, el término "digital" es algo muy, muy importante. Se trata de utilizar las tecnologías de la información para impulsar los ingresos y la ventaja competitiva. Si no se invierte lo suficiente, los competidores más agresivos se comerán el almuerzo de la empresa.
Es la elección de Hobson: arriesgarse a quedar fuera del negocio de un solo golpe o arriesgarse a un resultado lento pero igual de letal por la pérdida de clientes, de cuota de mercado y de mentalidad.
Añada al desafío esta máxima de la gestión de riesgos: la prevención exitosa es indistinguible de la ausencia de riesgo. Lo que esto significa es que nadie felicitará a un CIO y a su equipo por un trabajo bien hecho, ni preguntará qué apoyo necesitarán para seguir manteniendo la seguridad de la empresa.
No, cada año que las prácticas de seguridad de la información tienen éxito es un año más en el que los responsables de la aprobación del presupuesto de TI estarán convencidos de que los CIO han estado exagerando los riesgos.
Si no me creen... el efecto 2000.
La trampa de la devolución de cargos
¿Está su cliente CIO preparado para caer en el pozo de la desesperación? No deberían rendirse todavía. Tienen alternativas. Algunas son más atractivas que otras; todas son mejores que rendirse.
La primera es la maniobra NoSuch, abreviatura de There's No Such Thing as an IT Project (No hay tal cosa como un proyecto de TI), algo que deberían defender con o sin los desafíos actuales de seguridad de la información.
Detrás de NoSuch está la idea de que los llamados "proyectos de TI" son en realidad intentos de hacer que alguna parte de la empresa funcione de forma diferente y mejor. En este caso, la financiación de estos proyectos que ya no son de TI no debería salir del presupuesto de TI. Deberían ser financiados por los departamentos que se beneficiarán de ellos. De este modo, su financiación no competirá con la de TI por el aumento del presupuesto necesario para la seguridad de la información.
Devolución de cargos. Si la dirección de una empresa adopta un enfoque más tradicional de la relación entre TI y la empresa, puede evitar que la seguridad de la información compita por los recursos con el nuevo valor de la empresa a través del viejo mecanismo de las devoluciones de cargos, que trasladará el coste de los servicios de aplicación de TI a las áreas de la empresa que harán uso de lo que están pidiendo a TI que desarrolle e implemente.
La diferencia entre las devoluciones de cargos y la maniobra NoSuch es sutil, pero importante. Cuando no existe un proyecto de TI, la participación de ésta en el cambio empresarial es como líder en la identificación y defensa de las oportunidades, y como colaborador pleno y en igualdad de condiciones para lograrlas.
Cuando TI cobra por sus servicios, abandona su papel de líder en la identificación de oportunidades estratégicas y en la consecución de un cambio empresarial intencionado. En su lugar, relega a TI a ser un mero receptor de pedidos.
Una estrategia alternativa para abordar el gasto en seguridad
He aquí una opción más para los CIO. Sugerir la reasignación de la responsabilidad de la seguridad de la información a un grupo que no dependa de ellos. Los mejores candidatos potenciales son la práctica de gestión de riesgos empresariales (ERM) y quienquiera que sea el responsable de la planificación de la continuidad del negocio.
Llámelo la táctica SEP (que es el problema de alguien más para los no iniciados). Puede que no haga nada por la empresa en su conjunto, pero desde una perspectiva egoísta, colgar el albatros alrededor del cuello de otra persona tiene muchas ventajas que recomendar.
Y, de hecho, ofrece algún beneficio empresarial. Reasignar la responsabilidad de la seguridad de la información permite a su nuevo propietario poner de relieve la necesidad de financiación adicional, esquivando las habituales quejas sobre que las TI son un pozo de dinero.
Estas tres alternativas -la maniobra NoSuch, las devoluciones de cargos y la táctica SEP- tienen el mismo objetivo. Se trata de evitar que la seguridad de la información y las inversiones en nuevas capacidades compitan por el tiempo y la atención de los ejecutivos, algo que se traduce directamente en sus decisiones de financiación.
Esta es una habilidad -ser capaz de dirigir la conciencia de los responsables de la toma de decisiones a los objetivos correctos- que es fundamental para el éxito de cualquier CIO.
