Cinco errores que cometen los responsables de TI en las reuniones del consejo de administración
Hacer una presentación ante la junta directiva es complicado. Los CIO y los CISO harían bien en comprobar sus suposiciones, conocer a su audiencia, anticiparse a las preguntas fuera del orden del día y evitar las tácticas intimidatorias.
No es raro que los CIO, los CISO y, a veces, sus subordinados directos tengan que participar en reuniones de los consejos de administración o presentar estrategias y planes de TI a sus juntas directivas. Si no participa a menudo en reuniones de consejos de administración, la preparación es primordial, empezando por conocer los antecedentes de los directores y revisar las actas de reuniones anteriores. Y si va a hacer una presentación, lo mejor es que estudie los resultados de las juntas más antiguos y consulte a sus colegas sobre cómo los directores discuten, debaten y finalizan las decisiones clave.
Las mejores prácticas para las reuniones del consejo abundan. Cuando haga una presentación, tendrá que ganarse a los miembros del consejo haciendo los deberes, comunicándose en lenguaje empresarial y practicando la presentación. Cuando presente innovaciones significativas e inversiones en transformación digital, previsualice la presentación ante el comité ejecutivo, ilustre dónde se necesitan experimentos con la opinión de los clientes y espere detractores que busquen hojas de ruta perfectas. Prepárese para responder a las preguntas habituales del consejo sobre la preparación cibernética, las hojas de ruta tecnológicas y los planes para contratar y retener a un equipo diverso.
Pero cuando pienso en mis propias presentaciones y reuniones, lo que más recuerdo son los errores más simples. Lo mismo les ocurre a muchos directivos de TI con los que hablo. Teniendo esto en cuenta, he aquí cinco errores comunes que cometen los líderes de TI cuando participan en reuniones de juntas directivas.
Asumen que su junta carece de experiencia técnica
En 2019, el MIT informó que solo el 24% de las juntas directivas estadounidenses de empresas con más de mil millones de dólares en ingresos tenían conocimientos digitales. Una revisión más reciente informa que solo el 51% de las empresas de Fortune 100 y el 9% de las organizaciones de Fortune 200 a 500 tienen un director con experiencia relevante en ciberseguridad. Si bien estas cifras sugieren una brecha técnica y de seguridad significativa en los consejos de administración de las grandes empresas, sería un error que un CIO o CISO asumiera que su consejo carece de perspicacia digital, de datos, de seguridad u otra habilidad técnica.
"La estructura de los consejos de administración ha cambiado en los últimos años y muchos de ellos se han ampliado con miembros del ámbito tecnológico, incluidos ex directores de sistemas de información en muchos casos", afirma Manoj Tiwary, director de Sistemas de Información de Subaru Canada. "Así que identifique a uno de los miembros del consejo como su defensor. Asegúrese de trabajar con este campeón fuera del entorno de la junta para garantizar la alineación y la adopción de su estrategia tecnológica".
Se inclinan por la jerga técnica y las respuestas enrevesadas
En Digital Trailblazer cuento la historia de los primeros días de Internet, cuando un director me preguntó: "¿Qué es una cookie?". Mi primer instinto fue dar una respuesta técnica, pero enseguida me di cuenta de que si contestaba así a la pregunta ante el consejo de administración, me mostrarían el ascensor virtual para bajar a la morgue de los CTO. "Los CIO no pueden responder a preguntas sobre cuestiones clave o actuales de TI mediante ofuscación involuntaria, o quizá intencionada", afirma Joe Puglisi, antiguo CIO y ahora inversor, asesor y miembro del consejo de administración. "Nada desconcierta más al consejo que una larga retahíla de galimatías tecnológicos".
Es importante evitar la jerga técnica, pero a veces te piden que definas un término técnico o expliques una tecnología. Tanto Puglisi como yo recomendamos responder a las preguntas técnicas con analogías del sector. Los dos hemos trabajado en el sector de la construcción, así que, por ejemplo, podríamos ayudar a estos ejecutivos a entender Scrum en el desarrollo de software comparándolo con las metodologías de diseño-construcción y construcción ágil de proyectos.
Recurren a tácticas de miedo o a riesgos de seguridad
Todos conocemos el dicho "Nunca desaproveches una crisis" como herramienta para llamar la atención sobre las grandes inversiones que nadie quiere hacer. A veces se necesita una chispa para crear una sensación de urgencia, pero no lleves este enfoque demasiado lejos. Una vez oí a un CISO decir: "Si no puedes convencer a la junta, entonces asústalos", lo que puede conseguir que un CISO diga sí a una inversión, pero perderá credibilidad con el tiempo. Los CISO que son presentadores y narradores natos pueden conectar con la junta utilizando estas habilidades, pero sólo si se les da tiempo suficiente para utilizar este enfoque.
Si presentar no es su mejor habilidad, o sólo tiene unos minutos para hacerlo, contar historias puede confundir a los directores, dice Tony Pietrocola, presidente y cofundador de AgileBlue. "El problema para que los consejos de administración entiendan realmente si la empresa está protegida contra las ciberamenazas es que, por lo general, no son técnicos, por lo que el CIO o el CISO podrían responder a la pregunta con una narración confusa", afirma.
Jay Ferro, vicepresidente ejecutivo y director de Información, Tecnología y Productos de Clario, y miembro de la junta directiva de Allata, comparte ejemplos de cómo no responder a las preguntas de la junta sobre riesgos de seguridad. "No digas: 'Hacemos todo lo que podemos y esperamos estar protegidos'", afirma. "Nadie puede garantizar una seguridad total, ¿verdad? Así que es difícil decir si estamos a salvo de todas las amenazas". Además, no exageres tu preparación en seguridad diciendo: 'Nuestra postura de seguridad es robusta, y las contramedidas que hemos implementado protegen completamente a nuestra organización de todas y cada una de las amenazas'".
Entonces, ¿qué deben hacer los CISO para asegurarse de que la junta entiende los riesgos de seguridad sin contar historias ni utilizar tácticas para asustar? Pietrocola recomienda el uso de puntos de referencia de seguridad para ayudar a los directores a entender los riesgos, diciendo: "Los algoritmos de puntuación pueden poner un grado en las facetas más críticas de la ciberseguridad y las operaciones críticas de la empresa". Ferro, por su parte, recomienda discutir los impactos empresariales de las áreas de alto riesgo y revisar sus protocolos de evaluación.
Responden vagamente o carecen de anticipación
Los CIO y los CISO deben comprender qué información es importante compartir en el consejo de administración. Presentar demasiadas diapositivas es problemático porque los directores perderán interés. Resumir con muy pocas diapositivas puede dejar fuera detalles clave sobre el planteamiento del problema, las oportunidades de crecimiento, las tendencias del mercado y otros detalles que conectan las necesidades del negocio y de los clientes con la estrategia tecnológica. "Lo último que deberíamos hacer es presentar en una reunión del consejo una estrategia tecnológica construida de forma aislada, que no esté alineada con los objetivos empresariales o que no cumpla las expectativas del consejo", afirma Tiwary.
De acuerdo con Ferro, aquí hay otros ejemplos de preguntas que hacen los directores sobre iniciativas de transformación digital y cómo suena una respuesta pésima.Un director pregunta por el calendario de una iniciativa que acaba de arrancar, y el director de sistemas de información responde: "Bueno, acabamos de empezar, así que no hay mucho que compartir. Todavía estamos tratando de entenderlo todo, así que aún no tenemos ningún progreso o conocimiento significativo". Los directores de sistemas de información siempre deben responder primero a la pregunta y, a continuación, proporcionar detalles de apoyo. Una buena respuesta sería: "Aún no tenemos un calendario, pero estamos investigando a los clientes y realizando una prueba de concepto de la tecnología. Tendremos los resultados en 30 días y un borrador de calendario poco después".
Otro director pregunta qué está haciendo el departamento de TI con respecto a la IA generativa, y el CIO responde: "La IA y todas estas palabras de moda suenan emocionantes, pero sinceramente, no estoy seguro de la diferencia que supondrán. Todavía son bastante nuevas, así que estamos esperando a ver qué pasa". El problema con esta respuesta es que los consejos de administración esperan que los directores de informática tengan una recomendación más sustantiva sobre las tecnologías emergentes y las oportunidades y riesgos empresariales, incluso si el comité ejecutivo no está priorizando el trabajo en torno a la tecnología.
La clave para los CIO y los CISO es estar increíblemente informados sobre las iniciativas activas, las oportunidades de negocio y las tecnologías emergentes que afectan a su negocio y a su sector. Incluso si un tema no está en el orden del día, es justo que un director pregunte por él.
Tiran a los colegas debajo del autobús
Mi última recomendación proviene de un evento #CIOChat Live, en el que planteé al panel sobre relaciones entre el CIO y el consejo una pregunta provocadora. "Si no estás recibiendo apoyo del CEO en una inversión crítica de seguridad u operativa, ¿deberías plantearlo en la reunión de la junta?". Los panelistas me miraron con dureza y respondieron con un rotundo no. No conviene airear desacuerdos en las reuniones del consejo ni sorprender a los compañeros planteando un tema que no está en el orden del día. Es un movimiento que limita tu carrera.
Incluso los CIO y CISO más experimentados tienen una exposición limitada a los consejos, por lo que presentarse en las reuniones es siempre una experiencia de aprendizaje. Aprenda las mejores prácticas, consulte a sus colegas y evite los errores fáciles.
