Cómo mantener una conversación sobre los riesgos de TI
por George Westerman
Imparto un curso en la Escuela Sloan del MIT llamado TI esencial para no ejecutivos de TI. Cada vez que mis compañeros y yo llegamos al final del curso, preguntamos a las personas qué es lo que consideran más importante que han aprendido. Sorprendentemente, mucha gente dice que fue «cómo mantener una conversación sobre el riesgo de TI».
Como me dijo un CFO, la frase «Riesgo de TI» contiene dos malas palabras. La palabra riesgo hace que se sienta incómodo. Y la palabra IT hace que se sienta incompetente. No es una buena manera de prepararse para un diálogo productivo. Pero poder hablar sobre los riesgos de TI es fundamental si quiere tomar las decisiones correctas sobre la forma en que utiliza la tecnología en su empresa.
Afortunadamente, hay una manera de hablar del riesgo de TI (y de entender el riesgo) en términos que tengan sentido para todos los gerentes. Si puede recordar cuatro A, tiene el marco para una conversación productiva con sus homólogos de TI. Puede llegar a un entendimiento común sobre cuáles son los riesgos de TI más importantes, cuáles son sus causas y qué hará al respecto.
Desde el punto de vista empresarial, los riesgos de TI afectan a cuatro objetivos clave:
- Disponibilidad: Mantener los procesos empresariales en funcionamiento y recuperarse de los fallos dentro de unos plazos aceptables
- Acceso: Proporcionar información a las personas adecuadas y mantenerla alejada de las personas equivocadas
- Precisión: Garantizar que la información sea correcta, puntual y completa
- Agilidad: Cambiar los procesos empresariales con un coste y una velocidad aceptables
Si es como los gerentes en la mayoría de las empresas, suele tener conversaciones sobre estas cuatro A en silos, si es que las tiene. Nunca habla de los cuatro juntos. Eso significa que los expertos de cada silo de riesgo tienden a centrarse en optimizar sus propios riesgos, no en optimizar todos los riesgos.
Por ejemplo, pregúntese:¿Su personal de seguridad piensa en los riesgos de la agilidad? Cuando los agentes de seguridad vetan sus solicitudes, en realidad quieren decir que está introduciendo riesgos inaceptables o innecesarios. Pero su veto puede retrasar o detener los cambios que necesita. Si no habla de los cuatro riesgos, ¿cómo sabe qué riesgos son realmente aceptables?
En las mejores empresas, los de seguridad piensan en las cuatro A. Tienen en cuenta la agilidad y los riesgos de acceso. Le sugerirán formas en las que puede hacer lo que quiera con más seguridad. Incluso funcionan con otros silos (operaciones de TI, desarrollo de aplicaciones, cumplimiento, asuntos legales, recursos humanos, etc.), por lo que están preparados para cuando quiera hacer cosas nuevas.
Cuando su personal de seguridad se centre en las cuatro A, podrá actuar rápidamente para adoptar nuevos dispositivos móviles, lanzar negocios digitales o explotar las redes sociales. Pero, lamentablemente, demasiados agentes de seguridad se centran únicamente en los riesgos que les importan. Al proteger contra los fallos de acceso, no ayudan a la empresa a avanzar.
Empezar con la conversación sobre los riesgos
Cuando no habla explícitamente de las cuatro A, la gente hace suposiciones sobre lo que es más importante. Esas suposiciones variarán de una persona a otra. Por el contrario, cuando habla abiertamente de las cuatro A, puede corregir suposiciones falsas y puede tomar mejores decisiones. Pero tiene que iniciar la conversación.
Pruebe el siguiente ejercicio: Encuentre a su persona de TI favorita. Dígale lo importante que es cada uno de los cuatro riesgos para su parte del negocio. Dígale cómo cree que le va en la gestión de esos riesgos. Entonces escuche. Les garantizo que ambos aprenderán algo.
Si su experiencia es típica, descubrirá que usted y su personal de TI dan una importancia diferente a las cuatro A. Por ejemplo, en una encuesta mundial realizada a 258 ejecutivos, los ejecutivos de TI y de negocios están de acuerdo en la importancia relativa de los riesgos de disponibilidad y acceso. Sin embargo, los ejecutivos de empresa dan mucha más importancia a los riesgos de agilidad y precisión que los ejecutivos de TI.
¿Qué pasa? ¿Por qué la gente de TI no comparte su amor por la precisión y la agilidad? Es fácil pensar que es un problema de incentivos. La culpa es del personal de TI cuando los sistemas fallan o los piratas informáticos triunfan. Pero cuando los proyectos avanzan con demasiada lentitud o no tiene una visión unificada de sus clientes, puede que sienta más problemas que ellos. Pero la respuesta de este incentivo solo es parcialmente correcta, si es que lo es.
La verdadera causa de este desajuste es mucho más profunda: un legado de decisiones que ignoran los riesgos y una mala comunicación entre los silos. Mejorar la agilidad y la precisión normalmente requiere limpiar un lío espagueti de sistemas y procesos acumulados a lo largo de décadas. No se pueden solucionar simplemente con la compra de un nuevo dispositivo o con el diseño de un nuevo procedimiento. Cuando su personal de TI parece valorar menos la agilidad y la precisión que usted, puede que simplemente hayan perdido la esperanza de arreglarlas. La solución puede estar más allá de su esfera de influencia. O puede que estén tan ocupados manteniendo las cosas en marcha que una mayor agilidad parece una quimera.
Aquí es donde importa la comunicación. Solo puede solucionar el problema heredado entendiendo conjuntamente los riesgos que importan ahora, las compensaciones de riesgo de cada decisión y las medidas necesarias para resolver sus riesgos. Hablar de los riesgos de TI hace más que ayudarlo a tomar mejores decisiones sobre los proyectos. También le ayuda a entender cuándo es el momento de reelaborar parte del lío que su organización ha acumulado a lo largo de los años.
Por lo tanto, haga que el riesgo de TI forme parte de sus conversaciones todos los días. Hable de las cuatro A cada vez que tome una decisión importante de TI. Si su personal de seguridad solo habla de seguridad, están pasando por alto riesgos importantes y oportunidades útiles. Pero cuando pide excepciones innecesarias o pide a su personal de TI que actúe demasiado rápido, está favoreciendo la agilidad de manera inapropiada por encima de los otros tres riesgos y se está preparando para problemas más adelante.
Una cosa es segura. Si no habla del riesgo de TI, solo empeora sus riesgos. ¿Cómo usted¿gestionar sus conversaciones sobre los riesgos de TI?
Datos bajo asedio
Un HBR Insight Center
Artículos Relacionados
La IA es genial en las tareas rutinarias. He aquí por qué los consejos de administración deberían resistirse a utilizarla.
Investigación: Cuando el esfuerzo adicional le hace empeorar en su trabajo
A todos nos ha pasado: después de intentar proactivamente agilizar un proceso en el trabajo, se siente mentalmente agotado y menos capaz de realizar bien otras tareas. Pero, ¿tomar la iniciativa para mejorar las tareas de su trabajo le hizo realmente peor en otras actividades al final del día? Un nuevo estudio de trabajadores franceses ha encontrado pruebas contundentes de que cuanto más intentan los trabajadores mejorar las tareas, peor es su rendimiento mental a la hora de cerrar. Esto tiene implicaciones sobre cómo las empresas pueden apoyar mejor a sus equipos para que tengan lo que necesitan para ser proactivos sin fatigarse mentalmente.
En tiempos inciertos, hágase estas preguntas antes de tomar una decisión
En medio de la inestabilidad geopolítica, las conmociones climáticas, la disrupción de la IA, etc., los líderes de hoy en día no navegan por las crisis ocasionales, sino que operan en un estado de perma-crisis.