El riesgo se vuelve loco

A finales de 2007, los trabajadores del gobierno del Reino Unido perdieron dos discos de ordenador que contenían datos personales y bancarios de aproximadamente 25 millones de residentes, información con un valor estimado en el mercado negro de 2500 millones de dólares. A principios de 2008, una avería en un centro de datos subcontratado en Dinamarca interrumpió las operaciones de sus clientes, lo que dejó sin efecto la red de cajeros automáticos de un banco importante e interrumpió la entrega de leche en todo el país. Luego, en septiembre pasado, un fallo en la red dejó de cotizar en la Bolsa de Valores de Londres en lo que habría sido uno de los días más ajetreados del año.

Todos estos son casos de lo que denominamos «fenómenos extremos provocados por la tecnología»: desastres improbables y difíciles de prever en los que la TI suele desempeñar un papel protagonista. Hasta hace poco, el riesgo de estos eventos a gran escala parecía infinitesimal, por lo que las empresas prestaban poca atención a mitigarlos. Sin embargo, estas calamidades se han hecho cada vez más comunes y prácticamente las garantiza el papel creciente y fundamental de la TI en los negocios.

Antes, la TI estaba aislada dentro de silos en una sola empresa. Sin embargo, los sistemas modernos no solo interconectan todos los aspectos de una empresa, sino que suelen tener enlaces en tiempo real con los sistemas de los proveedores y los clientes. Esta apertura y difuminación de los límites, al tiempo que crea eficiencias y permite nuevos modelos de negocio, permite que los errores se propaguen en cascada en las empresas y las geografías, y su impacto aumente a medida que se propagan. También puede, a menudo sin querer, conferir a grupos pequeños de empleados el poder de tomar medidas que van mucho más allá de su ámbito de competencia. Cuando eso ocurre, los errores menores pueden convertirse instantáneamente en catástrofes. En un caso reciente, un error de escritura honesto de un empleado de corretaje transformó una operación de 4 millones de dólares en una operación de 4 000 millones de dólares, lo que contribuyó a una caída del 2,36% en el S&P 500 ese día. Pensemos también en la venta por parte de Sony de 6 millones de CD de música que incorporaban software antipiratería que expuso a los consumidores sin darse cuenta a los piratas informáticos, lo que provocó una avalancha de mala publicidad y demandas.

Las estrategias estándar de gestión de riesgos están demasiado anticuadas para ayudar a las empresas a contener los catastróficos riesgos relacionados con la TI. Estas estrategias tienden a suponer que los riesgos se conocen bien y que la posibilidad de que se produzcan fenómenos extremos es mínima. Como resultado, las organizaciones suelen concentrarse en garantizar que cuentan con políticas y procedimientos adecuados para gestionar los riesgos conocidos y utilizan procesos de alta calidad para crear y operar la TI. Pero este enfoque anticuado puede impedir que las empresas asuman nuevos riesgos.

¿Cómo identifica los acontecimientos que, por definición, son difíciles de anticipar? Empiece por inculcar de arriba hacia abajo una cultura organizacional que aliente a los empleados a asumir los riesgos y a sopesar sus posibles recompensas y peligros. Esto significa modelar los riesgos y analizar su impacto empresarial y, lo que es más importante, hacer que el proceso sea integral tanto en los sistemas de gestión de riesgos corporativos como en todas las etapas del desarrollo de los sistemas de TI. La cultura debe alentar a los empleados a dar a conocer sus preocupaciones sobre el riesgo desde el principio, especialmente cuando la TI se aplica de nuevas formas. Esa mentalidad no existía en la Société Générale en 2007, cuando el personal del banco no denunció irregularidades comerciales a la dirección del banco y las vio porque, como señala un informe de los propios investigadores del banco, «esto no formaba parte específicamente de la descripción de sus funciones». Más tarde, el banco informó de una pérdida de 7.300 millones de dólares, que supuestamente se debió a operaciones no autorizadas de un empleado, Jérôme Kerviel.

Es fundamental incluir la consideración de los fenómenos extremos en el proceso de desarrollo de la tecnología. Esto garantiza que los riesgos reales se ponderen adecuadamente en el diseño de TI y en los cálculos del ROI. La cultura adecuada puede transformar las batallas sobre el riesgo entre los optimistas de la tecnología y los detractores en un diálogo centrado en la naturaleza del riesgo y cómo gestionarlo. Hay muchas maneras de reducir y cubrir los riesgos relacionados con la TI, y desarrollar cuidadosamente una estrategia para abordar esos peligros desde el principio puede mitigarlos sin comprometer la recompensa.