Mitos de la gobernanza de TI

0
9
Custom Text

Cuando se diseña y funciona correctamente, la gobernanza de TI desempeña un papel integral en la alineación de los objetivos de TI y de negocio, ayudando a enfocar, fortificar y avanzar en la estrategia general de negocio de una empresa. Sin embargo, con demasiada frecuencia, los líderes de TI son víctimas de conceptos erróneos populares que no solo desbaratan una gobernanza eficaz de TI, sino que entran en conflicto directo con los objetivos clave del negocio. El resultado final es una empresa cargada de riesgos innecesarios, vulnerabilidades de cumplimiento y oportunidades perdidas, entre otras graves deficiencias.

Conseguir que los marcos de gobernanza de TI y de negocio funcionen sin problemas y en la misma dirección, requiere evitar las numerosas falacias que han surgido con el tiempo para desbaratar estrategias que de otro modo serían sólidas. He aquí siete mitos especialmente destructivos que debería esquivar o desechar inmediatamente.

1- La externalización de un proceso de negocio externaliza su riesgo
Muchos responsables de TI asumen alegremente que los proveedores externos practican una buena higiene cibernética. «A menudo no llevan a cabo la debida diligencia para validar que el proveedor está … operando controles básicos de TI sobre todos los aspectos de su empresa», observa Tom Garrubba, vicepresidente y CISO de Shared Assessments, una organización de miembros global dedicada a desarrollar las mejores prácticas, la educación y las herramientas necesarias para impulsar la garantía de riesgos de terceros. «Esa fe ciega puede pillar inmediatamente desprevenido al subcontratista en caso de incidente cibernético, incluida la indisponibilidad del sistema».

Garrubba aconseja realizar evaluaciones periódicas y detalladas destinadas a validar los controles de higiene de TI de los proveedores y cómo se alinean con el riesgo de los datos que se manejan. «Además, es prudente supervisar continuamente el rendimiento cibernético [del proveedor] con varias herramientas, para asegurarse de que están a la altura de las expectativas», añade.

Garrubba advierte que las organizaciones que no llevan a cabo evaluaciones completas de riesgos de terceros, independientemente del sector, ya están atrasadas. «Tales evaluaciones se consideran ahora como un procedimiento operativo estándar en todas las industrias», anota.

2 – El software puede resolver problemas arraigados en la organización
El software de flujo de trabajo puede utilizarse para guiar eficazmente las operaciones de una organización con el fin de garantizar el cumplimiento y la finalización de un proceso bien definido. Sin embargo, para muchas organizaciones un «proceso bien definido» es poco más que un concepto mítico, observa Bryan Shoe, instructor de gobernanza de TI en la empresa de formación de software DevelopIntelligence. El software solo puede servir de apoyo a un proceso organizativo, señala: «Las herramientas no son el proceso. No son la panacea para resolver los problemas de la organización».

Antes de recurrir al software como guía para la gobernanza, las organizaciones deben asegurarse de que han definido claramente su visión, misión, metas y objetivos. «A partir de ahí, la gobernanza guía las decisiones en torno a la creación de los procesos operativos para apoyar la visión, la misión, las metas y los objetivos de la organización», sostiene Shoe. «A continuación, la organización puede seleccionar y configurar las herramientas de software para facilitar los procesos que ayudarán a alcanzar los objetivos de la organización».

3 – La gobernanza puede lograrse a través de un único panel de vidrio
Una gobernanza de TI exitosa optimiza la gestión de riesgos, los recursos y las estrategias para cumplir con los objetivos planificados. «La capacidad de reunir e informar sobre los aspectos críticos del rendimiento y la entrega de TI en múltiples dominios, es la base para determinar la eficacia de su programa de gobernanza de TI», señala Andrew Morrison, líder de soluciones de estrategia, defensa y respuesta de los servicios de ciber riesgo de Estados Unidos para la empresa de asesoría de negocios y TI Deloitte.

Desgraciadamente, el deseo de visualizar los informes de gobernanza de TI en términos empresariales claros y concisos, de forma que sean fácilmente consumibles por los responsables de la toma de decisiones, ha creado un mercado lleno de afirmaciones de los proveedores de que una única herramienta o solución puede proporcionar toda la visibilidad y la evaluación compleja necesaria en toda la empresa.

La realidad es que la demanda de datos en tiempo real, agregados a través de tecnologías, procesos, políticas y personas dispares, supera con creces la oferta real de dichos datos.

«Además, la complejidad de los sistemas de TI actuales y el ritmo acelerado de cambio dentro de la TI, hacen que mantener la conectividad con los datos que cambian rápidamente sea una tarea imposible», afirma Morrison. «Aunque muchas herramientas excelentes proporcionan una visión unificada de partes de la gobernanza de TI -como el riesgo, la seguridad, el cumplimiento, los controles y el costo operativo-, la mayoría de las organizaciones serán más efectivas optimizando el uso de múltiples soluciones de informes creadas a propósito en lugar de intentar conseguir un verdadero «panel único de vidrio».»

4 – Las métricas garantizan el cumplimiento
En realidad, las métricas no tienen prácticamente ningún sentido si no se presentan en su contexto. «La dirección necesita métricas para entender la seguridad y demostrar la madurez del programa, pero las métricas por sí solas no demuestran el cumplimiento», señala Karen Walsh, fundadora y directora general de Allegro Solutions, una empresa de asesoramiento sobre el cumplimiento de la ciberseguridad.

El contexto surge de casi todo lo que rodea a las métricas, incluidas las personas, los procesos y las tecnologías. «A fin de cuentas, la gobernanza consiste en conocer su negocio y su pila de TI, y comprender cómo uno impulsa la adopción del otro», observa Walsh. «Sus objetivos de negocio impulsan sus compras de TI que, a su vez, impulsan en última instancia la siguiente evolución de objetivos».

En lugar de preocuparse por si los equipos alcanzarán ciertas métricas objetivo, el objetivo del líder de TI debe ser comparar un trimestre con el siguiente, indica Walsh. «Si está viendo consistencia de un trimestre a otro, y está satisfecho con lo que está viendo, entonces tiene estabilidad», señala.

5 – La gobernanza elimina los problemas de control de costos
Aunque los controles de gobernanza pueden aumentar la visibilidad de los costos, así como ayudar a la colocación inicial de la carga de trabajo y al dimensionamiento (que afecta al costo), la gobernanza no es una cura instantánea para todo lo relacionado con los costos, afirma Brian Adler, director senior de estrategia de la nube en el proveedor de gestión de activos de software y optimización de licencias Flexera.

La optimización de los costos de TI es un esfuerzo interminable, pero se hace más fácil con el tiempo. «A medida que las organizaciones sigan desarrollando controles de gobernanza relacionados con el aprovisionamiento, se reducirá su exposición inicial a los excesos de costos», explica Adler. Añade que las organizaciones tienen que darse cuenta de que el control y la optimización de los costos no es una tarea de «una vez por todas». «Es un proceso continuo e iterativo», afirma.

La gobernanza desempeña un papel importante en el control de los costos, especialmente durante el proceso de aprovisionamiento. Sin embargo, la optimización de los costos también implica otras funciones clave que no forman parte necesariamente de la mentalidad desarrollada en los entornos locales tradicionales.

Adler insta a los CIO a resistirse a la tendencia de sobre aprovisionamiento. «Si está en la nube, utilice la escalabilidad que proporciona», aconseja. «Poner los recursos que no son 24×7 en un horario». Adler también recomienda aprovechar las ofertas de descuento de los proveedores, como las instancias reservadas y los modelos de licencia. «La gobernanza es un gran primer paso para controlar los costos, pero es exactamente eso: el primer paso», indica.

6 – La gobernanza puede obligar al cumplimiento
Un número significativo de CIOs cree que el gobierno de las TI sirve principalmente para disciplinar a las partes que no se adhieren a las políticas de cumplimiento del gobierno, así como a diversos requisitos internos y externos.

«Aunque el cumplimiento es ciertamente una de las funciones del gobierno de las TI, no debería dominar la narrativa frontal relativa a los programas de gobierno de las TI», afirma Matt Donahue, analista de cumplimiento y riesgo del proveedor de software de gestión y optimización de las TI Entrust Solutions.

La principal prioridad del gobierno de TI es generar una fuerte sinergia entre los objetivos financieros y tecnológicos, atendiendo a los intereses de las partes interesadas y de los clientes. «Las ideas erróneas que pintan el gobierno de las TI como un órgano disciplinario niegan el potencial de un trabajo potente y el valor añadido que el gobierno proporciona tanto a los proveedores como a las partes interesadas», explica Donahue. «Es probable que menos empresas inviertan en estructuras de gobierno de TI si no creen que puede ser beneficioso».

7 – La gobernanza es algo inherentemente malo
El mayor mito de la gobernanza de TI es que es, en el mejor de los casos, un mal necesario. Eso simplemente no es cierto. Por el contrario, los CIOs necesitan ver la gobernanza como una poderosa herramienta que es necesaria para lograr los objetivos deseados.

«Utilice lo que necesita y no utilice lo que no necesita», aconseja Mike Kelly, CIO del proveedor de software y servicios de código abierto Red Hat. Elija qué gobernar y cuánta gobernanza es necesaria. «De este modo, la gobernanza siempre sirve al bien mayor», afirma.

Recuerde también que la gobernanza nunca debe imponerse desde arriba. «Para aumentar la participación, haga que la gobernanza sea un esfuerzo de colaboración y de base», señala Kelly. «Con la aceptación, se consigue la excelencia en la implementación».

Lo último que hay que recordar es que la gobernanza de TI debe evolucionar continuamente. «Reste del proceso, añada al proceso», explica Kelly, «pero véalo siempre como algo que puede y debe cambiarse para satisfacer las necesidades y condiciones cambiantes».

John Edwards CIO.com – CIOPeru.pe

 

Artículo anteriorComo evitar ataques de firmware sin reemplazar sistemas
Artículo siguienteEl sector TIC experimentará un auge de las fusiones y adquisiciones en 2022