Dirigir la conciencia de los tomadores de decisiones hacia los objetivos correctos es una habilidad clave para el éxito del CIO.
Por Bob Lewis | Original de IDGN
Los riesgos de inversión que enfrentan la seguridad de la información frente a la tecnología de la información prueban el punto.
¿Quieres sobrevivir como CIO? Necesitas las prioridades correctas.
Y para la mayoría de los CIO, en este preciso momento, las cinco principales prioridades del líder promedio son:
- Seguridad
- Seguridad
- Seguridad
- Seguridad
- Por no hablar de la seguridad
¿Notas lo que falta? Si su respuesta es “falta todo”, vaya al la cabeza de la clase.
La seguridad es, para el CIO de hoy, una espada de dos filos. Un borde afilado es la inversión insuficiente en seguridad. En el pasado, invertir muy poco en seguridad significaba aceptar un mayor riesgo de intrusiones que podían generar importantes problemas financieros.
El ransomware ha cambiado el juego. Invertir lo suficiente en seguridad ahora significa aceptar un mayor riesgo de quedar completamente fuera del negocio. Por lo tanto, invertir poco en seguridad es una guillotina.
Lo otro es la inversión insuficiente en valor comercial nuevo impulsado por TI.
El riesgo real para el CIO
En caso de que se haya perdido las noticias, lo digital como sustantivo es algo muy, muy importante.
Se trata de utilizar las tecnologías de la información para impulsar los ingresos y la ventaja competitiva.
Invierta poco aquí y los competidores más agresivos, con el tiempo, se comerán el almuerzo de su empresa.
Es la elección de Hobson: arriesgarse a quedar fuera del negocio con un solo golpe frente a arriesgarse a un resultado lento pero igual de letal por la pérdida de:
- Clientes
- Participación de mercado
- Y Participación mental.
Agregue al desafío esta máxima de gestión de riesgos: la prevención exitosa es indistinguible de la ausencia de riesgo.
Lo que esto significa es que nadie te felicitará a ti y a tu equipo por un trabajo bien hecho, ni nadie te preguntará qué apoyo necesitarás para continuar manteniendo la seguridad de la empresa.
No, cada año que sus prácticas de seguridad de la información tengan éxito es un año más, los encargados de aprobar el presupuesto de TI estarán convencidos de que ha exagerado los riesgos.
Si no me crees… Y2K.
El CIO y la trampa del contracargo
¿Estás listo para caer en el pozo de la desesperación?
No te rindas todavía. Tienes alternativas. Algunos son más atractivos que otros. Todos son mejores que rendirse.
Llame a la primera maniobra NoSuch, abreviatura de No existe tal cosa como un proyecto de TI, algo que debería defender con o sin los desafíos actuales de seguridad de la información.
Detrás de NoSuch está la idea de que los llamados “Proyectos de TI” son, realmente, intentos de hacer que una parte del negocio funcione de manera diferente y mejor.
Siendo ese el caso, el finsnciamiento de estos proyectos que ya no son de TI no debería salir del presupuesto de TI: deben ser financiados por los departamentos que se beneficiarán de ellos.
De esa forma, su financiamiento no competirá con TI por el mayor presupuesto necesario para la seguridad de la información.
Contracargos. Si la administración de su empresa adopta un enfoque más tradicional de la relación TI/Negocio, puede evitar que la seguridad de la información compita por los recursos con un nuevo valor empresarial a través del tradicional mecanismo de contracargos, que cambiará el costo de los servicios de aplicaciones de TI a las áreas comerciales. que hará uso de lo que sea que le pidan a TI que desarrolle e implemente.
La diferencia entre las devoluciones de cargo y la maniobra NoSuch es sutil, pero importante.
Cuando no existe tal cosa como un proyecto de TI, la participación de TI en el cambio comercial es como líder en la identificación y defensa de oportunidades, y como colaborador pleno e igualitario para lograrlas.
Cuando TI cobra por sus servicios, abandona sus roles de liderazgo en la identificación de oportunidades estratégicas y el logro de cambios comerciales intencionales.
En cambio, relega a TI a ser un mero tomador de pedidos.
Una estrategia alternativa para abordar el gasto en seguridad
Aquí hay una opción más. Sugiera la reasignación de la responsabilidad de la seguridad de la información a un grupo que no le informe a usted.
Los mejores candidatos a víctimas potenciales son la práctica de gestión de riesgos empresariales (ERM) y el propietario de la planificación de la continuidad del negocio.
Llámelo el gambito SEP (ese es el problema de otra persona para los no iniciados).
Puede que no haga nada por el negocio en su conjunto, pero desde su perspectiva egoísta, colgar el albatros alrededor del cuello de otra persona tiene muchas ventajas para recomendarlo.
Y, en realidad, ofrece algún beneficio comercial. Reasignar la responsabilidad de la seguridad de la información le permite a su nuevo propietario poner de relieve la necesidad de financiamiento adicional, esquivando las quejas habituales de que TI es un pozo de dinero.
Estas tres alternativas:
- La maniobra NoSuch
- Las devoluciones de cargo
- Y el gambito SEP…
… tienen el mismo objetivo. Es decir, evitar que la seguridad de la información y las inversiones en nuevas capacidades compitan por el tiempo y la atención de los CIO, algo que se traduce directamente en sus decisiones de financiamiento.
Esta es una habilidad: ser capaz de dirigir la toma de decisiones a los objetivos correctos.
Y es fundamental para el éxito de cualquier CIO.