Ser resiliente en TI significa lidiar con las interrupciones de la infraestructura sin parar el negocio, y mucho menos dejar de brindar la CX esperada.
Por Mary K. Pratt | Original de IDGN
Durante la mayor parte de su existencia, la resiliencia de TI se ha centrado en el tiempo de actividad, asegurándose de que los sistemas no se caigan y, si lo hacen, volviéndolos a poner en línea lo más rápido posible.
Pero eso es solo una parte de la ecuación en esta era digital moderna. Hoy, la resiliencia de TI significa mucho más.
Considere, por ejemplo, la opinión de Brad Stone. Como CIO de Booz Allen Hamilton, Stone dice que piensa en la resiliencia en dos dimensiones:
- Una se trata de habilitar el negocio sin interrupciones
- La segunda se trata de tener la capacidad de adaptarse, lidiar con el cambio y manejar lo inesperado.
Además, dice Stone, la resiliencia ahora significa hacer todo eso mientras se brinda – continuamente – la experiencia que los usuarios esperan.
“Hace diez años, si había un apagón, lo superaban. Pero los usuarios y los líderes empresariales de hoy esperan que la tecnología siempre funcione y sea una experiencia increíble”, comenta.
Para él las expectativas son mucho más altas ahora porque TI es un habilitador que ha adquirido más importancia.
“Es posible que los usuarios no exijan la perfección, pero sus estándares son muy, muy altos”, lamenta.
Eso, a su vez, ha impulsado un enfoque más expansivo para garantizar la resiliencia de TI en la actualidad.
Aquí, los expertos y los líderes de TI ofrecen siete prácticas recomendadas que los CIOs deben adoptar para asegurarse de cumplir con las expectativas actuales de resiliencia.
1.- Alinear con las necesidades del negocio
Ron Brown, director de resiliencia empresarial de GuidePoint Security, una firma de servicios y asesoría, define la resiliencia de TI como asegurarse de que la tecnología esté siempre disponible, aunque reconoce que tal perfección no es probable.
“Tienes que planificar el hecho de que las cosas saldrán mal en algún momento”, dice.
Los CIOs pueden prepararse mejor para esa inevitabilidad si tienen claro qué sistemas son más importantes para el negocio.
Brown señala que esa claridad le permite a TI saber en qué enfocarse primero durante cualquier tipo de interrupción.
“Lo primero que debe hacer sin duda es estar alineado con el negocio, lo que necesitan y lo que están dispuestos a pagar [para obtener] lo que esperan”, dice Brown.
Señaló también que un análisis de impacto comercial puede ayudar a TI y negocios a obtener esta alineación.
“Y, una vez que tenga esa comprensión de cuáles son los requisitos para el negocio, entonces se trata de cómo mapea los servicios y capacidades que tiene y qué aplicaciones son utilizadas por qué grupos. De modo que, si algo sale mal, sabrá dónde poner sus prioridades. para recuperarlos”.
2.- Romper los silos
Richard Caralli, ex CISO que ahora trabaja como asesor principal de Axio Global – una empresa de gestión de riesgos cibernéticos – describe la resiliencia como “una propiedad emergente que se extiende desde la gestión del riesgo operativo”.
Para hacerlo bien, las operaciones de TI y la ciberseguridad deben trabajar con los líderes que supervisan la planificación de la continuidad del negocio/recuperación anti desastres.
Eso, sin embargo, no siempre sucede, según Caralli.
“Estas actividades tienden a estar aisladas de manera que cada disciplina opera en diferentes suposiciones y escenarios de riesgo cuando, en realidad, deben converger y trabajar en colaboración”, reflexionó.
Así, Caralli asegura que el equipo de seguridad cibernética de una organización puede estar enfocándose en crear una estrategia estelar de defensa en profundidad para garantizar mejor que pueda:
- Prevenir intrusiones
- Detectarlas si ocurren
- Y responder cuando ocurran
Pero el ejecutivo considera que es posible que el equipo no sea tan fuerte en la planificación para “volver a las condiciones operativas normales lo más rápido posible con la menor cantidad de consecuencias”, si la seguridad cibernética no está trabajando de cerca con el riesgo y la TI.
“Si no están todos hablando juntos, podrían estar planificando o cuantificando diferentes riesgos”, agrega.
Es por ello que considera perentorio que planifiquen y ejecuten escenarios juntos.
“Si observa el riesgo desde el punto de vista del impacto y puede imaginar qué tipo de consecuencias podrían ocurrir, puede comenzar a cuantificar el riesgo y, luego, puede saber dónde gastar el próximo dólar: si ponerlo en el lado de la prevención o gastarlo en prácticas que reducirán el impacto”, asegura.
3.- Madure sus métricas
A medida que la resiliencia de TI ha evolucionado, Jorge Machado, socio de la firma de consultoría de gestión McKinsey & Co. dice que los CIOs deben ajustar las métricas que usan tantonpara medir como para administrar las operaciones y garantizar que cumplan con los objetivos correctos.
“Tradicionalmente, si retrocedemos una década, se trataría del tiempo de actividad, la disponibilidad de las aplicaciones y el tiempo medio de restauración. Pero, hoy en día, a medida que las aplicaciones se vuelven más orientadas a los microservicios y nos alejamos de los sistemas monolíticos, necesitamos medir de una manera más matizada”, explica Machado.
Él y su colega, el socio asociado de McKinsey Arun Gundurao, sugieren mediciones centradas en la capacidad de realizar transacciones críticas, como las que miden fallas:
- En las interacciones con los clientes
- La experiencia de la aplicación desde la perspectiva del usuario
- O los objetivos de nivel de servicio
“Es lo que le importa a la empresa en torno a esta aplicación o este viaje del cliente”, dice Gundurao. “Quieres medir lo que la empresa quiere medir”.
4.- Práctica
En opinión de Stone, resiliencia significa manejar con éxito circunstancias inesperadas. Y, para hacer eso, Stone se asegura de que su departamento de TI no esté desprevenido.
Eso significa:
- Entrenar
- Probar y practicar
- Con ejercicios y simulaciones de escritorio
“Se trata de ejecutar ejercicios, eliminar un grupo y no decírselo [a todos] y ver cómo responde la gente. Es casi como una simulación de fuego real. Tienes que hacerlo con cuidado, en el momento adecuado. Pero tiene que ser parte de tu cadencia”, explica.
También destaca que es fundamental tener:
- Procedimientos operativos estándar
- Revisarlos
- Y perfeccionarlos
“Tienes que estar dispuesto a hacer que tu personal se sienta incómodo, desafiarlos. Les da un poco de camaradería porque saben que pueden superar las cosas”, afirmó Stone.
El experto asegura que tales ejercicios brindan a los CIOs y a sus gerentes la oportunidad de generar confianza en los procesos que funcionan bien y desarrollar la memoria muscular.
También permite identificar las debilidades como:
- La falta de redundancia en los trabajadores capacitados en tecnologías clave
- O la de procedimientos de respaldo, en caso de que un una aplicación en particular falla
5.- Resiliencia del arquitecto
Los asesores de TI enfatizan que es importante crear resiliencia en la arquitectura misma, por ejemplo, distribuyendo instancias y cargas útiles en ubicaciones geográficas.
Stone asegura que una forma de garantizar sistemas resilientes es “simplificar lo que hace para que pueda hacerlo realmente bien para cumplir con las expectativas”. Señala que este enfoque también ayuda a evitar que los equipos se extiendan demasiado.
Agrega que la combinación de automatización para la gestión de incidentes, problemas y cambios también ayuda a generar resiliencia.
Por su parte, Gundurao recomienda adoptar la ingeniería de confiabilidad del sitio (SRE): un conjunto de principios y prácticas para infraestructura y operaciones destinadas a crear sistemas tan escalables como confiables.
Machado agrega que SRE y aquellos capacitados en sus principios se enfocan en construir TI, no sólo para que funcione bien en cielos azules sino, también, para trabajar en cielos tormentosos.
Por su parte, Andrew Long, líder de arquitectura empresarial global en Accenture ve que las grandes organizaciones tradicionales adoptan cada vez más los principios, las tecnologías y los métodos utilizados por las organizaciones nativas digitales para diseñar sistemas de TI más resistentes.
“Esto ha permitido que la empresa mejore su resiliencia ante eventos comerciales disruptivos y, por lo tanto, se vuelva más competitiva”, asegura.
Para hacerlo, los líderes de TI enfatizan:
- La velocidad y la agilidad
- La centralidad de los datos y la descentralización
- Así como la integración y entrega continuas
“SRE y microservicios para brindar las capacidades comerciales que requiere la organización futura… de una manera más modular y componible”, afirmó Long.
Este último recalcó que, también, se está pasando de la entrega tradicional de proyectos de TI basados en cascada a la entrega y operaciones de TI más centradas en el producto, que tiende a considerar requisitos estratégicos más amplios que respaldan la resiliencia de TI.
“Casi todas las organizaciones tienen una parte del patrimonio de TI en la nube. Pero, la clave es considerar qué capacidades únicas de la nube se pueden aprovechar para aumentar la capacidad de la organización para volverse más ágil y resistente”, puntualiza.
6.- Manténgase alerta
6.- Mantente alerta
Según los expertos consultados:
- Los riesgos organizacionales
- Las necesidades comerciales
- Y la tecnología…
… seguirán evolucionando, al igual que las prácticas en torno a la resiliencia de TI.
“Comuníquese con el negocio para comprender dónde ven los riesgos de interrupción, la escala del riesgo y, lo que es más importante, cómo cuantifican ese riesgo y, por lo tanto, el valor potencial”, explicó Long.
En su opinión, al tener una comprensión clara del estado actual de su panorama tecnológico, puede comprender mejor cómo su organización puede responder a esta interrupción y dónde residen las áreas críticas de riesgo.
“Confirme las intervenciones específicas que deben realizarse para minimizar el riesgo y desarrolle una hoja de ruta para generar cambios”.
Agrega que la ejecución de esta hoja de ruta solo es posible si todos están alineados con el riesgo comercial.
7.- Deje que Business comparta la responsabilidad
Machado enfatiza que el lado comercial también tiene un papel que desempeñar en la resiliencia de TI, por lo que los líderes de las unidades comerciales también deberían tener cierta responsabilidad al respecto.
“Creo que debe haber un modelo de rendición de cuentas, y creemos que debe compartirse con la empresa, de modo que quien cree la aplicación debe compartir la responsabilidad por ella. No debería ser solo el papel del CIO”, sostiene.
Machado no aboga porque las unidades de negocios se hagan cargo de las operaciones de TI y la administración diaria de aplicaciones y sistemas. Más bien, cree que deben entender que sus requisitos y prioridades pueden afectar a la resiliencia.
Por ejemplo, si los líderes de las unidades de negocios priorizan constantemente el tiempo de comercialización y la velocidad de creación de valor, entonces, deben compartir la responsabilidad de si eso podría afectar la resiliencia y en qué medida.