Por el Ing. José Luis Mauro Vera, MBA, CISA, Gerente de Consultoría en EY Uruguay.
Muchos autores suelen enmarcar la transformación digital que vivimos en un mundo denominado “VUCA” o “VICA”, a partir de las siglas de Volátil, Incierto, Cambiante y Ambiguo. El aumento de la popularización de tecnologías aplicadas a los negocios y a las personas ha logrado introducir vocabulario, conceptos y modificar digitalmente a organizaciones, crear nuevos mercados y oportunidades, impactando directamente en el estilo de vida y costumbres de las personas. Sin lugar a dudas se nos presenta una era que abre grandes oportunidades para emprender y explorar nuevas posibilidades. Sin embargo, por detrás de la vertiginosa y disruptiva digitalización de los procesos y servicios se esconde la incertidumbre inherente al uso de la tecnología, la cual se ve reflejado en riesgos para las organizaciones y en riesgos para los usuarios. Y es aquí donde se presenta uno de los grandes desafíos para las organizaciones, sin importar su tamaño, su industria o su naturaleza.
El sombrero que falta
“La aplicación móvil de ventas tiene que estar lista y funcionando antes de diciembre”. “La promoción del préstamo en la app debe permitir hacer transacciones con el mínimo de información requerida al usuario”. Históricamente y aún en el presente las organizaciones buscan obtener ventajas competitivas a partir del uso de nuevas tecnologías, priorizando la experiencia del usuario y la optimización de los indicadores clave de los negocios electrónicos. Por ejemplo, el volumen de usuarios, costo de adquisición del cliente, valor del tiempo de vida del usuario (lifetime value), tasa de pérdida de clientes (churn rate), entre otros.
Si consideramos los roles que surgen del modelo de los Seis sombreros para pensar de Edward De Bono, los sombreros azules (proceso de control), blancos (hechos objetivos), rojos (pasional), amarillos (juicio positivo), y verdes (creatividad e innovación) parecen tener preponderancia a la hora de establecer las prioridades en el desarrollo de proyectos con componente tecnológico. Sin embargo, son muy pocas las veces en las que se identifican y gestionan los riesgos de tecnología desde las fases tempranas del proyecto, y también las que los evalúan a nivel de Dirección. Una prueba de ello surge a partir de la encuesta global EY Global Information Security Survey de 2017, donde el 17% de los que participaron indicaron que sus respectivos directorios cuentan con conocimiento suficiente sobre riesgos de ciberseguridad, y el 75% de los que contestaron perciben que el nivel de madurez para identificar vulnerabilidades es de bajo a moderado. Otra prueba de ello son las noticias que prácticamente a diario exponen a organizaciones mundialmente conocidas, que refieren a hechos de fuga de datos personales, ataques de denegación de servicio o incluso secuestro de información a través de ransomware, cuyos vectores de ataque han sido simples descuidos de los usuarios o errores de programación que podrían haber sido evitados en forma sencilla en etapas tempranas del proyecto. Por lo cual parece estar faltando el sexto “sombrero negro” que aporte la crítica negativa constructiva que ayude a identificar y responder adecuadamente al riesgo tecnológico.
Incorporar la gestión de riesgos tecnológicos desde la estrategia
Para efectivamente tratar oportunamente estos riesgos, se requiere un cambio en la forma con la que se gestionan, y también un cambio cultural de las organizaciones. Dichos cambios deben comenzar desde la alta dirección, de modo que puedan asentarse y fluir por los mismos canales donde surgen las necesidades de digitalización. Solo el 24% de quienes contestaron la encuesta GISS en 2017 indican que cuentan en su directorio con la persona responsable de ciberseguridad. Si consideramos los factores inherentes al riesgo tecnológico y a los frecuentes casos de incidentes de ciberseguridad, la no consideración de estos riesgos en los altos niveles ejecutivos parece ser un desafío a resolver por las organizaciones en el corto plazo.
Por lo cual, en la era de transformación que nos encontramos, la forma con la que se gestionan los riesgos tecnológicos se convierte en la llave para abrir el lado estratégico de la disrupción. Y por ello la necesidad de incorporar la valiosa opinión y participación de estos “sombreros negros”, de modo de aprovechar al máximo lo que ofrece esta era de transformación y al mismo tiempo lograr que las organizaciones puedan usar su confiabilidad en sus productos y servicios como ventaja competitiva.
