Follow us on:
Perspectives

Articles tagged with: Corporate Governance of IT

El Triángulo de la Gobernanza

Thursday, 18 May 2017 Manolo Palao Posted in Corporate Governance of IT

Distribución de roles y responsabilidades en el Gobierno y Gestión de las TI entre Consejo de Administración (CA), CEO y CIO

 * *

Propósito de este documento

Explorar la distribución de roles y responsabilidades en el gobierno y gestión de las TI entre: i) Consejo de Administración [CA]; ii) Presidente Ejecutivo o Consejero Delegado o Director General [CEO]; y iii)  Director de Tecnologías de la Información (TI) o de Informática [CIO]. 

Me refiero, en terminología y referencias, al ámbito de las empresas, pero es probable que lo que digo pueda extenderse — mutatis mutandi— a otras organizaciones, como fundaciones, universidades, ONGs o la Administración Pública. 

* *

Gobernanza | Buen Gobierno TI

En este documento utilizo como sinónimos, en un sentido lato, ‘buen gobierno’, ‘gobernanza’, ‘gobierno corporativo de las TI’ (GCTI) y ‘governance’. Cuando conviene más finura, suelo usar ‘buen gobierno’, como ejercicio adecuado y correcto de la —más abstracta— ‘gobernanza’[1].

La norma ISO 38500[2]  define la Gobernanza de las TI (“gobernanza que es distinta de la gestión”) como “El sistema por el cual se dirige y controla el uso, actual y futuro, de la TI”[3].

En 2012, Gartner publicó una definición de Gobernanza [de las TI], tras “haber recibido más de 3200 consultas sobre el tema de la gobernanza” en los 6 primeros meses de ese año. 

Gartner[4]  define “gobernanza” como el proceso de:

- «Establecer los derechos de decisión y responsabilidad; y también establecer políticas alineadas con los objetivos del negocio (conservación y aumento del valor para el accionista)

- Equilibrar las inversiones conforme a las políticas y en apoyo de los objetivos del negocio (ejecución coherente de la estrategia)

- Establecer medidas para monitorizar el cumplimiento de decisiones y políticas (cumplimiento y aseguramiento)

- Asegurar que los procesos, comportamientos son conformes con las políticas y están dentro de las tolerancias de las decisiones (gestión del riesgo)» 

ISACA[5] define la gobernanza empresarial como “un conjunto de responsabilidades y prácticas ejercidas por el consejo de administración y la dirección ejecutiva con el propósito de aportar dirección estratégica, asegurando que se alcanzan los objetivos y que los riesgos se gestionan apropiadamente y verificando que los recursos de la empresa se usan de forma responsable”[6]. 

iTTi[7], en su Manifiesto sobre GCTI[8] dice:

- El GCTI es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el porqué, el para qué y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso.

- La responsabilidad sobre la rendición de cuentas en torno al uso que se hace de las TI recae en el consejo de administración u órgano de gobierno equivalente. Los mecanismos de gobierno corporativo enlazan las actividades de dirección y control del consejo con el dominio de gestión de la organización a través del consejero delegado (CEO) y el resto de ejecutivos, incluido el director de sistemas de información (CIO). 

Esa gobernanza o buen gobierno se entiende, en general, como una capa superior o estratégica de la gestión. Un ocuparse de políticas, objetivos y estrategias sobre el empleo (o no) y modo de uso de las tecnologías, más que de su detalle táctico, operativo y técnico. Gobernanza que tiene la virtualidad de hacer forzosa en la realidad (y vacua en la teoría) la alineación de la denominada[9] ‘estrategia TI’ con la ‘estrategia corporativa’.

* * 

Polarización sesgada de la responsabilidad sobe GCTI

Desde la última década del siglo pasado ha habido un creciente interés por temas de buen gobierno (governance) por muy diversas razones y sobre muchos temas, desde la gobernanza de las naciones a la del agua, pasando por la portuaria y logística, la corporativa, la de carteras de programas y  proyectos, la de las TI, o la gobernanza de datos[10]. Y también, la que aquí me importa de las tecnologías de la información (TI).  

El protagonismo y la propiedad de las acciones en temas de gobierno de TI se han asignado tradicionalmente, por investigadores, docentes y medios a los CIO (directores de informática), los CEO (ejecutivos jefe), y —más recientemente— a los órganos de gobierno [OG], CA. 

Muchas de esas asignaciones han sido focales en uno de los tres agentes (CIO, CEO, OG), ignorando los otros dos o haciéndoles jugar un papel subordinado o complementario al central del agente favorecido en cada estudio o por cada institución.

Así, se ha publicado mucho sobre temas como los siguientes: 

- Cómo puede / debe explicar el CIO al CEO la estrategia de TI 

- Cómo alinear la estrategia TI con la estrategia corporativa

- Cómo informar al consejo de administración del riesgo TI

- El CIO ideal para un CEO

- Los temas TI que el CA no puede delegar

- Etc.

Sin embargo, tanto el sentido común cuanto la disciplina de organización de empresas (o denominación afín) apuntan que el protagonismo y la propiedad de las acciones de GCTI será, en cada caso (país, sector, tamaño, multinacionalidad, empresa concreta), el resultado de un equilibrio trilateral más o menos distribuido entre los tres actores, pero probablemente sin exclusión de ninguno de ellos. Equilibrio dinámico resultante de la acción de la micropolítica, motor de toda institución[11].

La reducción a tres grandes actores es probablemente, a su vez, una simplificación, aunque sea aceptable en primera aproximación. 

En un análisis más fino convendría considerar también a otros principales interesados (stakeholders) con algún cuanto significativo de poder y por tanto con una influencia sensible; piénsese, por ejemplo, en los reguladores. 

No parece, sin embargo, viable (salvo por estudio de algunos casos aislados) recoger información estadística de muchos,  ni rebasar lo que sería un mero ‘mapa de influencias’ (formales e informales) de los tres actores.  Pero —dado que la gobernanza es un proceso complejo— también serían de mucho interés los principales flujos e interacciones entre los actores. 

* *

Motivos por los que no se observa la trilateralidad

Opino que la información generalmente disponible —encuestas y análisis por diversas entidades sobre muestras diversas de empresas y organizaciones— adolece a menudo de dos grandes sesgos: uno derivado del posicionamiento u óptica desde el que se acomete el estudio y otro debido a la representatividad de la muestras[12]. 

Los marcos, normas, encuestas y estudios producidos por entidades que —por su origen, evolución e intereses— son proclives a la preponderancia de uno de los tres colectivos de actores citados, tienden a ignorar o relegar a los otros dos o a alguno de ellos[13].

Las empresas recogidas en las muestras y casos de estudio de mayor difusión son, con frecuencia, grandes multinacionales y –si bien pueden ser representativas de ‘mejores prácticas’  por su cuota de mercado o empleados, no cabe tomarlas como guía absoluta para la miríada de empresas menores (incluso PYMEs) que constituyen el tejido económico y social de muchos países, entre ellos España.

Hay que mencionar también que la política freemium de muchos de los grandes analistas, por la que publican gratis solo un pequeño resumen y sólo mediante pago (a veces sustancial) el estudio completo, dificulta al estudioso un análisis crítico más fundamentado. El pequeño resumen, que sirve de noticia y a la vez acicate para adquirir el estudio completo, suele carecer de la información demográfica y técnica de la encuesta, impidiendo así su interpretación correcta. 

* *

Banalización del término ‘gobernanza’

En el campo de las TI (y sus numerosos subcampos, herramientas y técnicas) se ha venido produciendo una banalización de la gobernanza que —como acabo de exponer— es un proceso de ‘alto nivel’ en toda organización.   

Probablemente se debe a intereses espurios, de mala mercadotecnia, que se proponen aumentar el atractivo de un producto o servicio, quizá bueno para su función puntual original, proclamando también su contribución al buen gobierno. Por citar un ejemplo, mencionaré la clase de productos de software (SW)  GRC (Governance, Risk and Compliance), que en su mayoría son meros gestores documentales. Dejo al lector interesado que —con un mínimo esfuerzo de búsqueda— deduzca cuánto tienen que ver los que se ofrecen en el mercado con la gobernanza, como se ha definido más arriba[14].

Esa banalización difumina, en muchos casos, el concepto de gobernanza y puede dificultar su asignación a los tres (o más) perfiles citados.  

* *

Conclusión

El GCTI es una función y un proceso de alto nivel en las organizaciones. Proceso que dirige y controla el uso, los objetivos y estrategias de las TI. 

Compete en proporciones variables y dependientes de las características de cada empresa a la terna OG – CEO – CIO, con una responsabilidad última irrenunciable del OG.

No hay mucha información fácilmente asequible que documente claramente y sin sesgos cómo se distribuye la responsabilidad y la influencia de las tres partes principales en gran número de empresas de diferentes tipos.

De forma ideal y simplificada sería bueno disponer de estudios empíricos (encuestas) que —por ejemplo— tipificasen la tupla (a, b, c) de influencia [ver figura], (con a+b+c = 100%, por ejemplo).[15] 

* * *

Artículo escrito por Manolo Palao, iTTi 20170505   

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos.   

-------------------------------------------------

[1] http://dle.rae.es/?id=JHRSmFV  [URL consultado el 20170422]. 

[2] ISO/IEC 38500:2015 Governance of IT for the Organization.

[3] Fuente de la traducción: UNE-ISO/IEC 38500:2013 Gobernanza corporativa de la Tecnología de la Información (TI). §1.6.3 gobernanza corporativa de la TI. 

[4] Julie Short, J. et al.(04 September 2012). " Gartner Defines 'Governance'". Gartner. ID: G00237914. https://www.gartner.com/document/2145816?ref=lib  [URL consultado el 20170511].

[5] https://www.isaca.org/pages/default.aspx [URL consultado el 20170511]. 

[6] SACA. (2013). CEGEIT Review Manual 2013. Rolling Meadows, IL. EEUU. ISACA. p.7. 

[7] http://www.ittrendsinstitute.org/about-itti [URL consultado el 20170511]. 

[8] iTTi. (2015). "El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información" V01.00.20150530ES https://es.slideshare.net/iTTi_news/el-manifiesto-itti [URL consultado el 20170511].

[9] Digo “denominada” porque —desde la óptica corporativa (de toda la organización,  la única óptica que debería usarse para tratar estos temas)— la ‘estrategia TI’ en una mera ‘SUB-estrategia (TI)’ de la ‘estrategia corporativa’, por lo que —si la primera no está alineada con la segunda— es inadecuada (no es una estrategia adecuada), como está equivocado o es inadecuado quien la haya elaborado así, por ignorancia o intereses espurios. 

[10] Como cualquier búsqueda rápida en Internet puede confirmar. 

[11] Sobre ‘equilibrio’, en teoría de la organización, han tratado muchos sociólogos y economistas ilustres desde mediados del siglo pasado. 

[12] Confirmar empíricamente esta doble opinión es un trabajo pendiente, de una envergadura probablemente considerable. Hacen falta más estudios, más equilibrados y detallados, que probablemente manifiesten una participación equilibrada (que no uniforme) de los tres agentes (CIO, CEO y OG) y unos protagonistas distintos y relaciones menos diferenciados en muchas empresas medianas o pequeñas; con descripción suficiente de la muestra y de una metodología de muestreo suficientemente rigurosa. 

[13] No es fácil, y rebasaría el propósito de este trabajo, hacer la nómina de los autores y entidades que han tenido / tienen influencia importante en la tipificación de los roles de esos colectivos. Entre los más importantes están, probablemente:   Center for CIO leadership, CIO, Davenport, Forrester, Gartner, IESE, Infonomics, iNFoRMáTiCa++, ISACA, ITAG Research Institute, ITIL, iTTi, Johnson, King, McKinsey, MIT – CDB, MIT – CISR, NACD, Nolan & McFarlan, novática, Porter, PwC, Sieber & Valor,  Swedish Royal Institute of Technology’s Department of Industrial Information and Control Systems, Toomey, Ward & Peppard, Weill & Ross. 

[14] Sí pueden tener que ver con una visión reduccionista de ‘gobernanza’ de algunos autores, que la equiparan a ‘cumplimiento’ (compliance). 

[15] Ver:  Weill, P., & Ross, J. (2005). "A Matrixed Approach to Designing IT Governance". MIT Sloan Management Review. Cambridge 46.2 (Winter 2005): 26.   http://0-search.proquest.com.cataleg.uoc.edu/docview/224976041?pq-origsite=summon&http://0-search.proquest.com.cataleg.uoc.edu/pqcentral?accountid=15299  [URL consultado el 20170511].

 

El Consejo de Administración en el Gobierno Corporativo de las TI

Sunday, 07 May 2017 Manolo Palao Posted in Corporate Governance of IT

Aclaración terminológica

En este documento utilizo como sinónimos, en un sentido lato, ‘buen gobierno’, ‘gobernanza’ y ‘governance’. Cuando conviene más finura, suelo usar ‘buen gobierno’, como ejercicio adecuado y correcto de la —más abstracta— ‘gobernanza’[1].

Trato también como sinónimos, salvo mención expresa órgano de gobierno OG) y consejo de administración (CA).

* *

Propósito de este documento

El propósito de este trabajo es hacer una breve reseña de los principales hitos en que se recaba para los órganos de Gobierno (OGs) de las entidades, el protagonismo en el gobierno corporativo de las TI (GCTI) , en un movimiento relativamente nuevo durante la última década.

* *

Introducción

Desde la última década del siglo pasado ha habido un creciente interés por temas de buen gobierno (governance) por muy diversas razones, desde la gobernanza de las naciones a la del agua, pasando por la portuaria y logística, la corporativa, la de carteras de programas y  proyectos, la de las TI, o la gobernanza de datos [2].

Esa gobernanza o buen gobierno se entiende, en general, como una capa superior o estratégica de la gestión. Un ocuparse de políticas, objetivos y estrategias sobre el empleo (o no) y modo de uso del tema en cuestión, más que de su detalle táctico, operativo y técnico. 

Es quizá en la última década cuando los OGs, y los estudiosos han reivindicado con más fuerza el   derecho y la obligación de los primeros de establecer las políticas y estrategias de las TI y de supervisar su cumplimiento por los ejecutivos; el mismo derecho y obligación-responsabilidad que tienen (por ley) sobre las demás funciones de la empresa.

Sin perjuicio de lo razonable que parece ese enfoque, en la práctica no se aplica en muchos casos, quedando las políticas y estrategias de las TI en manos del CIO, con mayor o menor intervención —quizá creciente— del CEO, según resulte del equilibrio de poder en cada organización. Pero esto ya no es tema de este documento.

Gobernanza que —en el caso de las TI (como pasaría con otras funciones corporativas)— tiene la virtud de hacer efectiva la alineación de la denominada [3] ‘estrategia TI’ (o la estrategia de otras unidades) con la ‘estrategia corporativa’. 

* *

El Consejo de Administración

El Consejo de Administración (CA) es el órgano de gobierno de las empresas, usual en España en grandes empresas y bastantes PYMEs.  (Ver recuadro inferior)

----------------------------------------------------------------------------------------------------------------------------------------------

Los órganos de gobierno o de administración (OG)

Los órganos de gobierno o de administración de empresas y entidades tienen en español denominaciones diversas, que dependen de la legislación aplicable en cada país.

En España, las ‘sociedades de capital’ se rigen por la  Ley de sociedades de capital, 2011, que –en su Artículo 209- indica que “Es competencia de los administradores la gestión y la representación de la sociedad...”. Y en su Artículo 210 señala que pueden ejercerla uno o dos administradores y –si fueren más- “constituirán consejo de administración” (CA).  Los miembros del CA se denominan consejeros. El CA tiene un Presidente (P), que puede o no ser ejecutivo (PE). El CA puede nombrar en su seno un Consejero Delegado (CD); o –fuera de su seno- un Director General (DG).

El CA tiene Comisiones (algunas determinadas por ley), constituidas por consejeros. Puede haber un Comité Ejecutivo.

El PE | CD | DG  suele a su vez encabezar un Comité de Dirección (CoD) que reúne a todos o parte de los Directores de unidades —los ‘ejecutivos’..

No debe confundirse el CoD con el CD o sus comisiones.

Otras entidades, no de capital, en España se rigen por otras Leyes y su equivalente (a nuestros efectos) del CA son, por ejemplo, el Patronato (y su presidente), en el caso de Fundaciones; o el Rectorado (presidido por el Rector), en las Universidades.

En LATAM, equivalentes del CA son la Junta (Directiva), o el Directorio.   

 En Inglés, el órgano de gobierno más frecuente es ‘the Board of Directors’ (the Board) —equivalente a nuestro CA— y sus miembros son Directors (NO directores, sino consejeros –miembros del CA). El primer ejecutivo, sea o no consejero, es el Chief Executive Officer (CEO). 

En Francia es frecuente la figura del PDG - Président-directeur général (P-DG).

Para nosotros, aquí, CEO = PE | CD | DG | P-DG.  

Para más finura, consúltese la legislación mercantil (y otra pertinente) del país en cuestión.

--------------------------------------------------------------------------------------------------------------------------------------------------

* *

Desentendimiento CA – Tecnologías de la Información (TI)

Hasta hace algunos años —y lamentablemente aún en muchas empresas— el CA ha estado generalmente ajeno a las TI. Incluso ahora, cuando se ocupa de las TI, es a menudo solo tras un ciberincidente; un robo escandaloso de datos o una caída importante del servicio. (Incidentes graves, en el extranjero, han desembocado en un cese o dimisión del CEO [4]).

Ese desentendimiento parece ser un fenómeno global, aunque quizá exacerbado en algunos países, entre ellos España, como se comentará más abajo. 

Pero en el momento actual (y desde hace un par de lustros) es evidente que el mundo está inmerso en la ‘revolución digital’ que está cambiando radicalmente la economía, las empresas, la sociedad y nuestras vidas personales.

Y en esas condiciones, no parece razonable que los órganos de gobierno —los CA— no tengan una agenda activa, frecuente y bien informada sobre las TI. Naturalmente, no necesariamente, sobre la evolución tecnológica y sus detalles, pero sí sobre las políticas y estrategias corporativas del uso de las tecnologías.

Caben muchas explicaciones sobre ese desentendimiento histórico. Entre ellas pueden señalarse: 

- la aceleración del cambio ha cogido por sorpresa y/o no ha dado tiempo a reaccionar a empresas poco ágiles: oligopolios, estructuras ‘pesadas’ (muchos niveles jerárquicos), sin la cultura adecuada.

- la informática, que hace unas décadas solo, se llamaba ‘proceso de datos’ o ‘mecanización administrativa’ era una mera herramienta de productividad (sobre un recurso barato, el personal administrativo); y útil solo para llevar la contabilidad y hacer la nómina; no merecedora de la atención del CA.

- herramienta que —antes de la generalización de la informática transaccional— podía radicar en una “oficina de servicios” externa (¡‘outsourcing’ en las décadas de 1970 y 80!), o en una ínsula interna —una torre de marfil en que inputs y outputs entraban o salían en carros con resmas de papel.

- la informática nació rodeada de misterio, que muchos de los escasos iniciados (hechiceros, mandarines) aumentaban con cortinas de humo lingüísticas adoptadas del inglés (por si este idioma no fuera ya bastante obstáculo en algunos países). Así, ‘escrachear’ era borrar un soporte magnético, o  ‘desencriptar’ (que, por desgracia, se nos ha quedado) era descifrar. Ello ha supuesto una barrera de ‘analfabetismo informático’ para muchas personas y en particular quizá las de más edad o con menos formación STEM (siglas en inglés para: ciencia, tecnología, ingeniería, matemáticas).

- la composición de los CA estaba sesgada hacia las especialidades eficaces y rentables en el ‘estable’ régimen anterior: el Derecho, la Economía, la Academia… Las especialidades adecuadas a las necesidades entonces de los mercados (derecho administrativo, derecho mercantil, macro- y microeconomía) y a los perfiles de los políticos y administradores públicos (por facilidad de diálogo y por ‘puertas giratorias’).

- el propio interés de consejos y consejeros de preservarse y perpetuarse, como una casta, en unas funciones generalmente poco exigentes, bien retribuidas, bien consideradas socialmente, y con relativo poder, influencia y beneficios indirectos.

En España, lo anterior se ha visto reforzado por:

- una tradición altamente licenciataria de tecnologías (no solo TI) de las empresas, lo que   —en cierta forma, no positiva— ‘comoditizaba’ la tecnología, simplificando, en cierta medida, su gobierno y gestión. Lo que necesito, lo compro, como una ‘caja negra’;

- los consejos de administración siguen generalmente compuestos (aparte de por muchos consejeros NO independientes) por una gerontocracia de abogados, economistas y exministros, bien adaptada a las necesidades, regulaciones e intereses, creados en gran medida por ellos mismos a lo largo del último siglo. Es un sistema autoestabilizante.

Las generalizaciones son casi siempre falaces, y hay empresas, profesionales, analistas y académicos que hace tiempo vienen adoptando y recomendando la asunción por los CA de roles más activos en la orientación y supervisión del uso de las TI en sus empresas, y en la sociedad.

* *

Hitos en fomento de una mayor intervención de los CA en las TI

1. Probablemente el documento pionero (¡2003!) en esta línea fue el Board Briefing (Informe al Consejo) de ITGI[5]. Un informe destinado a un consejo de administración genérico.

Los consejos de administración y las direcciones ejecutivas tienen que extender el gobierno a las TI y proporcionar el liderazgo, las estructuras y procesos organizativos que aseguren que las TI de la empresas soportan y extienden las estrategias y objetivos. El gobierno TI no es una disciplina aislada, sino parte integral del gobierno general de la empresa. La necesidad de integrar el gobierno TI en el gobierno general de la empresa es similar a la necesidad de que las TI sean parte integral de la empresa y no rincones recónditos o torres de marfil. 

A los grupos de interés (stakeholders) cada vez más educados y resolutos les preocupa una gestión sólida de sus intereses. Esto ha llevado al surgimiento de principios y normas para el gobierno general de la empresa. Además, las regulaciones establecen responsabilidades del consejo de administración y requieren que éste actúe con la debida diligencia en sus roles.”[6]

El informe, de 66 páginas, es de acceso libre, por lo que, pese a su interés no procede extenderse sobre él aquí; sí, recomendar la lectura de su contenido, totalmente vigente. Como botón de muestra, unas preguntas (que el consejo debería hacerse), extraídas del medio centenar recogidas en su Anejo A. 

- ¿Está claro [para el consejo] lo que TI está haciendo?

- ¿Cuánto del esfuerzo de TI se dedica a ‘apagar fuegos’ en vez de a facilitar mejoras del negocio?

- ¿ El consejo articula y comunica la dirección del negocio con la que TI debiera alinearse?

- ¿Cuán crítica es TI para sostener la empresa? ¿Y para hacerla crecer? 

2. La norma ISO/IEC 38500:2008 Corporate governance of information technology  (que rebautizó la ISO/IEC DIS 29382: 2007) fue el resultado de la aprobación rápida (fast track) de la norma australiana AS 8015:2005;  por lo que probablemente se empezó a ‘cocinar’ en las mismas fechas que el informe de ITGI.

Para la 38500, “El gobierno es distinto de la gestión y, para evitar confusión, ambos conceptos están claramente definidos en la norma” [7]. 

La 38500 fue revisada en 2015 con muchos pequeños retoques, pero con dos cambios importantes [8]: 

i) un nuevo nombre, para ampliar su cobertura potencial: Governance of IT for the Organization [antes, Corporate]; y 

ii) permitiendo, de forma explícita, dos posibles escalones de delegación: a) del consejo a una comisión del consejo; y b) de los anteriores al equipo directivo. Esto —como comentaré más abajo— me parece una decisión radical que encierra claras ventajas y claros riesgos asociados.

La norma propone 6 Principios y un Modelo. 

Los principios son: 1) responsabilidad referente a TIC;  2) alineación de la estrategia TIC con la de la organización; 3)  adquisiciones TIC razonables y razonadas; 4) rendimiento y desempeño; 5) conformidad; y 6) comportamiento humano. 

El Modelo (que la norma esquematiza en una figura elocuente) plantea dos capas: una de Gobierno y otra de Gestión / Administración. 

La capa de Gobierno (el cometido del órgano de gobierno) tiene 3 funciones (EDM, siglas en inglés): Evaluar, Dirigir (establecer la dirección) y Supervisar. Estas tres funciones forman un ‘círculo virtuoso’ triangular (similar al más conocido cuadrangular PDCA –planificar, ejecutar, comprobar, actuar).   

La capa de Gestión / Administración (el cometido de los órganos ejecutivos) recoge los procesos de la organización en un esquema que podría ser una simplificación de la clásica cadena de valor de M. Porter.

Ambas capas se relacionan mediante tres flujos principales: un primero, de Gobierno a Gestión, contiene objetivos, políticas, estrategias y directrices; un segundo, de Gestión a Gobierno, rinde cuentas; y un tercero, también de Gestión a Gobierno, eleva propuestas.

El cuerpo de la norma (que es “asesora, de alto nivel, basada en principios”) ofrece consejos o recomendaciones, que podría visualizarse como una matriz de 18 casillas: el producto de los 6 principios, vistos cada uno desde las 3 grandes actividades EDM

3. En 2009, el australiano Mark Toomey, que fue coeditor de la AS 8015:2005, publicó Bailando el Vals con el Elefante[9], un interesante y atractivo texto en que desarrolla sus ideas sobre GCTI, sintetizadas en la AS 8015. Desde entonces Mark ha dado varias vueltas al mundo haciendo presentaciones personales de sus ideas, y difusión virtual, mediante su revista Infonomics [10]. 

4. COBIT 5 [11]

En 2012, ISACA[12] publicó COBIT 5 y desde entonces ha publicado un gran número de productos muy diversos de esa familia (aparte de sus traducciones a diversos idiomas). 

COBIT 5 se subtitula “Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa”. COBIT es un nuevo nombre propio, no ya un acrónimo como en versiones anteriores, y es el vástago más joven de una generación que se inició 15 años antes.   

Pero COBIT 5 supuso una revolución en la familia, en al menos dos aspectos: i) —el que más importa aquí es que— explicita y consolida la distinción entre Gobierno (Governance) y Gestión [Administración, en LATAM] (Management) de las TIC; y ii) —aquí menos importante—abjura de su tradicional modelo de madurez de procesos ‘CMM’ [13] y abraza el de capacidad de procesos de ISO/IEC 15504, SPICE [14].

La distinción entre Gobierno Corporativo y Gestión queda clara, en COBIT 5,  desde su título y comienzo, y está en línea con la ISO 38500 [15].

El marco COBIT 5, se desarrolla a partir de unas necesidades de los interesados / derechohabientes (stakeholders needs)[16], y propone 7 elementos habilitadores (drivers) para atenderlas: 

1) procesos; 2) cultura, ética, comportamiento; 3) estructuras organizativas; 4) información; 5) principios y políticas; 6) habilidades y competencias; y 7) capacidades de servicio; que están sistémicamente interrelacionados.

COBIT 5 se basa en 5 Principios:  

1) Es un marco integrador. Integra material previo de CobiT y de ISACA, y también de terceros, y su estructura sencilla facilita la integración de cualquier otro marco o norma razonable. No es prescriptivo, aunque propone un modelo de referencia de procesos (ver más abajo).

2) Se rige por la persecución del valor para los interesados (stakeholders).

3) Está orientado al negocio [en sentido genérico: engloba administraciones públicas, ONGs, etc.].

4) Se basa en los 7 habilitadores enunciados más arriba.

5) Está estructurado en procesos de Gobierno Corporativo y de Gestión [Administración] diferenciados pero interrelacionados. 

COBIT 5 consta de 37 procesos [17] de alto nivel, frente a los 34 del previo CobiT 4.1. De ellos, 5 son de Gobierno Corporativo; los demás de Gestión. Algunos consideran que es demasiado engorroso; pero quizá no han reparado en que —al no ser prescriptivo— muchos de tales procesos pueden no considerarse, en función de la circunstancias de la empresa u organismo.

Cada uno de los procesos es tratado en detalle en una ‘ficha’ normalizada que describe subprocesos y actividades, métricas, flujo de trabajo (I/O) y tabla RACI (Responsable-Alto_Responsable-Consultado-Informado)[18]. La riqueza de información es muy considerable. 

5. NACD [19] 

En 2014,  la americana Asociación Nacional de Consejeros [de Administración] de Empresa [20], puso en marcha la iniciativa “La Intersección de Tecnología, Estrategia y Riesgo”, orientada a trasladar a su comunidad de miembros el mensaje de que “las Tecnologías de la Información evolucionan de forma imparable y, por tanto, de igual modo, ha de evolucionar el perfil de un consejero eficaz”[21]. 

El programa se asienta en la premisa, que comparto,  de que “las tecnologías [de la información] crean oportunidades para que las empresas innoven, para que generen eficiencias operativas y para que alcancen una ventaja competitiva” en sus respectivos sectores/mercados.

En el programa colaboran ISACA, la consultora KPMG[22] y la firma de análisis de mercado Gartner[23]. 

La Intersección de Tecnología, Estrategia y Riesgo” se compone de una colección de vídeos en los que, a modo de entrevistas, un grupo de expertos (consejeros, consultores, CIOs, …) van respondiendo a una serie de cuestiones clave y ofreciendo su particular visión sobre la influencia de las TI en las organizaciones de hoy y sobre el papel que los consejos de administración —y, por ende, los consejeros—  han de jugar en el actual escenario.

Los ocho capítulos de la serie están configurados como pequeñas video-píldoras, de entre cinco y diez minutos de duración, con los siguientes títulos[24]:

- Capítulo 1. Un mundo nuevo y desafiante (A brave new world).

- Capítulo 2. Cuestiones clave que los consejos de administración deberían estar preguntando sobre tecnología (Critical questions boards should be asking about technology).

- Capítulo 3. Tecnología y liderazgo: el papel crítico del CIO (Technology and leadership: the critical role of the CIO).

- Capítulo 4.  Abrazando lo perturbador (Embracing disruption).

- Capítulo 5. Fomentando una cultura de innovación (Fostering a culture of innovation).

- Capítulo 6. La revolución del aluvión de datos (The big data revolution).

- Capítulo 7. Ciberseguridad (Cybersecurity).

- Capítulo 8. Redes sociales: beneficios y riesgos (Social media: risk and reward). 

6. King III

Los Informes King –King Reports on Corporate Governance­– son una pionera colección de directrices sobre gobierno corporativo y operación de empresas. Los publica en Sudáfrica el ‘Comité King sobre Gobierno Corporativo’ (King es el nombre del presidente del Comité). Han sido considerados como “la síntesis más eficaz de las mejores prácticas internacionales sobre gobierno corporativo”. 

Obligan a las empresas que cotizan en la Bolsa de Johannesburgo. El primero (King I) se publicó en 1994; el vigente es el King III, de 2009; y está anunciado el King IV para este año 2017 [25]. 

Por su origen y función, los Informes King pueden ser comparados con los códigos españoles: Código Unificado de Buen Gobierno de las Sociedades Cotizadas (2013) de la CNMV[26] y sus precursores Código Conthe (2006), Código Aldama (2003) y Código Olivencia (1998). Una comparación más detallada resulta ilustrativa, pero rebasa el propósito de este documento. 

* *

Referencias: ATI. (2014). Novática. Monografía. Gobierno Corporativo de las TI. Nº 229, julio-septiembre 2014. http://www2.ati.es/novatica/2014/229/Nv229-Digital.pdf  [URL consultado el 20170501]. 

* * *

Artículo escrito por Manolo Palao, iTTi 20170507    

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos.  

----------------------------------------

[1]  http://dle.rae.es/?id=JHRSmFV [URL consultado el 20170422].

[2] Ver, por ejemplo, http://www.un.org/es/globalissues/governance/, https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwij1fSIurjTAhUIrRoKHcWnAnUQFggjMAA&url=https%3A%2F%2Fwww.oecd.org%2Fgov%2Fregional-policy%2FOECD-Principles-Water-spanish.pdf&usg=AFQjCNHWSCfHJBseXwBFYYjWe0ZSU1ruGQ&sig2=tA0RwhtTBlIQUx92ENhtag&cad=rja,  https://www.insead.edu/executive-education/corporate-governance-programmes?CampaignId=GGL_Search_A&SiteId=GGL&AdId=CORPGOV&device=c&term=corporate%20governance%20program&gclid=CjwKEAjw_uvHBRDUkumF0tLFp3cSJACAIHMYMI4VDIy448O9NGeODZkEVvX1ZYtzbLdjfwWTrOdRdhoC4tHw_wcB, https://es.wikipedia.org/wiki/Gobernanza_de_las_tecnolog%C3%ADas_de_la_informaci%C3%B3n, https://www.google.es/search?client=firefox-b&q=gobernanza&spell=1&sa=X&ved=0ahUKEwjoh5KmuLjTAhVRkRQKHeX4AqoQBQgiKAA#q=governance+of+portfolios+programs+and+projects+a+practice+guide+pdf, https://www.google.es/search?client=firefox-b&q=gobernanza&spell=1&sa=X&ved=0ahUKEwjoh5KmuLjTAhVRkRQKHeX4AqoQBQgiKAA#q=%22data+governance%22++ , [URLs consultados el 20170422]. 

[3] Digo “denominada” porque —desde la óptica corporativa (de toda la organización,  la única óptica que debería usarse para tratar estos temas)— la ‘estrategia TI’ en una mera ‘SUB-estrategia (TI)’ de la ‘estrategia corporativa’, por lo que —si la primera no está alineada con la segunda— es inadecuada, como lo es quien la haya elaborado así, por ignorancia o intereses espurios. Con palabras como ‘gobernanza’, ‘estrategia’ y (otras muchas) se viene produciendo un deslizamiento semántico, normalmente hacia su banalización. 

[4] Ver, por ejemplo la docena larga de dimisiones de CEOs importantes causadas por incidentes de ciber-inseguridad reseñada por García-Menéndez, M. (2017).  “¿Quién se hace cargo?”.  Novática nº 238, noviembre 2016 - febrero 2017. http://www2.ati.es/novatica/2017/238/Nv238-Digital.pdf [URL consultado el 20170502].

[5] ITGI – IT Governance Institute (2003) Board Briefing on IT Governance, 2nd Edition .    https://www.isaca.org/knowledge-center/research/researchdeliverables/pages/board-briefing-on-it-governance-2nd-edition.aspx [URL consultado el 20170303]. El ITGI fue creado en 1998 http://www.isaca.org/About-ISACA/IT-Governance-Institute/Pages/default.aspx  [URL consultado el 20170303] por ISACA . ISACA —en sus orígenes, en 1967, una asociación de auditores de sistemas de información— es en la actualidad una asociación al servicio de “los profesionales en gobierno de TI” y cuenta con unos 140 000 socios en 180 países http://www.isaca.org/about-isaca/Pages/default.aspx [URL consultado el 20170303]. 

[6] Fuente: ITGI – IT Governance Institute (2003) Board Briefing on IT Governance, 2nd Edition . p. 6.  Copyright © 2003 by the IT Governance Institute.  Con autorización, para uso académico. 

[7] "Governance is distinct from management, and for the avoidance of confusion, the two concepts are clearly defined in the standard.”  ISO/IEC 38500: 2008  , p 5.

[8]  https://en.wikipedia.org/wiki/ISO/IEC_38500#Updates_to_the_standard  [URL consultado el 20170303].

[9] Toomey, M. (2009, 2011). Waltzing with the Elephant. Edition 1, Print 1, 3rd August 2009. Bailando el Vals con el Elefante Primera edición en español. Primera impresión. 30 de abril de 2011.  https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwizqIrbsobTAhVmBMAKHWdjApsQFggcMAA&url=http%3A%2F%2Fwww.infonomics.com.au%2FWeb%2520Content%2FDocuments%2FBailando%2520el%2520Vals%2520con%2520el%2520Elefante%2520-%2520extracto%2520promocional.pdf&usg=AFQjCNHWleHgv4hIluwqGDuyzSfp_73-uA&sig2=yi4z4DMj1zd2fyD39VQf7g&cad=rja  [URL consultado el 20170409]. 

[10]  http://www.infonomics.com.au/Index.htm [URL consultado el 20170409].

[11] Esta sección usa ampliamente material previamente publicado en Touriño, M. y Palao, M. (2011).  “Sección Técnica «Auditoría SITIC»-  Ref Autoriz  CobiT PAM y COBIT 5”. Novática. Nº 213, noviembre 2011. https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0ahUKEwjeitSDspfTAhXJRhQKHeTEChsQFggeMAE&url=https%3A%2F%2Friunet.upv.es%2Fbitstream%2Fhandle%2F10251%2F37507%2FViv%25C3%25B3%2C%2520R.%2520-%2520Referencias%2520autorizadas.pdf%3Fsequence%3D2&usg=AFQjCNF0pCrd0nRJBqTRhcPwwvAovLWfhw&sig2=D58kvEDbt4J2Y2fyPItafA&cad=rja   [URL consultado el 20170409]. 

[12] SACA es “una asociación global, sin ánimo de lucro e independiente que se dedica al desarrollo, adopción y uso de conocimiento y prácticas de los sistemas de información que sean globalmente aceptadas y líderes en el sector". Desde hace unos años ‘ISACA’ es un nombre propio; anteriormente era el acrónimo de Information Systems Audit and Control Association, denominación que se cambió dado el cambio histórico en la composición e intereses de sus socios. Actualmente cuenta con unos 140 000 asociados, agrupados en Capítulos en 180 países. En España hay 3 Capítulos: Barcelona, Madrid y Valencia.  

http://www.isaca.org/about-isaca/Pages/default.aspx  [URL consultado el 20170409]. 

[13] Basado, con adaptaciones en el CMM del SEI de CMU: http://en.wikipedia.org/wiki/Capability_Maturity_Model [URL consultado el 20170409].

[14] http://en.wikipedia.org/wiki/ISO/IEC_15504 [URL consultado el 20170409].

[15] De la que hace una ‘transposición’ (adopción con variaciones). 

[16] Abstraídas como resultado de amplias encuestas. 

[17] Recuerdo que la redacción en ‘imperativo’ fue una positiva innovación de CobiT 4. (2005), no sistemáticamente implementada en castellano, quizá debido a problemas entre el imperativo y el infinitivo. 

[18] La tabla RACI es una matriz unidades_empresariales – actividades (Ej.: Director_Financiero – Aprobar_Presupuestos) que —en COBIT 5— incluye, entre las unidades, el Consejo de Administración, el CEO y los Directivos de Negocio.

[19] Esta sección usa ampliamente material previamente publicado en García-Menéndez, M. y Palao, M. (2014).  “Sección Técnica «Gobierno corporativo de las tecnologías de la información (GCTI)»-  Ref Autoriz Asociación Nacional de Consejeros de Empresa. Otro espejo en que mirarse”. Novática. Nº 228, abril-junio de 2014. https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0ahUKEwji2smh-pfTAhXm6IMKHdWHD4EQFgglMAE&url=http%3A%2F%2Fwww.ati.es%2Fnovatica%2F2014%2F229%2FNv229-106.pdf&usg=AFQjCNETYVkoIEeuiGJeAGZ81-vI9a6YiA&sig2=KnNKCzYvoaUulF6TU9DKFg&cad=rja  [URL consultado el 20170409].

[20] NACD, (del inglés, National Association of Corporate Directors) reúne más de 17 000 miembros de consejos de administración y lleva más de 40 años proponiendo normas para una actuación responsable de los consejos de administración. https://www.nacdonline.org/AboutUs/ [URL consultado el 20170409].

[21] NACD. (2014). The Intersection of Technology, Strategy and Risk. http://www.nacdonline.org/IT  [URL consultado el 20170409]. 

[22] KPMG International Cooperative. http://www.kpmg.com [URL consultado el 20170409]. 

[23] Gartner Inc. http://www.gartner.com [URL consultado el 20170409]. 

[24] La colección completa puede encontrarse tanto en la sede web de la NACD, como en la de ISACA. No obstante, se recomienda optar por esta segunda posibilidad, dado que ISACA ofrece los vídeos “en abierto”, a diferencia de lo que ocurre con la NACD, que ofrece el material sólo para sus miembros.

ISACA. New video series: The Intersection of Technology, Strategy and Risk  http://www.isaca.org/videos/Pages/Intersection.aspx [URL consultado el 20170412].   

[25]  https://en.wikipedia.org/wiki/King_Report_on_Corporate_Governance   [URL consultado el 20170412].   

[26] https://www.cnmv.es/portal/Legislacion/COBG/COBG.aspx  [URL consultado el 20170412].   

 

Unas reflexiones sobre estrategia digital. La revolución digital de los seguros y el caso Allianz

Wednesday, 26 April 2017 Manolo Palao Posted in Corporate Governance of IT

Introducción

Ahora no se deja de hablar de las promesas (y riesgos) de la IoT —Informática de las Cosas, según sus siglas en inglés. Pero no por ello se deben perder de vista las promesas aún no materializadas de la vieja IoI —Informática de la Información, o de los Datos: la Informática de siempre—. 

La Informática de siempre (IoI) nos anunció, por ejemplo, la ‘oficina sin papel’ y la ‘sociedad sin papel’[1]. Pero hace sólo un lustro (ya en plena ‘revolución digital), el oficinista medio americano aún generaba diariamente ¡1Kg. de papel![2] 

Y al igual que la ‘oficina sin papel’ y la ‘sociedad sin papel’, quedan otros muchos beneficios por cosechar, en materia de rapidez, precisión, productividad y vivencia de los usuarios, hasta realizar el potencial conocido de las tecnologías de la información. Como también quedan por suprimir o mitigar importantes riesgos como los que afectan a la privacidad de las personas o a la seguridad de los activos de información.  

Quizá donde todavía quepa un mayor recorrido en el proceso de digitalización sea en muchos sectores tradicionales y en empresas viejas, grandes, burocratizadas y de cultura conservadora —por no hablar de las administraciones públicas—. Uno de tales sectores puede ser el de seguros.

* *

La revolución digital de los seguros de vida

McKinsey acaba de publicar un artículo[3] que es un ejercicio modélico de estrategia de mercado e identificación de nichos potenciales. 

El artículo versa sobre ‘seguros de vida’ pero parece fácilmente generalizable a otros seguros. Comienza con la evidencia de que “mientras más del 70% [de los usuarios] inician online la recogida de información [sobre seguros][4], solo menos de un tercio completa así su contratación”.  

Los autores proponen tres horizontes, a lo largo de los cuales las aseguradoras que se planteen sobrevivir “habrán de realizar:  

    (1) la modernización de todos los canales de interacción con los clientes;

    (2) la interconexión de los canales para brindar al cliente una vivencia sin solución de continuidad; y

    (3) la creación de productos personalizados”, basados en el ingente y creciente volumen de datos disponible.  

1. En el primer horizonte — la modernización de canales— sugieren: i) explotar la riquísima información que los usuarios vierten continuamente sobre eventos de sus propias vidas, para usar tales eventos como apoyo para acciones proactivas, como publicidad y ofertas; ii) simplificar y acortar drásticamente los procesos para facilitar el culminar la suscripción de una póliza1; y iii) simplificar la operativa diaria de agentes y corredores, entre otras cosas con herramientas CRM (‘gestor de relaciones con clientes’, por sus siglas en inglés). 

2. En el segundo —diferenciación, mediante mejora de la vivencia del cliente—: i) estableciendo ‘perfiles-diana’ (target personas), mediante un amplio uso de herramientas analíticas sobre big data; y ii) haciendo un seguimiento (tracking) mediante herramientas multicanal —online y offline— buscadoras e integradoras[6].  

3. Y en el último —la personalización de productos y servicios— mediante: i) un refinamiento de la cobertura del riesgo (más allá, p. ej., de los clásicos “en caso de vida” y “en caso de muerte”) sino ajustándose más a las circunstancias y apetito de riesgo del tomador; ii) apoyándose en los puntos o eventos de contacto (touchpoints) descritos en 1.); iii) una mayor personalización de todos los mensajes con el objetivo de aumentar la confianza con la entidad —considerada requisito esencial de la contratación—; y iv) finalmente, personalizar los precios a cada circunstancia. 

Abordar esa amplia estrategia puede suponer inversiones significativas. “Allianz, por ejemplo, está invirtiendo 650 M€ en el desarrollo de capacidades digitales de la siguiente generación, para prestar servicio a más de 85 millones de clientes”[7]. 

* * 

El caso Allianz 

A fines de 2016, el CEO de Allianz, Oliver Bäte, hizo unas declaraciones, en una breve entrevista (11 min.) en Financial Times[8], donde se refiere a las líneas estratégicas de la aseguradora.  

Trató, en la entrevista, la ’transformación digital’ en pie de igualdad con temas como la nueva Presidencia de los EEUU, el Brexit, la regulación / desregulación (con mención a Solvencia II), el aumento de los nacionalismos y las fronteras en Europa, o el euro. (También es verdad que los entrevistadores insistieron en preguntas sobre lo digital, con lo que este tema ocupa más del 40% de la entrevista).

Allianz, según su CEO, basa su estrategia digital —su “Agenda de Renovación”— en cinco pilares, todos los cuales, en palabras de su CEO no son meros títulos abstractos, sino que incluyen “pequeñas metas específicas”[9]. Los 5 pilares son: 

     1) Centralidad real del cliente. (A su vez, este pilar es el eje o núcleo de los otros cuatro y es por tanto el pilar clave: véase el claro gráfico en el URL de Nota 9).

      2) Digital por defecto

      3) Excelencia técnica  

      4) Motores de crecimiento

      5) Meritocracia inclusiva 

1. Centralidad real del cliente 

“Nuestro mundo está cambiando de un negocio push … a un modelo pull, en el que la gente decide cuándo y cómo consume nuestros productos” (Nota 8). Ello supone usar herramientas de los 3 horizontes propuestos en al artículo de McKinsey. 

2. Digital por defecto

Como corazón o núcleo de la compañía, no como un parche o añadido. Implica la oficina sin papel (como algo secundario, pero con un “ahorro potencial de 350 -400 M€”). 

Servicio en el móvil, para todo producto, para todo su ciclo de vida.

3. Excelencia técnica  

“… [Usando] los mejores métodos analíticos y nuestros expertos y directivos de mayor talento. Las ventajas que la digitalización ofrece se usarán para optimizar nuestro sistema de precios ajustados al riesgo [Horizonte 3.] de McKinsey] y para simplificar y agilizar el tratamiento de siniestros [Horizontes 1., 2. y 3.]”.  

4. Motores de crecimiento

“Nuestra nueva UTE con el portal chino Baidu, que alcanza al 90% de los usuarios chinos de Internet es un buen ejemplo. Nos coloca en posición prominente en uno de los mercados de seguros digitales más dinámicos, con tasas de crecimiento anuales del 40% e ingresos anuales esperados en 2020 de 100 BN€ [miles de millones (= millardos) de euros].

Con los objetivos de alcanzar economías de escala y tener una presencia global, por una parte unitaria y por otra particularizada a países y clientes. 

5. Meritocracia inclusiva

Mediante un refinamiento de la cultura corporativa que valorice tanto el desempeño cuanto la forma de lograrlo —por ejemplo, mediante equipos multifuncionales— usando como métrica el IMIX (índice de meritocracia inclusiva, por sus siglas en inglés) y ajustando a él las retribuciones.  

Lo hasta aquí descrito, según Bäte: “Son cosas fáciles de decir, pero no son cosas fáciles de hacer; y en esto es donde está el trabajo de verdad: no en el lado de la tecnología[10], sino realmente en inculcarlo en nuevos procesos y nuevos modelos de prestación y esto es lo que realmente está llevando tiempo” (Nota 8).   

Es interesante destacar que se trata de un plan estratégico con un horizonte relativamente corto (3 años), pues, lanzado a finales de 2015, establece objetivos cuantitativos ambiciosos para 2018 (ver algunos indicadores en URL de Nota 9); conscientes los autores de que “los ciclos de innovación alcanzan su madurez mucho más rápidamente”, por lo que “negocios nuevos, ganadores, emergen en cortos marcos temporales”[11].      

Nótese que ninguno de los pilares hace referencia directa a la ‘estrategia digital’ (a cómo se consigue la transformación digital), pues aunque el segundo se titule ‘Digital por defecto’ eso no es una estrategia digital, sino un objetivo de la estrategia digital; es una estrategia corporativa.  

Estrategia corporativa que sería imposible (salvo quizás parte del quinto pilar) sin un soporte digital amplísimo —¡650 M€!—, que requerirá, a su vez, una propia estrategia digital: decisiones sobre arquitectura, plataformas, legacy, outsourcing, la Nube, etc.). 

Los ejemplos de ‘horizontes’ de McKinsey presentados al principio pueden ayudar a “unir los puntos” y ver cómo dicho soporte puede establecerse para los diversos pilares.

* * *

Artículo escrito por Manolo Palao, iTTi 20170418     

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos.

-----------------------------------------

[1]  Por ejemplo, por su vocero el Prof. Lancaster, en 1978. https://en.wikipedia.org/wiki/Paperless_society [URL consultado el 20170418].

[2]  https://en.wikipedia.org/wiki/Paperless_office  [URL consultado el 20170418].

[3] Gandhi, P. et al. (Abril 2017). Life insurance: Ready for the digital spotlight. McKinsey&Company Financial Services. http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/life-insurance-ready-for-the-digital-spotlight?cid=other-eml-alt-mip-mck-oth-1704&hlkid=1643c91f08a648e48ec12c55e7737336&hctky=1708074&hdpid=10862995-ad38-423b-b308-0d58f5d3f929 [URL consultado el 20170419]. 

[4] “Mensualmente, más de un millón de búsquedas en Google y 7 millones de visitas a las páginas web de las 10 principales aseguradoras”. Ibíd. 

[5]  Con la sencillez y rapidez con que hoy, por ejemplo, se pueden hacer ya muchas operaciones bancarias o de compraventa. 

[6] Conviene señalar que no se trata de herramientas que se espera aparezcan alguna vez en el mercado, sino de programas ya disponibles, algunos (como los CRM del párrafo anterior) hace décadas. 

[7] Nota 3.

[8] Jenkins, P. and Ralph, O. (2016/12/11).  Allianz chief outlines digital growth strategy. FT News. http://podcast.ft.com/2016/12/11/allianz-chief-outlines-digital-growth-strategy/   [URL consultado el 20170420]. 

[9] Una descripción más formalizada de la estrategia puede encontrarse en https://www.allianz.com/en/about_us/strategy_values/strategy/ y en https://www.allianz.com/v_1489412484000/media/about_us/stragey-values/2015-investor-letter.pdf  [URLs consultados el 20170420]. 

[10] Subrayado, mío.

[11] Allianz. (2015-11-24).  Allianz Capital Markets Day Renewal Agenda –bringing skills to scale. Diapos A8 y A20. https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=0ahUKEwjLwfWf2LLTAhXFOxQKHfyNCkAQFgg1MAI&url=https%3A%2F%2Fwww.allianz.com%2Fv_1448453228000%2Fmedia%2Finvestor_relations%2Fen%2Fconferences%2Fcapital_markets_days%2Fdocuments%2F2015-CMD-presentation.pdf&usg=AFQjCNHklikh-rE8qS7e0LMkFOPpULPihA&sig2=_98UkIu7bnX1eAr-29DzCw&cad=rja   [URL consultado el 20170420].

 

¿Riesgos operacionales o estratégicos?

Sunday, 09 October 2016 Maria Jose de la Calle Posted in Corporate Governance of IT

"Estadounidenses y tecnológicas, as  son las mayores compañías por capitalización: Apple en primer lugar, Google en el segundo, Microsoft en el quinto, Amazon en el trigésimo cuarto". "Las 100 mayores empresas por capitalización bursátil en 2015". PwC.[i]

* *

La consultora Protiviti ha publicado recientemente los resultados de una encuesta global[ii], realizada por la Iniciativa de Gestión del Riesgo Empresarial de la Universidad Estatal de Nueva Carolina, dirigida a consejeros y ejecutivos, sobre el impacto que tendrían, para este año 2016, 27 cuestiones relativas al riesgo.

Dichas cuestiones estaban clasificadas en 3 categorías: macroeconómica, estratégica y operativa.

Las Ciberamenazas -operativas- (57% de las contestaciones), la gestión de identidades y de la privacidad, así como la seguridad de la información -operativas- (53%) y la ‘Pobre Digitalización’ -estratégica- (51%) resultaron estar entre los 10 principales riesgos que los encuestados consideraron como de “impacto significativo” potencial en su organización. 

Lo denominado abreviadamente ‘Pobre Digitalización’, la encuesta lo enunciaba como “la gran velocidad de innovaciones disruptivas y/o nuevas tecnologías en el sector puede superar la capacidad de nuestra organización de competir y/o gestionar el riesgo adecuadamente sin llevar a cabo cambios significativos en nuestro modelo de negocio”. Se trata, pues, del riesgo de no adaptarse  ágilmente a la revolución digital.

Relacionadas con la seguridad de las Tecnologías de la Información, había otras cuestiones:

- En la categoría estratégica, además de la ya citada 'Pobre Digitalización', se encuentra el impacto que pueden tener las redes sociales, aplicaciones móviles, y en general, aplicaciones basadas en Internet, en la marca, en las relaciones con los clientes y en cómo se hace el negocio. En realidad, esta se puede considerar como un caso concreto de la anterior, al concretar algunos  ìtems y riesgos asociados a ellos. 

- En la categoría operacional se pueden citar tres cuestiones: 

  •   Riesgo debido a la dependencia de empresas subcontratadas -outsourcing- o        acuerdos estratégicos con proveedores de tecnología.

  •   Insuficientes medios para la gestión de identidades y de la privacidad, así  como para la seguridad de la información y la protección de los sistemas.

  • Incapacidad para hacer uso del "big data" para apoyar los planes estratégicos.

Las preguntas parecen dirigidas más que a obtener una visión de los riesgos que más preocupan a consejeros y directivos de las empresas, en particular de los riesgos derivados del uso -o no uso- de las TI, a hacer salir a la luz la poca preparación de la empresa para abordar un cambio hacia una digitalización de la organización, desde las llamadas cuestiones estratágicas del riesgo, como la no adaptación a los rápidos cambios tecnológicos, pudiendo ser superados por la competencia; a los insuficientes medios para el uso de aplicaciones analíticas y explotación de datos, para el control de identidades, o para hacer frente a la amenaza de los ciberataques.

La encuesta también ofrece los diferentes puntos de vista de los consejeros y los distintos miembros del equipo directivo ("C-suite", CEO, CIO, CFO, etc.) tienen sobre el nivel de riesgo o impacto del mismo al que se enfrentan sus organizaciones.

Por una parte, según las respuestas ofrecidas por miembros de los consejos de administración, estos consideran el riesgo de "Pobre digitalización" como impacto bajo para sus organizaciones, mientras que el riesgo de ciberataques lo consideran como de "impacto significativo" potencial. ¿Será porque estos se dejan oír mucho mientras que las causas de un mal rendimiento o desaparición de una empresa no se relaciona con una pobre digitalización de la organización? ¿Será porque el ciberataque tiene una consecuencia directa en daños inmediatos y tangibles y de constatar inmediatamente, que de un fenómeno más dilatado en el tiempo o con muchas posibles causas difíciles de determinar? 

Las respuestas ofrecidas por los consejeros coinciden con las dadas por los CRO's -Chief Risk Officers-, los cuales, entre los 5 riesgos con mayor impacto, además del de las ciberamenazas incluyen los que tienen que ver con medios insuficientes para la gestión de identidades y de la privacidad, así  como para la seguridad de la información. 

Por otra parte, las respuestas dadas por CEO ́s o CIO ́s, entre los 5 riesgos con mayor impacto no se encontraban las ciberamenazas ni ningún otro riesgo operativo. En concreto, en las respuestas de los CEO's, entre los 5 primeros no hab a ningún riesgo relacionado con las TI. Entre las respuestas de los CIO's, sólo uno y es estrat gico, el ya mencionado abreviadamente como "Pobre digitalización", pero no est  ninguno relacionado con la ciberseguridad o con la seguridad de TI, en general.

¿Preocupa a los CEO's y CIO's más una falta de estrategia que una capacidad de llevar a cabo dicha estrategia? 

Del resultado de la encuesta se podría concluir que no hay una estrategia dirigida desde el órgano de gobierno de la organización para una digitalización de la misma.

Si faltan recursos para responder a los cambios tecnológicos, o para el uso de las TI como motor de la empresa, es porque falta un adecuado órgano de gobierno corporativo que entienda, en primer lugar, la digitalización como una necesidad de existencia de su organización y así  disponga los medios necesarios para llevarla a cabo; en segundo lugar, que la digitalización no es un tema tecnológico, es un asunto del negocio; y en tercer lugar, que la transformación digital lleva asociado un cambio en la manera de llevar el negocio, y por tanto, un cambio organizativo y de cultura de empresa.

Si la empresa dejara de existir, ya no habría que preocuparse de las ciberamenazas. 

Esto lo han entendido muy bien organizaciones como el Banco Santander, el cual recientemente a nombrado a Larry Summers como presidente del "Consejo Asesor Internacional" del Banco, una de cuyas misiones será la de acelerar la transformación tecnológica de la entidad. Dicho comité  contará  entre sus miembros con Majorie Scardino, consejera de Twitter y exconsejera delegada de Pearson; Franck D'Souza, consejero delegado de Cognizant y miembro del consejo de administración de General Electric; Charles Phillips, consejero delegado de Infor, exdirector general y miembro del consejo de Oracle; Mike Rhodin, director general de IBM Watson; George Kurt, consejero delegado y cofundador de CrowdStrike y James Whitehurst, director general y consejero delegado de Red Hat.[iii] 

Según el informe que encabeza el artículo, entre las 100 mayores compañías en el mundo por capitalización, las dos primeras son tecnológicas -Apple y Google- y la quinta -Microsoft- también. Las compañías tecnológicas han entrando en sectores, en principio alejados de las TI, como la automoción -Alphabet, concretamente, GoogleX, o Tesla-; o la energía solar -Tesla-; o el periodismo, -Amazon compró "The Washington Post"; o supermercados en línea -Amazón, que también ha abierto una librería física en Seattle llamada "Amazon Books"-.

Dichas compañías invaden sectores que nada tienen que ver con la tecnología, pero que aprovechan el conocimiento sobre la explotación de dicha tecnología como motor de negocio para dar ese salto.

Por tanto, el primer riesgo asociado a la tecnología es precisamente el no utilizar la tecnología como impulsor del desarrollo del negocio, que se traduce en el riesgo de desaparecer.

Teniendo clara dicha necesidad del uso de las TI, es el órgano de gobierno el que debe, por una parte, dictar las normas de como usar las TI, y por otro, supervisar que dichas normas se cumplan. Esto no es más que Gobierno Corporativo, particularizado para las TI, o GCTI.

Las ciberamenazas es claro que son una realidad como diariamente nos lo recuerdan distintos medios. Pero enfrentarse a la ciberseguridad o la seguridad de TI en general, dado que  éstas ya están -o deberían- embebidas en los procesos de la empresa, debe hacerse desde una administración de los riesgos.

Las TI suponen un elemento nuevo dentro del negocio y forman ya, explícita o implícitamente, parte indisoluble de él. Los riesgos de TI, por tanto, deben formar parte de la política general de riesgos de la empresa. Dentro de las normas que define el órgano de gobierno estaría fijar el equilibrio idóneo para la organización entre rentabilidad y seguridad. 

"El GCTI es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el porqu , el para qu  y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso."

Del "Manifiesto de iTTi sobre GCTI"[iv]

Los CXO's son los que deben ejecutar la estrategia del órgano de gobierno. Concretamente, deben tomar las medidas oportunas para evitar las consecuencias no deseadas del uso de las TI, dentro del equilibrio fijado por dicho órgano entre rentabilidad y seguridad, y las normas dictadas para este fin.

Pero antes deben estar definidas dichas normas y para ello tiene que haber un adecuado GCTI. 

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 22/09/2016. Ref: Magazcitum/Opinión, año 7, nº2, 2016. "¿Riesgos operacionales o estratégicos?" - María José de la Calle.  

------------------------------------

[i] http://www.pwc.es/es/publicaciones/auditoria/assets/global-top-100-march-2015.pdf 

[ii] NC State and protiviti (2016). Executive Perspectives on Top Risks for 2016. http://www.protiviti.com/en-US/Documents/Surveys/NC-State-Protiviti-Survey-Top-Risks-2016.pdf

[iii] http://www.elconfidencial.com/empresas/2016-03-18/botin-encarga-elfuturo-digital-del-santander-a-larry-summers-mano-derecha-de-clinton_1170732/  

[iv] http://es.slideshare.net/iTTi_news/el-manifiesto-itti 

 

Diversidad digital

Thursday, 07 July 2016 iTTi, Innovation & Technology Trends Institute Posted in Corporate Governance of IT

Los asuntos relacionados con la composición de los consejos de administración son un clásico como temas de estudio y análisis dentro de la disciplina del gobierno corporativo. La participación, o no, de ejecutivos de la empresa en el consejo; su presencia equilibrada, en número (con respecto al resto de consejeros); la separación, o no, entre la figura del presidente del consejo de administración y la del consejero delegado; etc., son ejemplos del habitual debate en esa materia.

A ellos se ha sumado en los últimos años uno particularmente polémico -al menos, en algunos ámbitos-: el de la menor -escasa- presencia de mujeres en dichos consejos.

* *

Una búsqueda en Google de la cadena “Women on Boards” (Mujeres en los Consejos) puede arrojar, fácilmente, un resultado de millones de entradas [239.000.000, en la consulta que hemos lanzado al tiempo que escribíamos estas líneas], que, en todo caso, se traducen en la multitud de páginas y portales de Internet desde los que, bajo esa consigna, se aboga por elevar el porcentaje de participación femenina en los consejos de administración (WomenOnBoards.net, WomenOnBoards.org.mv, WomenOnBoardsKenya.co.ke, WomenOnBoard.be, CatalystWomenOnBoard.org, Get-Women-On-Board.eu, WOB.org.nz, 2020WOB.com, European.EWOB-network.eu, WomenCorporateDirectors.com, OnBoardNow.org, son sólo algunos ejemplos). 

* *

A pesar de las corrientes legislativas -y de otra naturaleza (códigos de autorregulación, recomendaciones varias, etc.)- que, en fechas recientes, se han venido viendo en los países del hemisferio occidental a favor de la diversidad de género en los consejos de administración y otros órganos de gobierno -algunos consejos de ministros han hecho bandera de esta noble causa-, las cifras de participación de mujeres en las estructuras corporativas aún se revelan alejadas de la paridad [i].

* *

Sin embargo, este agitado panorama que parece envolver la discusión sobre la composición de los consejos de administración no quedaría, hoy, completo sin incluir otro nuevo elemento de debate: la necesidad de dotarlos, también, de una cierta diversidad digital.

“Lo digital” ha impregnado la Sociedad, por completo, en todos sus ámbitos; y continuará haciéndolo[ii]. De ahí que el momento actual no ofrezca cabida a consejos “monocolor”, al sentido clásico; esto es, consejos en los que haya homogeneidad en la carencia de competencias digitales entre sus miembros. Consecuentemente, la incorporación de sabiduría digital se hace incuestionable y urgente. 

* *

Como en el caso de la diversidad de género, elevar la cuota de participación de consejeros con antecedentes tecnológicos -cuota que, en el caso de muchas empresas, permanece a cero- no hará sino enriquecer a la organización. Así lo defiende el Prof. Peter Weill, Presidente del Centro para la Investigación de los Sistemas de Información (CISR, por sus siglas en inglés) de la Escuela de Dirección Sloan, del Instituto de Tecnología de Massachusetts, cuando declara que “la diversidad digital enriquece y favorece a las organizaciones por la complejidad actual, en plena oleada de la digitalización y de cambios en los modelos de negocio” [iii]. Y así lo están entendiendo un número cada vez mayor de compañías de sectores tradiciones que han comenzado a incorporar a sus consejos de administración a profesionales con bagaje tecnológico o en el sector tecnológico. Wal-Mart Stores Inc., con las incorporaciones de Marissa Mayer, primero, y Kevin Systrom, después, a su consejo; o The Walt Disney Company, con la de Jack Dorsey al suyo, han sido ejemplos pioneros.

Sin embargo -siempre ha de haber algún contrapeso; dejaría de llamarse debate, en otro caso-, desde el bufete neoyorquino Skadden, Arps, Slate, Meagher & Flom y Asociados, el socio Marc S. Gerber advierte de que “los consejos de administración necesitan permanecer sensibles ante el hecho de tener miembros con el conocimiento suficiente para formular las preguntas adecuadas y comprender las implicaciones de las respuestas, sin convertirse en un consejo ‘balcanizado’, constituido por numerosos expertos, que lo sean sólo en temas específicos” [iv]. Gerber añade, además, que “un consejo de administración de alto rendimiento [siempre] puede recurrir a cuantos consultores expertos y asesores necesite”. 

* *

¡Tal vez, una vez más, en el punto medio se encuentre el equilibrio!

En su caso particular, olvídese de cuotas y de si uno, dos, o más, consejeros “digitalizados” son suficientes; y trate de dotar a su órgano de gobierno de las competencias digitales necesarias, independientemente de que éstas provengan de la incorporación de savia nueva al consejo de administración o, simplemente, de una mayor interacción de los miembros de aquel con colectivos de jóvenes profesionales procedentes de las diferentes partes de la empresa, idea que compartimos y que también parece contarse entre las recomendaciones del citado Prof. Weill.

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 235, enero-marzo 2016. Referencia: Ref. Autoriz. NOVÁTICA 235, pg. 78 – "Diversidad digital" – Miguel García-Menéndez, Manuel Palao.  

--------------------------------------

[i] Foro Económico Mundial. “It’s official: companies with women on the board perform better”. 8 de diciembre de 2015. URL (a 2016-03-30):: https://www.weforum.org/agenda/2015/12/its-official-women-on-boards-boost-business/ 

[ii] iTTi. “El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información”. 30 de mayo de 2015. URL (a 2016-03-30):: http://es.slideshare.net/iTTi_news/el-manifiesto-itti 

[iii] Weill, Peter y Jennifer W. Christensen. “Resposibilities of the Board in a Digital Economy”. Seminario. 22 de octubre de 2015. URL (a 2016-03-30):: http://cisr.mit.edu/publications-and-tools/publication-search/boards-digital-disruption/ 

[iv] Gerber, Marc S. “US Corporate Governance: Have We Crossed the Rubicon?”. Skadden's 2016 Insights – Governance. Enero de 2016. URL (a 2016-03-30):: http://cisr.mit.edu/publications-and-tools/publication-search/boards-digital-disruption/ 

 

Cierre de ejercicio: Nombres propios

Thursday, 23 June 2016 iTTi, Innovation & Technology Trends Institute Posted in Corporate Governance of IT

Fieles a nuestra cita trimestral con Uds. y en respuesta a la amable invitación-petición realizada por los responsables de “Novática”, procedemos, a continuación, a realizar el “cierre del ejercicio” 2014 de ésta, [n|v]uestra Sección Técnica. 

Hace un año, en idénticas circunstancias, abogábamos  -seguimos haciéndolo-  por la consideración como “hechos relevantes”[i] de aquellos eventos relativos al uso que las organizaciones hacen de la Informática y sus disciplinas afines, susceptibles de influir, en mayor o menor medida, sobre las decisiones de inversión en las referidas organizaciones, que pudiesen estar barajando los diferentes interesados. Hoy hemos de confesar  -no sin lamentarlo-  que la incorporación de tales “hechos” a un registro específico o, incluso, al registro general custodiado por la CNMV[ii] no ha pasado de ser, simplemente, nuestro deseo. 

No obstante, adoptando una perspectiva más optimista, el ejercicio que ahora concluimos podría calificarse como aquel en el que ha comenzado a vislumbrarse una cierta conciencia tecnológica entre los líderes corporativos de nuestro entorno. Varios han sido los nombres propios que han alzado la voz este año mostrando, y reivindicando, una preocupación  -y, en casi todos los casos, ocupación-  por las Tecnologías de la Información y su contribución (o, en su caso, consecuencias) para el progreso de sus respectivas organizaciones.

* *

Francisco González, Presidente del consejo de administración del banco español BBVA[iii], presentaba en Madrid, el pasado 29 de abril, el libro “C@mbio [Ch@nge]. 19 ensayos fundamentales sobre cómo Internet está cambiando nuestras vidas”[iv], reconociendo en Internet “el mayor agente de cambio de nuestra época”. 

En palabras de González “la sociedad ha cambiado: las personas [conectadas] están mejor informadas y son más exigentes, sus hábitos de consumo, sus preferencias, sus criterios de decisión son diferentes” y, por ello, “los bancos tienen que desarrollar un modelo de negocio adaptado al mundo digital y basado en el conocimiento […] para ofrecer a los clientes lo que quieren, cuando y como lo quieren”.

Asimismo, González aprovechaba la ocasión para acuñar una nuevo calificativo para el sector bancario: en su opinión “la industria financiera convencional se está convirtiendo en lo que yo llamo la industria BIT ([b]anca, [i]nformación y [t]ecnología)”, ajustándose, de ese modo, a la concepción de “la tecnología como una ventaja competitiva clave”, según reza en su presentación corporativa. Sobre dicha conversión hablaba José Olalla, CIO de Banca Digital de BBVA, durante su charla, ofrecida el pasado 25 de noviembre en las dependencias del Instituto de Empresa de Madrid, la segunda de una serie de conferencias dedicadas a presentar la “Transformación Digital en BBVA”. 

* *

Javier Monzón, Presidente del consejo de administración de la firma tecnológica española INDRA[v], optaba por la vía de las advertencias sobre las consecuencias [negativas] de las Tecnologías de la Información. Y lo hacía en el marco del desayuno de trabajo organizado por la Confederación Española de Directivos y Ejecutivos (CEDE)[vi] el 23 de septiembre pasado, bajo el título “Los retos de la sociedad digital: Ciberseguridad”[vii].

Durante su intervención, Monzón recordaba que “vivimos en un mundo de amenazas crecientes, cada vez más avanzadas, sofisticadas y complejas, y con un mayor impacto y frecuencia”. A pesar de ello, el Presidente de INDRA no evitaba referirse a las oportunidades que la transformación digital, y la propia ciberseguridad, ofrecen para la reindustrialización del país. 

* *

Julio Linares, Vicepresidente del consejo de administración de Telefónica[viii], protagonizaba, el 21 de octubre, el acto de presentación del Cuaderno de la Fundación CEDE “Revolución digital. Impacto de las nuevas tecnologías en el directivo”[ix]. 

Con la sesión se pretendía informar de las oportunidades, retos y, nuevamente, amenazas que las Tecnologías de la Información suponen para el desempeño de la función directiva y para las empresas. 

* *

Sin duda, los tres ejemplos expuestos merecen nuestro aplauso (aunque pudiera pensarse que en los dos últimos casos  -INDRA y Telefónica-  se deba a intereses por “explotar” lo digital). Lo merecen, muy especialmente, las iniciativas de CEDE. Iniciativas que bien podrían servir de ejemplo para otras entidades similares, como el IC-A[x], al que ya nos hemos venido refiriendo en estas páginas, por cuanto constituirían una excelente palanca para elevar este discurso de la contribución (y consecuencias) de las Tecnologías de la Información, acercándolo a los consejos de administración de las empresas de nuestro país.

Por otro lado, y en relación a esos mismos consejos, habría que señalar que las tres empresas citadas, BBVA, INDRA y Telefónica, pertenecen al índice IBEX-35 de las principales compañías cotizadas en España. Sin embargo, sólo una de las firmas que componen dicho índice  -nos referimos al Grupo Santander-  sigue marcando la diferencia al haber dotado a su consejo de administración, ya en tiempos del desaparecido Emilio Botín, de una comisión específica de Tecnología, Productividad y Calidad. Tal vez el resto aún no lo haya hecho porque no vean necesaria esa distinción entre los temas TI y los no TI, como defendió nuestro buen amigo Daniel Hernández Arroyo, Vicepresidente para Europa de Gobierno Corporativo y Control Interno de Barclays, durante la sesión de presentación de la última monografía de “Novática” dedicada al “Gobierno Corporativo de las TI”, que tuvo lugar en el Instituto de Empresa, en Madrid, el pasado 3 de noviembre. 

Confiemos en que, con una comisión específica dentro del consejo, o sin ella, la conciencia sobre la imparable ola digital se incremente entre nuestros consejeros. Permaneceremos atentos a la evolución de los acontecimientos durante el ejercicio que viene.

* *

Permítannos finalizar felicitando a “Novática” por su cuadragésimo aniversario, que celebra en estos días, y desearles a todos Uds. un exitoso año 2015, en lo profesional y, particularmente, en lo personal. 

¡Felicidades!

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 230, octubre-diciembre 2014. Referencia: Ref. Autoriz. NOVÁTICA 230, pg. 91 – "Cierre de ejercicio: Nombres propios" – Miguel García-Menéndez, Manuel Palao.  

---------------------------------

[i] Palao García-Suelto, Manolo; Miguel García Menéndez, “Hechos relevantes [2013]”. Novática, 225, pág. 70. ATI. URL [a 20141208]: http://www.ati.es/novatica/2013/225/Nv225-Digital-Reducido.pdf

También en http://www.ittrendsinstitute.org/perspectives/item/hechos-relevantes-2013 

[ii] Comisión Nacional del Mercado de Valores (CNMV) de España. URL [a 20141208]: http://www.cnmv.es

[iii] Grupo BBVA. URL [a 20141208]: http://www.grupobbva.com

[iv] Sala de Prensa de BBVA. “Se presenta ‘C@mbio. Cómo Internet está cambiando nuestras vidas’”. 29 de abril de 2014. URL [a 20141208]: http://prensa.bbva.com/actualidad/notas-de-prensa/francisco-gonzalez-los-bancos-tienen-que-desarrollar-un-modelo-de-negocio-adaptado-al-mundo-digital-y-basado-en-el-conocimiento__9882-22-c-108018__.html 

[v] INDRA. URL [a 20141208]: http://www.indracompany.com

[vi] CEDE, Confederación Española de Directivos y Ejecutivos. URL [a 20141208]: http://www.directivoscede.com

[vii] CEDE. “Nuevo Desayuno CEDE con Javier Monzón”. Desayunos de Trabajo. 23 de septiembre de 2014. URL [a 2014/09/26]:: http://www.directivoscede.com/es/actividades/desayunos-trabajo/nuevo-desayuno-cede-javier-monzon

[viii] Telefónica. URL [a 20141208]: http://www.telefonica.com

[ix] CEDE. “La Fundación CEDE presenta un nuevo Cuaderno sobre la Revolución Digital”. 21 de octubre de 2014. URL [a 20141208]:: http://www.directivoscede.com/es/noticias/cede/fundacion-cede-presenta-un-nuevo-cuaderno-sobre-revolucion-digital

[x] IC-A, Instituto de Consejeros-Administradores. URL [a 20141208]:: http://www.iconsejeros.com

 

Smart cities y GCTI

Wednesday, 22 June 2016 iTTi, Innovation & Technology Trends Institute Posted in Corporate Governance of IT

En iTTi prestamos atención preferente al gobierno corporativo de las tecnologías de la información por quien tiene, en las empresas y organismos, la obligación y potestad para ejercerlo; esto es, por quien tiene la responsabilidad última de decidir sobre la aplicación y uso de dichas tecnologías en el ámbito de la organización: el Órgano de Gobierno (Consejo de Ministros, Consistorio, Consejo de Administración, Patronato, Rectorado, …, según el caso).

Ese Órgano de Gobierno ha de ocuparse, además, de identificar a todos los ‘interesados’ (incluidas sus demandas y necesidades) y de proveer de forma justa y eficiente para su satisfacción. 

Eso  -que, naturalmente, está sujeto a diferentes principios, leyes/regulaciones y prácticas- se realiza mediante la persecución de tres grandes objetivos (potencialmente antagónicos, por lo que hay que lograr su equilibrio): 1) materializar los beneficios de las actuaciones (rentabilidad económica, en lo privado; o social de lo económico, en lo público); 2) optimizar el riesgo (tanto el derivado de lo que se hace, cuanto el de lo que se omite); y 3) optimizar los recursos. 

Sin embargo, en la práctica, no pocas de las referidas actuaciones han adolecido de un considerable desgobierno en lo relativo a la aplicación de las tecnologías, derivando en notables fiascos, públicos y privados. 

* *

La smart city (ciudad inteligente) es un concepto relativamente moderno y aún poco cristalizado; pero  -entre otras características-  creemos que todos los expertos coincidirían en incluir al menos: a) un uso intensivo de lo digital (con una dependencia globalizada de infraestructuras y servicios); y b) una alta concentración, diversidad, y poder de agentes y otros ‘interesados’ (con una amplísima superposición). 

Se dan, además, en el ámbito de la smart city, tres aspectos que, a nuestro parecer, merecen particular atención: 1) desequilibrio entre ‘tecnologías de las cosas’ y ‘tecnologías de las personas’; 2) amenazas a la privacidad; y 3) riesgos derivados de la alta integración no orgánica. 

1. Una notable mayoría de los sistemas de las grandes ciudades  -el paradigma es el manido ejemplo de la regulación del tráfico- pertenecen al dominio de la ‘tecnología de las cosas’, a la Internet de las Cosas (en este contexto urbano cabría señalar ‘de las Casas’); pero apreciamos un déficit en ‘tecnologías de las personas’: Administración-e, sanidad-e, educación-e, voto-e, mayor democracia participativa (que no asamblearia). Tal desequilibrio podría interpretarse como una carencia de equidad en la asignación de recursos tecnológicos y una excesiva delegación (cuando no dejación), por parte de los órganos de gobierno, en gestores técnicos (tecnólogos). 

2. El éxito  -al menos una parte-  de las ciudades inteligentes se basa en el análisis de los “Datos a lo Grande” (Big Data) que manejan lo que hoy son redes de propiedad privada como Uber (transporte urbano de viajeros), AirBnB (alojamientos), emisores de tarjetas de crédito, etc.

Los incuestionables beneficios en mejora de la calidad de vida que servicios como los citados aportan llevan asociados costes y riesgos poco divulgados e interiorizados: a) una seguridad cuestionable (“ciber-inseguridad” la llama el colombiano Prof. J. Cano); b) un riesgo creciente de deterioro de la intimidad, al que todos contribuimos pasivamente en nuestra interacción digital, y otros muchos activa y obsesivamente; c) en lo colectivo, un riesgo de ser regulados, en todo o en parte, por un Gran Hermano; y d) la creciente erosión de la confianza digital [i]. 

3. La ‘inteligencia’ (smartness) de las smart cities se basa principalmente en la integración de sistemas en red. Tanto más eficaz cuanto mayor sean la integración, la interconexión,  la centralización de las decisiones [gobierno] (aunque sean automáticas) y el tamaño [ii]. 

Pero ese crecimiento de las utilidades exponencialmente con el tamaño lleva parejo un crecimiento igualmente exponencial (a igualdad de medidas convencionales de seguridad) del impacto de una violación. Algo que sólo es contrarrestable en las etapas de especificación y diseño, creando sistemas modulares, cuasi-separables (bajo acoplamiento entre módulos) y degradables estratificadamente: sistemas muy ‘orgánicos’. Naturalmente, en las megalópolis  -crecientes en número y dimensión-  esta cuestión es vital. 

* *

Esos son [algunos de] los retos a los que, sin duda, hubo de enfrentarse la que es hoy la sociedad más digitalmente preparada del globo, según acaba de señalar el Foro Económico Mundial en su recién publicado informe “Global Information Technology Report 2015”. Hablamos de Singapur, la pequeña isla-ciudad, conocida como uno de los “cuatro dragones”, junto a Corea del Sur, Hong Kong y Taiwán, en honor al desarrollo industrial que todas ellas han alcanzado en las últimas décadas.

En el caso de Singapur, que celebrará este verano de 2015 su cincuenta aniversario como estado soberano, quienes tomaron la decisión de adoptar las tecnologías de la información como palanca para el crecimiento de la ciudad y convertirla en lo que tecnológicamente es hoy, lo hicieron en 1981, cuando el país tenía apenas quince años de vida. En aquel momento, el lugar, un pequeño territorio insular sin apenas recursos naturales, no contaba más que con la capacidad individual de sus nacionales como herramienta para crear riqueza. Tal vez por eso se adoptó una visión a muy largo plazo: ¡treinta años!

El mencionado 1981 fue el año del lanzamiento del primero de una serie de programas de digitalización que llegarían hasta la presente década: Programa de Informatización del Servicio Civil (1981); Plan Informático Nacional (1986); Programa Informática 2000 (1992); Programa Singapur UNO (1998); y el Plan Maestro Infocomm 21 (2000-2010).

El camino ha sido largo; pero, con toda seguridad, ha merecido la pena. Singapur no sólo ocupa el primer puesto entre las sociedades más “conectadas”; sino que, además, es el noveno país del mundo en el índice global de innovación del Foro Económico Mundial, el segundo en su índice de infraestructuras y el segundo, también, en el de educación.

Todo ello la convierte en la segunda economía más competitiva del mundo, sólo por detrás de la Suiza (según el FEM); lo que confirma que la construcción de una ciudad inteligente trasciende los aspectos meramente tecnológicos para adentrarse en el impacto global que la aplicación y uso de dicha tecnología tiene sobre las vidas de las personas que la habitan.

¡Excelentes decisiones y mejor aún (visionario) órgano de gobierno! ¡Envidiable!

* * *

Este artículo se publicó originalmente por la Asociación para el Progreso de la Dirección (APD). Revista APD, nº 307, págs. 42-44, abril de 2015. “’Smart cities’ y gobierno corporativo de las tecnologías de la información”. Manolo Palao y Miguel García-Menéndez.

------------------------------------

[i] “La Global Commission on Internet Governance  (GCIG) ha publicado este mes de abril "Toward a Social Compact for Digital Privacy and Security", un importante documento de 29 páginas que —al considerar necesario restaurar la perjudicial erosión de confianza a que ha conducido la falta de un amplio acuerdo social sobre normas que regulen la privacidad y seguridad digitales— propone que todas las partes interesadas colaboren en la adopción de normas para un comportamiento responsable en el uso de Internet”.

URL:: http://www.ittrendsinstitute.org/perspectives/item/nuevo-contrato-seguridad-digital 

URL::http://www.chathamhouse.org/sites/files/chathamhouse/field/field_document/20150415GCIG2.pdf 

[ii] “Network externalities are defined as the increasing utility that a user derives from consumption of a product as the number of other users who consume the same product increases (Katz and Shapiro 1985). For example, the more people there are in a telephone network, the more users can be reached on the network, thereby increasing its usability. Fax machines, broadcast industry services, credit card networks, and computer hardware and software are examples of products exhibiting network externalities.”  McGee, J.; Thomas, H.; Wilson, D: Strategy. Analysis & Practice.  Mc Graw-Hill. 2005.  p.465. 

 

Un 2025 sin un mejor GCTI

Tuesday, 05 January 2016 Manolo Palao Posted in Corporate Governance of IT

Pretendo, bajo tan largo título, amparar unas líneas de reflexión personal sobre lo que en él se apunta, que son dos cosas.

Por una parte, imaginar un posible escenario 2025, sin que se haya producido una mejora generalizada del gobierno corporativo (GC) de las tecnologías de la información (TI).

Por otra, vaticinar que no parece previsible que tal mejora generalizada vaya a tener lugar entre nosotros, dada la ausencia o debilidad de vectores conducentes a mejoras sistemáticas.

* *

El GCTI es el proceso por el que el órgano de gobierno (OG) de una organización -consejo de administración, patronato, junta directiva...-:

1) establece la dirección (alineación, sincronía, objetivos, política, estrategia y grandes características) del uso de las tecnologías;

2) supervisa dicho uso;

todo ello al servicio de los objetivos, políticas y estrategias corporativas. El GCTI es, naturalmente, sólo un subconjunto -mejor, una “vista”- del GC.

Los objetivos, políticas y estrategias corporativas los fija el OG mediante la adopción (u omisión) de “decisiones políticas”, que deberían basarse en haber, previamente:

1) investigado e interpretado los cambiantes intereses y necesidades de los stakeholders  –las partes interesadas [i].

2) analizado los cambiantes factores externos (mercado, competencia, política, regulación, tecnología); y

3) analizado también los factores internos (cultura, estructura, recursos, procedi- mientos, madurez); éstos, más lentamente cambiantes.

Hoy día, nadie que viva en una sociedad desarrollada o en desarrollo puede ignorar que estamos viviendo una “revolución digital” (RD), con gran impacto en la sociedad, el mercado, la empresa y nuestras familias y personas. Tan amplia y profunda es esa RD que no considerarla debidamente, en los tres procesos del párrafo anterior, sería una omisión, por los administradores, de su deber de ejercer la diligencia debida[ii]. 

* *

El buen GC (y el de TI, que nos ocupa) produce dos grandes categorías de resultados: conformidad y “performancia”[iii]. “Performancia”: funcionamiento, rendimiento, desempeño, según el contexto.

La conformidad es el proceso -soportado por el control interno- y el resultado de que los actos y productos de la entidad sean conformes a: 1) las leyes; 2) los reglamentos y otras regulaciones; 3) la política y objetivos corporativos; 4) las normas externas de adopción voluntaria (ej.: ISO 9001); y 5) los contratos suscritos.

La “performancia”, a su vez, tiene tres grandes dimensiones: 1) la obtención de resultados (beneficios, servicio —según la naturaleza y objetivos de la entidad); 2) la optimización de los riesgos; y 3) la optimización de los recursos. La palabra “optimización” aquí no debe entenderse en el sentido matemático analítico, sino en el sentido de “satisfactorio” -sujeto a restricciones- propuesto por H. Simon.

La materialización de beneficios viene condicionada por la conformidad, y la optimización de riesgos, que conjuntamente reducen las contingencias; y por la optimización de recursos, sin la cual los beneficios potenciales no se alcanzarían plenamente.

Una faceta importante de la conformidad es la transparencia, la virtud por la que se comunica (o facilita la consulta de) la conformidad a terceros externos o internos. La transparencia fomenta la confianza y ésta mejora los resultados (imagen de marca, cuota de mercado, coste de la financiación).

La transparencia puede desbordar la conformidad, si por ejemplo se revela información no regulada por ninguna de las cinco causas que demandan conformidad, como he enumerado al definir ésta.

Entonces esa transparencia espontánea deviene una tercera gran dimensión del buen gobierno, junto con la conformidad y la performancia. Pero entonces, la transparencia ha de serlo sobre cuestiones de fondo, como el proceso de toma de decisiones [iv]. 

* * 

La RD, vertiginosa y explosiva, crece a mucho mayor ritmo que el buen GCTI, por rápido que este mejore. Pero esta rapidez de maduración del GCTI, en el mundo desarrollado y en España, parece baja, a juzgar por muy diversos indicadores. Si crece, lo hace en todo caso a órdenes de magnitud muy inferiores a los de la RD. Esto hace que la brecha O(RD) / O(GCTI), el ‘desgobierno TI’, ya históricamente grande, crezca aceleradamente.

“Por sus frutos los conoceréis”. La mera consulta de titulares de noticias generales y especializadas, internacionales y nacionales me exime, creo, de referenciar aquí muchas de esas señales e indicadores de desgobierno TI. 

* *

¿Cuál será la situación ‘general’ del GCTI dentro de diez años?

La pregunta no admite una respuesta mínimamente ‘seria’, al menos en la extensión prevista de estas líneas. 

Si toda la tecnología es inevitablemente ‘socio-técnica’ (no cabe, por el momento, pensar en tecnología operando fuera del marco de una sociedad), los constituyentes del GCTI[v] son eminentemente más ‘sociales’ que ‘técnicos’: comunicación, cultura organizativa, estrategia, estructuras organizativas, intereses,  micropolítica, necesidades, normas, poder, políticas, procedimientos, relaciones principal-agente, valores…

Los constituyentes citados en el párrafo anterior son en su mayoría internos a la organización, que en todo caso está inmersa en un mar de otros factores externos: clima, competencia, cultura, demografía, legislación, mercado,  política, reguladores, sindicatos  y patronales…

Vemos que el GCTI ‘en general’ está regido por muy numerosas variables y sus relaciones, que —por su naturaleza o por nuestra ignorancia— tienen comportamientos estocásticos, impredecibles [vi] [vii]. 

Pero sí parece que se puede avanzar que —salvo que aparezcan ‘cisnes negros’ (maléficos o benéficos)— los niveles actuales de conformidad, transparencia y performancia, propuetos más arriba como resultados virtuosos del GCTI continuarán creciendo lentamente —con mero crecimiento vegetativo—; y también pero más rápido crecerán los errores, fallos y actos delictivos. 

En esas tasas de crecimiento —lentas en el caso de las mejoras, rápidas en el de las consecuencias negativas— sin duda han de influir combinaciones de fuerzas —intereses políticos y económicos, ideologías, tradiciones, posiciones de ventaja, etc.— muchas de ellas de gran potencia y arraigo[viii].

Es difícil hacer proyecciones. Pero Turing nos dejó la reflexión de que si bien tenemos una visibilidad muy reducida, podemos ver muchas cosas que han de hacerse [ix]. Voy a señalar unas pocas que me parecen importantes y glosarlas brevemente:

      - Composición de los consejos de administración 

      - Buen GCTI,  confianza, seguridad y ciberseguridad 

      - Conciencia activa ciudadana sobre seguridad, libertad e intimidad 

      - Cambio organizativo y cultural y proyectos de cambio

* *

Composición de los consejos de administración 

La edad, sexo y competencias digitales de los miembros de los consejos de administración vienen siendo objeto de estudio y debate, sin que se hayan producido (que yo conozca) muchos estudios profundos y conclusiones al respecto [x]. 

La edad media de los consejeros es elevada (sin que este término sea valorativo, es simplemente descriptivo); la media en España es de 60 años [xi] [xii]. En todo caso es una edad elevada en comparación con la de la fuerza de trabajo española, cuya ‘edad de jubilación’ es de 65 años, aunque se está estudiando subirla un par de años. 

El porcentaje de mujeres en los consejos es muy bajo [xiii], y de lento crecimiento (4% en los últimos 5 años)[xiv]. También en cargos de decisión, más en general, la mujer está infrarrepresentada [xv].   Esto contrasta con el —desde hace años alto y creciente— papel de la mujer en el mundo del trabajo [xvi]. Aunque persista una significativa brecha retributiva [xvii]. 

Los consejos se beneficiarían, a no dudarlo, del aumento de variedad en su seno [xviii] [xix]. Hace tiempo que se viene reconociendo la importancia de la(s) inteligencia(s) emocional(es)[xx] en el consejo [xxi] y aunque parece que hombres y mujeres no difieren mucho en tales inteligencias [xxii], no cabe duda de que la aportación femenina puede ser valiosa. 

Pero quizá el principal aspecto a comentar en relación a la composición del consejo y es el de los conocimientos y habilidades de sus miembros. Además de la importancia de la dimensión emocional, ya comentada, parecen necesarios ciertos conocimientos y competencias relacionadas con las TI. Aunque éstos no sustituyan a los primeros [xxiii].

Lamentablemente, la academia y la empresa no han sido capaces aún de cristalizar conjuntamente un conjunto de perfiles de conocimientos-habilidades que cubra el amplio campo de necesidades de profesiones TI y —por lo que a nuestro tema concierne— que alcance las funciones de gestión y de gobierno. Aunque, afortunadamente, existen algunos centros docentes y algunas certificaciones de prestigio, su generalización es insuficiente.

Algunos depositan una esperanza, a mi entender injustificada, en la natural evolución generacional, en la progresiva incorporación de las ‘generaciones digitales’. Dudo que haber sido destetado con un smart-phone, y el experimentar a diario, en el trabajo, el comercio y servicios y el ocio ‘vivencias digitales’ (las digital experiences) —por alta que sea la calidad de éstas—confiera globalmente a esas generaciones habilidad y competencia alguna en la producción, uso, gestión o gobierno de las TI. 

Ya han transcurrido varias generaciones ‘nativas automovilísticamente’, sin que se hayan observado habilidades y competencias ‘generalizadas’ en conducción segura, o mejora del tráfico urbano, por poner dos contraejemplos.

Creo pues que las mejoras en GCTI se irán produciendo por la incorporación a los consejos de personas de ambos sexos, que unan a los perfiles tradicionales otros, incluyendo conocimientos y experiencia técnicos en TI y en sistemas de información y sobre todo en su gestión y gobierno. Gestión y  gobierno que son muy distintos de la tecnología: siguiendo con el símil automovilístico, una cosa es saber fabricar o reparar automóviles, otra saber planificar una red viaria.  

Caben otros pronósticos y escenarios distintos a los de la incorporación de competencias mediante la incorporación de personas. En una cena reciente con la Prof. Valentine [xxiv], hablándole yo del borrador de este artículo, ella defendió su creencia de que en breve se verá una significativa incorporación de inteligencia artificial a los consejos, sobre este y otros temas. 

De forma independiente, mi colega en iTTi Mª  José de la Calle me ha enviado una nota en que propone  algo más avanzado: “otro posible escenario es que sobre el GCTI no tendrá sentido hablar cuando la tecnología impregne de tal modo la sociedad en general y las empresas en particular que se haga invisible y por tanto parte indivisible de todo, y si se gobierna lo que sea, vaya incluido”. Yo, la verdad, no lo veo en diez años. 

* *

Buen GCTI,  confianza, seguridad y ciberseguridad

Otras dos cuestiones merecen aquí un comentario. Me refiero a lo que considero usos inadecuados de los términos ‘confianza’ y ‘ciberseguridad’. En ambos casos, de forma general se incurre en cambios semánticos que pueden dificultar abordar y tratar los problemas adecuadamente. 

En el caso de la ‘confianza’, en la que se viene poniendo tanto énfasis[xxv], entiendo que el acento inicial no se  debiera poner en la confianza —que es un juicio subjetivo— sino en la seguridad  (en el plano de lo real) y la certeza (en el plano de lo ideal). Reemplazar seguridad por confianza es una “metonimia”[xxvi]: tomar el efecto por la causa. ¡Mal vamos si tenemos mucha confianza pero poca seguridad y poca certeza!

En el caso de la ‘ciberseguridad’ se viene cayendo en una “sinécdoque”[xxvii]: tomar el todo por la parte. Tanta insistencia en un aspecto crítico, pero parcial, de la seguridad puede distraernos (nos está distrayendo) de la jerarquía buen gobierno ---> seguridad ---> seguridad de la información ---> seguridad de las TI ---> ciberseguridad. 

La reiterada insistencia en ‘confianza’ y en ‘ciberseguridad’[xxviii] augura un debilitamiento del GCTI y de la seguridad. 

* *

Conciencia activa ciudadana sobre seguridad, libertad e intimidad 

Por una parte, la preocupación por las amenazas y riesgos informáticos (fraude, jaqueo, ciber-ataques, ciber-guerra) crece en las administraciones públicas, las empresas medianas y grandes y entre los profesionales. 

Por otra, mientras tanto, la masa de usuarios (adultos, jóvenes y niños) vive generalmente seducida por el consumismo digital que permite y facilita una enorme gama de servicios, muchos gratis o muy baratos que nos hace olvidar que ‘no hay almuerzo gratis’ y que ‘si no pagas, no eres el cliente, sino la mercancía’[xxix] [xxx]. Esto no niega los muchos beneficios derivados de las redes. 

Todo hace prever que, en los próximos años, el poder y la influencia de las grandes redes reforzará su posición monopolística u oligopolística [xxxi] y que los usuarios estarán más exhaustivamente analizados y manipulados, reduciéndose aún más su libre albedrío [xxxii].

La seducción de muchas redes, servicios y apps (y la vertiginosa difusión de las modas –los selfies—, p. ej.) se sobrepone a las precauciones de seguridad y de recato elementales y han conseguido, en muchos casos,  reducir la ‘ingeniería social’ a meras consultas a Internet.

Aparte de la cuantiosa información que voluntaria o inconscientemente vertemos cada minuto a las redes –‘y minuto’ no es una exageración, si llevamos el móvil en el bolsillo—,  está toda la información que nos capturan hackers y agencias de seguridad, éstas en gran medida usando los datos que vertemos (Tweet, Facebook, YouTube…) y los metadatos que genera nuestra actividad digital cotidiana. No parece que esa vigilancia vaya a disminuir, pese a las revelaciones de diversos whistleblowers (Chelsea Manning, WikiLeaks, Anonimous…). 

* *

Cambio organizativo y cultural y proyectos de cambio 

Si el GCTI fuera a mejorar en el futuro, habría que confiar en que ello se debiera —al menos en buena parte— no a cambios espontáneos, ‘brownianos’, sino a proyectos de mejora.

Sin embargo, pese a lo que se ha avanzado en gestión de proyectos (piénsese en el PMBOK), los grandes proyectos de cambio organizativo y cultural en las organizaciones presentan un descorazonador registro histórico: en los últimos 18 años, la tasa de fracasos de grandes proyectos de cambio ha seguido manteniéndose en torno al 70% (sí, setenta por ciento de tasa de fracasos)[xxxiii]  [xxxiv].

* *

Conclusión

En conclusión, pocos cambios a la vista.

Como nota de esperanza piénsese en los paradigmas darwinista y schumpeteriano [xxxv]: ‘supervivencia del mejor adaptado’ y ‘destrucción creativa’. Con todo lo mucho que tiene de mejorable, no podemos quejarnos de a dónde se ha llegado. Probablemente las organizaciones con mejor GCTI tienen los mejores billetes para el futuro.

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 234, octubre-diciembre 2015. Referencia: NOVÁTICA-234, "Año 2025: El futuro de la Informática", pg. 40 – "Un 2025 sin un mejor gobierno corporativo de las tecnologías de la información" – Manuel Palao.   

-----------------------------------

[i]  Las que afectan o se sienten afectadas por la actividad de la entidad. “2.15. stakeholder. person or organization that can affect, be affected by, or perceive themselves to be affected by a decision or activity”. ISO 31000:2009. Risk management - Principles and guidelines. 

[ii] Como establece el sudafricano Código King III de 2009, enmendado en 2012, <http://www.iodsa.co.za/?kingIII>, del que podría inspirarse nuestra CNMV y como reconoce alguna sentencia en España. 

[iii] Conformance and Performance. Vid. https://www.google.es/#q=conformance+performance 

[iv] Creo que las siguientes palabras del Prof. Han bien pueden ser extrapoladas del mundo de la política al de la empresa. “La transparencia que hoy se exige de los políticos es todo menos una reivindicación política. No se exige transparencia frente a los procesos políticos de decisión, por los que no se interesa ningún consumidor. El imperativo de la transparencia sirve sobre todo para desnudar a los políticos, para desenmascararlos, para convertirlos en objeto de escándalo”. B-C. Han. Psychopolitik: Neoliberalismus und die neuen Machttechniken. Frankfurt. S. Fischer Verlag, 2014, ISBN 978-3100022035. Versión española: 2014) Psicopolítica. Barcelona. Herder Editorial. ISBN 978-84-254-3368-9, pp. 23-24 . 

[v] Lo que COBIT 5 ha denominado sus enablers (componentes constructivos, habilitadores. No “catalizadores”, que es la perversa traducción que se le ha dado en versiones al español) pertenecen a 7 clases: 1. Principios, políticas y Marcos de Referencia; 2. Procesos; 3. Estructuras organizativas; 4. Cultura, ética y conducta; 5. Información; 6. Servicios, infraestructura y aplicaciones; 7. Personas, habilidades y competencias. Vid. ISACA. (2012). COBIT 5. A Business Framework for the Governance and Management of Enterprise IT. ISACA. Rolling Meadows. Illinois. p. 27. Hay versión española. 

[vi] Losprocesos estocásticos son impredecibles por no deterministas; más aún que los caóticos, que al ser deterministas, permiten algunas inferencias.

[vii] “Stochastic social science theory is similar to systems theory in that events are interactions of systems, although with a marked emphasis on unconscious processes. The event creates its own conditions of possibility, rendering it unpredictable if simply for the number of variables involved”.  <https://en.wikipedia.org/wiki/Stochastic#Social_sciences >. [a 11-10-2015].

[viii] “Tras ocho años de crisis, la banca no ha corregido los graves defectos de fondo del sector bancario. Pese a las enormes ayudas públicas que ha recibido una parte de la banca, el dinero prestado a tipos casi cero por el Banco Central Europeo (BCE), los avales del Estado y las enormes provisiones que han hecho las entidades para sanear sus balances, aún hay malas prácticas. Según la presidenta de la supervisión bancaria del BCE, Danièle Nouy, “todos los días surgen nuevas evidencias de una mala conducta profesional de los institutos de crédito”.

“El BCE dice que detecta malas prácticas bancarias a diario”. El País, 23-11-2015. <http://economia.elpais.com/economia/2015/11/23/actualidad/1448298820_320916.htm l>. [a 23-11-2015]. 

[ix] “We can only see a short distance ahead, but we can see plenty there that needs to be done”. A.M.Turing (octubre 1950), “Computing Machinery and Intelligence”, Mind LIX (236): 433–460, DOI:10.1093/mind/LIX.236.433,ISSN 0026-4423. http://mind.oxfordjournals.org/content/LIX/236/433 [a 11-10-2015].

[x] Una excepción puede ser la tesis doctoral y otros trabajos de la Prof. Elizabeth Valentine. Ver nota 25. 

[xi] La edad media de los consejeros en las compañías españolas es de 60 años. La razón de que sean de los más veteranos en el panorama internacional puede deberse a que el 76% de las compañías no tiene establecida una edad de retiro para estos expertos que se sientan en los consejos de administración (órganos administrativos de las sociedades mercantiles). El 24% restante la estipula entre los 65 y los 80 años. En los países anglosajones existe una tendencia generalizada a que la edad de retiro de los consejeros externos no exceda los 70 años”. 

Mateos, M. (13-11- 2015). “Los consejeros españoles son los mejor pagados de Europa”. Expansión. <http://www.expansion.com/emprendedoresempleo/desarrollocarrera/2015/11/12/5644d653e2704edc2f8b45c8.html> [a 26-11-2015]. 

[xii] La edad media de los consejeros en las compañías españolas analizadas es de 60 años”.  Spencer Stuar t. (2015). Índice spencerstuart de Consejos de Administración 2015. 19a Edición. p. 41. <https://www.spencerstuart.com/research-and-insight/spain-board-index-2015> [a 26-11-2015]. 

[xiii] El total de consejeras es de 142 y supone el 14% del total de los miembros de todos los Con- sejos [de 95 compañías cotizadas en el mercado español de las cuales 34 son del IBEX] frente a 2013 en que había 133 consejeras representando el 13%”. Fuente: Nota 10, p. 34. 

[xiv] Tal lentitud no debiera sorprender, aunque sí preocupar. El sufragio femenino se comenzó a conquistar en los países “occidentales” a finales del s. XIX, y se fue generalizando en el primer tercio del siglo XX. En España lo reconoció la Constitución de 1931, aunque estuvo suprimido durante un cuarto de siglo en la dictadura franquista. ¡Andorra lo reconoció en 1970 y Suiza en 1971! < https://es.wikipedia.org/wiki/Sufragio_femenino > [a 19-11-2015]. 

[xv] “...[L]a participación de las mujeres en cargos de decisión es también de las más bajas entre los países desarrollados”. El País. Editorial. (22-11- 2015).<http://elpais.com/elpais/2015/11/20/opinion/1448049355_745816.html> [a 21-11-2015]. 

[xvi] “Un índice elaborado por The Economist sitúa a España en el octavo lugar entre los países de la OCDE, destacando la presencia de mujeres en la universidad, el número de parlamentarias o la duración de los permisos de maternidad. A pesar de que la percepción general es que España no destaca en términos de igualdad, las cifras no dejan ni mucho menos mal a nuestro país en este campo. Según un índice elaborado por el semanario The Economist, la presencia de las mujeres españolas en el mercado laboral está entre las más destacadas entre los países de la OCDE. En concreto, en el puesto número 8, por detrás de Dinamarca y al mismo nivel que Bélgica, en un ranking que lideran los países escandinavos, Finlandia, Noruega y Suecia”. Economía Digital. (25-11-2015). “Las trabajadoras españolas, cerca de romper el techo de cristal de la desigualdad”. 

ED Empresas. <http://www.economiadigital.es/es/notices/2015/11/las-trabajadoras-espanolas-cerca-de-romper-el-techo-de-cristal-de-la-desigualdad-79614.php> [a 25-11-2015].

[xvii] Los hombres acaparan el 82% de los sueldos más altos, según Hacienda”. Miguel Jiménez. (19 NOV 2015). El País. <http://economia.elpais.com/economia/2015/11/18/actualidad/1447872182_528635.html> [a 25-11-2015].

[xviii] Martín Caparrós. “Siri, esa mujer”. El País Semanal. 1 dic. 2015. <http://elpais.com/elpais/2015/11/30/eps/1448901382_841637.html>. [a 1-12-2015]. 

[xix] Page, S. E.(2007).The Difference: How the Power of Diversity Creates Better Groups, Firms, Schools, and Societies. Princeton University Press. ISBN-13: 978-0691138541 ISBN-10: 0691138540. 

[xx] Morales, R. (3 de Marzo 2008). “Las mujeres aportan experiencias diferentes a los consejos de administración”. Tendencias 21. http://www.tendencias21.net/Las-mujeres-aportan-experiencias-diferentes-a-los-consejos-de-administracion_a2111.html. [a 25-11-2015]

[xxi] NACD. National Association of Corporate Directors. (2010). https://www.nacdonline.org/Resources/RSSDetail.cfm?RSSID=21165. [a 26-11-2015]

[xxii] " The report states that corporate success comes not from boards of directors subscribing conscientiously to the codes, but on having a board that is prepared to challenge management, a chairman with a high level of emotional intelligence, ...". McRitchie, J. (June 4, 2012). "Emotional Intelligence". Corporate Governance.

http://www.corpgov.net/2012/06/emotional-intelligence/. [a 26-11-2015] 

[xxiii] Goleman, D. ( Apr 29, 2011). "The Brain and Emotional Intelligence. Are Women More Emotionally Intelligent Than Men?".  Psychology Today.  https://www.psychologytoday.com/blog/the-brain-and-emotional-intelligence/201104/are-women-more-emotionally-intelligent-men. [a 26-11-2015]

[xxiv] “[P]eople without the emotional intelligence get leadership positions on technical and execution skills. Beyond a point, this results in failed leadership and causes damage to the organization”. Fuente: Nota 19.

[xxv] Elizabeth Valentine es una especialista en las competencias de los consejos de administración relativas a las TI y su gobierno. Junto con el Prof. Glenn Stewart, de la Queensland University of Technology (Australia) publicó el artículo “Gobierno empresarial de las tecnologías de aplicación a los negocios: una perspectiva detallada de tres aptitudes relativas a la gobernanza tecnológica para los consejos de administración”. Novática nº 229, julio-septiembre 2014, número monográfico sobre ‘Gobierno corporativo de las TI’. 

[xxvi] Por ejemplo, en el Foro Nacional para la Confianza Digital (FNCD): "El Foro Nacional de Confianza Digital (FNCD) es una iniciativa de cooperación industrial que se enmarca dentro del Plan de Confianza Digital." http://www.agendadigital.gob.es/FNCD/Paginas/que-es.aspx. [a 24-11-2015]

[xxvii] "... Un fenómeno de cambio semántico por el cual se designa una cosa o idea con el nombre de otra ...  Son casos frecuentes las relaciones semánticas del tipo causa-efecto...".  https://es.wikipedia.org/wiki/Metonimia. [a 17-10-2015]

[xxviii] "... Un tropo en el cual: ...Una parte de algo es usada para representar el todo". https://es.wikipedia.org/wiki/Sin%C3%A9cdoque. [a 17-10-2015]

[xxix] Microsoft CEO Satya Nadella: “The most pressing issue of our time is cyber security". Citado por Saran, C. (18 Nov 2015). "Microsoft CEO gets personal with IT security". computerweekly.com. http://www.computerweekly.com/news/4500257574/Microsoft-CEO-gets-personal-with-IT-security. [a 18-11-2015] 

[xxx] “There ain't  no such thing as a free lunch”.  https://en.wikipedia.org/wiki/There_ain't_no_such_thing_as_a_free_lunch  

“If you are not paying for it, you're not the customer; you're the product being sold” https://www.quora.com/Who-originally-suggested-that-if-youre-not-paying-for-the-product-you-are-the-product 

[xxxi] “When it was sold to Facebook for a billion dollars in 2012, Instagram employed only thirteen people … its value comes from the millions of users who contribute to their network without being paid for it”. Lanier, J. (2014). Who Owns the Future? Penguin Books. p XX. 

[xxxii] “For instance, Peter Thiel, founder of PayPal and foundational investor in Facebook, taught students in his Stanford course on startups to find a way to create ‘monopolies’”. ibíd. p. 54. 

[xxxiii] “La persona misma se positiviza en cosa, que es cuantificable, mensurable y controlable. Sin embargo, ninguna cosa es libre … El Big Data anuncia el fin de la persona y de la voluntad libre”. Vid. Nota 4, p. 26. 

[xxxiv] “Transformational-change initiatives have a dismal track record. In 1996, Harvard Business School Professor John Kotter claimed that nearly 70 percent of large-scale change programs didn’t meet their goals, , Boston, MA: Harvard Business School Press, 1996. and virtually every survey since has shown similar results.”   Hamel, G., Zanini, A. (23-10-2014). “Build a change platform, not a change program”.   Insights & Publications.. McKinsey.

http://www.mckinsey.com/Insights/Organization/Build_a_change_platform_not_a_change_program?cid=other-eml-alt-mip-mck-oth-1410. [a 19-11-2015]

[xxxv] McKinsey publica informes periódicos sobre este tema.

[xxxvi] La ‘destrucción creativa’. https://es.wikipedia.org/wiki/Destrucci%C3%B3n_creativa. [a 28-11-2015]

 

Confianza, seguridad y GCTI

Thursday, 07 January 2016 Maria Jose de la Calle Posted in iTTi Views

Del DRAE:

Confiar: Depositar en alguien, sin más seguridad que la buena fe y la opinión que de él se tiene, la hacienda, el secreto o cualquier otra cosa. 

Confianza: Esperanza firme que se tiene de alguien o algo. 

* *

“Privacy and security are important brand differentiators and companies need to move from a mindset of meeting compliance requirements to becoming a steward of consumer data.”  

[Del correo enviado por Craig Spiezle, Director y fundador de la "Online Trust Alliance" a la NIST el 1 de agosto de 2011]. 

Aunque esta cita ya tiene más de 4 años, el contenido del correo no ha perdido vigencia en absoluto. 

Las brechas de seguridad en todo tipo de organismos, tanto públicos como privados, compañías tecnológicas o de cualquier otro sector, y hasta en empresas dedicadas a desarrollar y vender herramientas de intrusión en los sistemas -como la empresa italiana Hacking Team[i] que en julio de este año -2015- sufrió un ataque divulgándose una gran cantidad de información de clientes-, están pasando a ser consideradas sucesos cotidianos. 

En el individuo esta cotidianidad podría tener, entre otros, dos efectos a cual más nocivo, consecuencias ambos de considerarlos irremediables, y como tales, rendirnos a su inevitabilidad. Uno de ellos sería  dejar de tomar medidas adecuadas para evitar la intrusión, otro sería dejar de utilizar los servicios proporcionados a través de la red, como consecuencia de la pérdida de confianza en los sistemas, y, por extensión, en las empresas que los proporcionan. 

El primer efecto causaría a nivel de dispositivo individual -de hecho está causando por negligencia o ignorancia- daños por virus con efectos de secuestro del contenido del ordenador, cifrándolo y solicitando dinero como rescate (ransomware); o uso por terceros de dispositivos sin permiso del propietario creando redes de ordenadores esclavos (botnets) utilizados posteriormente para actuaciones ilícitas, como por ejemplo ataques distribuidos de denegación de servicios (DDoS, Distribuited Denial of Service); o para entrar en una red de una empresa a través de un dispositivo móvil autenticado; o simplemente robo de información contenida en los dispositivos, importante para el individuo, para la empresa en la que este trabaje o para terceros relacionados con él.

El segundo efecto daría al traste con la digitalización del mercado y los servicios en particular, y de la sociedad de la información en general. 

La Global Commission on Internet Governance  (GCIG) publicó este pasado mes de abril "Toward a Social Compact for Digital Privacy and Security", de lo que se hizo eco iTTi[ii], un importante documento de 29 páginas que, al considerar necesario restaurar la confianza en el uso de internet, proponía que todas las partes interesadas colaboraran en la adopción de normas para un comportamiento responsable de dicho uso.  

Sin embargo, no es sólo cuestión de datos en línea. Hoy día, todos las organizaciones utilizan para su gestión tecnologías de la información aunque no sea en-línea, manejando datos sobre sus trabajadores, asociados, clientes, socios, proveedores, etc. así como los datos producto de la relación establecida con ellos. Y sus sistemas son susceptibles de ser atacados y que estos ataques tengan éxito. 

Por tanto, aunque no se utilicen directamente servicios en-línea, los datos que es necesario proporcionar a una entidad con la que se está estableciendo alguna relación o los datos producto de dicha relación -por ejemplo, los de una prueba médica- se van a almacenar probablemente en un sistema informático. Y este sistema informático es probablemente accesible desde la red. Como se indica en la cita que abre este artículo, "las empresas han de transformarse en administradores de datos" de los terceros con los que se relacionan.  

Los negocios y las instituciones dependen en gran medida de un bien intangible que se llama "marca". La marca de una empresa es como la reputación de las personas. Esta marca está ligada a la confianza -hipótesis que los demás hacen sobre la conducta futura de la empresa- que sepan transmitir. 

Según un estudio, realizado por el instituto Ponemon y publicado el 26/08/2015, para responder a la pregunta "what erodes trust in digital brands?"

- el 63% de los consumidores no confían en las web de compañías que han tenido brechas de seguridad;

- el 55% de los consumidores no confían en webs que no tienen salvaguardas para proteger la información personal;

- el 50% de los consumidores aún después de un año de una brecha de seguridad perciben negativamente una marca;  

- el 69% de los consumidores han dejado webs de compañías por problemas de seguridad.

Aunque este estudio se centra en las páginas web y la marca digital, casi todas las empresas han sufrido o están sufriendo una transformación digital, y tienen página web, a través de la cual ofrecen más o menos servicios y se comunican con sus clientes, siendo, en muchos casos, la página web la generadora -y mantenedora, junto con las redes sociales- de su marca, ya digital. 

Como consecuencia de todo lo anterior, un aspecto que ha entrado de lleno en la imagen de marca de una institución o empresa ha sido la seguridad de sus sistemas informáticos, ya que en ellos residen datos de terceros, y, por tanto, contractualmente o no, deben ser garantes de la seguridad de dichos datos, al haber sido cedidos en la confianza de una relación.  

Enlazando con las definiciones con las que se iniciaba este artículo, los datos se depositan y son confiados sin más que con la buena opinión que se tiene de la empresa -imagen de marca- y en la esperanza firme de que sean tratados adecuadamente para el fin para el que se ceden. 

La seguridad de la información ha pasado de ser un tema "de los informáticos" a ser un tema "de negocio". La posible pérdida o robo de información generados por la aplicación y uso de las tecnologías de la información, especialmente, del "siempre conectados" es un riesgo que ha de gestionarse adecuadamente dentro de la política de gestión de riesgos de la compañía en cuestión, y estar sobre la mesa de su órgano de gobierno. 

Entender la [ciber]estrategia es esencial, pero salvo honrosas excepciones, los temas de [ciber]seguridad -y los temas de TI en general- se tratan principalmente desde un punto de vista técnico, ignorando que sólo un enfoque estratégico puede preparar a las empresas para conseguir ventaja sobre los ciber-atacantes. El órgano de gobierno necesita preguntarse porqué es necesaria la [ciber]seguridad, qué caracteriza las distintas amenazas, cual es el riesgo derivado del uso de las TI, qué nivel de [ciber]seguridad se necesita para disponer de un sistema que funcione y con capacidad para recuperarse de un ataque -resiliencia-[iii]. En resumen, la estrategia para defender el valor y anticipar nuevos escenarios de amenazas. 

En realidad, la decisión de cómo se utilizan las tecnologías de la información y los riesgos asociados, o lo que se ha llamado "Gobierno Corporativo de las TI", debería formar parte de la agenda de dicho órgano de gobierno. En palabras de la Organización Internacional de Normalización (ISO, International Organization for Standardization), el Gobierno Corporativo es “el sistema mediante el cual se dirige y controla el uso actual y futuro de las TI. [...] ... y es un subconjunto del gobierno de la organización o del gobierno corporativo.”[iv] 

* *

En iTTi, prestamos atención preferente al gobierno corporativo de las tecnologías de la información por quien tiene, en las empresas y organismos, la obligación y potestad para ejercerlo; esto es, por quien tiene la responsabilidad última de decidir sobre la aplicación y uso de dichas tecnologías en el ámbito de la organización: el Órgano de Gobierno (Consejo de Ministros, Consistorio, Consejo de Administración, Patronato, Rectorado, …, según el caso).

Ese Órgano de Gobierno ha de ocuparse, además, de identificar a todos los ‘interesados’ (incluidos sus intereses y demandas).

* *

No nos vamos a quejar si las TI se sientan en el consejo aunque sea de la mano de la seguridad ... 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", dic-2015, nº 306, pg.57, Ciberseguridad – "Confianza, seguridad y CGTI" – María José de la Calle.  

-----------------------------------

[i] url [a 2015.10.04] http://politica.elpais.com/politica/2015/07/07/actualidad/1436284983_731864.html 

[ii] Palao, Manolo. "Hacia un nuevo contrato social sobre la privacidad y seguridad digitales", abril, 2015. url [a 2015.10.04]: http://www.ittrendsinstitute.org/perspectives/item/nuevo-contrato-seguridad-digital.  

[iii] url [a 2015.10.18]: https://blogs.mcafee.com/executive-perspectives/fighting-fire-fire-will-lead-us-dangerous-future/  

[iv] "ISO/IEC 38500:2015 applies to the governance of the organization's current and future use of IT including management processes and decisions related to the current and future use of IT. [...] ... defines the governance of IT as a subset or domain of organizational governance, or in the case of a corporation, corporate governance."

url [a 2015.10.23]: http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=62816  

 

¿Por qué algunos ejecutivos son los que motivan las malas prácticas en seguridad de la información?

Thursday, 24 December 2015 iTTi, Innovation & Technology Trends Institute Posted in IT Consequences

¿Qué es lo que ellos hacen diferente, que no es compatible con las prácticas de seguridad de la información? 

Introducción

Estas preguntas rondan con frecuencia los pensamientos de muchos ejecutivos de seguridad de la información. Inquietudes que pueden tener muchas interpretaciones y reflexiones como quiera que mucha de la apropiación de la práctica de seguridad de la información de una empresa, se lee desde el ejemplo de los miembros de la alta gerencia.

Si quisiéramos explicar un poco este comportamiento, que es el más reiterado y documentado en varios estudios, habría que ver un poco la dinámica de estos dirigentes, donde las actividades diarias asociadas con la atención de reuniones, las responsabilidades propias del cargo y la necesidad de agilidad en sus decisiones (para lo cual requieren acceso expedito a información, muchas veces privilegiada) establecen un referente básico de revisión y análisis de las prácticas de seguridad y control de estos directivos. 

Atender las reuniones

La agenda en general de los directivos de una empresa  está colmada de reuniones, para lo cual requieren información permanente, que le permita documentarse sobre el tema y tener una vista general para poder establecer alguna postura. En este ejercicio, interviene no solamente el ejecutivo, sino sus asistentes, los cuales ubican la información y preparan lo pertinente para efectos de documentar a su superior para la reunión.

Esta interacción delega de forma sutil en los asistentes la responsabilidad del manejo y control de la información, pues su papel fundamental no está en el control de los datos requeridos para tomar una decisión, sino en el uso que éste (el ejecutivo) le da para poder participar de las conversaciones previstas en los niveles adecuados de la organización. En este escenario, al recibir información (particularmente restringida o reservada) el ejecutivo no advierte o muchas veces ignora su nivel de sensibilidad, generando vectores de pérdida y/o fuga de información, que terminan con exposición de datos de forma no intencional. 

Considerando lo anterior, se hace necesario encontrar espacios de conversación con los directivos de las empresas, no para recordarles lo sensible de la información que manejan, sino los impactos que puede generar el inadecuado manejo de la información, los cuales afectan no solo la imagen de la empresa, sino que habla de las prácticas personales del ejecutivo sobre su tratamiento.

No obstante, para aquellos casos donde aun teniendo el conocimiento concreto del nivel de confidencialidad y la advertencia propia de los estándares corporativos sobre el particular, no se toman los recaudos del caso, deben aplicarse las consecuencias prevista en el contexto del gobierno corporativo, sobre el deber de cuidado propio de las juntas directivas y cuerpos de dirección, donde existe por definición indicaciones para temas específicos como el “silencio de oficio”. 

Responsabilidades del cargo

Generalmente cuando un ejecutivo es contratado por una organización, pocas veces recibe entrenamiento sobre los protocolos del tratamiento de la información de la empresa. Se deja a la buena intención e intuición del nuevo directivo la forma como debe tratarse los datos, que por ocasión de su cargo, va a tener acceso.

Sin perjuicio de lo anterior, las descripciones de cargo por lo general incluyen algunos elementos propios de la protección de la información, los cuales son algunas veces pasados por alto por los ejecutivos, concentrándose en aquellos temas medulares de su especialidad, donde particularmente esperan que genere valor para la empresa. Si bien esto puede ocurrir, no está de más que la empresa motive prácticas de seguridad y control que le recuerden a los directivos, el activo estratégico que tienen en sus manos; no solamente en formato físico, sino electrónico y de forma conversacional.

Cuando un ejecutivo asume su cargo, debe pensar no solamente en la responsabilidad que asumen al llegar a esa posición, sino lo que conlleva el tener acceso a la información y sus actuaciones tanto dentro como fuera de la empresa. 

Una conversación de ascensor, un documento en preparación ajustado en un aeropuerto, una pérdida de una tableta o un teléfono inteligente, dejan de ser situaciones aisladas y se convierten en verdaderos eventos que ponen en riesgo la imagen de la empresa, sin contar las posibles implicaciones jurídicas que se puedan presentar por el tipo de información que se puede exponer. 

Agilidad en las decisiones

La dinámica de los ejecutivos modernos los obliga a llevar una vida en movimiento, conectados y en permanente actualización. Una vida agitada claramente poco saludable como quiera que descuidan aspectos propios de su dieta y condiciones personales, temas que escapan al alcance de esta reflexión.

En este escenario, el tratamiento de la información se vuelve un elemento sensible de su actividad, particularmente aquella a la cual tiene acceso para participar de las decisiones propias de la empresa. Contar con mecanismos de seguridad instalados en sus dispositivos les puede generar, a algunos, contratiempos y demoras para acceder a aquello que necesitan; pero a otros, los motiva pues saben que tienen una forma para demostrar su cuidado y control en el eventual caso que se produzca una brecha de seguridad de la información.

Cualquiera sea la postura que asuma el directivo, deberá saber que él se constituye en garante de la información que recibe y maneja; esto es, una representación “casi legal” de la empresa, que le exige el máximo cuidado y control sobre un activo estratégico, donde la organización sabe que tiene un deber legal de cuidado y que el mismo, es transferido a sus ejecutivos cuando se comparte para adelantar las actividades del gobierno corporativo.

Reflexiones finales

Luego de revisar los tres elementos anteriores tenemos algunas pistas para tratar de responder las preguntas. Si las vemos desde los ejecutivos, la exigencia es que: 

los mecanismos de seguridad y control deben ser prácticamente “invisibles”, es decir no deben notarse, pues así es posible conjugar la agilidad que se requiere y la protección que se necesita. 

Si la vemos desde los oficiales de seguridad de la información, la respuesta es en

la concienciación de los ejecutivos sobre el tratamiento de la información y la forma como estos deben asegurar sus prácticas dentro y fuera de la empresa. 

Una vista que si bien se ajusta a las responsabilidades que estos oficiales tienen, se enfrenta a las necesidades particulares de los ejecutivos.

Conciliar estas dos posiciones, requiere necesariamente de un tercero que dirima y disponga de una declaración empresarial que ambos actores lean con claridad y acepten de conformidad. Si la decisión favorece a los ejecutivos y sus demandas, el área de seguridad de la información estará motivada a desarrollar cada día estrategias más automáticas, que necesariamente exigirán importantes inversiones tecnológicas. Si la decisión favorece al oficial de seguridad de la información, los ejecutivos deberán adoptar nuevas prácticas de protección que cambien sus hábitos y actitudes respecto del uso de la información, haciendo evidente las responsabilidades propias de su tratamiento.

Si la decisión no está en ninguno de los dos lados, sino que es una postura que toma lo mejor de ambos escenarios, se hace necesario que aquel que arbitra la problemática, 

Abra un espacio de conversación donde cada parte indique qué puede ceder y que no, para que se establezca una puente de comunicación donde se comparta, no solo la necesidad de agilidad y protección, sino el cambio de actitud y responsabilidad por el adecuado tratamiento de la información. 

Si bien este documento no busca agotar las consideraciones sobre las preguntas que motivaron esta reflexión, si quiere provocar conversaciones entre los interesados para continuar abriendo espacios donde confluyan los intereses tanto de los ejecutivos como de los oficiales de seguridad, que en últimas beneficien a la empresa como un todo. 

* * *

Jeimy Cano, PhD, CFE, es Director de la Revista "Sistemas" de la Asociación Colombiana de Ingenieros de Sistemas (ACIS). El Prof. Cano es, además, Analista Asociado de iTTi. 

Este artículo fue publicado inicialmente en el servicio Pulse de LinkedIn, el 10 de  diciembre de 2015, en la dirección https://www.linkedin.com/pulse/por-qué-algunos-ejecutivos-son-los-que-motivan-las-en-jeimy 

----------------------------------

Referencias 

International Chamber of Commerce (2003) Information security assurance for executives. Recuperado de: https://www.intgovforum.org/cms/documents/contributions/general-contribution/2009-1/329-information-security-executives/file 

Veracode (2015) Cyber-Related Corporate Liability is Top of Mind for Boards and Executives. Recuperado de: http://www.informationsecuritybuzz.com/study/cyber-related-corporate-liability-is-top-of-mind-for-boards-and-executives/ 

PricewaterhouseCoopers (2015) The Global State of Information Security® Survey 2016. Recuperado de: http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/key-findings.html 

Information Security Magazine (2011) Security Education: A Lesson Learned? Recuperado de: https://www.infosecurity-magazine.com/magazine-features/security-education-a-lesson-learned/ 

Monteleone, F. (2015) Effective information security governance: executive support a must. Recuperado de: http://www.dataprivacyandsecurityinsider.com/2015/07/effective-information-security-governance-executive-support-a-must/ 

 

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk