Estrategia y Objetivos

Si no tenemos los objetivos claros, no podremos definir una estrategia. Al igual que muchas personas no se marcan unos objetivos, existen departamentos de TI en grandes organizaciones que les come el día a día, apagando fuegos, que no se paran a pensar hacia dónde van y si lo que están haciendo está alineado con los objetivos que el Gobierno de TI les ha fijado. El problema crece cuando el propio Gobierno de TI no define unos planes estratégicos a largo plazo, entre tres y cinco años, que estén alineados y sean consistentes con las metas y objetivos de la organización, sino que quieren llegar a la meta cuanto antes, deprisa y corriendo.

Entre otras cosas, un plan estratégico de TI debería comparar el coste de mantenimiento de los sistemas existentes con el coste de nuevas iniciativas o sistemas que sustenten la estrategia del negocio. Todas las organizaciones cambian y evolucionan, por lo que hay valorar qué tengo y a dónde tengo que ir, ¿me sirve todo lo que tengo? ¿hay que comprar algo? ¿qué no necesito? ¿externalizo?

Si una de las opciones de la estrategia de TI es externalizar, es necesario evaluar qué servicios puedo externalizar y cuáles no, porque puede haber servicios que por su criticidad, confidencialidad y/o riesgo siempre es mejor no externalizarlo. No olvidemos que la principal ventaja de los entornos Cloud Computing es el pago por uso, y al igual que las organizaciones pagan por la electricidad, el gas o el agua, ahora tenemos la posibilidad de pagar por el uso de servicios de TI. Además, si finalmente se decide por externalizar un determinado servicio, debemos asegurarnos que las TI continúan alineadas con los objetivos del negocio, los sistemas son seguros y el riesgo está gestionado. Si esto es un reto en cualquier entorno, aún más complejo cuando se externaliza el servicio.

Independientemente de si se externaliza algún servicio o no, se debe analizar, gestionar y tratar los riesgos para no desviarnos de los objetivos marcados por el Gobierno de TI. Ante cualquier circunstancia o evento que pueda provocar daño a un recurso de información de la organización como destrucción o revelación/fuga de la información, modificación de datos y/o denegación de servicio, se debe tratar la amenaza para evitarla (eliminar el riesgo, eliminando la causa), mitigarla (reducir la probabilidad o impacto del riesgo definiendo, implementando y monitorizando los controles adecuados), transferirla (compartiendo el riesgo o transferirlo a un tercero) o aceptarla (aceptando el riesgo y monitorizándolo).

A veces la estrategia de TI es tan ambiciosa que requiere centros de proceso de datos redundados en diferentes ubicaciones geográficas proporcionando alta disponibilidad ante cualquier desastre. Sin embargo, a veces olvidamos que un buen plan de continuidad del negocio y recuperación de desastre debe cuidar también la reputación, la marca y la imagen de la organización, donde ante un incidente grave nadie debe dar explicaciones en público, excepto el portavoz, independientemente del rango en el que se encuentren. Tan solo hay que recordar la expresión “No ha pasado nada” del portavoz de Deloitte mientras se quemaban sus oficinas en el edificio Windsor, es un claro mensaje para intentar calmar la situación.

En definitiva, el Gobierno de TI debe agarrar el timón del barco y todos los departamentos de TI deben remar hacia la misma dirección para cumplir con los objetivos del negocio, de esta manera hemos presentado la importancia de tener en cuenta la gestión de riesgos, la externalización de servicios y esbozado la importancia de cuidar la reputación en los planes de continuidad y desastre del negocio.