Cinco riesgos de TI que deberían tener paranoicos a los CIO

Como líder de transformación digital y exCIO, llevo una dosis saludable de paranoia. Llámelo instinto de supervivencia: los riesgos que pueden impedir que una organización se mantenga fiel a su misión y cumpla sus objetivos deben salir a la luz constantemente, evaluarse y mitigarse o gestionarse.

¿Se está transformando la organización con suficiente rapidez? ¿Las partes interesadas tienen dificultades o están descontentas? ¿Están los equipos ágiles sobrecargados con demasiadas prioridades? Como pionero digital, gran parte de mi paranoia tiene que ver con problemas que podrían hacer descarrilar la transformación, pero son los riesgos operativos y de seguridad los que realmente me quitan el sueño.

Muchos de estos problemas entran en la categoría de amenazas externas, en la que los CIO deben invertir en las mejores prácticas de seguridad y establecer planes de supervisión y respuesta para hacer frente a los problemas en caso de que se materialicen. Aunque los riesgos de seguridad son desalentadores, los terapeutas nos recuerdan que debemos evitar estresarnos en exceso en áreas que escapan a nuestro control. Los CIO deben hacer todo lo posible para proteger a la organización e impulsar las inversiones y prácticas que minimicen los riesgos de seguridad.

Pero el riesgo operativo es harina de otro costal, y tener una dosis saludable de paranoia sobre lo que puede salir mal puede ser útil. Muchos riesgos operativos parecen benignos, pero pueden materializarse en un instante y poner al departamento de TI en modo de extinción de incendios. En muchos casos, plantearse suficientes preguntas del tipo “qué pasaría si…” y planificar una serie de escenarios puede ayudarle a diferenciar los riesgos operativos de bajo impacto de los de mayor envergadura a los que merece la pena dedicar recursos para minimizar o remediar.

Aunque muchos de los siguientes pueden parecer problemas operativos de bajo riesgo, con el tiempo, el crecimiento u otros cambios pueden volverse inmanejables. Los CIO deben centrarse en estos cinco riesgos y buscar soluciones antes de que se conviertan en problemas de impacto.

1. Deuda técnica creciente de los sistemas de misión crítica

Los CIO tienen buenas razones para preocuparse por el aumento de la deuda técnica y el impacto de dar soporte a los sistemas heredados más allá de sus fechas de fin de vida útil.

“Nunca desaproveches una crisis” es lo que los CIO sugieren a sus colegas cuando los problemas de otra organización aparecen en las noticias. Por ejemplo, el lanzamiento de FAFSA (por sus siglas en inglés), el nuevo programa estadounidense de Solicitud Gratuita de Ayuda Federal para Estudiantes, se retrasó un año, lo que causó estragos a muchos estudiantes universitarios que buscaban ayuda federal para la matrícula. Aunque muchos culparon al Congreso, y había problemas subyacentes en la gestión del programa, una de las causas principales es que el rediseño exigía revisar más de 20 sistemas, algunos de los cuales no se habían actualizado en casi 50 años.

Esto incluía sistemas que, desarrollados en Cobol, conectaban información privada de un “número vertiginoso de agencias”, razón por la cual la Oficina de Rendición de Cuentas del Gobierno en 2019 lo señaló como uno de los 10 sistemas más necesitados de modernización.

“Los sistemas de hardware heredados son un problema creciente que requiere una acción rápida”, dice Bill Murphy, director de seguridad y cumplimiento de LeanTaaS. “A medida que estos sistemas envejecen, los empresarios se enfrentan a dificultades para conseguir hardware de sustitución y contratar personal con las habilidades necesarias para el mantenimiento. Descuidar la deuda técnica a tiempo puede tener consecuencias catastróficas”.

Una cuestión que los CIO deben plantearse hoy es si las IA generadoras de código en el desarrollo de software están contribuyendo a la deuda técnica a nivel de código. Alternativamente, existe la oportunidad de utilizar copilotos de código o capacidades de IA generativa de low code para simplificar y reducir el código.

“Las empresas dependen en gran medida del software para la innovación y la competencia, que tiende a estar plagado de código de mala calidad, lo que conduce a una deuda técnica cada vez mayor“, dice Andrea Malagodi, CIO de Sonar. “La IA corre el riesgo de empeorar este problema al no priorizar la calidad porque, al igual que la producción humana, produce código que tiene problemas de seguridad, fiabilidad y mantenibilidad”.

Los CIO que se sientan sobre una deuda técnica creciente deben convertir la paranoia en planes de acción que comuniquen los problemas de hoy y los riesgos de mañana. Un enfoque consiste en definir y buscar el acuerdo de los no negociables con la junta directiva y el comité ejecutivo, esbozando los criterios de cuándo debe priorizarse la actualización de los sistemas heredados por encima de otros objetivos empresariales.

2. Estrés y agotamiento del equipo

El estrés y el agotamiento son problemas graves que deben preocupar a los CIO, tanto para sí mismos como para sus compañeros de equipo y colegas. Por ejemplo, en el 2024 CISO Burnout Report, el 80% de los CISO se clasifican a sí mismos como “muy estresados”, el 63% dicen que reciben poco o ningún apoyo en la gestión de sus funciones, y el 50% informan de la pérdida de miembros del equipo debido al estrés en el lugar de trabajo.

El estrés y el agotamiento en las funciones de seguridad son problemas conocidos debido a las horas dedicadas a estas funciones y la intensa presión para recuperarse de los problemas de seguridad al tiempo que se minimiza el impacto en el negocio. Pero las funciones de desarrollo de operaciones también son estresantes cuando los equipos sienten la presión de ofrecer capacidades, resolver defectos y mantenerse al día con las últimas tecnologías.

Ahora, añada datos, machine learning e IA a las áreas que generan estrés en toda la organización. En el informe Data Connectivity, dos tercios de los trabajadores de TI afirman sentirse abrumados por el número de recursos tecnológicos necesarios para acceder a los datos necesarios para realizar su trabajo, y el 81 % de ellos cree que lo mismo ocurre con otros empleados de su organización.

Los CIO deben ser impulsores del cambio -algo que puede generar estrés- y, al mismo tiempo, tomar medidas proactivas y continuas para reducir el estrés en su organización y en toda la empresa. Los riesgos de agotamiento aumentan debido a las mayores expectativas empresariales de ofrecer nuevas capacidades tecnológicas, liderar las actividades de gestión del cambio y garantizar que los sistemas sean operativos. Los CIO deben promover formas de desconectar y reducir el estrés, como mejorar las comunicaciones, simplificar las operaciones y establecer objetivos realistas.

3. Supervisar las prácticas que matan la cultura de TI

En lo que respecta al estrés de las operaciones de TI, un área clara en la que deben centrarse los CIO es la supervisión de los servicios, las alertas sobre problemas de rendimiento de las aplicaciones y el cumplimiento de los objetivos de nivel de servicio (SLO). Por un lado, las operaciones de TI deberían estar paranoicas sobre si hay suficiente supervisión y automatización para garantizar que los sistemas funcionan bien sin que los usuarios finales escalen los problemas y las partes interesadas ejecutivas expresen sus frustraciones. Por otro lado, tener demasiadas herramientas de supervisión, miles de alertas y SLO mal definidos crea una cultura de extinción de incidentes de TI omnipresente.

“Los equipos de ingeniería pierden un tiempo precioso persiguiendo alertas”, sugiere Asaf Yigal, cofundador y director de tecnología de Logz.io. “Los CIO necesitan establecer objetivos para asegurarse de que el foco está en los errores de aplicación e infraestructura con un impacto directo en la línea de fondo, y estas son las alertas que deben elevarse a la cima para una atención inmediata”.

Como CIO, temía que me informaran en la reunión ejecutiva de una interrupción de TI que las herramientas de supervisión no captaran y que las automatizaciones no consiguieran remediar. También me preocupaba el creciente porcentaje de tiempo que TI dedicaba a las operaciones, lo que mermaba los esfuerzos hacia la innovación y la transformación.

Los CIO deberían utilizar estos indicadores para saber cuándo la paranoia sobre las operaciones requiere una actuación:

• Los empleados informan de muchos problemas de rendimiento del sistema que la supervisión debería captar.
• Los centros de operaciones de red (NOC) y los ingenieros de fiabilidad del sitio (SRE) responden a alertas cada vez mayores, y el tiempo medio de recuperación (MTTR) de estos problemas está aumentando.
• Los ejecutivos son reacios a invertir en innovación o a colaborar con TI porque la percepción o la realidad es que los sistemas de TI no funcionan bien.

Los CIO que se enfrentan a un panorama de TI cada vez más lleno de herramientas de supervisión y alertas pueden querer investigar soluciones AIops, que ayudan a centralizar los datos de observabilidad y utilizan el aprendizaje automático para correlacionar los altos volúmenes de alertas de los sistemas en un número menor de incidentes manejables.

4. Brechas de datos de terceros

Las estrategias y objetivos de IA del CIO para impulsar una organización impulsada por los datos se traducen en la incorporación de muchos socios, soluciones y herramientas SaaS de terceros. La seguridad y la gobernanza de datos es un desafío creciente, y el 61% de las empresas informaron de una violación de datos de terceros o un incidente de seguridad, un aumento del 49% respecto al año pasado, según The 2024 Third-Party Risk Management Study.

“Sea paranoico con las violaciones de datos de terceros y los incidentes de seguridad”, advierte Brad Hibbert, COO y director de estrategia de Prevalent. “Para reducir el riesgo de una brecha de terceros impactante, automatice sus procesos de gestión de riesgos de terceros en torno a evaluaciones de controles internos unificados y monitoreo cibernético continuo, remedie los hallazgos y aproveche las nuevas herramientas de IA para simplificar los flujos de trabajo y el análisis de riesgos“.

Dado el creciente número de sistemas que alojan datos empresariales, el ritmo acelerado de los cambios en ellos y los frecuentes cambios de política que los proveedores de SaaS realizan en sus términos de servicio, los CIO tienen todo el derecho a estar paranoicos. La IA generativa es un nuevo catalizador, y el 54% de los trabajadores afirman que confían en las herramientas de IA, mientras que el 51% tienen jefes que fomentan el uso de la IA, según la encuesta AI at Work Pulse. En muchas organizaciones, la velocidad de incorporación de herramientas SaaS y de IA generativa está superando los esfuerzos de TI, infoseguridad y gobernanza de datos. Mientras tanto, las organizaciones están gestionando los riesgos de solo un tercio de sus proveedores, según el estudio.

“Cuando se considera el creciente número de terceros globales con los que las organizaciones necesitan colaborar, la protección del perímetro con métodos de seguridad tradicionales se vuelve ineficaz en el momento en que los datos salen de la empresa”, afirma Vishal Gupta, CEO y cofundador de Seclore. “El método de seguridad de proteger el perímetro de la red ya no es suficiente y, en su lugar, los equipos de seguridad deben centrarse en adoptar un enfoque proactivo de la seguridad centrado en los datos, situando la protección en torno a los propios datos”.

A menudo cito el proverbio popularizado por Spiderman, ‘un gran poder conlleva una gran responsabilidad’, cuando hablo de TI en la sombra y defino la gobernanza de la ciencia de datos ciudadana con los líderes empresariales. Muchos quieren todos los beneficios de la analítica y el aprendizaje automático, pero tardan en adoptar una gobernanza de datos proactiva. Agregue la búsqueda de copilotos de IA generativa a la mezcla, y los CIO tienen aún más razones para redoblar la gobernanza de datos antes de que la paranoia de hoy se convierta en la crisis empresarial de mañana.

5. La creciente deuda de la nube

Durante la última década, los CIO han transformado la infraestructura de TI de los centros de datos a las nubes híbridas y a la multicloud, al tiempo que utilizan automatizaciones devops para empoderar a los equipos de desarrollo ágil y ciencia de datos para autoservir las necesidades de infraestructura. Según las Estadísticas de Computación en la Nube de junio de 2024 de AAG, el 89% de las empresas afirman utilizar soluciones multicloud, y el 82% afirman que la gestión del gasto en la nube se ha convertido en una prioridad principal.

Robin Roacho, analista financiero principal de FinOps en SADA, afirma que “los CIO deben tener cuidado con el aumento de los costes de la nube sin una justificación clara”, y recomienda:

• Al establecer la propiedad de los costes, asegurarse de que los recursos están etiquetados y categorizados.
• Confirmar que los modelos financieros explican con precisión las variaciones entre el presupuesto y la realidad.
• Fomentar metodologías en las que se revisen las cargas de trabajo existentes para optimizarlas y modernizarlas.
• Crear o adaptar un sistema de alerta cuando se produzcan gastos inesperados.

Las cargas de trabajo de IA generan un consumo adicional, especialmente para las organizaciones que desarrollan grandes capacidades de modelos lingüísticos (LLM). Por ejemplo, un benchmark informa de que alojar el LLM Falcon 180B en la instancia predeterminada recomendada por AWS costaría al menos 23.000 dólares al mes.

Mientras que las nubes públicas informan de los costes de computación en nube a corto plazo y los CIO pueden desplegar las mejores prácticas de FinOps para gobernar y gestionar los costes de computación en nube, el impacto del carbono es otro reto a tener en cuenta.

Lu Zhang, fundador y socio director de Fusion Fund, afirma que las tecnologías de IA consumirán aproximadamente 460 teravatios-hora de electricidad en 2022. Zhang afirma que “estas cifras ponen de manifiesto una preocupación creciente que debe abordarse para que la IA forme parte de un futuro sostenible. De cara al futuro, la mejora continua de los algoritmos de IA y la integración de fuentes de energía renovables en los centros de datos son vitales”.

Mahesh Juttiyavar, CIO de Mastek, recomienda: “Con FinOps, evitamos sorpresas en los costes de la nube al tiempo que defendemos los principios ESG para un futuro de TI sostenible y responsable. Esta estrategia holística garantiza la resiliencia y el éxito a largo plazo”.

Cuando consideramos la deuda técnica heredada por los CIO de hoy, son el subproducto de las decisiones empresariales racionales de sus predecesores y de la lucha por gobernar y gestionar sus impactos a largo plazo. Hoy en día, el pensamiento a corto plazo en torno a culturas estresantes, violaciones de datos, demandas operativas de TI y consumo de infraestructura en la nube puede convertirse en la próxima frontera de nuevas crisis. Los CIO deben ser paranoicos ante estos riesgos crecientes y equilibrar la velocidad, la agilidad y la innovación con prácticas prudentes de gestión de riesgos.