El desafío global de los CIO

Por si los directores de sistemas de información no tienen ya bastante con lo que lidiar ante el aumento de la demanda de IA en todo el ámbito empresarial, el actual clima geopolítico, volátil, les obliga ahora a adoptar una mentalidad más centrada en lo global en todo, desde sus cadenas de suministro de TI y la regulación hasta la infraestructura distribuida y la plantilla.

Últimamente, las noticias han hablado mucho sobre el impacto de la guerra de Irán en la tecnología: ataques con drones que dañan los centros de datos de AWS en Baréin y los Emiratos Árabes Unidos, así como el aumento de los ciberataques y la amenaza de la escasez de semiconductores. “Esta no es simplemente una guerra de misiles y milicias, sino una guerra que abarca las redes, las cadenas de suministro y los sistemas que impulsan el mundo moderno”, escribe S. Yah Kalash, investigador principal del Centro para la Innovación en Gobernanza Internacional. “Su consecuencia más duradera no será el cambio territorial, sino la aceleración de un orden tecnológico global fracturado, disputado y profundamente politizado”.

Aunque las áreas de TI han recibido discretos aumentos para financiar iniciativas de IA durante el último año, la preocupación económica de los altos directivos por el incremento de los costes energéticos, la inflación persistente y el declive de la economía global afectará directamente a las organizaciones tecnológicas, según un reciente informe de Forrester. “Los CIO tendrán que redoblar una vez más sus esfuerzos en la gestión del gasto en TI mediante la priorización, la reducción selectiva de costes, una gestión estricta de los proveedores y otras técnicas”, reza  el informe. “Aumentará el escepticismo sobre el retorno de la inversión en IA, lo que obligará tanto a los CIO como a los CISO a defender las inversiones”.

Como en cualquier situación, un periodo de inestabilidad global hace que sea de vital importancia que los responsables de TI sigan fomentando una comunicación abierta con el resto del equipo directivo para establecer objetivos alcanzables y gestionar las expectativas de forma eficaz. “Manténganse en estrecha conexión con el resto de la alta dirección y comprendan qué repercusiones está teniendo la volatilidad en el negocio”, afirma Mark Moccia, vicepresidente y director de investigación de Forrester. “Esto puede dar lugar a recortes en el presupuesto tecnológico a corto plazo debido a las presiones [de pérdidas y ganancias]”.

“Una tormenta perfecta de retos” para los líderes de TI

Los responsables de TI afirman que no se sienten intimidados por el desafío que plantean las tensiones geopolíticas. Tadas Tamošaitis, director técnico de FL Technics, con sede en Vilna (Lituania), un proveedor global independiente de servicios de mantenimiento, reparación y revisión (MRO) de aeronaves, está muy familiarizado con ellas. El sector de la aviación opera en la encrucijada de algunas de las presiones normativas, geopolíticas y de la cadena de suministro más exigentes del mundo. Depende del equipo de TI mantenerlo todo a flote en tiempo real, afirma. “Las aerolíneas esperan que las aeronaves vuelvan al servicio en plazos ajustados, por lo que cualquier interrupción en nuestros sistemas digitales tiene consecuencias inmediatas y cuantificables en tierra”, explica Tamošaitis.

En estos momentos, el sector global de MRO está atravesando lo que él denomina “una tormenta perfecta de retos”, dado que los picos de demanda pospandémicos han puesto a prueba unas cadenas de suministro aeroespaciales ya de por sí frágiles. Los plazos de entrega de las piezas críticas están alcanzando duraciones récord, afirma Tamošaitis.

“Las tensiones geopolíticas —desde controles de exportación más estrictos sobre tecnologías de doble uso hasta restricciones del espacio aéreo que afectan a dónde y cómo movemos aviones y piezas— están redefiniendo constantemente el mapa logístico”, cuenta.

Al mismo tiempo, los reguladores globales y un número creciente de autoridades aeronáuticas nacionales están modificando sus requisitos digitales y de datos de formas que no siempre coinciden, añade Tamošaitis. “Para una empresa de MRO que opera en múltiples jurisdicciones, esto genera una complejidad real: es posible que los mismos datos sobre la configuración de una aeronave deban almacenarse, consultarse y compartirse de manera diferente dependiendo de qué autoridad tenga la supervisión”, dice.

A todo ello se suma la amenaza constante de los ciberataques. “Las empresas de MRO poseen datos de ingeniería altamente sensibles —configuraciones de aeronaves, historiales de mantenimiento, sistemas logísticos— lo que las convierte en objetivos atractivos”, reflexiona Tamošaitis. “Un ciberataque exitoso no solo interrumpe los sistemas informáticos; puede dejar las aeronaves en tierra. Debemos construir sistemas que estén aislados físicamente y sean lo suficientemente resilientes como para resistir los ataques, al tiempo que permanezcan lo suficientemente conectados para una coordinación global las 24 horas del día, los 7 días de la semana”.

Recientemente, FL Technics completó la adquisición de Job Air Technic, lo que, según Tamošaitis, añadió una importante dimensión de integración de sistemas. Fue una tarea compleja que requirió la consolidación de la infraestructura informática heredada, los almacenes de datos y los procedimientos operativos de todas las entidades adquiridas, sin interrumpir las operaciones de mantenimiento que funcionan las 24 horas del día. “Una cosa es planificar una integración de TI sobre el papel; otra muy distinta es ejecutarla cuando un avión que entra en el hangar a las 2 de la madrugada no puede esperar a que termine una migración de datos”, afirma.

Los retos globales reconfiguran los stacks de TI y las estrategias

Para Moe Rosenfeld, director de sistemas de información de eCopier Solutions, con sede en Nueva York, los problemas de la cadena de suministro son lo que le quita el sueño. “La parte de hardware de la gestión documental recorre una cadena de fabricación global, y la tensión geopolítica se refleja en los plazos de entrega, la disponibilidad de componentes y la estabilidad de los proveedores de formas que no tenía en mi radar hace cinco años”, explica. “Hay que pensar en la pila tecnológica del mismo modo que un responsable de logística piensa ahora en las rutas de transporte”.

Los responsables de TI solían evaluar la tecnología principalmente en función de las características y el coste, señala. “Ahora me planteo preguntas que nunca solía hacer, como dónde tiene su sede este proveedor, dónde se encuentran físicamente sus servidores, qué ocurre con los datos de mis clientes si se produce una interrupción del comercio o una situación de sanciones que afecte al país de origen de ese proveedor”.

Las cadenas de suministro globales están imponiendo un cambio fundamental en el diseño de las arquitecturas de TI, coincide Victoria Ma, directora de servicios e innovación digital para EE. UU. y Canadá en la consultora de cadenas de suministro Miebach, que opera en cuatro continentes. “En lugar de optimizar un modelo único y centralizado, las organizaciones ahora tienen que dar soporte a una red que abarca múltiples regiones, entornos normativos y modelos operativos”, afirma. “Esto introduce una complejidad significativa en los sistemas y los datos. Los sistemas de planificación y ejecución deben integrarse no solo entre funciones internas, sino también con socios externos —proveedores, fabricantes y proveedores de logística— que a menudo operan con diferentes plataformas y estándares en distintas partes del mundo”.

Identificar casos de uso de la IA que funcionen en todas las regiones

Navegar por la adopción de la IA en un entorno operativo distribuido a nivel mundial es también un punto crítico fundamental. Remi Alli, director de sistemas de información (CIO) de Black Wallet, la empresa matriz de Kiros, un ecosistema de tokens, cuenta que la proliferación de agentes —el caos que supone la aparición de cientos de herramientas de IA autónomas en diferentes unidades de negocio sin un plan coherente— es un quebradero de cabeza a nivel mundial. “El mayor obstáculo es mantener una infraestructura unificada y segura al [enfrentarnos a] regulaciones regionales, como las nuevas leyes de transparencia de la IA. Esto hace imposible un enfoque único para todos y nos obliga a pasar de un abastecimiento global y centralizado a estrategias regionales más complejas”, relata.

Black Wallet está abordando esto mediante la creación de ‘Consejos de IA’ que actúan como guardianes para evaluar los casos de uso, garantizar el cumplimiento normativo de los datos y evitar arquitecturas fragmentadas. “También estamos sustituyendo la planificación anual por talleres trimestrales de ‘cocreación tecnológica-empresarial’ para asegurarnos de que nuestros proyectos de IA realmente mejoren el retorno de la inversión, en lugar de limitarse a experimentar”, afirma Alli.

La IA y el panorama regulatorio global están “convirtiendo una situación ya de por sí complicada en algo verdaderamente caótico”, afirma Rosenfeld. “El Reglamento de IA (IA Act) de la UE está en marcha, EE. UU. sigue definiendo su enfoque federal, los estados individuales actúan por su cuenta y otros países están haciendo todo lo anterior a ritmos diferentes y con filosofías distintas”.

Para cualquiera que gestione flujos de datos transfronterizos, las herramientas con IA integrada tienen ahora un peso normativo que no existía hace dos años, afirma. “Y lo difícil es que las normas aún no se han redactado por completo. Hoy estás tomando decisiones de infraestructura frente a un objetivo de cumplimiento que aún está en constante cambio. No es una situación cómoda, pero es en la que nos encontramos”.

Para complicar aún más las cosas, mientras existe una fuerte presión por parte de los consejos de administración y los ejecutivos para acelerar las estrategias de IA, las organizaciones están teniendo dificultades para identificar casos de uso que se mantengan en todas las regiones con diferentes calidades de datos, requisitos normativos y niveles de madurez operativa, según Ma.

Al mismo tiempo, el panorama de proveedores está repleto de plataformas “con IA” que a menudo no se adaptan bien a las cadenas de suministro globales, observa Ma. “Una solución que funciona en una región puede no ser escalable debido a diferencias en la disponibilidad de datos, la infraestructura o las restricciones de cumplimiento”, afirma. “Esto coloca a los responsables de TI en una posición difícil: deben filtrar las afirmaciones de los proveedores al tiempo que se aseguran de que las tecnologías seleccionadas puedan funcionar de manera consistente en un panorama global fragmentado”.

El reto no radica tanto en adoptar la IA rápidamente como en construir una base escalable y adaptable a cada región que aporte un valor cuantificable en toda la red, indica Ma.

Hacer frente al cumplimiento normativo

Mantener el cumplimiento normativo más allá de las fronteras es otro gran reto. En lo que a Rosenfeld respecta, nadie está hablando lo suficiente de lo rápido que se ha ampliado el ámbito de aplicación del cumplimiento normativo. “Hace unos años, uno pensaba en la HIPAA, quizá en algunas normas de privacidad a nivel estatal”, afirma. “Ahora, me fijo en clientes con plantillas distribuidas y les pregunto si sus flujos de trabajo documentales afectan a interesados de la UE, porque si es así, el RGPD entra en juego, lo hayan invitado o no”.

Esto es antes de tener que estar al día de las normativas relacionadas con la IA que aún se están redactando en tiempo real en diferentes jurisdicciones, añade Rosenfeld.

Elijah Fernández, cofundador y director técnico de la plataforma virtual de salud conductual Cerevity Health, está de acuerdo y afirma que su ámbito de competencia ha pasado de gestionar redes físicas a proteger a una plantilla clínica muy dispersa y a lidiar con una normativa de datos fragmentada. “En la tecnología sanitaria, la soberanía de los datos y las normativas transfronterizas son objetivos en constante cambio. Cuando tu plantilla está muy dispersa, la defensa perimetral tradicional falla por completo. Ya no estás protegiendo un edificio de oficinas corporativas”, afirma Fernández. “Lo que se protege son cientos de terminales individuales que operan en diferentes redes locales, a menudo sujetas a leyes regionales de privacidad que se solapan o entran en conflicto”.

Para Tamošaitis, de FL Technics, el mantra es mantener la flexibilidad dentro de la estructura. “Estamos implementando plataformas unificadas de ERP y logística que operan en todas las regiones, respetando al mismo tiempo los silos normativos locales: normas de residencia de datos, controles de exportación y requisitos de cumplimiento específicos de cada jurisdicción”.

Allí donde se permite la nube, la empresa aprovecha las arquitecturas híbridas y multicloud para obtener resiliencia y escalabilidad. Los responsables mantienen infraestructura local en los países cuya normativa lo exige, como los centros de datos de la UE para el RGPD y los sistemas con sede en EE. UU. para los requisitos de la FAA, afirma Tamošaitis. “Añade complejidad, pero no es negociable”, admite.

Para mantener el cumplimiento normativo más allá de las fronteras, Fernández afirma que tuvieron que imponer una “estandarización absoluta” a nivel de infraestructura. “Por ejemplo, para garantizar que nuestros registros de auditoría y expedientes clínicos sigan siendo válidos desde el punto de vista forense en diferentes zonas geográficas, configuramos todo nuestro sistema de historias clínicas electrónicas para que funcionara estrictamente en la hora del Pacífico”, señala. “Independientemente del lugar desde el que se conecte un proveedor, la infraestructura estandariza los datos cronológicos en una única fuente de verdad. También hemos adoptado por completo una arquitectura de confianza cero, partiendo de la base de que todas las redes locales que utiliza nuestro personal están intrínsecamente comprometidas”.

El cumplimiento normativo también es un impulso para que FL Technics invierta fuertemente en la formación de sus equipos de TI, así como en reforzar la ciberseguridad de los entornos de infraestructura crítica y la integración digital en contextos de gran intensidad operativa y con un alto componente de ingeniería. “Las herramientas técnicas son importantes, pero se necesita gente que entienda el ámbito lo suficientemente bien como para tomar las decisiones correctas bajo presión”, afirma Tamošaitis.

Y para empresas como FL Technics que se enfrentan a adquisiciones transfronterizas, Tamošaitis afirma que el departamento de TI debe realizar su debida diligencia con antelación —y planificar a largo plazo—. “Es esencial contar con una hoja de ruta de integración planificada con antelación. […] Hay que contar con entre 12 y 18 meses de sistemas paralelos. El coste de mantener esa redundancia es mucho menor que el coste de la interrupción operativa si se precipita la transición”, señala.

Diseñe pensando en la flexibilidad y tenga en cuenta a su personal

Al preguntarles cómo pueden los responsables de TI afrontar las realidades globales actuales, los líderes y expertos en TI ofrecieron los siguientes consejos.

La modularidad es clave. Tamošaitis aconseja a los responsables de TI que se aseguren de diseñar con modularidad desde el principio, dado que las normativas varían, las realidades geopolíticas cambian y los nuevos mercados traen consigo nuevos requisitos. “Las arquitecturas de TI que se pueden reconfigurar rápidamente son una auténtica ventaja competitiva. Los sistemas rígidos y monolíticos se convierten en un lastre en el momento en que cambia el entorno externo”, recomienda.

Tranquilizar al consejo de administración sobre la resiliencia. Mantener la resiliencia en tiempos de incertidumbre geopolítica es una de las principales preocupaciones de los consejos de administración. Especialmente en el caso de las infraestructuras críticas, los consejos necesitan saber que las TI pueden mantener las operaciones durante un ciberataque grave, afirma. “Esa conversación debe tener lugar al más alto nivel, y los presupuestos deben reflejar lo que está en juego, no solo las comparativas con la competencia”, dice Tamošaitis.

Optimizar la toma de decisiones y reducir el riesgo de concentración. Moccia, de Forrester, afirma que es una buena idea contar con un proceso de priorización listo para usar y siempre activo que permita restar rápidamente prioridad a cualquier elemento «por debajo de la línea» que pueda esperar. También recomienda reducir el riesgo de concentración en proveedores y plataformas, y seguir buscando áreas de posible consolidación y contratos que no sea necesario renovar.

Anticiparse al reto del cumplimiento normativo global. Rosenfeld aconseja a las organizaciones globales que dejen de tratar el cumplimiento normativo global como un problema del departamento jurídico que ocasionalmente afecta a TI. “Pertenece a TI: los flujos de datos, los controles de acceso, los requisitos de residencia, etc.”, subraya. “Son decisiones técnicas con consecuencias legales, y si esperas a que el departamento jurídico te diga qué desarrollar, ya vas con retraso. Anticípate, traza un mapa de dónde van realmente tus datos y toma las riendas de esa conversación”.

Invertir en talento. En lo que respecta al personal, invierte en talento especializado y no subestimes la importancia de la retención, dice Tamošaitis. “Las fricciones geopolíticas y la complejidad normativa requieren profesionales de TI con un profundo conocimiento del sector; personas que entiendan la normativa de aviación, los controles de exportación o la soberanía de datos, no solo la tecnología. Ese talento ya es escaso y lo será aún más. Crea programas de formación, trayectorias profesionales y el tipo de entorno en el que esas personas quieran quedarse”.

El liderazgo importa. Al tiempo que tranquilizas a tus consejos de administración, mantén también informados a tus empleados. Moccia afirma que los líderes deben seguir siendo transparentes y visibles ante toda la organización de TI y compartir las perspectivas de la alta dirección sobre el impacto de la volatilidad en la empresa y lo que el liderazgo está haciendo para minimizarlo.

No descuidar el bienestar personal. Moccia también aconseja a los líderes de TI que no se olviden del cuidado personal. “El trabajo de cualquier directivo de alto nivel es intenso y constante. La volatilidad no es más que otra variante del cambio y el caos en su día a día, por lo que mantener a raya los niveles de estrés personal es más importante que nunca, sea cual sea la forma que esto adopte para el director de sistemas de información (CIO) a nivel personal”.