El COVID-19 ha dado como resultado que muchas organizaciones prioricen y aceleren las inversiones en transformación digital. Las empresas habilitadas por la tecnología pudieron moverse a gran velocidad para satisfacer la creciente demanda en línea. A medida que las empresas aceleraron estos planes, muchas consideraron las tecnologías de nube para ayudar a apoyar los esfuerzos. Antes de ingresar al entorno de la nube, la gerencia debe evaluar si su apetito de riesgo refleja la estrategia de negocio en evolución y los cambios en las soluciones tecnológicas de soporte. ¿En qué posición se encuentra su organización para equilibrar el apetito de riesgo con la aceleración de la transformación digital?
Mirando atrás al año pasado, muchos se darán cuenta de que el COVID-19 priorizó y aceleró los esfuerzos de transformación digital de su organización y acrecentó las inversiones estratégicas del C-suite en tecnología digital.
La pandemia focalizó la atención en las vulnerabilidades de las empresas. Una empresa de bienes de consumo envasados vio cómo sus pedidos en línea se disparaban, solo para que sus operaciones descendieran al caos mientras trataba de procesar y cumplir con el aumento. Las empresas habilitadas por la tecnología, por el contrario, pudieron moverse a gran velocidad para satisfacer la creciente demanda en línea.
A medida que las empresas trabajan para digitalizarse a gran velocidad, están utilizando inversiones en cloud computing (computación en la nube) como base y como combustible para el cohete de la transformación digital. Es rentable de implementar porque es flexible y escalable, lo que facilita capacidades que de otro modo no serían posibles. Pero el salto a la nube conlleva riesgos operativos y de implementación. Las organizaciones que ven estos riesgos claramente pueden aprovechar al máximo la velocidad y agilidad del cloud computing.
El impacto de la pandemia
Como en muchas organizaciones, la fuerza laboral de PwC se vio forzada a trabajar por completo de forma remota al inicio de la pandemia. Debido a que nuestro modelo de negocio requiere equipos altamente móviles, ya habíamos invertido en tecnologías habilitadoras, pero aún teníamos que movernos con especial rapidez para satisfacer las necesidades de nuestros clientes en el nuevo mundo de COVID-19. Aceleramos la inversión en un proceso de implementación en la nube de nueva generación y nuevas herramientas digitales. A medida que las conversaciones presenciales se convirtieron en sesiones remotas, buscamos más formas de automatizar servicios.
Experimentamos de primera mano lo que atraviesan todas las empresas en estos tiempos de incertidumbre: la necesidad de navegar por un equilibrio complejo de velocidad, seguridad, centralidad en el consumidor y cumplimiento. Hacerlo requiere información confiable, oportuna y completa para tomar decisiones, que se basa en tener datos digitalizados y procesos maduros habilitados por la tecnología. Es aquí donde el cloud computing entra en juego, si las empresas entienden que no es solo la tecnología lo que debe dominarse. Un salto a la nube requiere a las empresas repensar sus enfoques de negocio y de riesgo empresarial.
El imperativo de la nube
Las plataformas en la nube y las herramientas digitales adyacentes brindan a las organizaciones un nuevo nivel de agilidad y flexibilidad. Las plataformas en la nube pueden ayudar a implementar nuevas experiencias digitales para los clientes en días en lugar de meses y pueden facilitar análisis que serían antieconómicos o simplemente imposibles con las plataformas tecnológicas tradicionales. Pero aquí está el problema: A medida que las empresas se trasladan cada vez más a la nube, deben centrarse menos en el traslado y más en adoptar una nueva mentalidad.
La migración a la nube requiere un cambio de actitud con respecto al riesgo y el control, ya que la empresa reconsidera las responsabilidades corporativas y rendición de cuentas y, en muchos casos, depende de las preferencias de diseño de alguien más. Los requerimientos de seguridad, controles y cumplimiento cambian radicalmente. A modo de ejemplo, en lugar de un número limitado de líderes con control sobre la empresa, la naturaleza transformadora de los servicios en la nube significa que la identidad y el acceso pueden necesitar ser repensados completamente.
Lo mismo se aplica a las habilidades dentro de los equipos de operaciones de TI, en los que las habilidades desarrolladas para administrar servidores y aplicaciones locales deben adaptarse para proporcionar servicios en lugar de hardware y orientar los procesos hacia el consumo, no hacia la capacidad. Tradicionalmente, los presupuestos de TI han incluido un componente significativo de gasto de capital (CAPEX) en tecnología. Sin embargo, un salto a la nube requiere cambiar la forma en que se manejan los presupuestos, ya que todos los gastos basados en la nube serán gastos de operaciones (OPEX). Esto puede alterar profundamente la cuenta de pérdidas y ganancias de una organización.
En resumen, un salto a la nube no es sólo un ascenso y cambio de tecnología; afecta la forma en que una empresa opera, interactúa con socios y clientes, forja asociaciones entre sus líderes comerciales y de TI, y en cómo tolera y gestiona el riesgo.
Un panorama claro de riesgos
Para mitigar las preocupaciones de seguridad, resiliencia y cumplimiento relacionados con la adopción de la nube, las empresas deben ser conscientes de los riesgos operativos y de implementación. Históricamente, el ciclo de vida de implementación de tecnología se extendió por años. Si no se aplicó un lente de riesgo adecuado durante el desarrollo, hubo tiempo para ponerse al día antes de lanzar la tecnología. Ahora, con proveedores terceros y herramientas de automatización y aceleración, las implementaciones son rápidas y la supervisión de riesgos debe ser temprana y continua. De manera similar, algunas iniciativas de automatización ahora están dirigidas y entregadas por la empresa de forma independiente, dejando atrás a TI.
Ambos factores aumentan la posibilidad de que no se preste suficiente atención a los riesgos asociados, la gobernanza o los controles durante la implementación. Operar en la nube también conlleva riesgos inherentes, como riesgos de ciberseguridad, terceros y privacidad de datos. Por ejemplo, en lugar de correlacionar los datos con un centro de datos físico, ahora se encuentra en una huella de nube global donde los datos recopilados o procesados en una instancia geográfica de la nube deben permanecer allí.
Entrar en un entorno de la nube con un panorama claro de riesgos significa mantener discusiones rigurosas sobre los mejores mecanismos para alinear el apetito de riesgo con las decisiones tecnológicas. En lugar de permitir que los riesgos descarrilen el progreso, los CEO deben insistir en una reevaluación del apetito de riesgo que refleje la estrategia de negocio en evolución y los cambios en las soluciones tecnológicas de soporte. ¿En qué posición se encuentra su organización para equilibrar el apetito de riesgo con la aceleración de la transformación digital? Considere estas preguntas:
1. ¿Ha evaluado de manera integral cambios anticipados a sus procesos de negocio, TI y personas como resultado de la adopción de tecnologías basadas en la nube? ¿Ha considerado los impactos posteriores que estas tecnologías tienen en procesos operativos subyacentes, controles de TI y negocio?
2. ¿Ha considerado su organización las implicaciones de seguridad de trasladarse a aplicaciones basadas en la nube o servicios de infraestructura? ¿Ha considerado holísticamente los impactos en diseño de seguridad, privacidad de datos, residency, almacenamiento, uso y acceso?
3. ¿Ha revisado críticamente la continuidad de su negocio y la planificación de la recuperación ante desastres en el contexto de una transición a la nube? ¿Ha examinado el entorno de la nube principal que está considerando para determinar su resiliencia en relación con sus aplicaciones y recursos de misión crítica?
4. ¿Ha establecido paralelismos entre la forma en que sus proveedores de soluciones en la nube, para servicios y/o productos de infraestructura, se adhieren a los estándares de cumplimiento que son relevantes para su negocio? ¿Se comprenden las brechas y, de ser así, qué planes de remediación planea establecer para mitigar dichos riesgos?
5. ¿Qué nivel de entrenamiento y upskilling digital está proporcionando a sus equipos? ¿Se ha asegurado de que su programa de entrenamiento tenga la combinación adecuada de tecnología y componentes de riesgo para preparar a su equipo para los riesgos emergentes?
Por Peter Hargitai, socio de Risk Assurance Services y líder de Digital Risk Solutions de PwC Canada