Durante la mayor parte de su existencia, la resiliencia de TI se ha centrado en el tiempo de actividad, asegurándose de que los sistemas no se caigan y, si lo hacen, volviéndolos a poner en línea lo más rápido posible.
Pero eso es sólo una parte de la ecuación en esta era digital moderna. Hoy, la resiliencia de TI significa mucho más.
Considere, por ejemplo, la opinión de Brad Stone. Como CIO de Booz Allen Hamilton, Stone dice que piensa en la resiliencia en dos dimensiones: una se trata de habilitar el negocio sin interrupciones; el segundo se trata de tener la capacidad de adaptarse, lidiar con el cambio y manejar lo inesperado.
Además, dice Stone, la resiliencia ahora significa hacer todo eso mientras se brinda continuamente la experiencia que los usuarios esperan.
“Hace diez años, si había un apagón, lo superaban. Pero los usuarios y los líderes empresariales de hoy esperan que la tecnología siempre funcione y sea una experiencia increíble; las expectativas son mucho más altas ahora porque TI es un habilitador, ha adquirido más importancia”, añade. “Es posible que los usuarios no exijan la perfección, pero sus estándares son muy, muy altos”.
Eso, a su vez, ha impulsado un enfoque más expansivo para garantizar la resiliencia de TI en la actualidad. Aquí, los expertos y los líderes de TI ofrecen siete prácticas recomendadas que los CIO deben adoptar para asegurarse de cumplir con las expectativas actuales de resiliencia.
1. Alinear con las necesidades del negocio
Ron Brown, director de resiliencia empresarial de GuidePoint Security, una empresa de servicios y asesoría, define la resiliencia de TI como asegurarse de que la tecnología esté siempre disponible, aunque reconoce que tal perfección no es probable.
“Tienes que planificar el hecho de que las cosas saldrán mal en algún momento”, explica.
Los CIO pueden prepararse mejor para esa inevitabilidad si tienen claro qué sistemas son más importantes para el negocio; esa claridad le permite a TI saber en qué enfocarse primero durante cualquier tipo de interrupción, dice.
“Lo primero que debe hacer sin duda es estar alineado con el negocio, lo que necesitan y lo que están dispuestos a pagar [para obtener] lo que esperan”, dice Brown, señalando que un análisis de impacto comercial puede ayudar. TI y negocios obtienen esta alineación. “Y una vez que tenga esa comprensión de cuáles son los requisitos para el negocio, entonces se trata de cómo mapea los servicios y las capacidades que tiene y qué aplicaciones son utilizadas por qué grupos, de modo que si algo sale mal, sepa dónde poner sus prioridades. para recuperarlos”.
2. Romper los silos
Richard Caralli, ex CISO que ahora trabaja como asesor principal de Axio Global, una empresa de gestión de riesgos cibernéticos, define la resiliencia como “una propiedad emergente que se extiende desde la gestión del riesgo operativo”.
Para hacerlo bien, las operaciones de TI y la ciberseguridad deben trabajar con los líderes que supervisan la continuidad del negocio/la planificación de la recuperación ante desastres. Eso, sin embargo, no siempre sucede, señala Caralli.
“Estas actividades tienden a estar aisladas de manera que cada disciplina opera en diferentes suposiciones y escenarios de riesgo, cuando en realidad deben converger y trabajar en colaboración”, dice.
Por ejemplo, Caralli señala que el equipo de seguridad cibernética de una organización puede estar enfocándose en crear una estrategia estelar de defensa en profundidad para garantizar mejor que pueda prevenir intrusiones, detectarlas si ocurren y responder cuando ocurran. Pero es posible que el equipo no sea tan fuerte en la planificación para “volver a las condiciones operativas normales lo más rápido posible con la menor cantidad de consecuencias” si la seguridad cibernética no está trabajando de cerca con el riesgo y la TI, asegura Caralli.
“Si no están todos hablando juntos, podrían estar planificando o cuantificando diferentes riesgos”, agrega. “Tienen que planificar y ejecutar escenarios juntos. Si observa el riesgo desde el punto de vista del impacto y puede imaginar qué tipo de consecuencias podrían ocurrir, puede comenzar a cuantificar el riesgo y luego puede saber dónde gastar el próximo dólar, si ponerlo en el lado de la prevención o gastarlo en prácticas que reducirán el impacto”.
3. Madure sus métricas
A medida que la resiliencia de TI ha evolucionado, Jorge Machado, socio de la firma de consultoría de gestión McKinsey & Co., asevera que los CIO deben ajustar las métricas que usan para medir y administrar las operaciones para garantizar que cumplan con los objetivos correctos.
“Tradicionalmente, si retrocedemos una década, se trataría del tiempo de actividad, la disponibilidad de las aplicaciones y el tiempo medio de restauración”, dice Machado. “Pero hoy en día, a medida que las aplicaciones se vuelven más orientadas a los microservicios y nos alejamos de los sistemas monolíticos, necesitamos medir de una manera más matizada”.
Él y su colega, el socio asociado de McKinsey, Arun Gundurao, sugieren mediciones centradas en la capacidad de realizar transacciones críticas, como las que miden fallas en las interacciones con los clientes, la experiencia de la aplicación desde la perspectiva del usuario o los objetivos de nivel de servicio.
“Es lo que le importa a la empresa en torno a esta aplicación o este viaje del cliente”, dice Gundurao. “Quieres medir lo que la empresa quiere medir”.
4. Practique
En opinión de Stone, resiliencia significa manejar con éxito circunstancias inesperadas. Y para hacer eso, Stone se asegura de que su departamento de TI no esté desprevenido. Eso significa entrenar, probar y practicar con ejercicios y simulaciones de escritorio.
“Se trata de ejecutar ejercicios, eliminar un grupo y no decírselo [a todos] y ver cómo responde la gente. Es casi como una simulación de fuego real. Tienes que hacerlo con cuidado, en el momento adecuado, pero tiene que ser parte de tu cadencia”, dice. “Tienes que tener esos procedimientos operativos estándar, revisarlos y perfeccionarlos. Tienes que estar dispuesto a hacer que tu personal se sienta incómodo, desafiarlos. Les da un poco de camaradería porque saben que pueden superar las cosas”.
Stone dice que tales ejercicios brindan a los CIO y a sus gerentes la oportunidad de generar confianza en los procesos que funcionan bien y desarrollar la memoria muscular, así como también identificar las debilidades, como la falta de redundancia en los trabajadores capacitados en tecnologías clave o la falta de procedimientos de respaldo en caso de que un una aplicación en particular falla.
5. Resiliencia del arquitecto
Los asesores de TI enfatizan que es importante crear resiliencia en la arquitectura misma, por ejemplo, distribuyendo instancias y cargas útiles en ubicaciones geográficas.
Una forma de garantizar sistemas resilientes es “simplificar lo que hace para que pueda hacerlo realmente bien para cumplir con las expectativas”, dice Stone, y señala que este enfoque también ayuda a evitar que los equipos se extiendan demasiado.
La combinación de automatización para la gestión de incidentes, problemas y cambios también ayuda a generar resiliencia, agrega.
Gundurao recomienda adoptar la ingeniería de confiabilidad del sitio (SRE), un conjunto de principios y prácticas para infraestructura y operaciones destinadas a crear sistemas escalables y confiables. SRE, y aquellos capacitados en sus principios, se enfoca en construir TI no solo para que funcione bien en cielos azules sino también para trabajar en cielos tormentosos, agrega Machado.
Andrew Long, líder de arquitectura empresarial global en Accenture, ve que las grandes organizaciones tradicionales adoptan cada vez más los principios, las tecnologías y los métodos utilizados por las organizaciones nativas digitales para diseñar sistemas de TI más resistentes. “Esto ha permitido que la empresa mejore su resiliencia ante eventos comerciales disruptivos y, por lo tanto, se vuelva más competitiva”, dice.
Para hacerlo, los líderes de TI enfatizan la velocidad y la agilidad, la centralización de datos y la descentralización, así como la integración y entrega continuas, SRE y microservicios para brindar las capacidades comerciales que requiere la futura organización… de una manera más modular y componible”, señala Long.
También están pasando de la entrega tradicional de proyectos de TI basados en cascada a “entrega y operaciones de TI más centradas en el producto, que tiende a considerar requisitos estratégicos más amplios que respaldan la resiliencia de TI”, agrega.
“Casi todas las organizaciones tienen una parte del patrimonio de TI en la nube”, dice Long, pero la clave es “considerar qué capacidades únicas de la nube se pueden aprovechar para aumentar la capacidad de la organización para volverse más ágil y resistente”.
6. Manténgase alerta
Los riesgos organizacionales, las necesidades comerciales y la tecnología seguirán evolucionando, al igual que las prácticas en torno a la resiliencia de TI, afirman los expertos.
“Comuníquese con el negocio para comprender dónde ven los riesgos de interrupción del negocio, la escala del riesgo y, lo que es más importante, cómo cuantifican este riesgo y, por lo tanto, el valor potencial”, asegura Long. Al tener una comprensión clara del estado actual de su panorama tecnológico, puede comprender mejor cómo su organización puede responder a esta interrupción y dónde residen las áreas críticas de riesgo.
“Confirme las intervenciones específicas que se deben realizar para minimizar el riesgo y desarrolle una hoja de ruta para generar cambios”, dice Long, y agrega que la ejecución de esta hoja de ruta solo es posible “si todos están alineados con el riesgo empresarial”.
7. Deje que las empresas compartan la responsabilidad
El lado comercial también tiene un papel que desempeñar en la resiliencia de TI, dice Machado, por lo que los líderes de las unidades comerciales también deberían tener cierta responsabilidad al respecto.
“Creo que debe tener un modelo de rendición de cuentas, y creemos que debe compartirse con la empresa”, explica, “de modo que quien cree la aplicación debe compartir la responsabilidad por ella. No debería ser solo el papel del CIO”.
Machado no aboga por que las unidades de negocios se hagan cargo de las operaciones de TI y la administración diaria de aplicaciones y sistemas; más bien, dice que deben entender que sus requisitos y prioridades pueden afectar la resiliencia.
Por ejemplo, si los líderes de las unidades de negocios priorizan constantemente el tiempo de comercialización y la velocidad de creación de valor, entonces deben compartir la responsabilidad de si eso podría afectar la resiliencia y en qué medida.
