Transformación digital -revisitado

El negocio digital representará un promedio del 36% de los ingresos totales de una empresa para 2020

En un artículo previo de nuestro blog tratamos este tema.

A estas alturas la definición parece haberse asentado.

En un artículo de Enterprisers Project, nos dicen que “La transformación digital es la integración de la tecnología digital en todas las áreas de una empresa, cambiando fundamentalmente la forma en que opera y brinda valor a los clientes. También es un cambio cultural que requiere que las organizaciones desafíen constantemente el statu quo, experimenten y se sientan cómodas con el fracaso”.

Suena bien, lo de integración, para la generación de valor.

Complicado, sin embargo, alcanzar el cambio cultural requerido y necesario [tal vez esto sea lo primero en lo que debamos concentrarnos].

¿Necesitamos un motivo?

Pero, antes que nada, deberíamos sustentar el motivo o la necesidad de realizar una transformación digital, estableciendo claramente los resultados que el negocio espera y cómo se alcanzarán, así como los criterios para verificar y validar estos resultados.

O, simplemente, tendremos más problemas que resultados.

Entre otros aspectos, son gravitantes para el éxito de una iniciativa de transformación digital, los siguientes:

A la acción

Así, si la necesita, no demore en tomar acción y, además de lo anteriormente señalado, es conveniente:

Recordemos

No esperar que los clientes lleguen a uno.

No negar la realidad [tenga en cuenta todas las dimensiones de la compañía].

Incluir a todos en la compañía.

No es solamente un ‘proyecto de TI’ -más.

Considere expertos en el tema.

26 errores en la gestión de servicios

El día a día

Sí, asegurar que los servicios estén operando es labor de todos los días.

El tema es cómo lo logramos.

Buscamos realizar esta titánica labor considerando la coyuntura, presupuestos [de seguridad, entre otros], recursos, capacidades, compromisos, niveles de servicio existentes, proveedores, la propia organización –su modelo de gestión, su cultura.

Sabemos que los recursos son tanto materiales como humanos, tangibles como intangibles, y que son escasos.

Es más, las cosas pueden no ir tan bien como deseamos.

Además, reconozcamos que durante nuestra gestión también cometemos errores o estamos sujetos a problemas o a fallas.

Veamos.

Durante toda gestión existen errores o fallas

Error 01: no contar con un caso [real] de negocio

No olvidemos que al negocio le interesa ganar dinero, y que está en el ADN de los gerentes el invertir sobre la base de un caso de negocio.

Así, es mejor orientar nuestras necesidades de inversión en infraestructura de TI sobre la base de un enfoque de negocios, no sobre aspectos técnicos de la inversión.

En adición, todo caso de negocio debe propiciar valor para el negocio; entonces, implica que TODO caso de negocio debe estar apoyado por el un ejecutivo que lidere/apueste/necesite la propuesta.

Error 02: no realizar [nosotros] el planeamiento estratégico

Complicado si realmente no conocemos la estrategia del negocio ¿cierto? ¿Nosotros debemos buscarla o es algo que nos la tienen que proporcionar? ¿La entendemos, en toda su extensión? ¿Participamos en su formulación?

Lo cierto es que la planificación estratégica de TI debe estar firmemente enraizada en el plan estratégico del negocio. El mejor plan de TI ya no es simplemente un resumen de la inversión financiera requerida o una lista de tecnologías para implementar. Más bien, es una evaluación de los cambios exigidos para lograr los objetivos del negocio.

Los entendidos sugieren no encargar a alguien que lo haga por nosotros porque, finalmente, el entregable dormirá en algún estante; tal vez esperando presupuesto [que tal vez no llegará]; tal vez porque era un mero cumplimiento; tal vez porque el contenido no es lo esperado y, más bien, atenta contra el statu quo.

Tampoco es buena idea tratar que nuestros colaboradores implementen algo de lo que no han sido partícipes, de lo que no se sienten [porque no han sido] parte, o que se comprometan a aquello que consideran responsabilidad de otros.

Seguramente existen muchos otros posibles tal vez, quizá, intenciones, obligaciones. Cada organización los identificará. Lo cierto es que el entregable [el planeamiento estratégico de TI] no se pone en práctica; o, en todo caso, [como es usual] no resulta como se esperaba.

Para evitar esto, Gartner aconseja crear un proceso “claro y realizable” para desarrollar el plan estratégico, utilizando cualquier plan existente o usado previamente como punto de partida, planear rápido, enfocándonos en el mediano plazo, definiendo los componentes esenciales, desarrollando métricas para el éxito [estableciendo indicadores de rendimiento clave basados en resultados], atando los principios rectores a la visión corporativa, haciendo coincidir la frecuencia de la planificación con la marcha del negocio.

Error 03: presupuesto escaso o inapropiado

El presupuesto de TI dice mucho sobre sus propietarios: si los ejecutivos tienen una hoja de ruta para el futuro y si están dispuestos a pagar por ella, si los líderes de la compañía valoran la innovación, o si aún ven la tecnología como una función detrás de bambalinas.

Todo se reduce a la cuestión de si la empresa desea crecer y prosperar o si permite que sus competidores la dejan atrás.

Consideremos nuestro presupuesto en comparación con otros [realmente] similares en el mercado, en la medida de lo posible; entender [razonadamente] si es mejor el CAPEX por sobre el OPEX [o al revés], garantizando siempre que cada alternativa elegida cumpla con las normas contables; trasladando el gasto a las líneas de negocios [¿ABC costing? ¿conocemos realmente el costo/consumo del servicio provisto por cada unidad de negocio?] de manera que éstas estarían más interesadas en que sus inversiones rediman los resultados de negocio comprometidos.

Necesitamos asignar fondos para el presente (sostenibilidad operativa) y futuro (sustentabilidad, innovación, transformación digital, modernización de la tecnología, re-entrenamiento, actualización de procesos), sin olvidar asignar fondos para arreglar [mantener] lo legado.

Error 04: promover al candidato equivocado

No olvidemos que un candidato no sólo debe calzar en el puesto, sino que también debe calzar con la filosofía de la organización.

Así, la organización tiene que definir con claridad qué está buscando en términos de habilidades, carácter y competencias.

No son buenas razones promover por recompensa, o para proporcionar una línea de carrera, o para sentirse como un buen gerente.

Debemos elegir de forma inteligente.

Error 05: aplicar metodología ágil a los sistemas centrales

Y, sobre todo, cuando creemos que aplican donde se requiere un fuerte y riguroso control de cambios.

Por ejemplo, en servicios netamente de TI como correo electrónico, telefonía, ERP, aplicaciones de oficina, entre otros.

Tenemos que establecer límites claros –los riesgos son muchos, y mayores en impacto. La agilidad [velocidad] para los sistemas del negocio; rigurosidad [prudencia] para los sistemas nucleares.

Se necesita un enfoque disciplinado. Pensemos en una empresa bimodal. Entendamos el propósito de DevOps.

Según Gartner, las organizaciones deberían embarcarse en una “destrucción creativa”: replantear la arquitectura, los procesos y la gente que se requieren en el ámbito de tecnología para enfrentar las cargas de trabajo de la siguiente generación, incluyendo el IoT.

Error 06: subestimar riesgos

Y hasta no identificarlos oportunamente o no dimensionar [mejor] su impacto.

Uno de los primeros aspectos a considerar en la implantación de la ISO27001/ISO27002 es el análisis de riesgos, y establecer su gestión.

Probablemente necesitemos ayuda. Reconozcamos nuestras fortalezas y debilidades, y actuemos en consecuencia.

Error 07: cautiverio –de proveedores (internos o externos)

Por ejemplo, sabemos que las relaciones con los proveedores, tanto internos como externos, pueden ser frágiles, que podríamos quedar cautivos de ellos (bajos precios, innumerables promesas, supuesta integración, transición), vernos impactados por sus errores o fallas, estar sujetos a sus agendas ocultas, o hasta afrontar problemas de corrupción y sus implicancias legales.

Claro, todas las áreas internas relacionadas deberían tener presente lo que se espera de ellas (OLA), y no olvidemos lo que se espera [mejor dicho, requiere] de los proveedores externos (UC) con relación a la entrega del servicio.

Debemos garantizar para nuestro cliente [o usuario] el valor del servicio provisto. Y esto es una labor de todos, así como la seguridad de la información.

Muchas veces blandimos y hasta nos escudamos en leyes o regulaciones, normas o políticas, para ‘cumplir’ con nuestras funciones. Pero ‘seguimos’ estas leyes, regulaciones, normas, o políticas, de forma ciega, buscando [algunas veces] realizar el menor esfuerzo.

Error 08: la solución es la nube –por la nube

Tal vez pensamos que la nube es una buena opción [y lo es, si planeamos las cosas bien].

Todos hemos escuchado sobre los modelos de nube y sus ventajas.

Pero si creemos que adoptar un modelo híbrido conlleva simplicidad porque pensamos que este modelo de nube lo podemos administrar como una extensión de nuestro centro de datos, bueno, pensemos nuevamente –y planifiquemos mejor, factores como costo, disponibilidad requerida, estabilidad, requerimientos de configuración, niveles de servicio, licencias de software.

Empecemos por realmente conocer nuestro ecosistema, y de qué pie cojeamos. Hagamos un análisis de brecha.

Recordemos que la nube no es para todos, y tampoco para todo.

Mantengamos nuestras opciones, evitemos depender [o ser cautivos] de un solo proveedor de nube.

Error 09: contrataciones inadecuadas

Se requiere un equipo para construir una empresa exitosa, pero solo se necesita un empleado incompetente con una mala actitud para derribar a todos y a todos.

Debemos buscar contratar el nivel de destreza y habilidad requeridos para que el servicio proporcione el valor que se espera de él.

Error 10: no ser asertivo

Y, decir no cuando debemos decir no, pero de forma positiva –postergando la respuesta en lo posible.

No es que bloqueemos la innovación en la empresa, o busquemos detener su crecimiento.

Démonos tiempo para evaluar la sensibilidad, el impacto, los riesgos.

Decir que sí con demasiada frecuencia hace que sea imposible mantener todo parchado y en cumplimiento; generamos desconfianza.

Error 11: pecar de controlista

Si TI no está en el circuito cuando alguien en marketing o en alguna otra unidad de negocio lanza alguna iniciativa de shadow IT, bueno, aceptemos y reconozcamos que TI perdió el control hace años  y no puede recuperarlo; pero, avancemos, capitalicemos.

TI sigue siendo relevante, pero solo si se adapta. No dejemos que se piense que TI es únicamente quien mantiene operando el correo electrónico, y no es gravitante [no aporta valor] para el negocio.

Consideremos una adecuada verificación o aprobación de los equipos de TI o seguridad frente a este tipo de iniciativas. El objetivo no es evitar que existan, sino facultar a los equipos que decidieron utilizar estos servicios a cumplir con los requisitos mínimos de protección de datos establecidos en y por la organización.

Error 12: propiciar el oscurantismo

No perdamos credibilidad; garanticémosla.

Las malas noticias nunca mejoran por sí mismas. Y cuanto antes la gente empiece a lidiar con eso, tenemos más oportunidad de recuperar el proyecto y retomar el camino –o, al menos, perder menos.

Busquemos crear oportunidades para hablar con el director financiero y otros líderes empresariales cuando no están en modo crisis.

Error 13: elección incorrecta del outsourcing

Podríamos considerar que la elección de un servicio tercerizado simplifica nuestra labor. Y, dependiendo de nuestra organización, posiblemente esta premisa es correcta; pero, para un verdadero éxito, debemos tener presente los siguientes consejos:

  • Al tomar un servicio de TI, tomemos el tiempo necesario para comprender completamente nuestro rol como cliente para una relación de aprovisionamiento exitosa, en lugar de culpar [siempre] al proveedor del servicio. Si hicimos bien nuestra tarea de búsqueda inicial de un proveedor idóneo, identifiquemos la causa raíz y evitemos perder tiempo en cambiar de proveedores.
  • Enfoquemos nuestros esfuerzos en identificar el problema [analizar la demanda y el BIA], para el que requerimos una solución [o herramienta], y cómo podemos solucionarlo, antes de buscar soluciones en el mercado a las que después deberemos adaptarnos. Esto es, la solución debe resolver nuestra necesidad; principalmente, y lo mejor posible, no olvidemos el principio del 80/20.
  • La innovación empieza y termina en casa, no en el proveedor –y sus soluciones; así, debemos construir un ambiente y cultura que fomente eso, pero dentro de nuestra organización.
  • No hay plantillas, ya que cada organización es diferente, tiene problemas diferentes, y los afronta de manera diferente. Las mejores prácticas de outsourcing requieren determinar el alcance, el marco financiero y el perfil de riesgo adecuados para su empresa y sus objetivos, objetivos y cultura.
  • Durante la contratación, el objetivo de la negociación debe ser garantizar la alineación con los requisitos de la organización y no poner al proveedor en la situación más apretada. Esto, finalmente, juega en contra de la organización.
  • No subestimar el factor humano (en toda la empresa). Debemos planear para el cambio requerido en un entorno subcontratado, que [seguramente] requerirá una amplia supervisión ya que [seguramente] será significativo. Es vital comunicarse de manera activa y honesta, atendiendo las inquietudes y necesidades específicas del grupo de interesados.
  • No desestimar la transición, incluyendo procesos, sistemas, niveles de servicio, volúmenes, contratos y excepciones, y planifiquemos explícitamente el proceso de transferencia de conocimiento.
  • Implantar un modelo y marco de gobierno robusto, que incluya el equipo de gestión de entrega de servicios, los interesados en el negocio, los ejecutivos y el equipo de gestión del proveedor.
  • Gestionar el SLA, no blandir el contrato.

Error 14: presionar el outsourcing

Expectativas poco realistas y falta de gobernanza a intereses desalineados y mala comunicación son, usualmente, causas por las que no se alcanzan los resultados esperados, pero no las únicas.

Aumentar el desgaste de los recursos de outsourcing nunca es una buena señal. Puede ocasionar una alta rotación del personal del proveedor, disidencia interna, cambios en el liderazgo, apatía en la innovación, corrupción del alcance, fallas en cumplir los SLA, métricas inalcanzables, costos crecientes.

Los cambios frecuentes a menudo indican que el cliente, el proveedor o ambos no han podido establecer procesos de trabajo efectivos.

Mantener los canales de comunicación abiertos y fomentar un ambiente de confianza con los proveedores actuales ayudará a garantizar que los clientes estén al tanto si hay alguna actividad que impactarían negativamente en los resultados del negocio.

Error 15: no cerrar la brecha de habilidades –¿o debilidades?

Las empresas deben tomar algunas decisiones difíciles sobre cómo llenar las necesidades de personal y qué debe hacerse, interna y externamente; especialmente en seguridad.

Surgen las preguntas de siempre, pero no limitadas a las siguientes: ¿qué se hará? ¿será necesario capitalizar sobre nuestro personal clave? ¿será necesario tercerizar? ¿quiénes son candidatos? ¿a quién elegimos? ¿por qué la elección? ¿cuándo necesitamos? ¿cómo se hará? ¿cómo lo hará? ¿con qué? ¿para cuándo lo necesitamos? ¿hasta cuándo es necesario? ¿cuáles son los riesgos de no hacerlo? ¿cuáles son los riesgos al hacerlo? ¿hemos definido/acotado el alcance real/necesario? ¿quién será el responsable de rendir cuentas? ¿quién será responsable de ejecutar? ¿contamos con los procesos necesarios y suficientes, vigentes, actualizados, entendidos, realmente implantados [no sólo implementados]? ¿están las normas correctamente planteadas y apoyan las políticas? ¿las políticas apoyan esta ‘iniciativa’?

Error 16: ‘ahorrar’ en las capacitaciones

Actualmente, la premisa burda, errada y antigua de que mantenerse al día con la tecnología es responsabilidad de cada empleado, no es más vigente que antes.

Creemos ser efectivos al buscar un especialista con mucha experiencia y muchas certificaciones, y pretender pagarle centavos.

El mundo de este siglo habla de retención del personal clave como un factor estratégico, ya que las habilidades de este personal son el diferenciador clave para las organizaciones.

Si bien este personal puede ‘disfrutar’ de su trabajo, el reentrenamiento es muy útil para mantenerlo de esa manera.

Esto es especialmente cierto si la tecnología, que sabemos, cambia constantemente, y lo que queremos es reducir la curva de aprendizaje, asegurar la entrega de valor (con los servicios), garantizar la estabilidad de la plataforma tecnológica, que se incremente el valor de vida de los clientes, alcanzar los resultados que el negocio espera –y para los que ha comprometido recursos y capacidades.

Los profesionales de TI calificados, capacitados y certificados son esenciales para que las inversiones en tecnología redunden en obtener los resultados económicos que el negocio se ha planteado.

Error 17: no caracterizar TI

Las empresas deben tomar algunas decisiones difíciles sobre cómo llenar las necesidades de personal y qué debe hacerse, interna y externamente; especialmente en seguridad.

Y podemos caracterizar la disyuntiva (opciones, alternativas, problemas) con herramientas básicas como 6W-2H, matriz RACI, técnica MoSCoW, FODA, entre otras.

Error 18: adquirir ‘soluciones’ antes de establecer requisitos

Cuanto mejores sean los procesos de involucramiento/compromiso y soporte, más eficiente y productivo será el negocio, incrementará la satisfacción, la resolución de incidentes en el primer contacto, reducción en costos de soporte (por ejemplo, transporte, si se utilizan herramientas de soporte remoto apropiadas).

Conviene establecer los procesos antes que buscar una solución en el mercado. Apliquemos la regla del 80/20, y utilicemos cuantas herramientas estén a nuestro alcance.

Error 19: no establecer los procesos adecuados para que los servicios sobrevivan los cambios organizacionales

Porque, usualmente, estamos sujetos a alguna agenda oculta, que busca sus propios intereses, mantener la zona de confort, el statu quo, el feudo, el control local; pero sin interesar los resultados que el negocio espera.

Es así importante que las organizaciones identifiquen las necesidades reales de servicios e implante las acciones correctivas concretas requeridas, incluso organizacionales, en favor del negocio.

Gobernanza, auditorías, controles efectivos, son aquí mandatorios.

Error 20: considerar la seguridad como un proyecto –un producto terminado

Un reciente estudio de seguridad de Forrester descubrió que el 82% de las organizaciones tienen problemas para identificar y proteger los dispositivos conectados a la red. Peor aún, la mayoría no tenía claro quién es responsable de administrar los dispositivos.

Creemos que estamos seguros tras implementar una determinada seguridad –y nos engañamos pensando que este sentido de seguridad permanecerá en inmutable.

Seguimos cometiendo los mismos errores. Ahí están las diferentes noticias que de tanto en tanto nos llegan sobre violaciones perpetradas, incluso a grandes empresas.

Error 21: no haber establecido un modelo de seguridad de la información en la organización

Un modelo de seguridad de la información nos dice que tengamos presente:

  • La seguridad de los datos: estando almacenados, al ser procesados, cuando son transmitidos.
  • Los pilares de la seguridad de la información: confidencialidad, integridad, disponibilidad.
  • Capacitación, procesos, políticas, y su correcta y oportuna implantación.

¿Hemos considerado todo esto en nuestra actual plataforma tecnológica, en nuestros actuales sistemas de información? ¿Lo estamos considerando en un futuro cercano? ¿Hemos establecido una línea de tiempo? Si es así, ¿están los recursos y capacidades necesarios, entendidos, aceptados, y comprometidos?

Error 22: ignorar consejos básicos de seguridad de la información

Si se desea mantener la seguridad de toda la información de la organización, se deberán considerar activamente mínimamente los siguientes consejos de seguridad:

Error 23: confiar únicamente en el hacking ético como norma de seguridad

En seguridad, hay hermanos, mucho que hacer.

Empezando por casa, primero es hacer nuestra tarea; es decir, identificar y provisionar la seguridad en profundidad y líneas de defensa necesarias.

  • Incorporar mecanismos de control de acceso suficientes y apropiados.
  • Asegurar la vigencia de los mecanismos de autenticación y autorización.
  • No depender únicamente de los cortafuegos.
  • Implantar mecanismos [incluyendo políticas, procesos y sus procedimientos] contra código malicioso (malware), phishing, y todo tipo de X-ware pernicioso para la seguridad –y productividad.

Error 24: no gestionar correctamente el cambio

El cambio es una constante, especialmente en la era digital, ya que las tecnologías y las formas de trabajo que evolucionan rápidamente transforman el lugar de trabajo; y no entender que se necesita procesos establecidos y consistentes para gestionar el cambio, es una fórmula para el fracaso.

Sí, el miedo a lo desconocido, en el paradigma del cambio, puede ser una fuerza poderosa y negativamente motivadora; esperemos por tanto, resistencia al cambio, pero también afrontémoslo y gestionémoslo.

Pero, la transformación, bien llevada a cabo, representa nuevas oportunidades de crecimiento y ventaja competitiva.

Error 25: mantener [y hasta insistir en] una arquitectura de TI incorrecta [o inadecuada]

¡Imposible! ¡eso no ocurre en nuestra empresa! ¡todo está controlado! Bueno, así nos podrían decir los entendidos en TI; pero, para los no iniciados, ¿cómo podríamos darnos cuenta? Porque existe una o más de las situaciones siguientes:

  • Reingreso manual de [los mismos] datos, conducente a su inconsistencia –pero que calificamos de verificación y/o validación.
  • Colecciones de soluciones puntuales -que enmascaramos como ‘personalizadas’.
  • Aplicaciones redundantes que no ofrecen nuevas funcionalidades para el negocio.
  • Datos redundantes, y además inconsistentes, al no mantener la sincronización de datos en múltiples bases de datos de forma correcta, lo que genera un esfuerzo desperdiciado en las actividades de conciliación.
  • Necesitamos [nosotros] ‘interfacear’ con varias aplicaciones para realizar nuestras funciones u obtener un entregable, con el consiguiente error humano.
  • Debemos alimentar un sistema con los datos de otro –una acción propensa a errores si esta tarea no se automatiza lo suficientemente bien.
  • Tenemos, incluso, una configuración de software o hardware [o más] que, aunque poco elegante, ineficiente, torpe o [hasta] parcheada, tiene éxito [aparente] al resolver un problema específico o realizar una tarea en particular –y le denominamos ‘solución alternativa’.
  • Mantener tecnología obsoleta, que hace más difícil la integración con nuevos sistemas y equipos.

Consideremos, además, que, cuantos más sistemas y bases de datos tengamos, más interfaces terminaremos construyendo y que, cuantas más interfaces tengamos, más frágiles serán nuestros sistemas y, consecuentemente, más difícil será darles mantenimiento.

Claro, podemos resolver este dilema de múltiples interfaces con un elegante sistema de integración de aplicaciones empresariales, o un bus de servicios, o alguna otra forma de middleware-más-metadatos que mantenga todo limpio.

Pero consideremos que esta [y, para todo efecto, cualquier] engañosa integración [aunque elegante] es tan frágil y difícil de mantener como el exceso de interfaces.

Aumenta, por supuesto, nuestra incapacidad para adaptar los sistemas a los requisitos comerciales nuevos y cambiantes.

Incluso, las ‘soluciones alternativas’ vuelven frágil nuestro sistema e incrementa el costo de mantenimiento con cada solución innecesaria, al igual que el tiempo de inactividad, el costo de la capacitación del personal y la complejidad de cada proyecto posterior.

Estas situaciones, en mayor o menor grado, agotan los recursos de la empresa, la apartan de su actividad primaria de creación de valor, ralentizan los procesos del negocio, aumentan los costos de capacitación porque requieren interfaces del sistema, y las plataformas que las sustenten y que deben ser compatibles entre sí.

Consideremos que las planificaciones de arquitectura de TI a largo plazo ya son cosa del pasado. Recordemos, debemos tener un plan que sea flexible (habiendo escuchado las necesidades de nuestros patrocinadores e interesados), y considerar que probaremos y fallaremos, pero debemos hacerlo rápido, para recuperarnos aún más rápido y con mínimo impacto negativo –sobre todo en el aspecto de la seguridad.

Error 26: fallar en nuestro liderazgo

Cierto, ya conocemos las frases [motivadoras]: “hacer más con menos”, “sí podemos”, “es coyuntural”, “saldremos adelante”, “quedamos los buenos”, “eliminamos la grasa”, entre otras.

Buscan esconder, tras presionar fuerte por alcanzar [muy] buenos resultados, que la moral del personal se impacta negativamente.

Por ejemplo, como líderes:

  • Fallamos en comunicar [si acaso lo hacemos] completa, apropiada y oportunamente cómo cada actividad que realizamos se relaciona con los objetivos y la estrategia del negocio.
  • Fallamos cuando entre nuestros objetivos no se encuentra el incluir capacitación y otras formas de desarrollar habilidades técnicas y / o comerciales, mínimamente al colaborador clave –se supone que los que quedan, son clave ¿verdad?
  • Fallamos si demoramos en proporcionar las herramientas en cantidad suficiente y con las características necesarias, si acaso lo hacemos.
  • Fallamos si no buscamos identificar, priorizar, y automatizar las tareas repetitivas.
  • Fallamos si no identificamos, desarrollamos e implantamos formas innovadoras para que el usuario [cliente] se auto-atienda –es decir, ahorrar tiempo para todos, justamente para hacer más.
  • Fallamos si continuamos seleccionando indicadores de rendimiento solamente importantes para TI y no para el negocio.
  • Fallamos cuando agotamos a nuestros colaboradores cada vez que insistimos en asignarles proyectos con poco tiempo de aviso, sin presupuesto y no previstos, con requisitos olvidados, sujetos a complicaciones imprevistas, mala gestión y errores humanos [como el código incorrecto] sin tener en cuenta [considerar] los que ya tienen en sus portafolios pendientes de entregar.
  • Fallamos si no propiciamos que nuestros colaboradores celebren las victorias rápidas –y, como gestores, además nos las apropiamos.
  • Fallamos en describir las contribuciones que cada uno de nuestros colaboradores puede hacer para entregar resultados hasta el siguiente nivel.
  • Fallamos cuando evitamos que cada colaborador reconozca el valor de los logros de los objetivos y cómo sus contribuciones afectan la realización de los beneficios esperados
  • Fallamos cuando insistimos en el micro control del colaborador –hostigando incluso. ¿Delegamos mal?
  • Fallamos al no considerar enfoques y métodos nuevos, y nos cegamos ante soluciones más simples que se alinean mejor con los procesos comerciales y son mucho más fáciles de implementar. ¿Ego?
  • Fallamos mientras sigamos considerando a nuestros colaboradores como recursos complementarios (Gestión 1.0) o sólo gestionamos procesos (Gestión 2.0), y no reconocemos la complejidad del entorno operativo actual y el poder de personas motivadas y motivadas para resolver problemas (Gestión 3.0).
  • Fallamos cuando pecamos de auto-suficientes, soberbia, o [incluso] negligencia, y no buscamos ayuda externa.
  • Fallamos cuando no entregamos el resultado esperado por el negocio. Podemos ser eficaces y hasta eficientes, pero si no somos efectivos [apreciación de nuestro cliente o usuario], fracasamos, lo que impacta negativamente nuestra credibilidad, imagen, reputación, ganancias o ingresos.

Y luego nos quejamos de alta rotación del personal, baja en el rendimiento, reducción de la calidad de los entregables, incremento de errores, deterioro de la credibilidad, entre otros factores negativos.

Y, para concluir

Busquemos un sentido de pertenencia, para lograr compromiso.

No olvidemos ser transparentes, tengamos una cultura de apertura, busquemos ser resilientes, mantengámonos abiertos al debate.

De lo contrario, las expectativas de los patrocinadores e interesados no se verán satisfechas; tampoco se alcanzarán los resultados que el negocio espera; menos entregaremos el valor que los usuarios y clientes esperan de los servicios que reciben.

16 habilidades de seguridad crítica que necesitamos

16 habilidades de seguridad crítica que necesitamos

Pongámonos en situación

Seguramente este tema sobre seguridad es trillado para muchos, por lo [aparentemente] obvio del tema, a estas alturas.

Contamos con herramientas que seguramente dominamos. Esa es la parte tecnológica.

Pero no debemos dejar de lado que el ser humano ha desarrollado la tecnología con base en hechos científicos, como herramienta, para ayudarse en lo repetido, en lo meramente operativo y no pensante [bueno, otro tema son los continuos avances en inteligencia artificial].

 

 

Entendamos primero el concepto de habilidad

El concepto de habilidad se refiere a una capacidad y disposición para algo; hace referencia a la maña, el talento, la pericia o la aptitud para desarrollar alguna tarea. Es una aptitud innata.

En 1993 la División de Salud Mental de la Organización Mundial de la Salud (OMS) lanzó la Iniciativa Internacional para la Educación en Habilidades para la Vida en las Escuelas.

El propósito de esta actuación era difundir mundialmente la enseñanza de un grupo genérico de diez destrezas psicosociales, consideradas relevantes en la promoción de la competencia psicosocial de niñas, niños y jóvenes.

  1. Autoconocimiento
  2. Empatía
  3. Comunicación asertiva
  4. Relaciones interpersonales
  5. Toma de decisiones
  6. Solución de problemas y conflictos
  7. Pensamiento creativo
  8. Pensamiento crítico
  9. Manejo de emociones y sentimientos
  10. Manejo de tensiones y estrés

Estas diez habilidades psicosociales no son materia nueva. En cierta forma, son tan antiguas como la propia humanidad, porque todas tienen que ver con la manera en que manejamos las relaciones con nosotros mismos, con las demás personas y con el entorno social.

Es más, el Foro Económico Mundial en 2016, propuso en su artículo, 10 habilidades que se necesita para prosperar en la Cuarta Revolución Industrial, que hacia el 2020, se requerirán las siguientes habilidades:

  1. Solución de problemas complejos.
  2. Pensamiento crítico.
  3. Creatividad.
  4. Administración de personal.
  5. Coordinar a otros para trabajar en un fin común.
  6. Inteligencia emocional.
  7. Juicio y toma de decisiones.
  8. Orientado al servicio.
  9. Negociación.
  10. Flexibilidad cognitiva.

Y otro artículo, más reciente, Las habilidades más importantes del mañana, según cinco líderes mundiales, las siguientes habilidades adicionales:

  1. Habilidades blandas, como el trabajo en equipo, conocimiento de las herramientas digitales, la comprensión de las reglas y las regulaciones, la responsabilidad y el compromiso son las más relevantes.
  2. Explotar los torrentes de información que se generan a diario con una fuerte dosis de empatía.
  3. Habilidades que las computadoras nunca llegarán a dominar, y grandes maestros para enseñarlas.
  4. Olvidar el aprendizaje de memoria, y centrarse en habilidades transferibles como: pensamiento crítico, adaptabilidad, resolución de problemas, entre otras.
  5. Un espíritu emprendedor, y las habilidades para saber cómo aplicarlo.

Resulta importante considerar esto de la cuarta revolución industrial porque, en palabras del presidente ejecutivo de WEF, Klaus Schwab, cambiará “no sólo lo que hacemos sino lo que somos”, dado que “afectará nuestra identidad” en múltiples formas.

Más aún esta revolución se manifestará en nuestro sentido de privacidad, noción de propiedad, patrones de consumo, así como en la forma en la que cultivamos nuestro conocimiento e interactuamos con las personas.

Schwab está convencido que “[…] en el futuro, el talento, más que el capital, representará el factor crítico de la producción”.

Ciertamente son de importancia las habilidades consideradas en estos artículos.

Veamos, entonces, sabemos qué hacer en cuanto a seguridad

Pensamos que sabemos todo sobre el tema. Nuestras certificaciones en seguridad, riesgos, continuidad, y otras más, nos acreditan, y nuestra experiencia en dichos campos nos avala. ¿No acabamos de certificarnos en Hacking Ético? -y seguramente ya nos consideramos hackers.

Bueno, no es así para todos, aunque parezca [o debería], y a ellos va dirigido esta contribución.

Mucho tiene que ver [y empezar] con reconocer [sinceramente] nuestras propias fortalezas y debilidades, nuestro propio accionar, nuestras costumbres.

No es raro que el ecosistema en que nos desenvolvemos también juega un papel importante en esto, ya que muchas veces nos arrastra –y nos dejamos arrastrar.

Pero, ¿cómo empezamos a hacer las cosas?

Preguntémonos, por ejemplo:

  1. ¿Cuántas veces no hemos hecho nuestra tarea previa antes de realizar la instalación, implementación, personalización, configuración de un servicio?
    1. ¿Hemos analizado la real necesidad para el negocio, de algún cambio o de una nueva implementación?
    2. ¿Hemos entendido a cabalidad la envergadura del cambio requerido?
    3. ¿Hemos analizado los pre-requisitos?
    4. ¿Hemos identificado todos los datos involucrados y contamos con los correctos y necesarios?
    5. ¿Hemos evaluado los pormenores de nuestras acciones y planeado la ejecución de la tarea?
    6. ¿Hemos evaluado los riesgos antes, durante, y después de la ejecución planeada?
    7. ¿Hemos asegurado que contamos con lo necesario antes de empezar la tarea?
    8. ¿Contamos con mecanismos de remediación/recuperación/reversión realmente probados?
  2. ¿Cuántas veces hemos ingresado valores por defecto?
    1. Y no nos hemos preocupado de analizar y evaluar antes cómo se vería afectada nuestra seguridad, que tanto cuidamos, por estos valores.
    2. Por apuro/cansancio [u otra excusa de su preferencia, mi estimado lector].
    3. Por desconocimiento y por no tener a quién preguntar [o no querer preguntar por vergüenza].
    4. Y los dejamos así, sin evaluar cómo se ve afectada nuestra seguridad, que ya descuidamos, por nuestra acción.
  3. ¿Cuántas veces nos limitamos a las pocas opciones que el proveedor ha implementado en la herramienta [antigua o nueva]?, y sobre las que nos ha capacitado, ambas cosas por puro cumplimiento, pero luego no buscamos o aprendemos más allá [con lo que desperdiciamos la herramienta]
  4. ¿Cuántas veces nos limitamos a una determinada plataforma, y no entendemos que nuestro conocimiento es aplicable a otras, por igual? ¿O sólo llegamos a manejar información?

Y, ¿entendemos realmente en dónde y cómo debemos enfocar la seguridad?

  1. ¿Cuáles son las características únicas del negocio, mercados, clientes, infraestructura, industria?
    1. Todos estos aspectos informan la política de seguridad y cada empresa tiene problemas diferentes.
    2. Antes de comenzar a adquirir herramientas, ¿quién entiende de seguridad en la empresa?
  2. ¿Reconocemos que las habilidades de gestión de proyectos centradas en la seguridad son extremadamente importantes?
    1. Necesitamos descubrir cómo integrar las diferentes soluciones de seguridad que hemos identificado como necesarias, con el resto de los sistemas, agregar capacitación, mantenimiento, actualizaciones, por nombrar algunas.
    2. Y todo esto, ¿cuánto tiempo tomará, sujeto a qué presupuesto, considerando qué resultados?
  3. Las empresas están aprovechando DEVOPS y la automatización para poder gestionar el panorama de amenazas. Recordemos que DEVOPS es una forma de pensar y un enfoque para el desarrollo de software y los procesos de lanzamiento, no una categoría de producto o certificación específica.
    1. ¿Qué debemos considerar para implementar DEVOPS o cualquier otra opción, apoyando la agilidad y flexibilidad?
    2. ¿De qué manera, si aceptamos lo anterior, impacta en nuestra TI [bimodal]?
  4. ¿Estamos empleando en realidad un pensamiento crítico para [realmente] evolucionar?
    1. ¿Ya actualizamos nuestro FODA situacional?
    2. ¿Contamos con un real FODA estratégico? ¿o sólo nos enfocamos en debilidades?
    3. ¿Ya identificamos lo que verdaderamente necesita el negocio para prosperar, y la seguridad relacionada?
    4. ¿Conocemos y entendemos realmente nuestro ecosistema?
    5. ¿Ya actualizamos nuestro análisis de brecha?
    6. ¿Ya hemos puesto en marcha nuestra estrategia para cerrar la brecha?

No olvidemos identificar primero lo que debemos mejorar, cuál es la mejora, qué buscamos obtener con la mejora, cuándo realizarla, con qué recursos y capacidades contamos para llevarla a cabo, el cómo la llevaremos a cabo, quién será responsable de llevarla a cabo, y quién será responsable de los resultados para el negocio

  1. ¿Hemos incrementado nuestras destrezas programando, enfocados en la automatización?
    1. ¿Aprendimos nuevos lenguajes de programación?
    2. ¿Ya nos habituamos al entorno de línea de comando (CLI)?
  2. ¿Ya aprendimos a utilizar las soluciones de seguridad que se han implementado?
    1. ¿Sabemos ya por qué falló nuestra reciente implementación de DLP o SIEM, u otras opciones?
    2. ¿Seguimos dependiendo del proveedor del servicio para los incidentes? ¿o seguimos llamando a todo ‘problemas’?
    3. ¿Reconocemos dónde erramos, y por qué erramos? Sí, nosotros erramos. La tecnología falla, y se puede corregir. ¿Podemos decir lo mismo nosotros?
  3. ¿Entendemos que la experiencia ganada no se puede perder?
    1. ¿Cómo garantizamos la permanencia del personal clave relacionado con la seguridad?
    2. ¿Cómo aseguramos que el conocimiento adquirido [en la empresa] no se vaya con el personal [junto con su experiencia]?
    3. ¿Hemos desarrollado alguna forma de gestión del conocimiento?
  4. ¿Estamos en capacidad de realizar una autopsia o investigación forense después de un, digamos, ‘incidente’?
    1. ¿Nos interesa, pero no tenemos tiempo o recursos o competencias?
    2. Luego de nuestro análisis y evaluación de vulnerabilidades, utilizando nuestro recientemente adquirido conocimiento en hackeo ético, ¿se nos pasó algo? Claro, sino, no hubiera ‘incidente’.
    3. ¿No sería bueno aplicar nuestros conocimientos de hacking para apoyar a cerrar la brecha? Cierto, eso lo hace otro especialista ¿o no pensamos así?
  5. ¿Cómo están de maduras nuestras habilidades blandas?
    1. Serían útiles para determinar posibles amenazas internas a la organización ¿no creen?
    2. Serían útiles para entender el comportamiento de los usuarios frente a los esquemas / perfiles de seguridad que se implementan
  6. ¿Hemos identificado que un punto importante en este tema de seguridad, así como en muchos otros, es la pasión por lo que se hace?
  7. ¿Reconocemos si somos capaces de afrontar la implementación de distintas normativas de seguridad, consolidarlas, y ser eficiente en la implementación de los controles, sin afectar las metas de negocio?
  8. ¿Reconocemos que aún nos falta recorrer mucho en cuanto a seguridad?
    1. Verdadera proactividad
    2. Verdadera previsión [anticipación]
    3. Verdadera innovación
    4. Lidiar con nuestra rigidez cognitiva en ciberseguridad
    5. Planeamiento consciente y consistente de la seguridad
    6. Controlar realmente, monitorizar y tomar acción rápida y efectiva ante cualquier incidente
    7. Valorar lo importante para el negocio, en cuanto a la seguridad
    8. Asegurar que el alineamiento / articulación entre el negocio y la tecnología sea real y efectivo, considerando la seguridad
    9. Establecer correctamente los factores críticos de éxito, sus indicadores clave de rendimiento y las métricas asociadas, en cantidad y propiedad correctas
    10. Evitar postergar lo importante
    11. Reducir las ‘emergencias’
    12. Adoptar la seguridad y la calidad como una forma de vida
    13. Implementar correctamente marcos de trabajo, gobierno, estándares, buenas prácticas
    14. Respetar políticas, normas, procedimientos
    15. Madurar procesos, personas, y tecnología –cierto, también la empresa en su conjunto
    16. Pruebas reales, orientadas, contextuales, personalizadas, controladas, completas
    17. Automatización al máximo, identificando las posibilidades reales de nuestra plataforma tecnológica, y utilizándola al máximo con apoyo de nuestras destrezas
    18. Aprender de nuestra experiencia
    19. Asegurar lo aprendido
    20. Mejora continua –incluyéndonos a nosotros mismos
    21. Gestionar el conocimiento
    22. Muchos otros

Conclusiones

Sí, la seguridad parte del sentido común; es un compromiso, es algo que se adopta, se interioriza.

Reconozcamos que, en la seguridad, sí intervienen las habilidades tratadas, no sólo se trata de capacitarse [o certificarse].

Es y debe ser parte integral de la cultura del lugar de trabajo.

Es fácil encontrarnos con un ‘problema’ y decir que, con una nueva tecnología o herramienta, lo resolvemos. Esto es una falacia. ¿No será que encontramos un incidente [que es, además, repetitivo] y, dadas diferentes, digamos, situaciones, optamos por lo más fácil –y decimos que ‘transferimos’ el riesgo? Hagamos nuestra tarea primero, y bien.

Y sí, Deming con su PDCA está presente, incluso en la seguridad.

Una buena persona de seguridad tendrá una gran pasión por compartir, aprender y hacer crecer sus conocimientos todo el tiempo.

¿Coinciden conmigo en que las destrezas y habilidades antes presentadas tienen mérito de ser consideradas? ¿Y han considerado desde qué edades deben ser incorporadas en nuestro ADN? Interesante ver el resultado en unos años.

9 metas de todo gestor de proyectos

Cierto, lo primero que debemos hacer los gestores de proyectos es atender a las tres restricciones clásicas.

Así, deberíamos prestar fina atención al plan que establecimos para monitorear el cronograma con el fin de mantenerlo al día, y registrar lo planeado versus el progreso realizado y actuando rápido ante cualquier desviación. Es interesante ver esto desde la óptica de Deming.

Sería conveniente identificar (bueno, lo mejor posible) el real costo total de propiedad de un proyecto, relacionado con el personal (colaboradores) interno y externo, recursos materiales, proveedores, entre otros puntos a considerar, y buscar ‘balancear’ el gasto total (rastreando cualquier desviación del plan) para que no se nos escape de las manos el presupuesto asignado al proyecto –al menos no tanto.

Cierto, los cambios son inevitables –y hasta buenos, pero al menos tengamos al principio un conjunto de requisitos completo, claro, entendido, aceptado, con criterios claros de cómo estos requisitos serán evaluados y aceptados. Entendamos que hay que saber decir sí a la persona y no a la tarea. Evaluemos antes de señalar opciones. Todos los que deciden deben tener claro por qué y cuándo deciden por una alternativa.

No olvidemos el mantra “reunirse con todo el equipo y establecer metas por adelantado”. Es buena idea además porque podríamos establecer etapas para un proyecto “grande”, además de priorizar las tareas necesarias para cada etapa.

Nuestro cliente debe estar y quedar siempre contento con nuestro trabajo –digo, con el avance del proyecto. Seamos transparentes. Entendamos las expectativas de los clientes, stakeholder y sponsors. La apertura y la honestidad son siempre las mejores herramientas para lidiar con las expectativas de las personas. Cierto, debemos buscar una mejor comunicación y entendimiento con las personas, en general.

Y no olvidemos a nuestro equipo de trabajo. Siempre se nos repite que, con un equipo feliz y motivado, con el cual, y dentro del cual existe una comunicación fluida y transparente, puedes lograr cualquier cosa. Bueno, también sabemos que esto empieza por tener al equipo correcto, con el perfil y competencias correctas para la tarea. Esto es, los recursos humanos con las capacidades adecuadas. Sigue el que los miembros se sientan reconocidos y que forman parte de algo importante, con un objetivo importante –que sería ideal que lo hagan suyo. No trabajo cargando piedras para construir la catedral – construyo mi catedral.

Recordemos que debemos manejar al triada personas-procesos-tecnología. Así, es necesario identificar qué se necesita mejorar, adicionar o utilizar, para invertir en la medida que sea necesario, de acuerdo con la envergadura del proyecto y su necesidad de comunicación -o interrelación.

Lo anterior implica que debe haber una base sólida para trabajar, y esta viene construida desde la organización, no por independientes interesados con brío y ganas de hacer bien las cosas. Es necesario que exista una correcta identificación, evaluación y priorización de proyectos que aporten valor real al negocio –conociendo todos cuáles son las metas y objetivos que se espera alcanzar, y que se establezcan correcta y oportunamente los roles y las responsabilidades, que exista estandarización para un mejor y pleno entendimiento de por qué se hacen (o necesitan hacer) las cosas, con políticas documentadas, claras y consistentes, y que se cumplen, apoyadas por las normativas correspondientes, y que se cuenten con los recursos y capacidades necesarias para llevar a cabo estos proyectos.

Sabemos que debemos gestionar los riesgos. Así, es necesario realizar el control correspondiente a los parámetros del proyecto, monitorizar el avance, y medir. Debemos poder ser capaces de definir, capturar y rastrear las métricas que rodean cada proyecto. Nos ayudamos con las lecciones aprendidas de experiencias pasadas, establecemos líneas base, documentamos (¿lo hacemos?). Debemos medir el progreso.

8 maneras de sortear [asumir] fallas

Todo profesional relacionado con las TI ha oído hablar de la ley de Murphy. Algunos creen no haberla experimentado; otros dicen no haberla experimentado; otros niegan haberla experimentado. Tal vez [aún] no se han dado cuenta.

Sabemos que un error es causa de una falla, y ambos pueden ocurrir por diferentes razones -pero, como dijo Churchill, por ni una sola excusa; y que una falla (que, dependiendo del impacto, podríamos considerar como problema), puede conducir a uno o más incidentes. Con una adecuada formación en gestión de servicios podremos determinar los ámbitos de actuación de cada uno de estos términos.

Siguiendo a Deming, luego que resolvemos la condición negativa que se presentó [y que impactó el servicio o la seguridad de la información relacionada], ¿tomamos alguna acción? ¿Evaluamos los resultados de los cambios implementados en el valor de los servicios que se entregan, y/o en la seguridad de la información? Verificar el éxito del cambio ejecutado para [al menos] mantener la calidad del servicio entregado o su seguridad es bueno pero, en adición, debemos validar que la necesidad del cambio haya sido satisfecha, desde el punto de vista de la entrega de valor del servicio (SLA, clientes) como para los stakeholder (beneficios, cumplimiento, reguladores, regulaciones, evitar demandas o pago de moras, entre otros aspectos a considerar).

La tecnología juega un papel importante en todo esto, como también lo hace la cultura [organizacional, de servicio, de calidad, de seguridad, …].

En lugar de tratar con una, digamos, oportunidad de mejora, de forma individual -y hasta aislada, ¿realmente aprendemos de esta(s) tras aplicar mecanismos sistémicos apropiados y de manera oportuna y correcta? ¿está nuestra cultura [institucional] lo suficientemente madura para esto? ¿somos realmente un referente en esto –o al menos buscamos estar en camino de serlo? ¿utilizamos herramientas apropiadas para analizar la causa raíz de las oportunidades de mejora? ¿Son estas herramientas utilizadas por colaboradores competentes? ¿Gestionamos apropiadamente el triángulo procesos-personas-tecnología? ¿Qué tan proactivos somos al respecto? ¿Están clara y completamente identificados todos los involucrados, así como los límites, restricciones, expectativas, y presiones relacionados? ¿Hay vacas sagradas o el cliente es nuestra meta, no sólo de palabra sino con acciones concretas, duela a quien le duela? ¿Entendemos que habrá efectos negativos si hacemos mal las cosas?

¿Aprendemos de los errores de los demás? A propósito de las últimas noticias sobre ransomware. ¿Están los procesos establecidos y son seguidos? ¿Tienen las evidencias necesarias –ya mismo?

¿Sabemos qué información está disponible para las personas que trabajan en resolver problemas y qué tan rápido pueden obtenerla, para que puedan desarrollar pautas claras para evitar complicar el problema debido al estrés, la confusión o la fatiga? Información contextual, oportuna, clara, correcta, vigente, y completa, así como, objetividad y enfoque en la tarea, son condiciones primordiales en estos casos.

Tal vez nos centramos en buscar culpables, primero y siempre, afectando la moral –y perdiendo tiempo valioso, sin que nos importe nuestro cliente. Evitamos, consciente (limitaciones, presiones, carencias, inexperiencia, otros) o inconscientemente (confiamos ciegamente que la acción correctiva evaluada, elegida, y llevada a cabo es la definitiva), responder a la pregunta: si asumimos que podría ocurrir nuevamente, ¿cómo responderíamos mejor esta vez? ¿Son nuestros reportes del tipo ‘lecciones aprendidas’ (en sentido positivo) o del tipo ‘post mortem’ (en sentido negativo)?

Claro, errar es humano, y las estadísticas nos dicen que el ‘error humano’ bordea el 70% como causa de accidentes de tránsito en Lima. Bueno, tenemos factores como condiciones físicas del conductor (estado de alerta/lucidez, velocidad de reacción, ingestión de elementos alucinógenos o de bebidas alcohólicas, fatiga-cansancio-somnolencia), atención a la tarea –y no al celular, a la radio, al copiloto(a), exceso de confianza, temeridad, condiciones del vehículo, velocidad, estado de las vías, [des]conocimiento del reglamento de tránsito, señalización adecuada (bueno, si ‘Pepe el vivo’ las respeta porque ‘no hay policía que me vea’ ‑cuando el policía debía estar dentro nuestro), estilos de conducta en contextos de tráfico en relación a las variables: edad cronológica; estado civil; grado de instrucción; lugar de procedencia; pertenencia del vehículo; la conducción como ocupación principal; tiempo en la conducción; accidentes de tránsito; papeletas recibidas por infracciones; problemas de salud; problemas auditivos; problemas de motricidad; problemas familiares y problemas emocionales, entre otros. Nos damos cuenta que hay fallos activos (errores y violaciones, actos inseguros que tienen un impacto directo y son cometidos por los trabajadores que operan el ‘sistema’), y condiciones latentes (resultado de decisiones de los diseñadores y gerentes, las que se expresan en las condiciones del entorno, la política y cultura organizacional; influyendo así el desempeño de los trabajadores). Listo, introduje la palabra ‘sistema’ así que no nos salvamos y aplicamos el caso a las TIC. El verdadero problema son las herramientas y los procesos que no impiden (o al menos emiten advertencias sobre) los errores inevitables que la gente hace, o la falta de automatización que significa, en primer lugar, que alguien está haciendo una labor manual –posiblemente propensa a errores y con errores en la fuente. Por ejemplo, podría haber carencia u obsolescencia de documentación, procesos, procedimientos; tal vez exista un desconocimiento del ecosistema tecnológico en la empresa; podría no existir o ser inadecuado o estar mal programado el monitoreo, control, supervisión; podría no haber auditoría interna de seguimiento o ser aceptados y trabajados sus resultados; podrían no darse de manera oportuna y completa, o no sustentarse apropiadamente las inversiones necesarias desde el punto de vista del valor para el negocio; entre otros factores de consideración.

Tengamos presente que los errores podrían ser tolerados, pero no el ocultarlos o encubrirlos. Entendamos que hay valor en invertir en el desarrollo y el fomento de una cultura en la que los colegas reconozcan errores y errores de juicio, y apoyarlos para que reporten aquellas cosas que casi originaron una falla. Tratar la TI y la seguridad como un servicio del negocio en lugar de un punto de control ayuda a crear ese tipo de cultura.

No olvidemos la deuda técnica -el costo y los intereses a pagar por hacer mal las cosas (presión en el cronograma, escasez o carencia de recursos apropiados o suficientes, entre otros factores, que obligan a saltarse pasos [o funcionalidad]) –y que no se ven desde fuera, pero causan daño dentro –no nos engañemos con la falacia del “costo hundido”. La famosa filosofía “si funciona, no lo toques”, puede ser un grave error. La modernización tecnológica (de los activos críticos del servicio) y su seguridad ([in]cumplimiento, riesgos para el negocio si el activo se ve comprometido) es algo mandatorio en estos tiempos; sin embargo, es necesario planificar esta modernización.

Recordemos que la información resultante debe transparentarse, difundirse, utilizarse, proactivamente. Evitemos reinventar la rueda. Avancemos. Contribuyamos con el conocimiento. ¿Somos lo suficientemente maduros verdad? Se nos mide por lo que hacemos, no por lo que decimos que hacemos.

22 maneras de lograr reuniones más productivas -y seguras

22 maneras de lograr que las reuniones sean más productivas -y seguras

Para los no expertos, u olvidadizos, conviene recordarlas –aunque no sean las únicas. No olvidemos, sin embargo, la seguridad de la información.

El objetivo de toda reunión es lograr algo –ideas, avanzar en los proyectos, resolver problemas, mejorar servicios, entre otros. Buscamos un efecto positivo en la moral de los colaboradores, así como en el rendimiento del equipo y de la organización. Los líderes dirigen reuniones para hacer el trabajo.

Las reuniones pueden ser realmente productivas, de calidad, si contamos con las herramientas de colaboración adecuadas y configuradas apropiadamente para reducir las fallas de seguridad de las aplicaciones, y así evitar que los datos de toda la organización sean vulnerables (utilizando cifrado de datos, contraseñas seguras, evitar descargas automáticas, entre otras medidas) y, lo que es más importante, la mentalidad correcta, con la capacitación apropiada en cuanto a seguridad de la información.

La colaboración es una habilidad muy personal, y cada uno de nosotros trabaja de manera diferente (consideremos la generación en que nacimos), usamos herramientas diferentes –lo que crea problemas de seguridad de la información.

Unos prefieren una videoconferencia sobre una llamada telefónica o comunicación vía WhatsApp; otros prefieren utilizar el chat o el correo electrónico (cuidando la netiquette -reglas de convivencia/etiqueta en la red) para intercambiar archivos, por ejemplo; otros, el teletrabajo; otros utilizar sus propios dispositivos de comunicación (BYOD), buscando siempre movilidad (y asegurar que esa movilidad no comprometa la seguridad); por ejemplo. Como vemos, aparecen muchos riesgos de seguridad.

Con respecto a las reuniones, debemos considerar, entre otras cosas, pero no limitadas a, las siguientes:

  1. Determinar la necesidad de la reunión que se convoca. ¿No podemos obtener los mismos resultados mediante una llamada telefónica o un correo electrónico, por ejemplo?
  2. Designar el facilitador. Conviene un líder que puede reforzar las grandes ideas articuladas en la reunión, ayudar a una discusión positiva y asignar actividades de seguimiento.
  3. El objetivo de la reunión (por qué necesitamos reunirnos, qué ha ocurrido que demanda reunirnos). Las reuniones más eficaces son aquellas donde los objetivos son claros (enfocados, accionables/realizables con autorizaciones y recursos, oportunos). Este tipo de reuniones son las que generan un impacto positivo en el negocio, sobre las medidas de productividad, innovación y cuota de mercado.
  4. Programar una agenda pensando en tareas y no en tópicos ayuda, estableciendo a priori el tiempo que invertiremos en cada tarea propuesta (tiempo sincerado en relación con el alcance del trabajo que se espera completar de dicha tarea), y estableciendo la persona directamente responsable a cada tarea. ¿Serán suficientes 30 minutos en total?, considerando lo anterior o, como dicen, menos es mejor, si contamos con alguna estadística interna.
  5. La sensibilidad de la información que se tratará, las herramientas que se utilizarán, y los medios que se emplearán, todo antes, durante y después de la reunión. Necesitamos identificar los mecanismos de seguridad que serán empleados en cada caso, por todos los participantes, directos e indirectos (asesores internos y externos, asistentes, entre otros).
  6. Anticipar reacciones fuertes o negativas durante la reunión –considerando los posibles participantes, y condiciones que originan la necesidad de reunirse. El silencio podría ser considerada una reacción fuerte –y debemos aprender a tolerarlo. Tal vez una retroalimentación utilizando herramientas colaborativas puede ser útil, para evitar una relación ‘cara a cara’ que podría tomar tiempo.
  7. La zona horaria en que se encuentran los posibles participantes –o la posible situación a tratar, para realizar la convocatoria en SU horario, no el nuestro. Se supone que, aunque lejanos, hemos mantenido el contacto siempre ¿verdad?
  8. El mejor horario para agendar las reuniones y evitar distracciones ¿de martes a jueves tal vez? (luego que las cosas ocurridas el fin de semana han sido resueltas, y antes de los preparativos del siguiente fin de semana) ¿entre las 09:00 y las 11:00 horas? (después del desayuno y antes de la hora del almuerzo) ¿o entre las 14:00 y las 16:00 horas? (después del almuerzo y antes de la hora de salida) Cada organización tiene –y mantiene- sus tiempos en que se encuentran más alertas.
  9. Con qué información necesitamos contar -antes de la reunión para ser difundida y trabajada por los asistentes con anticipación.
  10. Asegurar la puntualidad (de inicio y de fin), un factor de respeto en equipos de trabajo –y además porque todos andamos muy ocupados ¿verdad? ¿Ofrecemos premios a los puntuales y castigo para los tardones? O nos basamos en la ética y respeto mutuo.
  11. Debemos establecer expectativas claras para la participación. Debe quedar claro lo que realizaremos (trabajar algo, coordinar algo, decidir sobre algo –aunque hay cosas que no pueden esperar a las reuniones); así, los participantes pueden expresar responsabilidad personal por una determinada acción. Si utilizamos una reunión para informar algo, que sea realmente crítico, o buscar emplear otros medios. Bueno, depende de la cultura organizacional.
  12. Tener en claro la información que necesitamos obtener, como resultado de la reunión. Esto implica una gestión de conocimiento.
  13. Identificar o programar con tiempo el tipo de reunión que sostendremos (presencial, remota/virtual), asegurando que todos los participantes contemos con lo necesario en cada caso y con la debida anticipación. No olvidemos repasar la “tarea” de la última reunión. Cuánta anticipación dependerá, dirán muchos, de la urgencia, sin considerar el trabajo previo a realizar, cuya calidad no estará garantizada.
  14. Convocar a las personas en la correcta cantidad (cuantos menos sean, mejor), con la adecuada competencia y experiencia, cantidad y nivel de información requerida, nivel de responsabilidad y autoridad para asignar y designar recursos, y a los que necesiten los resultados de la reunión. En otras palabras, convocar a los esenciales.
  15. La preparación previa que requiramos, como conocer la presentación que haremos para no leer las presentaciones y aburrir a los participantes, conocer a quién nos dirigimos, conocer cuáles son sus intereses, conocer el balance de su poder e influencia, entre otros aspectos.
  16. La comodidad del lugar (ubicación, sonoridad, control ambiental, espacio personal, tamaño del lugar, mobiliario apropiado y en buenas condiciones – ¿una mesa redonda tal vez?, iluminación, disponibilidad y acceso a los servicios, entre otros aspectos). Tal vez convenga realizar una determinada reunión fuera del salón de clase (la sala de reuniones habitual), especialmente si son pocos participantes. Igual, dependerá de la cultura organizacional y, quizá, también, de lo que se vaya a tratar.
  17. La herramienta a emplear –incluso utilizar algunas que hasta hace un tiempo podrían no haber sido autorizadas en la empresa, pero que ahora son necesarias para “mantenerse on-line” (fuera del lugar de trabajo, en cualquier sitio, y a toda hora).
  18. El medio a emplear (video conferencia, audio conferencia, por ejemplo), y no olvidemos antes y durante la reunión a aquellos que asisten de forma virtual –también son participantes.
  19. Asegurar, por supuesto, que no haya distracciones al utilizar dispositivos personales y otra agenda personal (realizando trabajos que no tienen relación con el propósito de la reunión, generando distracción y, por tanto, retrasos). Utilicemos las herramientas que realmente necesitemos, apaguemos lo demás, por respeto a los participantes.
  20. Cómo lograr no ser el único que habla (no estamos dando una disertación) –cuidemos el ego. Recordemos que la participación es lo que hace una reunión ya que tienen la oportunidad de proporcionar otras perspectivas sobre la tarea a realizarse, a hacer que las ideas fluyan. Todos tenemos derecho a defender nuestras ideas y a trabajar a partir de la crítica honesta -y constructiva por supuesto.
  21. Cómo hacemos para permanecer en el tema porque, puede ser inevitable que existan desvíos, por la cultura organizacional o de los propios participantes o interés de alguno de los participantes. Por ejemplo, si la conversación está saliendo del tema, lideremos el asunto (re-enfoquemos la reunión, el punto tratado), no tengamos miedo de intervenir y traer la conversación de nuevo a los temas descritos, y registremos todos los puntos relevantes planteados para una futura discusión.
  22. No olvidar recapitular al final de la reunión lo trabajado, los acuerdos (compromisos) tomados (las fechas objetivo concretas, los siguientes pasos, las tareas a ejecutar), de registrar todo convenientemente, y de realizar el seguimiento correspondiente (hecho de una manera que promueve la reflexión y el aprendizaje, y minimice las reacciones defensivas), previa difusión de lo realizado para que todos sepan que se hará con las decisiones tomadas.

Muchos de nosotros sabemos lo difícil que es hacer nuestro mejor trabajo y permanecer comprometidos con los resultados mutuos en un ambiente donde las reuniones no nos comprometen a aportar nuestras mejores ideas de manera eficiente y efectiva. Nadie desea críticas, reclamos, quejas, echar la culpa, aburrimiento o pensar que hemos malgastado nuestro valioso tiempo o el de nuestros colaboradores, y peor si hemos tenido que desplazarnos para nada.

Una vez que se hayan establecido estándares para reuniones eficientes, eficaces y entretenidas, su equipo seguirá [los estándares] – y las reuniones pueden comenzar a ser la mejor parte de su día de trabajo.

¿Algo que agregar o mejorar?

Bueno, hemos visto bastante sobre cómo realizar reuniones efectivas y planteando un esquema de seguridad en ellas.

Con respecto a la seguridad de la información antes, durante, y después de estas reuniones, cabe considerar, entre otras cosas, pero no limitadas a, las siguientes:

  1. Si la cultura organizacional interviene, ¿dónde queda la política de seguridad de la empresa?
  2. El asunto se complica si consideramos a los terceros en esto – ¿podremos hacer que se sujeten a nuestras reglas/políticas de seguridad o utilicen nuestras herramientas? ¿qué opinan?
  3. ¿Qué opciones tecnológicas podríamos ofrecer –o necesitamos implementar en adición- en estos casos?
  4. ¿Requeriremos (y podremos lograr) una transformación digital?
  5. ¿Cuáles serían las nuevas restricciones?
  6. ¿Propondremos herramientas en la nube –incluidas las redes sociales?
  7. ¿Qué protección brindaríamos y cómo mantendremos la seguridad si utilizamos la nube o redes sociales –y la sincronización de la información para evitar ‘malos entendidos’ o ‘desfase’, o excusas similares?
  8. ¿Qué políticas, normas o procedimientos nuevos estableceremos –o cómo afinamos, agilizamos, flexibilizamos lo existente?
  9. ¿Qué pasa con los cuidados que los propios usuarios debemos tener presente durante el uso de los servicios en nube o de redes sociales, como por ejemplo, a quién entregamos nuestro número de teléfono o correo electrónico?
  10. ¿Qué hay sobre los dispositivos o componentes que dejamos de lado en favor de los nuevos (independiente del motivo del reemplazo)? ¿Tenemos como norma adoptada y accionable destruirlos o borrar su contenido?
  11. Si utilizamos esquemas de comunicación como teletrabajo, ¿cómo garantizamos la identidad del interlocutor? ¿Cómo garantizamos la confidencialidad de la información tratada?
  12. ¿Deberá ser necesaria la firma de acuerdos de confidencialidad?
  13. ¿Podremos controlar que no se utilicen dispositivos (personales o provistos por la empresa) que hayan sido objeto de rooting, jailbreaking u obteniendo de otro modo acceso privilegiado al dispositivo?

En general, no sólo se trata de crear una ilusión de seguridad, es necesario medir la efectividad del esfuerzo. Queda abierto el debate.

¿Quién más desea ser un design thinker?

Para desarrollar una estrategia digital, tendremos que aprender (y usar) nuevas técnicas como el design thinking.

Este método está enfocado en fomentar la innovación en las organizaciones [con base en las personas, en sus conocimientos y en su habilidad por imaginar lo diferente] de una forma eficaz y exitosa.

Las organizaciones que son capaces de crear un clima de Innovación encuentran las grandes ventajas de la participación activa y entusiasta de sus equipos humanos, con ideas nuevas y proyectos motivadores.

Es obvio de lo anterior que el equipo de trabajo es la clave.

Hoy, a medida que el terreno de la innovación se expande para abarcar procesos y servicios centrados en el ser humano, así como productos, las empresas están pidiendo a los diseñadores que creen ideas en lugar de simplemente hacerlas estéticamente atractivas.

El design thinking lleva implícita la necesidad de observar a los usuarios [clientes] con el objetivo de buscar soluciones que se centren en ellos.

Entonces, en el ámbito actual de los negocios, podríamos anotar que es un enfoque en la empatía de los clientes y las soluciones de prototipado rápido a los problemas de los clientes (un sentido de urgencia para evitar que el pez chico se coma al grande), de una forma que sea tecnológicamente factible y comercialmente viable (que se obtenga valor para el cliente). Hablamos, por supuesto, del prototipado de las ideas más prometedoras, y no lo confundamos con el de una pantalla de menú de una aplicación de recursos humanos, por ejemplo.

Tradicionalmente son cinco pasos que se siguen [no precisamente de forma línea]:

  1. Empatizar con las personas que disfrutarán de nuestro trabajo, mediante observación y entrevistas, hay que entenderlas, intentar sentir lo que sienten, identificar lo que les interesa, es buscar descubrir y comprender los supuestos personales y organizacionales y las inclinaciones alrededor de un punto focal –cómo abordo el desafío.
  2. Definir, para identificar cuáles son sus actuales ideas, y poder seleccionar qué necesidades concretas del cliente vamos a solucionar, es identificar e interpretar las tendencias y patrones –cómo interpreto mis hallazgos.
  3. Idear, ya estamos listos para uno de los momentos más atractivos del método, la eclosión creativa para generar ideas (las reglas innegociables en toda sesión de lluvia de ideas son: no criticar las aportaciones de los demás, generar cuantas más ideas mejor y hacerlo en un clima distendido y de diversión profesionalizada), es desarrollar conjuntos de mapas divergentes y provocativos utilizando creatividad, datos, intuición e investigación –qué es lo que creo.
  4. Prototipar, convertir las mejores ideas en diseños reales que las personas puedan ver, tocar y con las que puedan interactuar, es informar esfuerzos de planeamiento de largo aliento, inspirar innovación, y crear hoy el futuro –cómo construyo mi idea.
  5. Testear, con una pequeña muestra, dejar que toquen y experimenten, aguantar la respiración [y esperar pacientemente saber qué funcionó y que no], sin perder la sonrisa, y escuchar sus opiniones finales (la bendita, esperada y preferible retroalimentación) –cómo pruebo y mejoro la idea

Bueno, creo que algunos de nosotros hemos estado utilizando este modelo (independiente a la profesión), por varios años, aunque no le llamamos así; de hecho, no le poníamos nombre y, a mi entender, y en algunos aspectos, es una cuestión de sentido común que se va ganando con la experiencia, compromiso y perseverancia.

No me malentiendan, evidenciarlo ahora, aunque no sea nuevo en concepto, resulta útil para todos, con o sin experiencia.

Design thinking no se trata de crear productos o empresas, sino de tomar medidas concretas para hacer de nuestro mundo un lugar mejor.

Es una forma de pensar, está centrada en las personas, es colaborativa, es optimista, es experimental. Busca una perspectiva adaptable, resistente y transformacional.

¿Gestionas el cambio como un experto?

¿Gestionas el cambio como un experto?

Ya habíamos hablado de gestionar el cambio en una entidad pública. De hecho, también de limitaciones para un apropiado cambio, y máxime si se trata de proyectos.

Tenemos el know-how pero carecemos de la madurez para afrontar el cambio y reconocer dónde empezar.

Muchas veces esto está condicionado por el ambiente y la cultura de la empresa, lo que nos hace fallar y pensar que utilizamos una herramienta o contratamos el personal inadecuado o contratamos un consultor inexperto, y hasta que fuimos estafados –claro, fácil es echarle la culpa al otro ¿verdad?

Las organizaciones deben adaptarse a los cambios de escenario con proyectos cada vez más complejos, y entornos de gran incertidumbre y volatilidad. En toda empresa se realiza periódicamente un esfuerzo por determinar la mejor dirección para el negocio.

La cultura organizacional, su estructura, sus procesos, políticas, procedimientos y hasta sus valores pueden no estar en sintonía con ese cambio que se nos avecina y que demandará una nueva forma de interactuar, de pensar, de actuar.

El establecer controles que antes no existían ocasionará que, en la mayoría de los casos, las personas se resistan y respondan sólo por obligación a las exigencias de la organización.

De hecho, la cultura organizacional cambiará en la medida que cambien las personas y la posición que estas personas adopten frente al cambio, ya que son las personas las que hacen el cambio sostenible en el tiempo.

Una vez identificados los cambios que debemos realizar para asegurar esa dirección (entendiendo la necesidad del cambio y beneficios luego del cambio en el ecosistema de la organización), debemos establecer el valor del cambio y priorizar los principales ajustes (en procesos nuevos -o actualizándolos o complementándolos, procesos que pueden ser medidos, verificados y por ende adaptados en pro de la mejora continua, roles, estructura organizativa si es necesaria), entender a quién alcanza el cambio y cómo le beneficia (a clientes y stakeholders), establecer el compromiso e involucramiento de los participantes (recursos provistos en la oportunidad y cantidad requerida, personal suficiente, apropiado, capacitado, motivado), realizarlos (aplicando las 6W-2H), y mejorarlos.

Es sabido que el trabajo colaborativo genera pertenencia, nos permite apropiarnos del conocimiento, las habilidades y las actitudes que nos hace falta desarrollar para lograr los objetivos planteados. Es necesario entonces un poco de inteligencia emocional en el momento oportuno y de la manera apropiada y personalizada para sensibilizar a las personas ante lo que está por venir y así canalizar sus emociones –o motivación. Es importante entonces desarrollar una estrategia de comunicación y monitorizar la comunicación porque es clave para realizar ajustes cuando sea necesario.

¿Quién desea una TI Bimodal?

¿Quién desea una TI Bimodal?

Según Gartner, bimodal es la práctica de la gestión de dos estilos distintos pero coherentes de trabajo: uno centrado en la previsibilidad; la otra en la exploración.

Revisemos:

  • El Modo 1 (más gobierno, menos cambio) está optimizado para las áreas que son más predecibles y son bien entendidas. Lidiamos aquí con, pero no limitados a, estabilidad, robustez, estándares, planificación cuidadosa, cumplimiento, gobierno, riesgos, eficiencia, seguridad, precisión, disponibilidad, presupuestos, niveles de servicio y requisitos.
  • El Modo 2 (menos gobierno, más cambio) es exploratorio [pero requiere un enfoque riguroso y disciplinado -para que las cosas no se escapen de las manos], experimentando para resolver nuevos problemas, agilidad centrada en el tiempo de lanzamiento al mercado [velocidad], la rápida evolución de la aplicación y, en particular, la estrecha alineación con las unidades de negocio.

En la siguiente figura Gartner gráfica lo anterior:

Estas iniciativas a menudo comienzan con una hipótesis que se prueba y se adapta durante un proceso que implica iteraciones cortas, adoptando potencialmente un enfoque de producto viable mínimo (MVP) -experimentación.

Tengamos presente que un equipo de TI exploratorio no es fácil porque tienes que desafiar el pensamiento convencional [de las personas, claro], aceptar los riesgos [la empresa] y sentirte cómodo con un ritmo de cambio [motivación de todos] que es muy diferente de la forma actual en que opera TI.

Ninguna iniciativa es igual a otra, dadas las particularidades de cada negocio, mercado, o empresa. Cada empresa debe conocer su ecosistema, para adaptarse conforme convenga, e innovar rápidamente para responder a las amenazas y oportunidades.

Sabemos que, en el contexto empresarial, el estilo de trabajo, el modelo de decisión y la gobernanza, son los que hacen la diferencia; por tanto, cada empresa debe evaluar -a través de prueba y error- cómo enfrenta este paradigma, porque seguramente requerirá equipos multidisciplinarios [manpower], consultorías, nuevos contratos de soporte, nuevas negociaciones, nuevas herramientas, nuevos procesos, nuevas competencias, nuevas habilidades, nuevos conocimientos, nuevos recursos, y nuevas capacidades. No dejemos de lado el costo total de propiedad y los niveles de servicio acordados.

Seguramente deberemos considerar incluir cosas como aplicaciones móviles y su desarrollo, experiencia para el lado del cliente, IoT [Internet de las cosas] para obtener cierta experiencia en la captura de grandes flujos de datos y analizarlos desde diferentes dispositivos, ya sean estos dispositivos de consumo, dispositivos industriales, lo que se tenga a mano. Podría acabar ocurriendo que los ingenieros recién entrenados quieren usar nuevas técnicas en sistemas antiguos, y crear silenciosamente work-arounds en lo que se ha conocido como “shadow IT“. Trataríamos entonces de incorporar y estandarizar esta shadow IT y permitir a los innovadores innovar, pero dentro de la estructura corporativa. Esto implicaría una reingeniería de la gestión tecnológica y del papel de la empresa en su implementación.

Pero, tengamos presente que no por utilizar métodos ágiles o DevOps ya somos bimodales. La organización también está involucrada, no solo es un asunto de pura tecnología. Tampoco significa dedicarse a producir código porque se arriesga una mayor complejidad arquitectónica y de aplicación, lo que reduce la agilidad de la empresa. Recordemos que la cadena se rompe por el eslabón más débil, ¿o será que avanzaremos siempre al paso del más lento? [el impacto en los clientes, específicamente, es parte del segundo efecto secundario].

Ambos modos son esenciales, según Gartner, [tienen una relación simbiótica] para crear un valor sustancial, e impulsar un cambio organizativo importante, ninguno es estático y, probablemente, para el futuro tampoco sean suficientes. Combinar [y balancear] una evolución más predecible de productos y tecnologías (Modo 1) con lo nuevo e innovador (Modo 2) es la esencia de una capacidad bimodal empresarial. Ambos modos juegan un papel esencial en la transformación digital.

Sin embargo, el Modo 1 podría erróneamente considerarse negativo [¿desmotivación por creer que debe mantenerse con lo legacy (islamiento), con el día a día, aunque exista la nube?]. Y no vemos que se debería centrar en la explotación de lo que se conoce, pero renovando a la vez el entorno heredado a un estado que es apto para un mundo digital –renovar el core es la clave. De igual modo, el Modo 2 podría considerarse erróneamente positivo, (siempre iterando / ¿arriesgando, sobre simplificando, sin normas, con prácticas no lineales?), y siempre debería siempre estar ¿planeando para el futuro? [¿flexibilidad?, ¿motivación por mantenerse en lo nuevo?]. Capacidad de respuesta frente a estabilidad.

¿Y si cambiamos el ejemplo de los corredores a las velocidades de una bicicleta de carrera? ¿o de blanco y negro al espectro de colores? ¿cuán segregada/dividida/segmentada podrían estar TI? Esto sugiere que este modelo bimodal podría ser una sobre simplificación de lo realmente requerido. Por ejemplo, una mejor alternativa, según John C. McCarthy, analista de Forrester, es que las organizaciones trabajen más para entender sus desafíos y hacer “los cambios necesarios para conducir la simplicidad”. El enfoque en los clientes, más que la velocidad o una disciplina en particular, es el diferenciador crítico en las empresas que están teniendo éxito.

También debemos tener cuidado y considerar que los modos podrían competir inevitablemente por los fondos, recursos, habilidades y la atención de la dirección, sin dejar de lado estándares, disciplina, reducir complejidad, gestionar riesgos, en todo momento. Ambos conceptos pueden funcionar mejor cuando son compartidos por los elementos front-end y back-end del ecosistema de TI. Iterar es bueno, pero con la verificación y la metodología de las TI tradicionales de back-end.