Javier Aznar es miembro del área de IT Advisory y Ciberseguridad en el departamento de Risk Consulting de KPMG España

Los modelos de negocio actuales se basan, cada vez en mayor medida, en la innovación. Con un consumidor cada vez más saturado de productos, opciones y campañas de marketing (más o menos personalizadas) la innovación en los productos, en la oferta final o en los procesos para llegar a su desarrollo puede suponer un punto diferencial.

Dicha innovación se consigue, entre otras acciones, aplicando nuevas tecnologías (emergentes) a la cadena de valor del producto en cuestión. Este camino, que ofrece tremendas oportunidades, no está exento de riesgos, algunos de ellos todavía por explorar, pero quizá sea esta combinación lo que haga que nos planteemos que podemos estar ante un nuevo reto, un reto que si logramos superar, nos permita dar un salto evolutivo. Comencemos.

Lo que dicen los números

Fruto de la encuesta global de KPMG a CEOs, se desprende que un 75% de las empresas están afrontando la adopción de nuevas tecnologías en sus procesos de negocio de manera proactiva, con una visión mayoritaria de esta situación como una oportunidad y no como una amenaza. Digitalización everywhere.

Asimismo, la mayoría de las empresas reconocen haber incorporado en el último año, nuevas capacidades tecnológicas, así como haber analizado sus procesos en busca de poder automatizar determinados servicios.

En el top de tecnologías emergentes, según dicho estudio, tendríamos:

  • Cloud security services.
  • Robot Process automation & Intelligence Automation.
  • Internet of Things.
  • Mobility & Connectivity.
  • Cognitive computing.
  • Blockchain.

Las nuevas tecnologías generan nuevas oportunidades…

La digitalización de procesos internos de negocio, así como su automatización mediante RPAs (Robot Process Automation) se está traduciendo en una significativa reducción de costes y tiempos, redundando en una mejora palpable de la satisfacción de los clientes directos. El acceso a datos más precisos y dinámicamente actualizados, permite una mayor y mejor capacidad en la toma de decisiones.

Del mismo modo, la presencia de sensores y dispositivos interconectados, midiendo el desempeño y transmitiendo información en tiempo real, permiten que al combinarlos con capacidades de análisis y predicción, se puedan evaluar dichos datos de manera más precisa, detectar potenciales problemas o asignar recursos técnicos especializados con el objetivo de poder llevar a cabo acciones preventivas de mantenimiento, reduciendo o, en el mejor de los casos, evitando que se produzcan fallos.

El enfoque de negocio de producto como servicio (product as a service) que de manera exponencial se está extendiendo en prácticamente todos los sectores y mercados, basa su éxito en la utilización de estas tecnologías. La tendencia es clara en los últimos años por lo que si éste es el camino escogido, parece capital centrarse en gestionar los riesgos que puede implicar.

… pero acarrean riesgos que gestionar

Una de las principales conclusiones obtenidas por KPMG en su estudio Disruption is the new norm, fue que si bien las organizaciones estaban convencidas de la utilización de estas tecnologías emergentes en sus diferentes procesos, esta adopción no se estaba llevando a cabo con un correcto enfoque de gobierno y gestión de riesgos. Dados los múltiples vectores que pueden influir sobre estas tecnologías, esta situación puede suponer un problema. Veamos porqué.

De entre los riesgos, los más destacables serían:

La débil alineación que en muchas ocasiones se produce entre la incorporación de estas tecnologías y la estrategia definida por la organización. Recordemos que la tecnología debe ser siempre un medio y no un fin en sí mismo, por lo que es importante mantener el foco, orientándose a la necesidad que marcó dicha adopción.

Otro de los riesgos que pueden comprometer este tipo de iniciativas es no contar con un presupuesto firme y realista que pueda desembocar en una implementación parcial o no alineada con los objetivos. En este sentido es importante remarcar la realización de business cases previos, reflejando el ROI de la iniciativa en común e incluyendo los diferentes casos de usos, interesados y beneficiarios del proyecto.

En tercer lugar tendríamos la falta de capacidades y experiencia técnica. Nuevas tecnologías requieren nuevas capacidades que podrían no estar presentes en la compañía, por lo que la necesidad de incorporar estos recursos quedaría fuera de duda. Otro asunto es si se decide hacer crecer el equipo de manera interna, con capacidades que nos permitan posteriormente evolucionar estos casos de uso o se prefiere contar con ayuda externa puntual, si bien este último enfoque, más ágil, podría agregar riesgos adicionales con terceros.

En cuarta posición nos encontraríamos con regulaciones que en muchos casos son inconsistentes, están desactualizadas o directamente no existen. En función de la industria o del sector, pueden existir múltiples requisitos que cumplir y que no hayan sido adaptados a la misma velocidad que lo ha hecho la tecnología, dando lugar a tableros de juego injustos o complicados, que podrían replantear la viabilidad de la iniciativa. El estudio previo del marco regulatorio debe ser un must antes de lanzarse a este tipo de proyectos.
Por último, no contar con un correcto análisis y proceso de seguridad desde el diseño, así como la evaluación de riesgos y amenazas externas puede desembocar en que, lo que veíamos como una tremenda oportunidad de negocio y/o crecimiento, acabe transformándose en una invitación, con alfombra roja incluida, hasta la cocina de nuestra organización.

A este respecto y como ejemplo específico, tendríamos este artículo de la IAPP, International Association of Privacy Professionals, en el que advierten de que las técnicas de cifrado no serían suficientes para garantizar la privacidad y seguridad de los datos en un entorno de chatbots basado en inteligencia artificial. Ejemplo de lo que comentábamos previamente.

Los riesgos no van a desaparecer ni a dejar de evolucionar, pero debemos ser conscientes de su existencia y conocedores de sus impactos para, de este modo, poder tomar decisiones basadas en los mismos. Cuanto mayor sea nuestra dependencia de la tecnología (análisis de datos, toma automatizada de decisiones, procesos automatizados dependientes de inteligencia artificial, etc.) mayor será nuestra responsabilidad sobre el uso que hacemos de la misma y sus resultados.

LOS RIESGOS NO VAN A DESAPARECER NI A DEJAR DE EVOLUCIONAR, PERO DEBEMOS SER CONSCIENTES DE SU EXISTENCIA Y CONOCEDORES DE SUS IMPACTOS PARA, DE ESTE MODO, PODER TOMAR DECISIONES BASADAS EN LOS MISMOS

Actualización del marco de gobierno y gestión

Para afrontar este reto con la mayor certeza de éxito posible, proponemos una serie de acciones, orientadas a la actualización del marco de gobierno y gestión de estos proyectos, de manera que podamos responder a las expectativas, destacando especialmente:

Categorizar la innovación como algo continuo, planificado junto al resto de iniciativas y con un presupuesto específico. Si le quitamos la categoría de especial que lo puede llegar a aislar de otros proyectos e iniciativas, facilitaremos su adopción en la cultura de la compañía. Gestión del cambio 100%.

Definir el apetito de riesgo. Como decíamos, los riesgos se deben gestionar, definiendo el nivel de aceptación y apetito, que es lo que marcará la flexibilidad de la compañía. Quizá estos niveles deban ser dinámicos, tanto por línea temporal como por área de negocio, pero marcarán si la organización responde y cuándo ante un determinado riesgo.
Pasar de un enfoque de gobierno basado en reglas a uno más flexible pero con límites definidos. La innovación requiere flexibilidad para que pueda amoldarse a la estructura de la compañía, para ello es necesario que en vez de reglas estrictas ofrezcamos mayor flexibilidad para facilitar la adopción, pero siempre dentro de unos límites, marcados principalmente por el apetito de riesgo.

Creación de un comité para el gobierno de iniciativas de innovación tecnológica. Necesitaremos compromiso y sponsorship a todos los niveles, así como seguimiento, control y medición de avances y niveles de implementación. Un comité, con perfiles cross de la organización y una oficina de proyecto como facilitadores.

Agregar el concepto de security by design desde las primeras fases de ideación de los proyectos y definir procesos de revisión y prueba periódica de la seguridad. Queremos progresar y queremos que la innovación sea uno de los motores de nuestra organización, pero no podemos permitirnos que esto se vuelva en nuestra contra y acabe dinamitando la reputación de nuestra compañía. Para ello es básico incluir los requisitos de seguridad desde las fases más incipientes, tanto a nivel de desarrollo, arquitectura, infraestructura, medidas específicas y capacidades de respuesta a incidentes. Del mismo modo, la prueba y testeo periódicos ayudarán a reforzar el proyecto y obtener garantías, en muchos casos, que nos facilitarán su despliegue o salida al mercado.

Corolario

Las nuevas tecnologías con sus múltiples usos y ventajas pueden ayudar a acelerar determinados negocios con crecimientos y desarrollos sin precedentes. Igualmente, el control sobre los riesgos asociados a estas tecnologías emergentes y la ciberseguridad deben ir de la mano para garantizar que estos proyectos alcanzan las expectativas, en otro caso, dicha innovación podría ser contraproducente y provocar un efecto opuesto al deseado.