Mitigación de los riesgos ocultos de la transformación digital -

Las empresas buscan aprovechar cualquier ventaja tecnológica que puedan a medida que se adaptan a las nuevas formas de trabajar, administrar empleados y atender a los clientes. Están avanzando más hacia la nube, el comercio electrónico, las cadenas de suministro digitales, la inteligencia artificial (IA) y el aprendizaje automático (ML), el análisis de datos y otras áreas que pueden brindar eficiencia e innovación.

Al mismo tiempo, las empresas están tratando de administrar el riesgo, y las mismas iniciativas digitales que crean nuevas oportunidades también pueden generar riesgos tales como infracciones de seguridad, fallas en el cumplimiento normativo y otros contratiempos. El resultado es un conflicto continuo entre la necesidad de innovar y la necesidad de mitigar el riesgo.

Siempre habrá cierta tensión relacionada con la gestión de riesgos y la participación en el trabajo de transformación digital, dice Ryan Smith, CIO del proveedor de atención médica Intermountain Healthcare.

Intermountain Healthcare

Ryan Smith, director de información, Intermountain Healthcare

A medida que las organizaciones giran para aumentar el nivel de acceso digital ofrecido a los consumidores y miembros de la fuerza laboral que involucran información personal y comercial, se crean formas de riesgo completamente nuevas que deben mitigarse en comparación con las formas tradicionales de hacer negocios, dice Smith. Estos nuevos modelos de compromiso, habilitados a través de la transformación digital, requieren diferentes enfoques de gestión de riesgos.

Aquí hay cuatro áreas clave en las que los esfuerzos de transformación digital pueden presentar riesgos, y cómo las organizaciones pueden abordarlos.

Infraestructuras de nube híbrida o multinube

Más organizaciones están cambiando a entornos de TI respaldados por múltiples servicios en la nube, a menudo de más de un proveedor. Esto puede incluir ofertas de software como servicio (SaaS), plataforma como servicio (PaaS) o infraestructura como servicio (IaaS).

Independientemente de los tipos de nubes que se utilicen, alojar datos y aplicaciones vitales fuera del propio perímetro defensivo de la organización presenta un riesgo considerable, especialmente cuando están involucradas varias ubicaciones, servicios o proveedores. Además de la pérdida o el robo de datos, las empresas pueden tener problemas con las normas de privacidad de datos, sin mencionar el riesgo de sobrecostos que resultan de las malas prácticas de administración de la nube.

Los riesgos más frecuentes que vemos aquí involucran la gobernanza de los entornos de nube: ¿Qué proveedor de nube? ¿Qué protocolo? Umbrales para la creación, utilización, tamaño, etc., para que los entornos optimicen el uso, dice Ola Chowning, socia de la firma de investigación y asesoría tecnológica ISG, y agrega que es mucho más fácil abordar problemas de gobernanza como estos desde el principio. en lugar de post-implementación.

Cervelló

Emal Ehsan, directora, Cervelló

Una estrategia multinube tiende a traer una mayor complejidad y herramientas de gestión y automatización inconexas, dice Emal Ehsan, director de la consultora de análisis de negocios Cervello, una unidad de la firma de consultoría de gestión global Kearney. Esa complejidad puede introducir riesgo de avería en las operaciones.

Además, históricamente los servicios de TI se adquirían en centros de datos operados y propiedad de la empresa, y TI supervisaba el proceso de adquisición. Ahora, los usuarios comerciales pueden comprar e implementar fácilmente servicios en la nube como PaaS sin revisiones de arquitectura o seguridad, dice Smith de Intermountain. Los líderes empresariales y de TI deben mitigar esto controlando qué servicios están activados y disponibles para los usuarios.

Una mejor práctica es garantizar que para todos los servicios en la nube solicitados, estén sujetos a revisiones de arquitectura y seguridad adecuadas en cualquier plataforma de proveedor IaaS, PaaS o SaaS, antes de ser aprobados para su uso en la empresa, dice Smith. Se deben establecer pautas y medidas de seguridad antes de que se puedan proporcionar herramientas de proveedores de nube pública a la organización, incluido el monitoreo continuo de todo el uso.

TI, ciberseguridad y legal deben trabajar juntos para mantenerse al frente de todos los esfuerzos de los usuarios comerciales para adquirir y consumir nuevos servicios en la nube, dice Smith.

Cadenas de suministro y canales de venta digitales

Las empresas confían cada vez más en una variedad de tecnologías para mejorar y administrar sus cadenas de suministro, incluida la conectividad digital de extremo a extremo, los servicios en la nube, la cadena de bloques, la robótica, los vehículos autónomos y las herramientas de análisis avanzadas, entre otras.

Esta transformación digital de la cadena de suministro puede aumentar la eficiencia y la visibilidad, reducir los errores y los costos, mejorar la colaboración con los socios comerciales y mejorar los procesos. También puede introducir riesgos, incluida la pérdida de datos.

Las partes involucradas en los servicios digitales de empresa a empresa (B2B) pueden emplear numerosas técnicas de mitigación de riesgos, dice Smith. Esto incluye el desarrollo de acuerdos comerciales integrales con socios que aborden los diversos riesgos y responsabilidades. Las empresas también pueden establecer controles de ciberseguridad y privacidad de datos para garantizar que la transmisión y el almacenamiento de datos sean seguros.

Las empresas generalmente requieren que estas conexiones B2B sean monitoreadas para garantizar que se cumplan las políticas y los procedimientos, dice Smith. Además, las mejores prácticas recomiendan que se realicen evaluaciones de riesgo de terceros frecuentes para garantizar que todos los participantes en la cadena de suministro digital cumplan con los requisitos y estándares de seguridad y privacidad de la industria.

ISG

Ola Chowning, socio, ISG

Las empresas también confían más en los canales de ventas digitales, como el comercio electrónico, el correo electrónico, los mensajes de texto, las aplicaciones móviles y los eventos en línea para llegar a clientes o prospectos.

Los riesgos que a menudo vemos aquí la falta de claridad en torno a una estrategia multicanal, o si se pasa completamente a lo digital, la falta de estrategia para permitir el cambio por parte del socio, cliente, consumidor en el otro extremo, dice Chowning. Sin una estrategia completamente delineada y que impulse las prioridades y las inversiones, las organizaciones pueden encontrarse en una situación de prioridades en constante cambio en la que, efectivamente, ninguno de los canales progresa.

Algunos esfuerzos para crear múltiples canales digitales incluso se han convertido en una forma de lucha interna, dice Chowning. Hacer que los múltiples canales sean responsabilidad de un solo equipo de liderazgo suele ser una estrategia de mitigación muy importante para ayudar a evitar esto.

Internet de las cosas (IoT)

Las empresas de manufactura, atención médica, comercio minorista y otros sectores han comenzado a implementar tecnologías IoT en masa para rastrear la ubicación de los activos, monitorear el rendimiento del equipo, recopilar datos sobre el uso del producto y más.

Los beneficios potenciales son convincentes, incluidas cadenas de suministro y fábricas más eficientes, mantenimiento mejorado de equipos y productos, mejores experiencias de los clientes y reducciones de costos al evitar la pérdida de bienes. Pero los riesgos también son altos. Los ataques de denegación de servicio distribuidos, por ejemplo, ya se han atribuido a los dispositivos conectados, y las estrategias de IoT introducen numerosos puntos de entrada para la piratería, incluidos los propios dispositivos conectados.

Los dispositivos conectados dentro de la empresa pueden incluir potencialmente cualquier cosa, desde sistemas HVAC hasta servidores y otros equipos de TI, vehículos, sistemas de iluminación, termostatos, electrodomésticos y más. Las organizaciones deben buscar formas de proteger y mitigar el riesgo de los dispositivos en red para limitar las conexiones que estos dispositivos tienen con otros dispositivos, dice Smith, y en algunos casos ubicarlos en redes separadas.

Además, se debe hacer un esfuerzo especial para coordinar de cerca con los fabricantes de dispositivos para ayudar a garantizar que estos tipos de dispositivos se mantengan actualizados para la aplicación de parches y tengan los controles apropiados para protegerlos, dice Smith.

Otras mejores prácticas incluyen exigir a los fabricantes de dispositivos a través de contratos que proporcionen formas de mantener los dispositivos actualizados y seguros; y

escanear redes corporativas para detectar dispositivos IoT en busca de signos de actividad sospechosa.

Automatización y análisis

Las empresas se esfuerzan por automatizar los procesos manuales que consumen mucho tiempo y mano de obra, ya que buscan acelerar las operaciones, reducir los errores y reducir los costos.

Las tecnologías como la IA y la automatización de procesos robóticos (RPA) pueden ayudar a automatizar tareas como la entrada de datos, mejorando así drásticamente la forma en que se manejan los procesos comerciales, pero también pueden presentar riesgos.

Los principales componentes de riesgo con análisis, IA y ML son los conjuntos de datos que utilizan los científicos de datos para entrenar los modelos y las plataformas donde se generan esos modelos, dice Smith.

Las mitigaciones de riesgos van desde tener contratos bien elaborados para administrar asociaciones de big data, hasta limitar los datos utilizados en conjuntos de datos al mínimo necesario y usar datos anónimos cuando sea posible, dice Smith.

Parte del riesgo de la automatización puede provenir de la incapacidad de escalar lo suficientemente rápido o cumplir con las expectativas.

El ecosistema de automatización está experimentando cambios significativos en este momento, dice Ehsan de Cervello. Mirando hacia atrás, comenzó con la subcontratación de procesos, luego la optimización de procesos (Lean, Six Sigma) hasta RPA. Lo que estamos viendo ahora es una convergencia de RPA e IA para resolver problemas comerciales complejos.

Esta congruencia de IA y RPA está abriendo nuevas posibilidades y casos de uso que no eran posibles en el pasado, dice Ehsan, como el procesamiento inteligente de documentos con una capacidad de 175 mil millones de parámetros de aprendizaje automático, o el uso de redes neuronales y aprendizaje profundo para detectar anomalías en las transacciones.

Las organizaciones deben establecer expectativas de automatización desde el principio e involucrar a las partes interesadas tanto del negocio como de TI para crear conciencia sobre los posibles beneficios, capacidades y usos de la automatización, dice Ehsan. Luego, deberían introducir pilotos rápidos, pequeños y de corto plazo que se centren en los beneficios.

Aproveche los recursos altamente calificados desde el principio mediante la contratación de personal o la contratación de consultores para implementar la gobernanza, los marcos, la gestión del cambio y la comunicación, las plantillas, el compromiso comercial, la formación de casos comerciales y el cálculo del ROI , dice Ehsan.

Mitigación de riesgos digitales en acción

Con cualquier iniciativa de transformación digital, las organizaciones deben evaluar minuciosamente los riesgos, incluidos los asociados con las plataformas tecnológicas que utilizarán, a través de la colaboración entre TI, seguridad, gestión de riesgos, legal y otras partes interesadas. Al determinar cuáles son los mayores riesgos, los líderes de TI y seguridad pueden abordar las iniciativas de transformación con esa perspectiva en mente.

industrias del parque

David Lloyd, director de TI, Park Industries

Park Industries, un proveedor de sistemas de fabricación, tiene varios esfuerzos de transformación digital en marcha, incluida la automatización de procesos comerciales, la integración de sistemas empresariales, las migraciones a la nube y el análisis de datos relacionados con IoT.

La seguridad de la información y la calidad de los datos son dos de los mayores riesgos cuando se trata de estas iniciativas de transformación, dice David Lloyd, director de TI de Park Industries. Tener una estrategia general de datos que incluya seguridad, privilegios basados ??en roles, así como la identificación de fuentes únicas de verdad, ayuda a mitigar estos riesgos.

La mayoría de las organizaciones reconocen que aprovechar la nube, la IA, el IoT y otras tecnologías puede brindar beneficios sustanciales, como una mayor agilidad comercial, una mayor escalabilidad de los servicios y costos reducidos, dice Smith. Sin embargo, se deben implementar técnicas de gestión de riesgos completamente nuevas para respaldar estas capacidades transformadoras, dice.

A continuación, lea esto

10 resoluciones de TI para 2022
11 mentiras que los CIO se dirán a sí mismos en 2022
Las 15 conclusiones principales de los líderes de TI de 2021
7 inversiones importantes en el presupuesto de TI y 4 frías
7 errores de arquitectura empresarial a evitar
Los 13 puestos de TI más difíciles de cubrir
7 tendencias calientes de transformación digital y 3 frías
Las 7 métricas de TI más importantes
7 comportamientos de equipo tóxicos que los líderes de TI deben erradicar
10 habilidades clave para una estrategia de nube exitosa

Transformación Digital
Seguridad
Gestión de riesgos

Autor: Bob Violino, escritor colaborador

Bob Violino es un escritor independiente que cubre una variedad de temas de tecnología y negocios.

Historias recientes de Bob Violino:

¿Dropbox? ¿Cuándo está bien decir 'sí'?
Protegiendo a su principal objetivo de ciberseguridad: Ejecutivos
Cómo integrar mejor la seguridad de TI y la estrategia de TI

Los 7 principales desafíos que enfrentarán los líderes de TI en 2022

¿Cuáles son los riesgos de la transformación digital?

Hemos considerado 10 áreas de riesgo: estratégica, tecnológica, operativa, de terceros, regulatoria, forense, cibernética, resiliencia, fuga de datos y privacidad, como el panorama de riesgo en cualquier ecosistema digital.