¿A qué nos referimos con multivelocidad? Se trata de un estado objetivo para las operaciones, el cual reconoce que no todos los equipos o partes de la empresa trabajarán a la misma velocidad y, por ende, sus contrapartes en ciberseguridad deben alinearse a esta nueva realidad. Las tecnologías, las estructuras de los equipos, los stakeholders y los métodos de delivery empleados en toda la empresa conforman un panorama que no puede ser fácilmente forzado en una o incluso dos velocidades.
En lo que respecta a la importancia de la multivelocidad, los CIOs entienden el porqué, pero no necesariamente el cómo. Una encuesta de Accenture realizada a 900 ejecutivos a nivel mundial reveló que 88% creía que el área de TI debe ampliar su alcance y seguir el ritmo de las necesidades cambiantes del negocio. Sin embargo, 81% declaró que no sabe cómo operar eficazmente mientras apoya múltiples objetivos simultáneamente.
Las TI de multivelocidad es un enfoque que ayuda a elegir el modelo más adecuado para cada servicio o equipo, reduciendo las dependencias entre ellos. Requiere que los CISOs cambien de marcha, de modo que sus equipos puedan introducir modificaciones de forma dinámica y que respondan a las necesidades de cada área de negocio.
La multivelocidad surge de la necesidad de introducir agilidad en el modelo operativo, lo que no equivale necesariamente a adoptar métodos ágiles ni hacer las cosas lo más rápido posible. El riesgo es que la multiplicidad de métodos de delivery en una misma organización de ciberseguridad, puede hacer que las diferentes metodologías choquen a nivel de proyecto (equipo), programa (producto) o cartera, es decir, los arquitectos y servicios de seguridad deben adoptarse y entregar la respuesta correcta en los tiempos adecuados a cada equipo. Si no se considera esto último, los beneficios de adoptar un enfoque de ciberseguridad de varias velocidades podrían perderse, con un resultado aún peor que el de adoptar una sola metodología.
Un ejemplo de esta multivelocidad son, por un lado, servicios como la gestión de vulnerabilidades que no responderán a una metodología ágil, sino más tradicional, con ventanas de ejecución, análisis de impactos y gestión de excepciones. Pero, por otro lado, la misma gestión de vulnerabilidades en el ciclo de desarrollo de un producto se debe integrar de forma ágil, con modelamiento de amenazas en los “inception” o “daily meetings”, análisis en línea de vulnerabilidades e incluso integrando tecnologías para apoyar el desarrollo continuo con Devsecops.
Cuatro factores principales
Para impulsar un proceso bien planificado y ejecutado de multivelocidad, es importante tener en cuenta cuatro factores principales. Primero, reconocer el viaje. Toda la organización debe estar consciente de que se está llevando a cabo una transición a un nuevo modelo operativo y, por ende, tendrá diferentes niveles de servicio y apetitos de riesgo.
En segundo lugar, la gobernanza es fundamental. Los gestores de cartera y los equipos centrales de ciberseguridad pueden y deben integrarse y ser parte del debate sobre el nuevo modelo operativo de destino, para no bloquear inadvertidamente a los equipos a los que apoyan.
Tercero, establecer formas de trabajo claras. Es esencial el rigor en torno a los procesos y la adopción de métodos de entrega reconocidos. Se debe considerar qué equipos se beneficiarían de una metodología concreta y asegurarse de que existan las condiciones para su éxito.
Finalmente, se deben establecer expectativas razonables. Muchas organizaciones no empiezan a cosechar los beneficios de la agilidad durante los dos primeros años, aunque los beneficios a largo plazo sigan siendo claros.
Durante cualquier transformación, las diversas áreas de la empresa avanzarán a diferentes velocidades hacia la agilidad y tendrán variados objetivos. Por eso la multivelocidad es el presente y futuro de TI y los negocios.