Hace medio siglo, la mayoría de las corporaciones eran nativas del papel: todos sus procesos de negocios se ejecutaban en papel, desde las funciones administrativas (contabilidad) hasta las funciones de comercialización (ventas y marketing). Sus negocios eran nativos de la ubicación: los ingresos a menudo se generaban en algún tipo de transacciones de persona a persona, respaldadas por ese back office nativo en papel.
A medida que las computadoras, y luego las redes, se volvieron populares y asequibles, las empresas pasaron de ser nativas del papel a ser nativas de la computación y, en algún momento, nativas de la red. No se podría concebir una empresa que no construyera, como una de sus primeras órdenes del negocio, una red tanto para sus servidores como para sus usuarios finales y les proporcionara computadoras como herramienta principal para realizar su trabajo. El rápido ritmo de la innovación en el ecosistema de la información moderno impulsó el ascenso del CIO, primero como ejecutivo para gestionar sistemas, pero luego como líder de una organización de TI para respaldar la transformación digital de los procesos de negocio.
Pero la TI es cara y no sólo en hardware, software y licencias. El soporte al usuario, la gestión de cambios y la gestión de proveedores generan costos cada vez mayores para una empresa, y todos esos gastos recaen en una sola persona: el CIO. Cada vez más, los CIO se ven presionados a reducir costos más que a impulsar la innovación (en algunas empresas, los CIO reportan al CFO, lo que solidifica este mandato). El CIO se convierte en la personificación corporativa de la regla 80/20: satisfacer el 80% de las necesidades con el 20% del gasto.
Shadow IT da origen al CISO
Esto sucede justo en el momento en que el auge de Internet desplaza los flujos de ingresos corporativos de los servicios en persona o de los centros de llamadas a Internet. Incluso cuando el back office se ha vuelto nativo de la red, las aplicaciones que impulsan el negocio comienzan a ser nativas de Internet. Con los CIO impulsados a reducir costos, los equipos de TI se volvieron menos ágiles en respuesta a demandas novedosas. El surgimiento de plataformas innovadoras, desde el comercio electrónico hasta las aplicaciones, fue liderado por equipos de ingeniería: las primeras aplicaciones de TI en la sombra. Al no contar con el soporte de TI, estas aplicaciones rápidamente se volvieron críticas. Los profesionales de la seguridad abordaron sus desafíos de seguridad y nació el CISO.
Durante gran parte de los últimos 20 años, esta dinámica se ha mantenido: el CIO posee un dominio grande, a menudo monolítico, mientras que el CISO se ocupa de proteger el entorno caótico de la TI en la sombra. Hay cierta superposición (como la propiedad de la seguridad de TI), pero en general, este ha sido un modelo estable. Luego vino la nube.
La nube desafía el modelo CIO
El ascenso de la empresa nativa de la nube fue el primer golpe al modelo tradicional de CIO. Las aplicaciones salieron de la red corporativa y se crearon sobre un entorno informático de terceros en el entorno de un proveedor de servicios en la nube. Los equipos de TI ágiles cambiaron, convirtiéndose en una forma de servicios profesionales internos, que brindan soporte técnico a los equipos que realizan esa transición, y muchos se encuentran ahora en una función de «devops en la nube». En otros casos, los equipos de ingeniería propietarios de esas aplicaciones están (para bien o para mal) administrando sus propios entornos de nube y eliminando por completo el soporte de TI.
Lo nativo de la nube parece ser el último paso (por ahora) para las actividades generadoras de ingresos después de lo nativo de la ubicación y lo nativo de Internet. La revolución SaaS para las actividades corporativas tiene el potencial de ser el golpe mortal para la división CIO/CISO. El formato nativo del papel se convirtió en nativo de la red y ahora se encamina a ser nativo de SaaS: cada aplicación que respalda las actividades corporativas centrales, desde recursos humanos hasta finanzas y marketing, ahora está disponible en el ecosistema SaaS. SaaS es lo último en TI en la sombra: servicios que sus usuarios finales pueden adquirir fácilmente y desplegar en momentos, requiriendo poco soporte de TI más allá de la integración con un proveedor de identidad.
Soporte SaaS = soporte de seguridad
La rápida adquisición y migración de proveedores plantea muchos riesgos, lo que ya está llamando la atención del CISO. Como la mayoría de las actividades tradicionales de soporte de aplicaciones basadas en TI son manejadas por proveedores de SaaS, la principal necesidad de soporte de SaaS es el soporte de seguridad, y sería un desperdicio para las empresas tener un CIO y un CISO que brinden ese soporte por separado.
Ya vemos esto en las empresas jóvenes. Es más probable que vea a un director de seguridad manejando tanto TI como seguridad, ya que resolver problemas de seguridad se considera el principal impulsor del soporte de TI personalizado. A medida que esas empresas crezcan, es probable que ese rol permanezca unido y solo habrá un ejecutivo de nivel C de TI/seguridad en la organización. El último bastión del CIO puede ser la gestión de portátiles, pero con Apple, Google y Microsoft brindando un excelente soporte y los proveedores de EDR asumiendo cada vez más tareas administrativas, ¿cuánto tiempo durará un CIO que no asuma la supervisión de la seguridad?
Carreras, CSO y CISO, Liderazgo de TI
Enlace fuente