El riesgo se ha vuelto loco

Los sistemas IT tienen cada vez más el potencial de lanzar desastres en cascada, provocados por los incidentes más triviales. Se necesita un nuevo tipo de cultura de la gestión del riesgo, advierten estos profesores de Carnegie Mellon, para protegerse de eventos tan extremos, pero ya no impensables.

••• A finales de 2007, los trabajadores del gobierno del Reino Unido perdieron dos discos de ordenador con datos personales y bancarios de aproximadamente 25 millones de residentes, información con un valor estimado en el mercado negro de 2,5 mil millones de dólares. A principios de 2008, un fracaso en un centro de datos subcontratado en Dinamarca interrumpió las operaciones de sus clientes: dejó sin efecto la red de cajeros automáticos de un importante banco e impidió la entrega de leche en todo el país. Luego, en septiembre pasado, un fallo de la red dejó de cotizar en la Bolsa de Londres en lo que habría sido uno de los días más ocupados del año. Todos estos son casos de lo que llamamos «eventos extremos impulsados por la tecnología»: desastres improbables y difíciles de prever en los que la IT suele desempeñar un papel protagonista. Hasta hace poco, el riesgo de estos eventos a gran escala parecía infinitesimal, por lo que las empresas prestaban poca atención a mitigarlos. Pero esas calamidades se han vuelto cada vez más comunes y están prácticamente garantizadas por el papel cada vez mayor y fundamental de la IT en la empresa. La IT solía estar aislada en silos en una sola empresa. Sin embargo, los sistemas modernos no solo interconectan todos los aspectos de una empresa, sino que a menudo tienen enlaces en tiempo real a los sistemas de proveedores y clientes. Esta apertura y difuminación de límites, al tiempo que crea eficiencias y permite nuevos modelos de negocio, permite que los errores se propaguen en cascada entre empresas y geografías, aumentando su impacto a medida que se propagan. También puede, a menudo sin querer, conferir a pequeños grupos de empleados el poder de tomar medidas que vayan mucho más allá de su ámbito de competencia. Cuando eso sucede, los errores menores pueden convertirse instantáneamente en catástrofes. En un caso reciente, el error de escritura honesto de un empleado de corretaje transformó una operación de 4 millones de dólares en una operación de 4 000 millones de dólares, lo que contribuyó a una caída del 2,36% en el S&P 500 ese día. Considere también la venta por parte de Sony de 6 millones de CD de música con software antipiratería que, sin darse cuenta, expuso a los consumidores a los piratas informáticos, lo que dio lugar a una avalancha de mala publicidad y demandas. Las estrategias estándar de gestión de riesgos son demasiado anticuadas para ayudar a las empresas a contener los riesgos catastróficos relacionados con la TI. Estas estrategias tienden a suponer que los riesgos se comprenden bien y que la posibilidad de eventos extremos es pequeña. Como resultado, las organizaciones suelen concentrarse en asegurarse de que cuentan con buenas políticas y procedimientos para gestionar los riesgos conocidos y utilizan procesos de alta calidad para crear y operar IT. Pero este enfoque anticuado puede evitar que las empresas vean nuevos riesgos. ¿Cómo identifica los eventos que, por definición, son difíciles de anticipar? Comience por inculcar de arriba hacia abajo una cultura organizativa que anime a los empleados a hacerse cargo de los riesgos y sopesar sus posibles recompensas y peligros. Esto significa modelar los riesgos y analizar su impacto en la empresa y, lo que IT aún más importante, hacer que el proceso sea integral tanto en los sistemas de gestión de riesgos corporativos como en todas las fases del desarrollo de los sistemas informáticos. La cultura debe animar a los empleados a plantear las preocupaciones sobre el riesgo desde el principio, sobre todo cuando la IT se aplica de nuevas formas. Esa mentalidad faltaba en la Société Générale en 2007, cuando los empleados que se percataron de las irregularidades comerciales no informaron a la dirección del banco porque, como señalaba un informe de los propios investigadores del banco, «esto no formaba parte específicamente de la descripción de su trabajo». Más tarde, el banco informó de una pérdida de 7,3 mil millones de dólares, que supuestamente se debió a transacciones no autorizadas de un empleado, Jérôme Kerviel. Es fundamental que la consideración de los eventos extremos forme parte del proceso de desarrollo tecnológico. Esto garantiza que los riesgos reales se ponderen adecuadamente en el diseño de IT y en los cálculos del ROI. La cultura adecuada puede transformar las batallas sobre el riesgo entre los optimistas tecnológicos y los detractores en un diálogo centrado sobre la naturaleza del riesgo y cómo gestionarlo. Hay muchas maneras de reducir y cubrir los riesgos relacionados con la TI, y desarrollar cuidadosamente una estrategia para abordar esos peligros desde el principio puede mitigarlos sin comprometer la recompensa.