Nota: Hacemos nuestro mejor esfuerzo por preservar el espíritu original y los matices de nuestros artículos. Sin embargo, nos disculpamos de antemano por cualquier falla de traducción que pueda notar. Agradecemos sus comentarios en reader_input@mckinsey.com
Durante el pico de la era del “mundo es plano” en la década de 1990 y principios de los 2000, la globalización prometía nuevas eficiencias y oportunidades. Durante ese período, los directores de tecnologías de la información (CIOs) reconstruyeron sus funciones tecnológicas para beneficiarse de la infraestructura distribuida, las redes globales y los centros de talento con el fin de mejorar la eficiencia y reducir los costos. Este impulso globalizador llevó a las empresas a personalizar sus capacidades de tecnología de la información (TI) para los mercados locales, creando organizaciones informáticas muy fragmentadas y complejas con personal y activos repartidos por todo el mundo.
Sin embargo, en la última década, los acontecimientos geopolíticos han sometido a una enorme presión ese modelo operativo global de TI. Por ejemplo, más del 70 por ciento de los países cuentan con sus propias leyes de protección de datos y privacidad, lo que genera una fragmentación considerable.1 El robo de datos y los ciberataques, algunos de ellos bajo la dirección de Estados, se han intensificado. De hecho, se prevé que el daño anual causado por los ciberataques alcance alrededor de $10.5 billones de dólares durante 2025, lo que representa un aumento del 300 por ciento con respecto a los niveles de 2015.2 Las políticas industriales y comerciales que favorecen a los proveedores locales han creado una mayor dependencia de las operaciones locales, lo que aumenta la complejidad y el costo de la adquisición y las operaciones de TI.
Más perspectivas de McKinsey en Español
Mire nuestra colección de artículos en Español y suscríbase a nuestro newsletter mensual en Español.
Las políticas y los modelos actuales de TI no suelen estar a la altura de la tarea de abordar la magnitud (y el ritmo) del riesgo geopolítico. Los CIOs que deseen navegar con éxito estos desafíos tendrán que revisar sus prácticas de gestión de riesgo actuales, desarrollar nuevas y reequilibrar su presencia global y su modelo operativo. Esto incluye sentarse a la mesa con los líderes empresariales para ayudar a dar forma a las decisiones en torno al riesgo geopolítico, no solo en términos de las implicaciones para los activos tecnológicos, sino también de las implicaciones del riesgo tecnológico para la propia empresa.
Es el momento adecuado para realizar estos cambios. El riesgo geopolítico es un tema prioritario para los ejecutivos, lo que genera un amplio impulso y apoyo para que los líderes tecnológicos aborden estas cuestiones (Gráfica 1). Actuar con previsión también puede ofrecer a las empresas la ventaja de ser las primeras en moverse, al asegurar opciones en materia de datos, ubicación o talento cuando es probable que los precios sean mejores que en el momento en que se produzca un evento de riesgo, cuando las empresas se apresuran a competir por recursos limitados. En muchos casos, las empresas ya están pensando en cómo reequilibrar sus activos tecnológicos para hacer frente a la realidad del entorno actual. Incorporar el riesgo geopolítico en esas decisiones puede ayudar a los CIOs a tomar medidas más eficaces.
¿Dónde se encuentran los activos y las personas más importantes para el negocio, y qué tan expuestos están a las fuerzas geopolíticas?
La visión tradicionalmente funcional de los objetivos de riesgo tecnológico, como la disponibilidad, la entrega y el tiempo de actividad, no es suficiente para abordar el riesgo geopolítico. Una empresa puede superar una prueba de ciberataques, pero no una de concentración de activos, por ejemplo. Los CIOs deben ampliar su visión del riesgo desarrollando una perspectiva mucho más amplia de los posibles modos de fallo, más allá de la simple disponibilidad y continuidad (por ejemplo, el robo de datos, la inserción de código o datos maliciosos, y la manipulación), dónde se encuentran sus activos (y los de sus proveedores) y dónde trabajan las personas que los gestionan.
Por sí solo, este tema daría lugar a un ejercicio bastante básico (aunque no sencillo) de mapeo de activos tecnológicos. Sin embargo, para que sea significativo y práctico, los CIOs y CTOs (directores de tecnología) deben centrarse en qué activos y equipos respaldan las funciones críticas del negocio y tener una visión lo suficientemente detallada de sus activos y su personal como para comprender cuáles son las verdaderas vulnerabilidades de sus empresas. Esto puede ser una tarea engañosamente difícil. Muchos líderes tecnológicos pueden tener una falsa sensación de seguridad porque quizá sepan dónde se encuentran su personal y sus activos de infraestructura en una región determinada, pero no necesariamente qué capacidades empresariales respaldan esos activos ni si esas capacidades son críticas para el negocio.
En estrecha colaboración con los líderes empresariales, los CIOs deben clasificar sus activos tecnológicos para desarrollar una visión 80/20 de lo que es importante para la empresa. Si se cae un sistema que gestiona los menús de las cafeterías de una empresa o se interrumpe el que registra las bajas por enfermedad de los empleados, la empresa puede seguir funcionando. Pero si se cae el sistema que gestiona los pagos o las ventas por comercio electrónico, sería catastrófico. Esos son los sistemas y las capacidades en los que deben centrarse los CIOs.
Sin embargo, comprender la verdadera naturaleza de las vulnerabilidades de esos sistemas de alta prioridad requiere que las empresas tengan un conocimiento suficientemente detallado de los flujos de valor (el conjunto de procesos de principio a fin necesarios para obtener un resultado). Esto es especialmente cierto en un mundo en el que los activos tecnológicos son muy complejos y dependen de los proveedores (y de los proveedores de estos) para algunas de sus partes.
Por ejemplo, en el ciclo de vida del desarrollo de un nuevo producto de banca de consumo, la tecnología es un componente de cada fase: diseño, pruebas, producción, escalado y distribución. Un banco de consumo deberá identificar cada activo tecnológico, o nodo, a lo largo de ese ciclo de vida y comprender dónde se encuentra y cuáles son los requisitos locales. En este caso, eso podría significar saber que una base de datos necesaria para probar un producto se encuentra en China y está sujeta a las regulaciones de ese país.
El resultado de este esfuerzo es un mapa de las concentraciones geográficas de talento y tecnología específicas para cada uno de los flujos de valor más importantes de una empresa.
¿Qué podría salir mal, o ya está saliendo mal?
El aumento de los titulares sobre conflictos globales, inestabilidad comercial y el incremento de las regulaciones relacionadas con la inteligencia artificial (IA) y los datos significa que muchos CIOs y CTOs ya están pensando en varios modos de fallo. Sin embargo, el problema principal es que estas consideraciones tienden a ser reactivas y de alcance limitado, lo que crea puntos ciegos para la mitigación del riesgo geopolítico. En concreto, los líderes tecnológicos deberían evaluar nueve tipos de modos de fallo derivados del riesgo geopolítico, entre los que se incluyen una arquitectura vulnerable a la interrupción de nodos y enlaces, una concentración excesiva de activos en una o pocas geografías, y la limitación del conocimiento y el uso de los datos debido a las normativas de privacidad (Gráfica 2).
Estos modos de fallo se convierten en la base para desarrollar de forma sistemática escenarios para los flujos de valor prioritarios. Estos escenarios tienen en cuenta la huella geográfica y se basan en preocupaciones operativas específicas o en tensiones geopolíticas crecientes (como las barreras comerciales emergentes) que un CIO podría querer investigar más a fondo. En algunos casos, las empresas encargan escenarios altamente personalizados a especialistas en riesgos geopolíticos para ayudar a concretar las opciones.
Es importante darse cuenta de que algunos de estos modos de fallo no están simplemente vinculados a posibles escenarios futuros, sino que ya están ocurriendo y deben abordarse. Algunas empresas ya corren el riesgo de sufrir robos de datos o propiedad intelectual, por ejemplo, debido a la ubicación de sus operaciones.
¿Cuál es el plan a seguir cuando ocurre un acontecimiento geopolítico?
Por lo general, las empresas no modelan el impacto de un riesgo geopolítico específico hasta que se produce. Para entonces, suele ser demasiado tarde para mitigar el daño de forma eficaz, ya que la lentitud de la tecnología dificulta una intervención rápida. Por esta razón, los CIOs con visión de futuro planean de forma proactiva las intervenciones basándose en los escenarios que han desarrollado.
Estas intervenciones rara vez son un simple conjunto de acciones binarias, ya que, si bien algunos riesgos geopolíticos pueden ocurrir rápidamente, muchos de ellos presentan señales de alerta. Los mejores planes de intervención identifican la gama de señales de alerta crecientes y establecen un conjunto de medidas correspondientes que las empresas pueden adoptar para reaccionar de forma reflexiva, al tiempo que conservan el mayor número posible de opciones. Cuando se hace bien, esta planeación de la intervención da lugar a una serie de desencadenantes y acciones en cascada que siguen una vía de escalada específica (Gráfica 3).
Una vez identificadas las intervenciones, los CIOs pueden actuar con mayor rapidez que sus competidores cuando se desencadena un riesgo y lograr acuerdos más rentables que si se apresuraran ante una situación de riesgo. También pueden invertir en el desarrollo tecnológico necesario de forma inteligente y rentable, en lugar de limitarse a reaccionar ante acontecimientos puntuales.
¿Qué medidas de mitigación deberían adoptar los CIOs?
Para mantener una postura eficaz frente al riesgo, las empresas deben reequilibrar sus operaciones a nivel global para abordar tanto los problemas actuales como los potenciales. Los CIOs cuentan con numerosas opciones para mitigar los riesgos, como asignar fondos de emergencia para contingencias a corto plazo, relocalizar las operaciones en regiones de menor riesgo, duplicar las operaciones para crear redundancia y localizar las operaciones globales en unidades específicas de cada región. Sin embargo, el aspecto que adopte ese reequilibrio dependerá de una reflexión profunda sobre qué opciones abordan mejor el riesgo y si merecen la inversión y la pérdida de productividad.
Adoptar un enfoque global
Puede resultar tentador crear una estrategia a nivel nacional o regional para garantizar el cumplimiento de las normativas locales (por ejemplo, el Reglamento General de Protección de Datos, los estándares basados en la sentencia Schrems II y la Ley de Protección de Datos Personales de China). Sin embargo, este enfoque puede tener el efecto de trasladar inadvertidamente los riesgos a otras zonas geográficas, lo que se conoce como “squeezing the balloon” (metáfora de que, al apretar un globo, el riesgo se desplaza a otra zona).
Por ejemplo, una empresa multinacional podría optar por evitar los riesgos en un país trasladando un centro de datos existente a otra región que tenga sus propios riesgos geopolíticos. O bien, las medidas de mitigación podrían generar complejidades y costos sustanciales que superen sus beneficios. Por ejemplo, una empresa de consumo acabó construyendo más de 80 centros de datos para reducir los problemas de riesgo geopolítico local, lo que dio lugar a un panorama altamente fragmentado que generó una enorme complejidad operativa y resultó simplemente insostenible.
Basar el reequilibrio en un análisis claro de costo-beneficio
Así como los directores financieros (CFOs) tienen en cuenta el riesgo incorporando su costo en la planeación financiera, los CIOs necesitan calcular los riesgos potenciales y las estrategias de mitigación para poder realizar un análisis detallado de costo-beneficio. Mediante el uso de modelos financieros y el análisis de datos, el CIO puede colaborar con el CFO, el director de seguridad de la información, el director de recursos humanos y los líderes de infraestructura para desarrollar una visión alineada sobre qué estrategias de mitigación tienen más sentido, considerando los costos y los beneficios. Es probable que estas prácticas requieran que las empresas devuelvan parte de las ganancias en eficiencia de TI obtenidas gracias a la globalización a cambio no solo de una mayor resiliencia, sino también de una mayor flexibilidad estratégica.
Aunque no es realista esperar que este análisis arroje cálculos perfectos, su valor reside en tener una visión clara y coherente de las medidas más adecuadas para un conjunto de riesgos. Con la experiencia, las empresas pueden esperar perfeccionar y mejorar estos análisis.
Incorporar flexibilidad en los activos tecnológicos
Actualizar los activos informáticos puede ser costoso, por lo que los CIOs deben ser precisos con las medidas que toman como parte de un programa de reequilibrio más amplio y no reaccionar de forma exagerada. Los CIOs deben invertir tiempo en determinar qué componentes pueden personalizarse o estandarizarse en función de las necesidades en materia de riesgos y la tecnología disponible (como las interfaces de programación de aplicaciones o API, y los microservicios). En general, el enfoque debe estar en la estandarización de los sistemas de infraestructura básicos y los modelos de implementación, al tiempo que se permite la variabilidad en la forma de crear plataformas y productos de datos en función de las normativas regionales.
Un elemento fundamental de esta capacidad es una arquitectura de plataforma compuesta por componentes que los equipos locales pueden configurar o conectar a través de interfaces estándar desarrolladas de forma centralizada (como las API). El éxito de este modelo depende de la alineación en torno al equilibrio adecuado entre las capacidades globales y locales, así como de estructuras de gobernanza claras que definan la toma de decisiones.
Por ejemplo, una empresa multinacional de consumo descubrió que el rápido cambio del panorama regulatorio en China le dificultaba cada vez más ofrecer una experiencia de cliente local de primer nivel de manera eficiente debido a su arquitectura técnica global. Al establecer un equipo de soporte y una pila tecnológica localizada que cumplía con las regulaciones locales, pero que utilizaba capacidades como las API para aprovechar la plataforma global, la empresa pudo satisfacer mejor las necesidades de los consumidores chinos sin dejar de cumplir con la normativa.
Aunque fue un esfuerzo laborioso, diseñar una arquitectura local que cumpliera con la normativa fue, en cierto modo, la parte más fácil para la empresa. El verdadero trabajo consistió en separar cuidadosamente los datos empresariales y los datos de los usuarios para garantizar un entorno global más seguro para la privacidad de los datos, con reglas claras para la agregación y la residencia de los datos en toda su huella global.
¿Se cuenta con las personas y los procesos de gobernanza adecuados para actuar?
Puede parecer trivial decir que los modelos tradicionales de correlación de riesgos de TI ya no son suficientes para tener en cuenta el riesgo geopolítico. Sin embargo, las implicaciones son más complejas que simplemente añadir este riesgo como una partida más a los programas de riesgos existentes. El desarrollo de esta capacidad comienza con la creación de una nueva disciplina de riesgos de TI, con claridad sobre las funciones y responsabilidades, así como sobre cualquier posible evento de riesgo geopolítico (Gráfica 4).
Los riesgos geopolíticos están intrínsecamente interconectados, ya que un solo evento geopolítico puede afectar a múltiples partes de una empresa, por lo que la capacidad debe integrarse en todas las funciones y prácticas. Un elemento de esta integración reside en la propia TI, donde las funciones tradicionales de riesgo de TI (como la disponibilidad y la resiliencia, la ciberseguridad, la protección de los datos y la propiedad intelectual, la exposición a la normativa y la concentración de talento tecnológico) se han gestionado de forma independiente. El problema del riesgo geográfico se agrava si las empresas no comprenden dónde se concentran geográficamente sus proveedores (ni las ubicaciones en las que se concentran los proveedores de esos proveedores, lo que veces se denomina “riesgo de enésima parte” o “nth-party risk”).
Una capacidad unificada de gestión de activos y servicios debe supervisar estas funciones. Esta capacidad es responsable de medir e informar sobre el riesgo en cada componente individual, así como de agregar este perfil de riesgo y traducir los problemas pendientes en términos empresariales.
Esta integración también debe darse a nivel organizacional. Según nuestra experiencia, cuando las empresas cuentan con un programa de riesgos geopolíticos, este tiende a centrarse en cuestiones relacionadas con la cadena de suministro, más que en cuestiones informáticas. Los CIOs no están plenamente conectados con las prácticas de riesgo geopolítico de las organizaciones en general. El resultado es que los CIOs carecen de un marco para identificar, gestionar y dar seguimiento a los riesgos geopolíticos como parte de un programa más amplio para toda la empresa.
Para ser un líder eficaz dentro de un programa de riesgos que abarca toda la organización, los CIOs deberían considerar la posibilidad de crear un equipo pequeño que se encargue de monitorear los acontecimientos geopolíticos, evaluar sus implicaciones e impacto, y proporcionar recomendaciones a los líderes con tiempo suficiente para tomar medidas. Aquí es donde resulta fundamental contar con una capacidad unificada de gestión de activos y servicios.
Una empresa debe incorporar este equipo a las funciones de gestión de riesgos existentes, incluyendo los registros y los planes de tratamiento, con un marco y protocolos claros para comprender cómo y dónde las operaciones de datos y tecnología contribuyen a los distintos nodos de la cadena de valor empresarial. El entorno geopolítico puede cambiar rápidamente, por lo que las organizaciones tendrán que actualizar sus análisis y respuestas al riesgo. Los CIOs y CTOs deben evaluar constantemente el riesgo geopolítico.
Las fuerzas geopolíticas que dan forma a los negocios y la economía siguen siendo fluidas y dinámicas. Pocos pueden predecir con certeza cómo cambiará la marea, pero es muy probable que la incertidumbre y el aumento del riesgo geopolítico sean la norma en el futuro próximo. Los líderes tecnológicos que sean capaces de navegar por esta volatilidad no solo podrán proteger sus empresas, sino que también podrán superar a sus competidores.