Entradas de simonjosepulido

Me interesa el agua, trabajar en red, la tecnología usada con cabeza y corazón, la música y los libros

Happier, por Tal Ben-Shahar

Este libro estaba en las estanterías de Infonomía, con un esquema manuscrito que era casi como una infografía, resumiendo sus claves.

Resulta que ayer terminé de leerlo. Se lee de un tirón, o en varios tirones con parones para reflexionar en cada uno de los “Time-in” que el autor propone, o para escribir y pensar en los Ejercicios que hay al final de cada capítulo. El estilo es conciso y ordenado, aunque a veces machaque una y otra vez las ideas centrales del libro y de cada uno de los capítulos.

¿Es verdad que podemos intervenir en nuestra búsqueda desconsolada para ser más felices o todo depende de los genes y de la buena o mala suerte? Tal Ben Shahar piensa que sí, y nos explica cómo en un itinerario de ejemplos, testimonios y un marco teórico y todo lo científico que puede ser un libro con un pie en la psicología y otro en la autoayuda. Está repleto de referencias, abriendo por lo tanto al lector las puertas de todos sus precedentes, desde el Flow de Mihály Csíkszentmihályi hasta la inteligencia emocional de Daniel Goleman.

Tal Ben Shahar explicando que el flujo (Estar inmersos por completo en una actividad, perdiendo la noción del tiempo, del ego y de las limitaciones) ocurre hacer algo que no sea demasiado fácil ni demasiado difícil para nuestra capacidad. Fuente: calnewport.com

Hay cuatro formas básicas, extremas de enfrentarse a la vida, como cuatro cuadrantes de unos ejes cartesianos: El “rat racer“, el hedonista, el nihilista y el feliz. Gratificación futura sin placer presente, placer presente sin futuro, ni futuro ni placer, placer sostenible, respectivamente. Todos pasamos por alguna de esas fases en nuestra experiencia vital.

El modelo de la hamburguesa. Fuente: https://www.youtube.com/watch?v=74Wei0-vAZs

Yo tuve unas cuantas épocas de rat racer. Perseguía como enloquecido metas que ni siquiera eran deseables, preso de una obsesión tras otra. Me puse a coleccionar papeles que hoy habrán ardido, pensando que algún día las leería. Mi buzón de correo era mi cárcel, mi castigo de Sísifo, un pozo inagotable, un picor que yo perpetuaba rascándome más y más. Cuando en raros días conseguía vaciar el buzón, tardaba poco en volver a llenarse con respuestas y más preguntas a mis reenvíos incompletos y poco reflexionados.
Vivía instalado en el miedo a no dar la talla, apresurado y llegando siempre tarde y a medio preparar. Si mi mujer o mis hijas solicitaban un instante de mi atención, yo reaccionaba irritado, como si estuviesen alejándome de mi meta, una meta que yo no sabía definir, pero que exigía absolutamente toda mi energía. Me acostaba teléfono en mano, vaciaba mi buzón y despertaba horrorizado al ver que se había vuelto a llenar nada más empezar la mañana.

También he vivido etapas hedonistas que deterioraron mi salud física y mental. No tiene sentido negarlo. Y tampoco han sido tantas. Eran épocas en que huía con cierta desesperación risueña, hacia ningún sitio, alejándome del fuego de remordimientos y obligaciones que ardía detrás de mí con cada vez más furia.

Igualmente, he sufrido pérdidas irreparables. Pero no fueron las que me hicieron caer en fases nihilistas. Se producían tras episodios de abuso rat racer (si mis esfuerzos desmedidos no daban resultado alguno, o no daban el premio que en mi opinión ese sacrifico doloroso merecía) o de hedonismo (cuando abría los ojos y veía el daño que me hacía a mí mismo y a mis seres queridos). Y ese nihilismo era una trampa, igual que los otros dos excesos, que teñía mi visión del mundo y enturbiaba mis decisiones.

En episodios felices, asimilas lo que pasa a tu alrededor, incorporas tus circunstancias a lo que puedes hacer, te esfuerzas por una meta significativa, pero disfrutas haciéndolo, tu pasión se contagia y produce resultados y emociones positivas. Si atraviesas un bache, sabes que es un bache y pones remedio a lo que lo tiene. Si hay un éxito o un avance, lo celebras y continúas. Aprendes y creces. Atraes la colaboración, hay gente que desea ayudarte y contribuir, aunque sólo sea por el placer de participar.

Hay unas cuantas reflexiones sobre cómo alcanzar y sostener ese estado anímico. A mi modo de ver, el principal movimiento estaría en cambiar algunos puntos de vista que tienden a inocularse en los individuos con la educación y alguna clase de relaciones sociales enfermizas.

Primero, la cuenta corriente no debería contar euros, dólares, títulos académicos, puestos directivos, honores, admiración o posesiones, sino la moneda definitiva que promueve el amigo Tal: la felicidad. Los proyectos deberían evaluarse en función de si te harán más o menos feliz.

Segundo, la felicidad no es un recurso limitado, un juego de suma cero. La felicidad de otro no resta nada a la tuya, ni tienes que elegir entre felicidad y prosperidad. De hecho, cuanto más feliz seas, más felices podrás hacer a los que te rodean y mejores ideas se te ocurrirán para que flote tu barco económico.

Tercero: menos es más. Hay que elegir y simplificar. El tiempo es un recurso limitado, y tenemos que encontrar lo que de verdad ansiamos hacer en esta vida. Decir sí a esas cosas es decir no a todas las demás. Y una vez elegidas esas pocas cosas que verdaderamente son las que más nos importan, seremos capaces de darles toda nuestra energía y hacerlas florecer, superar los obstáculos y sortear las dificultades que encontraremos por el camino.

Adoptar una visión de ecosistema de la tecnología de negocios, según McKinsey

Este artículo de febrero de 2017 de Driek Desmet, Niels Maerkedahl y Parker Shi para McKinsey, explica la conveniencia de adoptar una visión de ecosistema de la tecnología de negocios.

Para aprovechar por completo la nueva tecnología de negocios, los Directores de Sistemas de Información (en inglés, CIO) deben adaptar sus funciones tradicionales de Tecnologías de Información (TI) a las oportunidades y desafíos de los “ecosistemas” tecnológicos emergentes. Y aquí se explica cómo.

La TI ha funcionado tradicionalmente como el cimiento para mantener una empresa funcionando. Una de sus funciones principales ha sido proteger las operaciones de la compañía con cortafuegos y encriptación para mantener fuera las tecnologías externas. Con el avance de las tecnologías, sin embargo, está emergiendo una inmensa matriz de oportunidades y fuentes de ventaja competitiva más allá de los tradicionales muros del negocio. Estas capacidades se están coaligando en una miríada de nuevos ecosistemas (Ver diagrama 1).

A menudo estos ecosistemas se superponen. Una aplicación de pago social, por ejemplo, puede ser parte de los ecosistemas de servicios móviles, sociales, de datos y bancarios. El Internet de las Cosas (IOT por sus siglas en inglés) es un ecosistema donde múltiples aplicaciones se comunican entre sí como una red.

Al conectarse a esos ecosistemas, las empresas pueden obtener acceso a redes enteras. Pueden, entre otros beneficios, encontrar nuevos clientes, indagar en nuevas fuentes de datos y mejorar los procesos de negocio establecidos.

Los CIOs y las organizaciones de TI tienen un inmenso papel que jugar en la captura de esas oportunidades. Pero no pueden hacerlo por medio del “business as usual“. En un entorno de ecosistemas, centrarse sólo en “proteger el centro” puede limitar la capacidad de una empresa para capitalizar las oportunidades que surjan. Para adaptar su compleja arquitectura de tecnología de negocios para funcionar en un mundo de ecosistemas, los CIOs tendrán que arreglárselas para aproximar a las tecnologías externas y al mismo tiempo gestionar los problemas de seguridad y lograr un asidero en el cada vez más rápido caudal de innovaciones tecnológicas.

IDC predice que en 2018 más del 50 por ciento de las grandes empresas – y más del 80 por ciento de las empresas con estrategias avanzadas de transformación digital – crearán o se asociarán con plataformas digitales (IDC predice la emergencia de la “Economía DX” en un período crítico de transformación digital ampliamente difundida e inmenso crecimiento de la escala de las tecnologías de plataformas de terceros en todos los sectores, 4 de noviembre de 2015). Al mismo tiempo, se espera que haya más de 50 millardos de dispositivos conectados en 2020, según Cisco.

Estos números apuntan a una reformulación radical de lo que son las TI y cómo los CIO las gestionan -no como un conjunto interno de tecnologías de información (IT) sino como una amplia red de tecnologías de ecosistema (ET). Para el CIO, este cambio también crea una importante oportunidad de trabajar estrechamente con el CEO en las prioridades del negocio y en convertirse en un socio estratégico de primer nivel.

Comprender las tecnologías de ecosistema

ET encapsula un conjunto expandido de capacidades y funciones TI (Diagrama 2). El CIO aún debe gestionar las funciones TI de varias velocidades (Ver artículo de 2014 sobre la arquitectura IT de dos velocidades) así como los programas bilaterales actuales. La nueva capa de ET representa un nuevo conjunto de capacidades así como la extensión de las existentes.

Los CIOs puede definir y dar forma a sus ET de tres modos:

1. Abriendo la TI interna al mundo exterior

Este planteamiento trata de construir la TI para enlazar sistemas y capacidades conducidos internamente con los sistemas externos. Un ejemplo de esto en acción es la app móvil de Delta Air Lines, la cual se extiende a Uber de forma que los viajeros pueden encargar un coche para cuando aterrizan. Kraft ha expandido su app de recetas para convertirse en una herramienta de gestión de la despensa, generando una lista de la compra que se conecta sin fisuras con el servicio de entrega de alimentación Peapod. Piensa en ello como extender en itinerario del cliente (customer journey) – y la relación de la empresa con el cliente – por medio de la integración con otros proveedores de servicios (3).

Muchas empresas ya han estado suministrando capacidades de integración para socios aguas arriba y aguas abajo -tecnologías como EDI (intercambio electrónico de datos) que han existido durante décadas. Sin embargo, esos puntos de integración suelen ser estáticos. Son conexiones bilaterales con un grupo pequeño, seleccionado previamente, de socios como distribuidores y suministradores. Esos puntos de integración ocurren con poca frecuencia y a menudo por lotes.

El futuro de la integración en ecosistemas externos forzará a las empresas a interactuar con muchos más socios que cubran un amplio abanico de funciones, desde la obtención de clientes hasta publicidad en redes sociales o soluciones de pago. Eso es porque el bajo coste de la tecnología y un entorno dinámico de start-ups ha conducido a un inmenso aumento de la velocidad con que se presentan nuevos servicios. Esto significa que las funciones de TI deben seguir el “principio de Amazon” de hacer disponibles los componentes de un sistema como servicios para permitir la integración con el ecosistema. Las conexiones deben ser abiertas, dinámicas y funcionar en tiempo real de forma que puedan integrar socios, tecnologías y aplicaciones cuando se necesiten.

Una implicación clara es la necesidad de diseñar una arquitectura tecnológica de bajo peso construida sobre microservicios y interfaces de programación de aplicaciones (APIs) que permitan a terceros engancharse con facilidad en el nuevo ecosistema. Los CIOs deben empezar a pensar en términos de arquitectura de plataformas como hacen los fabricantes de equipamiento original (OEMs) de la industria automovilística para permitir futuras mejoras en todo el ecosistema. Puede que incluso tengan que ofrecer un “app-store”  para permitir que los consumidores seleccionen a su antojo las capacidades deseadas -y, por supuesto, la infraestructura debe ser robusta y segura.

Un ejemplo de cómo esto puede ser una jugada ganadora se puede encontrar en los agentes de telecomunicaciones que expanden sus servicios conectados al comercio electrónico, la música, la salud, los seguros, la educación, los medios y los hogares inteligentes. Estos servicios estarían todos conectados en un ecosistema que ofreciese al cliente múltiples servicios a través de la columna vertebral de la tecnología de las telecos. El AppExchange de Salesforce ya está haciendo esto creando un entorno en la nube donde los desarrolladores pueden crear y lanzar sus propias apps.

2. Internalizar las TI externas

Este planteamiento se centra en abrir los sistemas TI internos de forma que el negocio pueda conectar las capacidades externas disponibles en el ecosistema para servir mejor a sus propios clientes, apoyar a sus propios empleados o crear nuevos productos y capacidades, a menudo ofrecidos por medio de SaaS (software como servicio) y APIs. Un ejemplo sencillo es integrar una aplicación de punto de venta (POS) de un tercero dentro de los sistemas internos de pago de una empresa para simplificar un proceso de adquisición en la tienda de un cliente. O integrar una función de chat de atención al cliente de un tercero en la página web de una empresa. O incluso integrar Yammer para ayudar con la productividad de los empleados.

Este planteamiento cambia claramente como TI diseña y gestiona sus sistemas. Ya no se trata de comprar paquetes de software y construir en sus instalaciones soluciones a la medida o trabajar con unos pocos integradores de sistemas para entregar una solución de negocio. Ahora de trata de comprender de principio a fin la experiencia del cliente t cómo los servicios externos y los ya disponibles pueden utilizarse con las soluciones internas para ofrecer una propuesta completa y única en su especie. Las empresas tendrán que complementar las habilidades internas con la especialización externa integrados íntimamente en el tejido de su desarrollo de aplicaciones y gestión de infraestructura de TI. Se trata de crear un entorno 24×7 que permita ofrecer productos a millones de clientes por todo el mundo.

Una empresa líder de viajes internacionales, rota por las start-ups del mercado, decidió aumentar sus capacidades para conducir su transformación. Un componente importante de su estrategia era usar distribuidores especializados procedentes del ecosistema externo para soportar diversas capacidades, por ejemplo, movilidad, motor de búsqueda, CRM, pagos. Este planteamiento les permitió acelerar su transformación, ampliar la escala de sus servicios y pulsar el talento especializado a medida que las tecnologías evolucionaron y la demanda creció fuertemente.

3. Modernizar la TI para escalar la innovación

Todos hemos oído suficientes veces cómo de frenético se ha vuelto el ritmo de las nuevas tecnologías. Pero merece la pena recordar que muchas de las nuevas herramientas tienen el potencial para cambiar radicalmente el modelo de negocio de una empresa, aunque eso no esté claro desde el comienzo. Para que no nos coja desprevenidos y adoptar una posición competitiva más agresiva, las empresas deberían empezar a probar esas tecnologías para estar preparados para incorporarlas en cuanto se pruebe su valor y se puedan funcionar a gran escala. Esto puede ser cosa de “jugar” con la nueva tecnología (como con los estándares de código abierto) en “piscinas de arena” dedicadas donde la conectividad entre la tecnología interna y externa se pueda probar. Más aún, los líderes de TI deberán formar activamente asociaciones o alianzas con distribuidores y proveedores de servicios para comprender y evaluar realmente cómo la tecnología puede utilizarse en su entorno de negocio.

Es cierto que muchas empresas ya han estado invirtiendo activamente en tecnologías emergentes. Por ejemplo, muchas empresas de servicios financieros han establecido fondos de capital riesgo internos para invertir en tecnologías como blockchain y la IoT. Sin embargo, las empresas han demostrado menos progresos -y éxito- en integrar esas tecnologías en su infraestructura TI existente y en extender con éxito la propuesta de valor a sus clientes. Las start-ups tienen a menudo tecnologías inmaduras que no pueden crecer, y a menudo se apalancan en servicios externos en la nube que podrían no ser compatibles con la propia estructura en la nube de su propia empresa. De ahí que sea importnte para las empresas pensar con detenimiento cómo habilitan una suave integración de la solución técnica y la cultura de trabajo para capitalizar completamente los productos que las start-ups están ofreciendo. Si no se hace correctamente, las empresas crearán la siguiente oleada de infraestructura TI de espagueti.

Dada la escala de la innovación, sería virtualmente imposible mantenerse al día a menos que el CIO designe analistas o arquitectos específicos cuyo trabajo sea identificar y evaluar la compatibilidad de las tecnologías externas. El grupo de innovación DBS, por ejemplo, ha establecido un rol de vicepresidente senior de fintech con la responsabilidad de identificar, integrar y gestionar miembros potenciales del ecosistema. Esta persona lidera y dirige los acuerdos locales y regionales con las fintech, y reporta a la dirección global de las asociaciones.

Sin importar cuál de los modos -o combinación de modos- elijan el CEO y el CIO, la TI se mueve al primer plano no sólo por la tecnología sino también por la innovación en modelos de negocio.

Cómo empezar con el ET

Mientras que construir un ET es complejo y se basa en muchas interdependencias, hemos encontrado que enfocarse en los siguientes seis elementos da a los CIOs y CEOs una gran ventaja para sacarle el máximo partido:

Barra lateral – Preguntas que el CEO puede hacerle al CIO:

  • ¿Has identificado el conjunto de tecnologías, plataformas y distribuidores que nos pueden ayudar a acelerar nuestra estrategia digital?
  • ¿Cómo de rápido puede un socio potencial integrar nuestros sus servicios en los suyos?
  • ¿Cómo de rápido podemos añadir a un nuevo distribuidor o socio hoy para acelerar una capacidad específica como la conectividad en directo de datos?
  • ¿Cuáles son las tres fuentes de valor más importantes que el ecosistema externo puede aportar?
  • ¿Qué talento y capacidades necesarios para el éxito en el ecosistema has identificado? ¿Cómo los estás construyendo?
  • ¿Cubren nuestras políticas de ciberseguridad a los socios externos? ¿Y a sus socios?
  • ¿Cómo estamos garantizando que nuestros servicios se están exponiendo y pueden actuar con el ecosistema más amplio?

1. Repensar la estrategia del negocio. De qué forma, o combinación de formas, una empresa elige interactuar con los diversos ecosistemas (o crear el suyo propio) depende de tres cosas: su estrategia, el entorno de mercado y el apetito por el riesgo de la empresa en su conjunto. Esto a su vez requiere que el CIO trabaje estrechamente como un socio con el CEO y la directiva para ayudar a dar forma a la estrategia de negocio identificsndo las tecnologías y ecosistemas emergentes que podrían causar una ruptura en el mercado, determinar dónde están las futuras fuentes de valor, y desarrollar la acciones estratégicas necesarias para capturarlo. Este diálogo es una exploración bidireccional y constante en la que la tecnología y la estrategia de negocio están enlazadas inextricablemente. El papel del CIO no es sólo determinar la factibilidad sino ayudar al negocio a determinar qué amenazas y oportunidades existen al comprometerse en ecosistemas (ver el artículo “fundamentos económicos de estrategia digital“).

2. Desarrollar la infraestructura. La nueva integración bidireccional de tecnologías es dinámica por naturaleza; ocurre en tiempo real con miles de socios o consumidores finales. Esto requiere que las empresas rediseñen la arquitectura de integración de siguiente generación para darle soporte y reforzar los estándares abiertos que puedan adoptarse con facilidad por terceros. Se deberá extender también el catálogo existente de gestión de datos para incluir los datos de terceros y la potencial integración con proveedores de datos maestros externos. Tiene que haber una arquitectura y gobernanza de datos claras para asegurar la limpieza de los datos, su racionalización y la estandarización para que los sistemas funcionen.

3. Reinventar los procesos y estructuras de gestión de clientes. Cuando los clientes llaman con problemas técnicos, será un desafío averiguar dónde estarán los puntos de fallo en un entorno de ET. ¿Está en los sistemas de la empresa, en los servicios de terceros, en la nube que aloja el servicio, en la red, o en una combinacion de todos los anteriores? Esta realidad requerirá que las empresas revisen de manera radical sus procesos de infraestructuras y soporte.

Crear Acuerdos de Nivel de Servicio (SLAs) que definan claramente protocolos para la resolución de problemas y sus escalado con los que todas las partes estén de acuerdo será crucial. Crear etiquetas de identificación estándar o “tripwires” e integrarlos en los servicios, socios y tecnologías participantes del ET será importante para localizar los problemas con rapidez para que se puedan resolver.

Estos estándares y acuerdos, sin embargo, no son una excusa para ir rebotando a los clientes de un socio a otro y otro. La compañía orientada al cliente debe resolver los problemas detrás del escenario y ahorrarle al cliente la complejidad de navegar por el ecosistema de socios.

4. Definir los parámetros par la ciberseguridad, los asuntos jurídicos y las alianzas. Como resultado de la infraestructura extendida, las políticas y procesos de ciberseguridad internas deberán incluir a los socios y distribuidores. Habrá que definir y acordar un nuevo conjunto de estándares de seguridad que articule claramente cómo se realizará la integración y qué tipos de datos se pueden intercambiar y con quién.

Trabajar con un amplio abanico de terceras partes levantará también otras preguntas legales. Los problemas de propiedad intelectual, responsabilidad, privacidad, reparto de beneficios y asuntos de normativa y cumplimiento legal tienen todos el potencial de dificultar severamente el logro de los beneficios de incorporarse en un ecosistema más amplio. Los problemas de licencias ya han surgido entre las empresas de la nube y los negocios de hardware y software en casa del cliente a causa de competir y los diferentes modelos de negocio. La propiedad de los datos y la gestión de clientes en particular serán cruciales dada la necesidad de las empresas de acceder a ambos.

Esto requerirá habilidades de negociación muy destacadas, y un compromiso de desarrollar y aplicar un amplio conjunto de estándares para evitar la constante renegociación con cada nuevo socio o distribuidor desde cero. Establecer un planteamiento de app-store donde los estándares se enuncian con claridad, se aportan herramientas y se hacen acuerdos específicamente al principio pueden proporcionar un modelo útil.

Unirse a una red de distribuidores tambuén requiere cambios en la ceritificación de habilidades y la gestión del desempeño de los ditribuidores. Las empresas deberán definir claramente los estándares y procedimientos con que los distirbuidores deberán operar y directrices que definan cómo se incorporará el distribuidor en el ciclo de vida de la entrega. Home Depot está desarrollando estándares con los fabricantes de sus productos para asegurar la compatibilidad con el sistema de hogar conectado Wink. Las empresas que hacen esto de la forma más efectiva tratan las relaciones y alianzas con los distribuidores con mucha transparencia. Las funciones de suministro interno y gestión de distribuidores deberán reestructurarse para trabajar más como M&A, la cual puede integrar nuevos socios o establecer nuevas alianzas con rapidez y efectividad.

5. Cultivar una mentalidad “abierta”. Los CIOs se han centrado tradicionalmente en proteger los sistemas y garantizar que funcionen bien. Pero el nuevo mundo digital exige una implicación más activa con el mundo exterior parar comprender las amenazas competitivas y las fuentes de valor. Los CIOs debería empezar por desarrollar una visión mucho más compatible con el exterior de la infraestructura TI actual y pensar en cómo diseñar nuevas formas de integrar de forma significativa los sistemas externos. Pasar mucho tiempo construyendo complejos sistemas “a prueba de balas” es contraproducente; probar una aplicación o un nuevo entorno de plataforma debería llevar unos días o semanas.

6. Invertir en nuevas capacidades. A medida que los negocios se involucran cada vez más con las tecnologías del ecosistema externo, se necesitarán arquitectos full-stack y los ingenieros de infraestructura de convergencia que puedan aportar pericia en el software empaquetado de terceros, dominar diversas tecnologías punteras y aportar experiencia en integrar múltiples tecnologías. Las capacidades de “traductor” también serán cruciales para tender el puente entre los objetivos de negocio y los requisitos tecnológicos del ecosistema. Cualquier nueva función dentro de la arquitectura de la empresa debería colaborar estrechamente con el negocio para comprender cómo los servicios externos se pueden integrar con los productos para ampliar la propuesta de valor al cliente.

Con el avance de la computación e infraestructuras en la nube como software programable, los recursos de infraestructura (esto es, redes, servidores, almacenamiento, aplicaciones y servicios) pueden ahora proveerse con rapidez, gestionarse y operarse con un mínimo esfuerzo. Esto requiere ingenieros de DevOps (la integración de desarrollo y operación) y de la nube, que tengan experiencia en navegar en un ecosistema de computación en la nube y software de programación rápidamente cambiante, así como científicos de datos, ingenieros de automatización, y arquitectos de empresa. Las empresas también necesitarán encontrar unos pocos desarrolladores senior que puedan establecer estándares de app-store.

Las empresas han subcontratado muchas de esas capacidades. Pero debido a la creciente importancia de las habilidades de ingeniería y automatización, muchos se están pensando dos veces ese planteamiento a medida que la TI evoluciona de utilidad a facilitador.

Integrar la TI de una empresa con las capacidades de terceros crea oportunidades de capturar nuevas y sustanciosas fuentes de valor. Pero hasta que la TI se expanda para convertirse en ET, la gran mayoría de esas oportunidades seguirán fuera de su alcance.

Cómo evitar otro proyecto Blockchain sin sentido

Este artículo que he visto por casualidad en twitter me ha parecido muy interesante, sobre todo porque en él Gideon Greenspan, el CEO de una startup de proyectos blockchain (Coin Sciences Ltd) se dedicaba en noviembre de 2015 a disuadir a potenciales clientes que en realidad no necesitan blockchain.

Evitando el proyecto blockchain sin sentido

Cómo determinar si has encontrado un caso de uso real de blockchain

Los blockchains reciben demasiada atención de los medios. Ya está, por fin lo he dicho. Desde Sibos hasta Money 20/20 pasando por las portadas de The Economist y Euromoney, parece que todo el mundo quiere subirse al carro del blockchain. Y sin duda como otros en ese espacio, estamos viendo un número rápidamente creciente de empresas construyendo pruebas de concepto sobre nuestra plataforma y/o pidiéndonos ayuda.

Como joven startup que somos, podrías pensar que se nos ha subido el éxito a la cabeza. Seguramente ahora es el momento de obtener un montón de dinero y construir esa plataforma de alto rendimiento de la siguiente generación de blockchain que ya hemos diseñado. ¿A qué estamos esperando?

Te diré una cosa. Estamos esperando alcanzar una comprensión más clara de dónde las blockchains aportan valor de verdad en las TI de las empresas. Verás, una amplia proporción de esos proyectos que nos llegan no tienen nada que ver con las blockchains. Así es como funciona. Gran empresa oye que las blockchains son el último grito. Gran empresa busca internamente a algunas personas a las que les interesa el asunto. Gran empresa les da un presupuesto y les dice que vayan a hacer algo “blockchainístico”. Justo después llaman a nuestra puerta, agitando billetes de dólar, pidiéndonos que les ayudemos a pensar en un caso de uso. ¿Y ahora qué?

Y para los que ya tienen un proyecto en mente, ¿cuál es el problema? En muchos casos, el proyecto puede implementarse perfectamente utilizando una base de datos relacional normal y corriente. Sabes, mastodontes metálicos como Oracle y SQL Server, o para los de mentalidad más abierta, MySQL y Postgres. Así que permitidme que empiece por poner un poco de orden:

Si tus requisitos se cumplen con las bases de datos relacionales de hoy, estarías loco si usaras una blockchain.

¿Por qué? Porque los productos como Oracle y MySQL tienen detrás décadas de desarrollo. Se han desplegado en millones de servidores que ejecutan trillones de consultas. Contienen algunos de los fragmentos de código más exhaustivamente verificados, limpiados de errores y optimizados del planeta, y procesan miles de transacciones por segundo sin tan siquiera empezar a sudar.

¿Y qué hay de las blockchains? Bueno, nuestro producto fue uno de los primeros en llegar al mercado, y ha estado disponible durante exactamente 5 meses, con unos pocos miles de descargas. En realidad es extremadamente estable, porque lo hemos construido fuera de Bitcoin Core, que es el software que mueve bitcoin. Pero aún así, esta categoría entera de productos está todavía en pañales.

¿Entonces estoy diciendo que las blockchains no sirven para nada? Nada de eso. Pero antes de embarcarte en un reluciente proyecto de blockchain, tienes que tener una idea muy clara de por qué estás usando una blockchain. Hay un puñado de condiciones que deben satisfacerse. Y si no, deberías volver al tablero de dibujo. Quizá puedas definir mejor el proyecto. O quizá puedas ahorrarle a todo el mundo un montón de tiempo y dinero, porque no necesites una blockchain para nada.

1. La base de datos

Aquí está la primera regla. Las blockchains son una tecnología para bases de datos compartidas. Así que debes empezar sabiendo por qué estás usando una base de datos, con lo cual me refiero a un depósito estructurado de información. Puede ser una base de datos relacional tradicional, que contenga una o más tablas del tipo de las de las hojas de cálculo. O puede ser de la variedad más en boga de NoSQL, que funciona más como un sistema de archivos o un diccionario. (Desde el punto de vista teórico, las bases de datos NoSQL son sólo un subconjunto de bases de datos relacionales, de todos modos).

Un libro mayor para activos financieros puede expresarse con naturalidad como una tabla de una base de datos en que cada fila representa un tipo de activo cuyo propietario es una entidad en particular. Cada fila tiene tres columnas que contienen: a) El identificador del propietario, como un número de cuento, b) un identificador del tipo de activo, como “USD” o “AAPL” y c) la cantidad de ese activo poseída por ese propietario.

Las bases de datos se modifican por medio de “transacciones” que representan un conjunto de cambios a la base de datos que deben ser aceptados o rechazados en su conjunto. Por ejemplo, en el caso de un libro mayor de activos, un pago de un usuario a otro se representa por una transacción que deduce una cantidad de una fila y la añade a otra.

2. Múltiples escritores

Esta es fácil. Las blockchains son una tecnología para bases de datos con múltiples escritores. En otras palabras, debe haber más de una entidad generando transacciones que modifiquen la base de datos. ¿Sabes quiénes son esos escritores?

En la mayoría de los casos los escritores también explotarán “nodos” que guardan una copia de la base de datos y pasan transacciones a otros nodos a modo de peer-to-peer. Sin embargo las transacciones también podrían crearlas usuarios que no tienen un nodo a su cargo. Piensa por ejemplo en un sistema de pagos que se mantiene colectivamente por un pequeño grupo de bancos pero que tiene millones de usuarios finales en terminales móviles, comunicándose sólo con los sistemas de sus propios bancos.

3. Ausencia de confianza

Y ahora la tercera regla. Si hay múltiples entidades escribiendo en la base de datos, también tiene que haber cierto grado de desconfianza entre esas entidades. En otras palabras, las blockchains son una tecnología para bases de datos con múltiples escritores que no confían en los demás.

Podrías pensar que la desconfianza sólo surge entre organizaciones separadas, como los bancos que negocian en un mercado o las empresas implicadas en una cadena de suministro, pero también puede existir en el seno de una sola gran organización, por ejemplo, entre departamentos o las operaciones entre distintos países.

¿A qué me refiero concretamente con desconfianza? Quiero decir que un usuario no está dispuesto a dejar a otro que modifique las entradas de la base de datos que “le pertenecen”. De modo similar, cuando se trata de leer los contenidos de la base de datos, un usuario no aceptará como evangelio de “la verdad” lo que diga otro usuario, porque cada uno tienen incentivos económicos o políticos diferentes.

4. Desintermediación

Así que el problema, tal y como lo hemos definido hasta ahora, es habilitar una base de datos con múltiples escritores que no se fían unos de otros. Y ya existe una solución conocida de sobra para este problema: el intermediario de confianza. Esto es, alguien de quien todos los escritores se fían, incluso si no se fían por completo unos de otros. Sin duda, el mundo está lleno de bases de datos de esta naturaleza, como el libro mayor de las cuentas de un banco. Tu banco controla la base de datos y se asegura de que cada transacción es válida y que está autorizada por el cliente cuyos fondos mueve. Da igual lo amablemente que preguntes, tu banco nunca te dejará que modifiques directamente su base de datos.

Las blockchains quitan la necesidad de intermediarios de confianza habilitando que las bases de datos con múltiples escritores que no se fían unos de otros se puedan modificar directamente. No se necesita un guardián centralizado para verificar las transacciones y autenticar su origen. En vez de esto, la definición de una transacción se extiende para incluir una prueba de autorización y una prueba de validez. Las transacciones pueden por lo tanto ser verificadas y procesadas de forma independiente por cada nodo que mantiene una copia de la base de datos.

Pero la pregunta que debes plantear es: ¿Queremos o necesitamos esta desintermediación? Según sea tu caso de uso, ¿hay algún problema con tener una parte central que mantiene una base de datos de autorizaciones y que actúa como el portero de las transacciones? Hay buenas razones para preferir una base de datos basada en blockchain a un intermediario de confianza como menores costes, transacciones más rápidas, reconciliación automática, nuevas normas o la simple incapacidad de encontrar un intermediario adecuado.

5. Interacción entre las transacciones

Así que las blockchains tiene sentido para bases de datos compartidas por múltiples escritores que no se fían por completo unos de otros y que modifican la base de datos directamente. Pero todavía no es suficiente. Las blockchains brillan de verdad donde haya alguna interacción entre las transacciones creadas por esos escritores.

¿A qué me refiero con interacción? En el sentido más amplio, esto significa que las transacciones creadas por diferentes escritores a menudo dependen unas de otras. Por ejemplo, digamos que Alice envía unos fondos a Bob y entonces Bob envía a su vez algunos a Charlie. En esto caso, la transacción de Bob depende de la de Alice, y no hay forma de verificar la transacción de Bob sin comprobar la de Alice antes. A causa de esta dependencia, las transacciones pertenecen las dos a una sola base de datos compartida.

Llevando esto más lejos, una buena funcionalidad de las blockchains es que las transacciones pueden crearse colaborativamente por múltiples escritores, sin que ninguna de las partes tenga que exponerse a un riesgo. Esto es lo que permite realizar los acuerdos de entrega contra pago con seguridad en una blockchain, sin requerir un intermediario de confianza.

Un buen caso puede hacerse también para situaciones donde las transacciones desde distintos escritores están relacionadas entre sí, incluso aunque permanezcan independientes. Un ejemplo podría ser una base de datos de identidades compartida en la que múltiples entidades validan distintos aspectos de las identidades de los consumidores. Aunque cada una de esas certificaciones es independiente, la blockchain proporciona una forma útil de reunirlo todo de forma unificada.

6. Establecer las reglas

En realidad esto no es una condición, sino más bien una consecuencia inevitable de los puntos anteriores. Si tenemos una base de datos modificada directamente por múltiples escritores, y esos escritores no se fían completamente unos de otros, entonces la base de datos debe contener reglas incrustadas que restrinjan las transacciones que se pueden hacer.

Estas reglas son fundamentalmente distintas de las restricciones que aparecen en las bases de datos tradicionales, porque se relacionan con la legitimidad de las transformaciones que con el estado de la base de datos en un instante concreto. Cada transacción se comprueba contra estas reglas por cada nodo de la red, y las que fracasan se rechazan y no se retransmiten.

Los libros mayores de activos contienen un ejemplo sencillo de este tipo de regla, para prevenir transacciones que creen activos de la nada. La regla establece que la cantidad total de cada activo en el libro mayor debe ser la misma antes y después de cada transacción.

7. Elige a tus validadores

Hasta ahora hemos descrito una base de datos distribuida en que las transacciones pueden originarse en múltiples lugares, propagarse entre nodos a modo peer-to-peer, y se comprueban por cada nodo de forma independiente. ¿Entonces dónde entra la “cadena de bloques”? Bueno, uno de los trabajos de la blockchain es ser el registro autorizado final de las transacciones, en cuyos contenidos todos los nodos están de acuerdo de forma demostrable.

¿Por qué necesitamos este registro? En primer lugar, permite que los nodos recientemente incorporados calculen los contenidos de la base de datos desde cero, sin necesidad de que se fíen de otro nodo. En segundo lugar, responde a la posibilidad de que algunos nodos se pierdan algunas transacciones, debido a una caída del sistema o un ruido de comunicaciones. Sin un registro de transacciones, esto causaría que la base de datos de uno de los nodos divergiese de la de los demás, socavando el objetivo de una base de datos compartida.

En tercer lugar, es posible que haya dos transacciones en conflicto, de forma que sólo una de ellas puede aceptarse. Un ejemplo clásico es un gasto doble en que el mismo activo se envía a dos receptores distintos. En una base de datos peer-to-peer sin una autoridad central, los nodos podrían tener opiniones diferentes acerca de qué transacción debería aceptarse, porque no hay una respuesta objetivamente correcta. Al requerir que las transacciones se “confirmen” en una blockchain, aseguramos que todos los nodos convergen en la misma decisión.

Por último, en las blockchains al estilo de Ethereum, el ordenamiento preciso de las transacciones juega un papel crucial, porque cada transacción puede afectar a lo que ocurre en cada una de las subsiguientes. En este caso, la blockchain actúa para definir la cronología oficial, sin la cual las transacciones no se podrían procesar en absoluto.

Una blockchain es literalmente una cadena de bloques, en la que cada bloque contiene un conjunto de transacciones que se confirman como un grupo. Pero ¿quién es responsable de elegir las transacciones que van en cada bloque? En el tipo de “blockchain privada” que es adecuada para las aplicaciones empresariales, la respuesta es un grupo cerrado de validadores (“mineros”) que firman digitalmente los bloques que crean. Esta lista de admitidos se combina con alguna forma de esquema de consenso para evitar que una minoría de validadores se haga con el control de la cadena. Por ejemplo, MultiChain utiliza un esquema llamado diversidad de minería, en que los mineros autorizados trabajan a modo de “round-robin“, con algún grado de libertad para tener en cuenta los nodos que no estén funcionando.

Independientemente del esquema de consenso que se utilice, los nodos validadores tienen mucho menos poder que el propietario de una base de datos centralizada tradicional. Los validadores no pueden falsificar transacciones o modificar la base de datos violando sus reglas. En un libro mayor de activos, esto quiere decir que no pueden gastar el dinero de otras personas, ni cambiar la cantidad total de activos representados. Sin embargo, aún quedan maneras en que los validadores pueden influenciar indebidamente los contenidos de una base de datos:

  • Censura de transacciones. Si se coaligan maliciosamente los suficientes validadores, pueden impedir la confirmación en la blockchain de una transacción en particular, dejándola permanentemente en el limbo.
  • Resolución sesgada de conflictos. Si dos transacciones entran en conflicto, el validador que cree el siguiente bloque decide qué transacción se confirma en la blockchain, causando que la otra sea rechazada. La elección justa sería que la primera transacción que se haya visto, pero los validadores pueden elegir basándose en otros factores sin revelarlo.

A causa de estos problemas, cuando se está implantando una base de datos basada en blockchain, debes tener una idea clara de quiénes son tus validadores y por qué confías en ellos, colectivamente si no uno a uno. En función del caso de uso, los validadores podrían elegirse como: (a) uno o más nodos controlados por una sola organización, (b) un grupo central de organizaciones que mantienen la cadena, o (c) cada nodo de la red.

8. Respalda tus activos

Si has llegado hasta aquí, te habrás dado cuenta de que tiendo a referirme a las blockchains como bases de datos compartidas, en vez de con la definición más común de “libros mayores compartidos”. ¿Por qué? Porque como tecnología, las blockchains pueden aplicarse a problemas que van mucho más allá del seguimiento de la propiedad de activos. Cualquier base de datos que tiene múltiples escritores que no se fían unos de otros puede implementarse sobre una blockchain, sin requerir un intermediario central. Los ejemplos incluyen calendarios compartidos, colaboración al estilo wiki y foros de discusión.

Dicho esto, por ahora parece que las blockchains son sobre todo de interés para quienes siguen el movimiento e intercambio de activos financieros. Puedo pensar en dos razones para esto: (a) el sector financiero está respondiendo a la (con lo que sabemos ahora, minúscula) amenaza de criptomonedas como bitcoin, y (b) un libro mayor de activos es el ejemplo más simple y natural de una base de datos compartida con transacciones interdependientes creadas por múltiples entidades que no se fían unas de otras.

Si quieres usar una blockchain como un libro mayor de activos, debes responder a una pregunta crucial adicional: ¿Cuál es la naturaleza de los activos que se están moviendo? Con esto no me refiero sólo a dinero o bonos o cartas de porte, aunque por supuesto eso también es importante. La pregunta es más bien: ¿Quién está detrás de los activos representados en la blockchain? Si la base de datos dice que poseo 10 unidades de algo, ¿quién me permitirá reclamar esas 10 unidades en el mundo real? ¿A quién demando si no puedo convertir lo que está escrito en la blockchain en activos físicos tradicionales? (Mira este acuerdo para ver un ejemplo).

La respuesta, por supuesto, variará en función del caso de uso. Para activos monetarios, uno puede imaginar bancos de custodia que acepten dinero en la forma tradicional, y después acreditando las cuentas de los depositarios en un libro mayor distribuido movido por una blockchain. En finanzas comerciales, las cartas de crédito y de porte se respaldarían por el banco del importador y la compañía de transportes respectivamente. Y más adelante en el futuro, podemos imaginar un tiempo en que la principal fuente de bonos corporativos tenga lugar directamente en una blockchain por parte de la empresa que busque captar fondos.

Conclusión

Como mencioné en la introducción, si tu proyecto no satisface todas y cada una de estas condiciones, no deberías estar usando una blockchain. En ausencia de cualquiera de las cinco primeras, deberías pensar en: (a) un almacenamiento convencional de archivos, (b) una base de datos centralizada, (c) una replicación maestro-esclavo de bases de datos, o (d) múltiples bases de datos a los que se puedan suscribir los usuarios.

Y si cumples las cinco primeras, todavía queda trabajo por hacer. Debes ser capaz de expresar las reglas de tu aplicación en términos de las transacciones que una base de datos permite. Debes estar seguro de en quiénes puedes confiar como validadores y cómo definirás el consenso distribuido. Y por último, si estás pensando en crear un libro mayor compartido, debes saber quién estará respaldando los activos representados en ese libro mayor.

¿Tienes todas las respuestas? Enhorabuena, tienes un caso de uso de blockchain real. Y nos encantaría saber de tí.

Traducción del escrito de Gideon Greenspan, CEO and Founder, Coin Sciences Ltd

 

¿Éxito o mito? Los costes e impactos reales de los programas de ciberseguridad

Este artículo de Jason Choi, James Kaplan, Chandru Krishnamurthy y Harrison Lung en McKinsey tenía un titular que me ha tentado y que a lo mejor os interesa.

La ciberseguridad es un aspecto crítico de las infraestructuras tecnológicas que a menudo se malinterpreta. Aquí se cuenta cómo los líderes de negocio y de tecnología pueden asegurarse de que los activos importantes de la compañía sigan seguros.

Las empresas están usando todo tipo de tecnologías y técnicas sofisticadas para proteger los activos críticos del negocio. Pero el factor más importante en cualquier programa de ciberseguridad es la confianza. Cimenta todas las decisiones que los ejecutivos toman sobre herramientas, talento y procesos. Pero según nuestras observaciones, sin embargo, la confianza está en general ausente en las iniciativas de ciberseguridad de muchas organizaciones – en parte, a causa de agendas competitivas. Los líderes senior del negocio y la directiva pueden ver la ciberseguridad como una prioridad sólo cuando ocurre una intrusión, por ejemplo, mientras que el director de seguridad y su equipo ven la seguridad como una prioridad de todos los días, e incluso las transacciones más rutinarias del sitio web presentan brechas potenciales de ser explotadas.

Esta falta de confianza da paso a mitos comunes sobre la ciberseguridad -por ejemplo, sobre los tipos de amenazas que son más relevantes, la cantidad de gasto requerida para proteger los datos criticos, e incluso sobre qué conjuntos de datos están más expuestos al riesgo. Las percepciones se convierten en hechos, la confianza se erosiona aún más, y los programas de ciberseguridad acaban teniendo menos éxito del que podrían tener. Si la incidencia de las brechas ha sido ligera, por ejemplo, los líderes de negocio podrían tensar las riendas del presupuesto de ciberseguridad hasta que el CIO u otros líderes de ciberseuridad demuestren la necesidad de más inversiones en controles -quizá abriéndose a un ataque. Análogamente, si las amenazas se han documentado frecuentemente, los líderes de negocio podrían decir gastar más aún en nuevas tecnologías sin comprender que hay otros remedios, no técnicos, para mantener seguros los datos y otros activos de la empresa.

Video: Mitos de la ciberseguridad: ¿Qué es verdad y qué no?

Los ejecutivos pueden guardar los activos de negocio con más efectividad cuando reconocen cuatro falacias comunes sobre los programas de protección de datos.

Según nuestra experiencia, cuando hay más transparencia sobre los programas de ciberseguridad de las empresas, y confianza entre las distintas partes interesadas, las empresas cosechan importantes beneficios. Los negocios pueden tomar mejores decisiones sobre sus prioridades de seguridad y planes de respuesta, así como sobre la formación y las inversiones necesarias para contener a los atacantes. En este artículo exploramos cuatro mitos comunes sobre ciberseguridad en que los ejecutivos tienden a creer, y sugerimos acciones conjuntas que los ejecutivos de negocio y de TI pueden emprender para crear más transparencia y entendimiento a lo largo y ancho de la empresa sobre las tecnologías y procesos que son más efectivos para proteger la información crítica del negocio.

Separando los mitos de los hechos

Sobre la base de nuestro trabajo con empresas a través de diversos sectores y geografías, hemos observado que los líderes de negocio y de ciberseguridad caen bajo el influjo de cuatro mitos centrales cuando hablan de desarrollar programas de protección para los activos de la empresa.

Mito 1: Todos los activos de la organización deben protegerse del mismo modo

No todos los datos son creados con igual valor. Los datos de clientes asociados con un programa de tarjetas de crédito o un programa de tarjetas de lealtad de un minorista son de más valor que los números genéricos de facturas y los documentos de políticas que las empresas generan en su seno. Las empresas no tienen infinitos recursos para proteger todos los datos a cualquier coste, y a pesar de ello la mayoría despliegan estrategias de ciberseguridad de “talla única”. Cuando se enfrentan con una petición de más fondos para ciberseguridad de la organización de TI, los líderes del comité de dirección tienden a aprobarlos como en un acto reflejo (especialmente al albur de una reciente brecha de seguridad) sin una discusión más detallada sobre compromisos. Por ejemplo, ¿cuánto es gastar “demasiado” para proteger un conjunto crítico de datos respecto a otro? O si la empresa protege todos los sistemas orientados al exterior, ¿que tipo de oportunidades está dejando escapar al no incluir a los proveedores en el lote (usando planteamientos adecuados de políticas y gobernanza)? Sin duda, la mayoría de los ejecutivos de negocios con los que hemos hablado reconocen un punto ciego cuando se trata de comprender el retorno que obtienen de sus inversiones en seguridad y las soluciones de compromiso asociadas.

Según nuestra experiencia, una estrategia fuerte de ciberseguridad proporciona una protección diferenciada de los activos más importantes de la empresa, usando una colección segmentada de medidas de seguridad. Los líderes de negocio y de ciberseguridad deben trabajar juntos para identificar y proteger las “joyas de la corona” – esos activos corporativos que generan más valor para la empresa. Pueden inventariar y priorizar los activos y entonces determinar la fuerza de la protección de ciberseguridad requerida en cada nivel. Al introducir más transparencia en el proceso, el valor de negocio en peligro y las potenciales soluciones de compromiso que habrá que hacer sobre el coste serían entonces más obvias para todas las partes. Una empresa minera mundial, por ejemplo, se dio cuenta de que estaba concentrando muchísimos recursos en proteger los datos de producción y exploración, pero que había fracasado al separar la información propia de la que se podía reconstruir a partir de fuentes públicas. Después de reconocer el fallo, la empresa reasignó sus recursos de acuerdo con esto.

Mito 2: Cuanto más gastemos, más seguros estaremos

De acuerdo con nuestra investigación, no hay una correlación directa entre el gasto en ciberseguridad (como proporción del gasto total en TI) y el éxito del programa de ciberseguridad de una empresa. Algunas empresas que gastan bastante en ciberseguridad están de hecho desempeñando peor que el resto del mercado respecto al desarrollo de la resiliencia digital (1: Salvo indicación en contra, las estadísticas relativas a la composición y efectividad de los programas de ciberseguridad de las empresas aquí mencionados corresponden a la encuesta McKinsey de madurez frente a riesgos cibernéticos de 2015) (Diagrama 1). En parte, esto se debe a que esas empresas no estaban necesariamente protegiendo los activos correctos. Como mencionamos antes, las empresas suelen actuar, a falta de otro planteamiento, con un “café para todos” (protegiendo todos los activos en vez de sólo las joyas de la corona). Meter dinero en el problema puede parecer buena idea a corto plazo -especialmente cuando se produce una intrusión- pero no es probable que un enfoque ad hoc de la financiación sea efectivo a largo plazo. Los líderes de negocio y de ciberseguridad deben alcanzar un entendimiento compartida de los costes y el impacto y desarrollar una estrategia clara para la financiación de programas de ciberseguridad. Los equipos de negocio y ciberseguridad de un proveedor de servicios sanitarios, por ejemplo, podrían ponerse de acuerdo en que proteger los datos de los pacientes es la primera prioridad pero que los datos financieros también deben protegerse de forma que no se comprometan las relaciones con los socios y las negociaciones de los servicios. Podrían asignar los recursos de acuerdo con esto. Sin este entendimiento compartido, los líderes de negocio podrían resistirse cuando ocurra una brecha de datos y hayan aportado fondos para cambios significativos en la infraestructura de seguridad. La falta de transparencia y confianza entre el equipo directivo y la organización de TI sólo empeoraría.

Diagrama 1

Diapositiva1

Mito 3: Los hackers externos son la única amenaza para los activos corporativos

Es cierto que las amenazas de fuera de la empresa son una inmensa preocupación para los equipos de ciberseguridad, pero también hay amenazas significativas entre las paredes de la empresa. Las personas que están más cerca de los datos u otros activos de la empresa pueden también ser el eslabón débil del programa de ciberseguridad de una empresa – especialmente cuando comparten contraseñas o archivos en redes no protegidas, hacen clic en enlaces maliciosos enviados desde direcciones de correo desconocidos, o actúan de otros modos que abren las redes de la empresa ante un ataque. No en vano, las amenazas desde el interior de la empresa son la causa del 43 por ciento de las brechas de datos (2: Grand theft data, Intel Secutiry, mcafee.com)

Los líderes de negocio y de ciberseguridad deben por lo tanto colaborar en las formas de mejorar la cultura interna del riesgo. Deben educar a los empleados de todos los niveles sobre las realidades de los ciberataques y las mejores prácticas para evitarlos -por ejemplo, celebrando reuniones por ciudades, montando campañas de phishing, o escenificando presentaciones de juegos de guerra para familiarizar a los empleados con las amenazas potenciales y así elevar la concienciación. Muchas de estas actividades deberán ser dirigidas por el CIO, el director de seguridad u otros profesionales de la tecnologías encargados de los programas de ciberseguridad. Pero ninguna será fructífera si los líderes de negocio de la empresa no están completamente implicados en un dialogo con la función de ciberseguridad y si las compañías no construyen mecanismos explícitos para asegurar que el diálogo continúa a largo plazo. Los líderes de negocio a todos los niveles deben darse cuenta de que son realmente la primera línea de defensa contra las ciberamenazas y la ciberseguridad nunca es sólo la responsabilidad del departamento de TI.

Mito 4: Cuanto más avanzada sea nuestra tecnología, más seguros estaremos

Es cierto que los equipos de ciberseguridad usan a menudo tecnologías potentes, punteras, para proteger los datos y otros activos de la empresa. Pero también es verdad que muchas amenazas pueden mitigarse usando métodos menos avanzados. Después de todo, la mayoría de las empresas no están enfrentándose a hackers de nivel militar. De acuerdo con la investigación, más del 70 por ciento de los ciberataques gloables vienen de criminales con motivaciones financieras que usan tácticas técnicamente simples, como e-mails de phishing (3: 2017 Data breach investigations report, Verizon, 2017, verizonenterprise.com).

Cuando las empresas invierten en tecnologías avanzadas, pero no comprende cómo usarlas del mejor modo, o no pueden encontrar administradores adecuadamente formados para gestionarlas, acaban creando graves ineficiencias en el equipo de ciberseguridad, comprometiendo por lo tanto el programa de ciberseguridad en su conjunto.

Las compañías, deben, por supuesto, explorar las últimas y mejores teconologías, pero también es crítico que las empresas establezcan y mantengan buenos protocolos y prácticas de seguridad para complementar las tecnologías emergentes -por ejemplo, desarrollar un programa robusto de gestión de parches (4: La gestión de parches es el proceso estructurado de obtención, comprobación e instalación de los cambios de código en un sistema de ordenadores administrado) y deshacerse del software cuyos distribuidores no proporcionen más actualizaciones de seguridad. Este tipo de fundamento puede ayudar a las empresas a mitigar muchas de las mayores amenazar a las que podrían enfrentarse. Pensemos en el siguiente ejemplo: el 14 de marzo de 2017 se lanzó un parche que cubre las vulnerabilidades de las que podría abusar el gusano encriptado WannaCry – unos dos meses antes de que el ransomware se abriese camino en más de 230.000 ordenadores de más de 150 empresas.

Mejor que perpetuar los mitos, los líderes de negocio y ciberseguridad deberían concentrarse en tener puentes sobre las grietas de confianza que existen entre ellos. Creemos que la mayoría de las empresas pueden hacer eso cuando los líderes de tecnología y negocio entrenan juntos su atención sobre los dos problemas principales del control: ¿Cómo gestionar las soluciones de compromisos asociadas a la ciberseguridad? y ¿cómo dialogar con más efectividad sobre los problemas y protocolos de ciberseguridad?

¿Cómo gestionamos las soluciones de compromiso?

Los profesionales de tecnología tienen que jugar un papel en reeducar al comité de dirección sobre las mejores prácticas en gastos de ciberseguridad -específicamente ilustrando por qué un enfoque segmentado de la ciberseguridad puede ser más efectivo que el “café para todos”. El presupuesto no puede crecer y menguar en función de que la compañía haya sufrido o no una intrusión reciente en sus sistemas. La ciberseguridad debe considerarse una inversión permanente, y las asignaciones deberían priorizarse sobre la base de la revisión del portafolio completo de iniciativas en curso. Los profesionales de negocio y tecnología deben trabajar juntos para gestionar las soluciones de compromiso asociadas a la ciberseguridad.

Al discutir en qué iniciativas invertir y en cuáles dejar de hacerlo, los profesionales del negocio y la tecnología pueden usar un modelo de categorización de riesgos con cuatro niveles de amenaza, desde mínima a grave. El equipo de ciberseguridad puede entonces implicar al comité de dirección en discusiones sobre los activos de datos más importantes asociados con cada parte de la cadena de valor del negocio, los sistemas en que residen, los controles que se aplican y las soluciones de compromiso asociadas con proteger los activos de mayor frente a los de menor prioridad.

A un nivel más amplio, los profesionales de la tecnología pueden ayudar al comité de dirección a crear bancos de intercomparación para los gastos plurianuales y transversales a la empresa en iniciativas de ciberseguridad que puedan revisarse con regularidad -por ejemplo, el gasto en ciberseguridad como porcentaje de los gastos totales en TI. El CIO y su equipo podrían crear un índice de gastos de inversión para las inversiones en seguridad para ayudar al comité de dirección a justificar los costes por pérdidas ajustadas al riesgo o los costes por porcentaje de infraestructura protegida. O los profesionales de tecnología y negocio podrían desarrollar conjuntamente una fórmula para cuantificar los beneficios de mejorar el programa de ciberseguridad. De este modo, pueden tomar decisiones claras sobre qué herramientas comprar y añadir a la arquitectura de ciberseguridad existente, qué sistemas actualizar y cuáles retirar.

Independientemente de las métricas utilizadas, es importante tener un proceso formal y exhaustivo de aprobación para la planificación y seguimiento de los gastos de inversión asociados a la ciberseguridad. Deben marcarse prioridades desde un punto de vista de negocio mas que desde uno de sistemas. Los CIOs y los directores de seguridad deben colaborar con el negocio para identicar esos activos con el potencial de generar la mayor cantidad de valor apra el negocio y desarrollar una hoja de ruta de cibsereguridad en consencuencia. La hoja de ruta ilustraría la distribución de “joyas de la corona” a lo largo y ancho de la organización y las mayores áreas de exposición. Trazaría los controles actuales y la secuencia para lanzar nuevas iniciativas de seguridad, a dos o tres años vista. Por supuesto, los ejecutivos de negocio y tecnología deberían revisar estos planes trimestral o anualmente para garantizar que siguen siendo relevantes dados los cambios en el entorno. La hoja de ruta también definiría roles y responsabilidades, así como los mecanismos por los que el comité de dirección y los líderes de la función de ciberseguridad podrían supervisar el avance respecto a lo planeado y revisarlo consecuentemente.

¿Cómo hablamos de ciberseguridad?

La comunicación pobre es la causa de mucha de la falta de confianza entre los líderes de negocio y los miembros de la función de ciberseguridad. Nuestra investigación indica que en la mayoría de las empresas, los profesionales de la ciberseguridad están al menos a dos niveles del CEO en la jerarquía corporativa, con pocas oportunidades de discutir directamente cuestiones y prioridades de protección (Diagrama 2). Es más, en cerca de la mitad de las empresas que estudiamos, había entre poca y ninguna documentación formal compartida por la función ciber con la directiva sobre el estado de sus sistemas defensivos; muchas empresas se apoyaban en correos electrónicos ocasionales, memoranda y notas (Diagrama 3).

Diagrama 2

Diapositiva2.PNG

Diagrama 3

Diapositiva3.PNG

 

Y aún más, cuando los profesionales de negocio y tecnología se reúnen en la misma sala, la ciberseguridad se suele discutir usando un lenguaje altamente tecnificado -por ejemplo, “Ya tenemos medidas para cubrir todas las CVE, sin embargo el APT es algo que debemos mantener vigilado. Con nuestra actual infraestructura SVM y SIEM, no hay forma de defendernos de esos ataques avanzados”(5: CVE – Vulnerabilidades y Exposiciones Comunes, APT: Amenaza Persistente Avanzada, SVM: Gestión de la Seguridad y la Vulnerabilidad, SIEM: Gestión de la información y eventos de seguridad). A pesar de la jerga, los profesionales de la tecnología y el negocio presentes en la sala entienden todos lo crítico que es construir un programa de ciberseguridad robusto dados los efectos potenciales en el resultado final si los activos de la empresa se ponen en peligro. Pero cada bando está típicamente oyendo sólo la mitad de la historia.

En vez de informar de que “se remediaron 10 vulnerabilidades”, por ejemplo, los profesionales de tecnología pueden usar ayudas visuales y lenguaje orientado a resultados para ayudar a los líderes de negocio a entender las amenazas potenciales de seguridad y las formas de contrarrestarlas. Una actualización del estado de cosas podría formularse mejor de la forma siguiente: “Nuestro equipo de ciberseguridad ha parcheado el agujero de seguridad en nuestro sistema de gestión de relaciones con los clientes que podría haber dado acceso a los hackers a millones de paquetes de datos de nuestros clientes minoristas, creando un daño financiero de 100 millones de dólares”. Los profesionales de ciberseguridad podrían también trazar u comunicar claramente los niveles de acceso al sistema para usuarios autorizados y no autorizados – un administrador de bases de datos tendrían privilegios mayores que los empleados de primera línea, por ejemplo.

Encontrar un vocabulario común es importante no sólo para asegurar una comunicación clara entre la directiva y la función de ciberseguridad sino también para elevar la concienciación sobre las potenciales ciberamenazas y los riesgos entre los empleados de toda la empresa. Los miembros de la función de ciberseguridad deberían programar reuniones frecuentes, regulares con la plantilla de todos los niveles para educarles sobre temas relevantes de ciberseguridad – cómo reconocer un email de phishing, por ejemplo – y para mostrar las capacidades de seguridad de la empresa. El equipo de ciberseguridad de una firma de tecnología realiza “giras” para demostrar qué sistemas están siendo examinados y cómo se están supervisando. Un minorista en línea, mientras tanto, incluye detalles sobre sus esfuerzos en ciberseguridad en informes financieros existentes previamente – por ejemplo, informando sobre su desarrollo de un escáner antimalware para proteger la integridad de su motor de recomendación, que ayuda a dirigir publicidad. Hace esto para ilustrar que la ciberseguridad es parte del proceso de negocio y puede ayudar a atraer ingresos.

Estas discusiones deberían tener lugar sin importar que la empresa esté ante una amenaza inminente o no. El equipo de ciberseguridad de una empresa que observamos compartía con la alta dirección un simple desglose de un evento típico de seguridad (infografía). El equipo quería dar a los miembros de la directiva una visión general paso a paso de lo que ocurriría en un ataque típico – no sólo para probar la efectividad de las capacidades de seguridad de la empresa sino también para familiarizar a las personas con las amenazas potenciales para que puedan reconocerlas cuando encuentren desviaciones respecto a la norma.

El pase de diapositivas requiere JavaScript.

Como mencionamos anteriormente, los líderes de tecnología podrían tener que liderar la carga en forjar comunicaciones directas, crear transparencia de costes, e identificando las prioridades del negocio. Pero las tareas sugeridas requerirán experiencia en comunicación a nivel de alta dirección, presupuestación y planificación estratégica -habilidades que podrían estar más allá del alcance de los miembros del equipo de ciberseguridad. Para alcanzar la velocidad de crucero con más rapidez, los líderes ciber podrían querer pedir ayuda a otros con experiencia relevante -por ejemplo, distribuidores y socios  que puedan compartir mejores prácticas. En el espíritu del desarrollo ágil, los equipos de ciberseguridad podrían también emprender estas actividades en modo “lanzamiento-revisión-ajuste”. Podrían actualizar los perfiles de amenazas y riesgos en sprints de entre uno y seis meses, asegurando de este modo que puedan responder a las más recientes tendencias y tecnologías.

No nos equivoquemos, el momento para fomentar una mayor transparencia sobre la ciberseguridad es ahora. Los accionistas deben tener confianza en la directiva y su capacidad para manejar brechas de seguridad sin afectar dramáticamente a la cotización e imagen de marca de la empresa. La directiva debe poder confiar en la afirmación del director de seguridad de información sobre que cada céntimo invertido en mejorar la seguridad o la infraestructura de TI merece la pena. La empresa debe confiar en que los distribuidores pueden proteger adecuadamente los datos compartidos o asegurar la estabilidad del servicio si ocurren brechas. Y, por supuesto, los clientes deben poder confiar en que sus datos personales se salvaguardan cuidadosamente tras los muros de la empresa.

La directiva y la función de ciberseguridad ya no pueden hablarse sin entenderse; la seguridad debe ser una responsabilidad compartida a través de las unidades de negocio. Debe incrustarse en diversos procesos de negocio, con el objetivo superior de construir una cultura de la resiliencia. Las empresas que dan pasos ahora para construir más confianza entre el negocio y la TI lo tendrán más fácil para promover un entorno resiliente y sobrellevar las ciberamenazas a largo plazo.

 

Objetivos y sistemas, por Thomas Oppong

Hoy traduzco este artículo de Thomas Oppong, fundador de @Alltopstartups, curator en postanly.com, columnista en Inc, y con artículos en HuffPost, Business Insider, Quartz, CNBC, Entrepreneur y NY Observer.

Configurar un gran sistema puede ayudarte a conseguir casi cualquier cosa

Todo el mundo tiene un conjunto de objetivos pero es el compromiso con un sistema lo que marca la diferencia Los sistemas son el cimiento de un trabajo grande y profundo.

Los sistemas te dan la libertad de hacer tu mejor trabajo cada día sin cometer los mismos errores una y otra vez.

 

En “Cómo fracasar en prácticamente todo y aún así seguir ganando“, el autor (y dibujante de Dilbert) Scott Adams explica: “Una meta es un objetivo específico que consigues o no en algún momento del futuro. Un sistema es algo que haces con regularidad y que cumple tus expectativas de felicidad a largo plazo. Si haces algo cada día, es un sistema. Si estás esperando conseguirlo algún día en el futuro, es una meta.”

Cultivar el sistema correcto puede marcar una diferencia radical en tu vida productiva. Usar sistemas puede facilitarte la vida.

Un sistema te provee de un sistema de referencia interno y te equipa con el poder del hábito.

James Clear dice “Cuando te enfocas en la práctica en lugar de en el rendimiento, puedes disfrutar del momento presente y mejorar al mismo tiempo”. He aquí la diferencia entre las metas y los sistemas, según Clear.

Si eres un entrenador, tu meta es ganar un campeonato. Tu sistema es lo que tu equipo hace y practica cada día.

Si eres un escritor, tu meta es escribir un libro. Tu sistema es el programa de escritura que sigues cada semana.

Si eres un corredor, tu meta es correr una maratón. Tu sistema es tu programa de entrenamientos para el mes.

Si eres un emprendedor, tu meta es construir un negocio de un millón de dólares. Tu sistema es tu proceso de ventas y marketing.

Nunca tendrás un éxito completo hasta que tengas un sistema de trabajo que oriente tus actos y te ayude a lograr tus metas.

Un sistema hace tu objetivo real. Es concreto. Te pone en marcha. Te ayuda a centrarte en ganancias a largo plazo, en lugar de en victorias a corto plazo.

Escribir un libro en 6 meses es una meta excelente, pero necesitas estructura/un sistema que haga más fácil lograr esa meta.

Muchos escritores se comprometen a unos pocos cientos de palabras al día. Se amoldan a un programa que les funciona. Un sistema hace que sea más fácil dar el próximo paso hacia la meta. Cuando te implicas con un sistema, es mucho más probable que te mantengas en él. Los sistemas tratan más del proceso a largo plazo que del resultado a corto plazo.

Una estructura en tu vida y algunas rutinas que te ayuden cada día y te mantengan en la pista es mejor que un sólo disparo en dejar algo hecho.

Si tienes la intención de estar en mejor forma, construir un negocio exitoso, o escribir un best-seller, los sistemas te acercarán más a esa meta que un logro radical de una sola vez a conseguir tu objetivo más importante.

Joe Frazier dijo una vez: “Los campeones no se hacen en el ring, sólo se les reconoce allí”.

Cualquiera que se ha marcado y ha logrado una meta comprende la importancia de un sistema. Los procesos, las rutinas y los hábitos que apoyan la consecución de un objetivo.

Los sistemas como hábitos

Empieza cualquier cosa con una finalidad clara y céntrate en el sistema para conseguirlo.

Los sistemas efectivos para lograr metas comienzan con claridad acerca de tus fines. El esfuerzo sin propósito es esfuerzo desperdiciado.

Mucha gente tiene distintos sistemas de éxito que guían su forma de trabajar y las acciones a tomar en cada momento para lograr su mayor propósito.

Si tu actual sistema de trabajo no funciona o no da los resultados deseados que esperas, haz cambios, crea un nuevo sistema y da pasos cada día para seguirlo al pie de la letra.

Al pasar un poco de tiempo imaginando qué funcionará mejor para ti y tus hábitos, te puedes colocar en una estupenda posición para salirte de tu cabeza y dejar las cosas hechas.

Reservar una hora cada día para algo que quieres lograr a todas costa puede ser un magnífico sistema que puede ayudarte a conseguir tu gran meta.

Oliver Burkeman de Guardian dice: “…concentrarse en un sistema quiere decir concentrarse en lo que puedes controlar (tus actos) en vez de en lo que no (el eternamente impredecible mundo exterior). Sigue trabajando en tu sistema y maximizarás las posibilidades de que el éxito se encuentre contigo”.

Puedes empezar a construir sistemas con un hábito cada vez. Concéntrate en el progreso incremental y la consistencia para establecer las bases que permitirán que las cosas queden hechas.

Una rutina diaria o semanal, una aplicación constante de hábitos incluso pequeños, transformarán tu vida con más efectividad que perseguir un objetivo abrumadoramente grande sin una rutina constante para conseguirlo.

 

La meditación también tiene efectos negativos, y muy chungos, según Yorokobu

Este artículo de Esteban Ordóñez se hace eco de un estudio de dos científicos que han encuestado a personas a quienes la practica de la meditación no les ha resuelto la vida como les gustaría a los mercachifles de la autoayuda que han desprovisto esa practica de sus significados menos vendibles.

Hay toda una gama de efectos adversos que se pueden producir, e incluso algunos son necesarios en el camino hacia el satori desde el punto de vista de un maestro budista.

No es esa ecuación placentera de salud-tranquilidad-bienestar con que nos seducen a los occidentales. Así que dejemos de buscar cosas que encajen con nuestros juicios y esquemas previos y escuchemos con atención, para aprender, en vez de para responder o reafirmarnos. 

Gerentes de producto para el mundo digital, según McKinsey

Este artículo de Chandra Gnanasambandam, Martin Harrysson, Shivam Srivastava y Yun Wu para McKinsey expone el nuevo rol de los gerentes de producto, que ahora son mini – CEOs de su producto y aúnan facetas tecnológicas, generalistas y de negocio.

El rol del gerente de producto se está expandiendo debido a la importancia creciente de los datos en la toma de decisiones, y la concentración de la atención en el cliente y el diseño, así como la evolución de las metodologías de desarrollo de software.
Los gerentes de producto son el cemento que une las muchas funciones que tocan un producto: la ingeniería, el diseño, el éxito del cliente, las ventas, el marketing, las operaciones, las finanzas, los aspectos legales y más. No sólo  deciden lo que se construye sino que también influyen en cada aspecto de cómo se construye y se lanza.

A diferencia de los gerentes de producto del pasado, que estaban centrados sobre todo en la ejecución y a quienes se media por la entrega a tiempo de proyectos de ingeniería, el gerente de producto de hoy es cada vez más el mini-CEO del producto. Llevan muchos “sombreros”, usando una amplia base de conocimientos para tomar decisiones de compromiso, y cohesionar equipos multidisciplinares, asegurando el alineamiento entre diversas funciones. Más aún, la gestión de producto está emergiendo como el nuevo campo de entrenamiento para los futuros CEOs de las tecnológicas.

A medida que más empresas de fuera del sector tecnológico se preparan para constuir capacidades de software para su éxito en la era digital, es crítico que entiendan bien el rol de la gestión de producto.1

Por qué necesitas un gerente de producto que piensa y actúa como un CEO

La emergencia del gerente de producto mini-CEO está guiada por un conjunto de cambios en la tecnología, las metodologías de desarrollo y la forma de comprar de los consumidores. Juntos, constituyen un fundamento sólido para tener un gerente de producto bien redondeado que esté más orientado al exterior y pase menos tiempo supervisando la ejecución de la ingeniería del día a día, al mismo tiempo que sigue comandando el respecto por la ingeniería.

Los datos lo dominan todo

Las empresas tienen hoy cuevas del tesoro llenas de datos internos y externos y las utilizan para tomar cada decisión relacionada con los productos. Es natural para los gerentes de producto -que son los que están más cerca de los datos- adoptar un papel más amplio. El éxito del producto puede medirse también con claridad a través de un conjunto de métricas más amplio (adopción, retención, conversión y así sucesivamente) a un nivel más granular, y a los gerentes de producto se les puede dar una influencia amplia para afectar a esas métricas

Los productos de construyen de forma diferente

Los gerentes de producto funcionan ahora a dos velocidad: planifican los lanzamientos diarios o semanales de funcionalidades, así como la hoja de ruta del producto para entre los próximos 6 y 24 meses. Los gerentes de producto pasan mucho menos tiempo escribiendo largos requisitos; en vez de eso, deben trabajar estrechamente unidos con distintos equipos para obtener realimentación e iterar frecuentemente.

Los productos y sus ecosistemas se están volviendo más complejos

Mientras que los productos de software-as-a-service se están volviendo más simples para los clientes, con funcionalidades modulares en lugar de un único lanzamiento monolítico, son cada vez más complejos para los gerentes de producto. Los gerentes deben ahora supervisar múltiples lotes, tramos de precio, precios dinámicos, trayectos de ¡venta al alza y estrategias de precio. Los ciclos de vida también se están volviendo más complejos, con expectativas de nuevas funcionalidades, mejoras frecuentes, y ampliaciones después de la compra. Al mismo tiempo, el valor del ecosistema circundante está creciendo: los productos modernos son cada vez más sólo un elemento de un ecosistema de servicios y negocios relacionados. Esto ha conducido a un salto en las responsabilidades desde el desarrollo de negocio y el marketing a gerentes de producto. Las nuevas responsabilidades para los gerentes de producto incluyen la supervisión de la interfaz de programación de aplicaciones (API) como un producto, la identificación y pertenencia a las coaliciones clave, la gestión del ecosistema de desarrolladores y más.

Cambios en la “plataforma de ejecución”

Además de los desarrolladores y probadores, los equipos de desarrollo de producto incluyen a operaciones, analítica, diseño y mercaderes de producto que trabajan estrechamente unidos en “plataformas de ejecución” para aumentar la velocidad y la calidad del desarrollo de software. En muchas organizaciones de software, el modelo DevOps está desmantelando los silos organizativos y permitiendo a los gerentes de producto obtener revelaciones más amplias y multidisciplinares y llegar a soluciones de producto más robustas de forma más efectiva.

La Consumerización (o consumidorización) de las TI y el rol elevado del diseño

Un software de consumidor sin fisuras, amigable con el usuario, impregna nuestras vidas, los usuarios de negocios esperan cada vez más una mejor experiencia para el software empresarial. El gerente de producto moderno necesita conocer profundamente al cliente. Esto significa estar obsesionado con las métricas de uso y con construir empatía con el cliente por medio de canales on-line, entrevistas cara a cara y ejercicios de acompañamiento para observar, escuchar y aprender cómo la gente usa y experimenta en realidad los productos.

Tres arquetipos del gerente de producto mini-CEO

Hay tres perfiles comunes del arquetipo del mini-CEO: tecnólogos, generalistas y orientados a negocio. Estos tres perfiles representan el foco de atención primario (pero no el único) del gerente de producto mini-CEO; como cualquier CEO, trabajan a través de múltiples áreas (por ejemplo, se espera que un gerente de producto tecnólogo esté al tanto de las métricas clave de negocio). La mayoría de las empresas de tencología tienen hoy una mezcla de tecnólogos y generalistas (Diagrama 1).

Diagrama 1

Diapositiva1

Fuente: Traducido de McKinsey

A medida que emergen estos tres arquetipos, el gerente de proyecto es un arquetipo en declive y se le ve principalmente en empresas antiguas de producto. El rol de la ejecución del día a día de la ingeniería es ahora habitualmente responsabilidad de un gerente de ingeniería, gerente de programa o scrum master. Esto permite un mayor apalancamiento, con un gerente de producto para entre 8 y 12 ingenieros, frente al ratio de un gerente de producto para entre 4 y 5 ingenieros que ha sido común en el pasado.

Temas comunes a los tres arquetipos

La intensa atención en el cliente es algo sobresaliente en todos los gerentes de producto. Por ejemplo, los gerentes de producto de Amazon se encargan de escribir notas de prensa desde el punto de vista de los clientes para cristalizar lo que creen que los clientes pensarán sobre un producto, incluso antes de que el producto se desarrolle. 2 Esta nota de prensa sirve entonces como el mecanismo de aprobación del producto en sí mismo.

Sin embargo, hay diferencias en cómo los gerentes de producto conectan con los usuarios. Mientras que los tecnólogos pueden dedicar tiempo a conferencias de la industria hablando con otros desarrolladores o leyendo Hacker News, el generalista normalmente empleará ese tiempo en entrevistarse con los clientes, hablando con el equipo de ventas, o revisando métricas de uso.

Un nuevo campo de entrenamiento para los CEOs

Los gerentes de producto modernos están llenando cada vez más la tubería de alimentación de nuevos CEOs de empresas tecnológicas. Antes de convertirse en los CEOs de Google, Microsoft y Yahoo, Sundar Pichai, Satya Nadella y Marissa Mayer fueron gerentes de producto, y aprendieron a influir y dirigir equipos pastoreando productos desde la planificación al desarrollo al lanzamiento y más allá. Esa experiencia también es valiosa más allá de la tecnología. el CEO de PepsiCo Indra Nooyi empezó su carrera en roles como los de gerente de producto en Johnson & Johnson y Mettur Beardsell, una firma textil.

Mientras que hoy día semejante trasfondo sigue siendo infrecuente entre los CEOs, los programas rotacionales de gerentes de producto son los nuevos programas de desarrollo de liderazgo para muchas empresas tecnológicas (por ejemplo, véase los programas:Facebook Rotational Product Manager Program, the Google Associate Product Manager Program y el Dropbox Rotation Program). Cualquiera que critique la anlaogía entre los gerentes de producto y los CEOs  indicará que a los gerentes de producto  les faltan las repsponsabilidades directas de pérdidas y beneficioso y ejércitos de informes directos, así que es crítico para los gerentes de producto con ambiciones directivas adentrarse en la gestión general para ampliar su experiencia.

El gerente de producto del futuro

A lo largo de los próximos tres a cinco años, veremos cómo el rol de gestión de producto sigue evolucionando hacia una atención más profunda al dato (sin perder empatía por los usuarios) y una mayor influencia en decisiones ajenas al producto.

Los gerentes de producto del futuro serán gurús de la analítica y menos dependientes de los analistas para las preguntas básicas. Serán capaces de poner en marcha con rapidez un cluster Hadoop en Amazon Web Services, extraer datos de uso, analizarlos y sacar conclusiones. Serán adeptos a aplicar los conceptos de aprendizaje asistido (machine learning) y herramientas específicamente diseñadas para aumentar la capacidad de toma de decisiones del gerente de producto.

Anticipamos que la mayoría de los gerentes de producto modernos dedicarán al menos el 30 por ciento de su tiempo a actividades externas como comprometerse con los clientes y el ecosistema de socios. Ese compromiso no estará limitado a los productos de consumo -a medida que la consumidorización de la TI continúa, los gerentes de producto B2B conectarán directamente con los usuarios finales en vez de realimentarse a través de las múltiples capas de ventas e intermediarios.

De manera similar, el trasfondo de los gerentes de producto del futuro evolucionará para encajar con ese nuevo papel. Unos fundamentos de informática seguirán siendo esenciales y se complementará con la experiencia y trabajo práctico en diseño. Los gerentes de producto sabrán cómo crear mock-ups y apalancar marcos de trabajo y APIs para prototipar con rapidez un producto o una funcionalidad. Los gerentes de producto empezarán típicamente sus carreras bien como ingenieros o como parte de un programa rotacional. Después de tres o cuatro años, podrían obtener un MBA ejecutivo o de tiempo completo con una especialización en gestión de producto, que se está convirtiendo en un foco de atención en varios programas MBA de gama superior, los cuales esperamos que serán cada vez más predominantes.

Un aspecto clave del perfil de un futuro gerente de producto serán las frecuentes transiciones entre productos e incluso empresas. Un gerente de producto en una empresa líder de tecnología B2B nos dijo: “Para el éxito en nuestra empresa, es crítico que esté constantemente aprendiendo no sólo nuevas tecnologías, sino también nuevos modelos de negocio. De aquí que contratemos un montón de gente de Google, Amazon y VMWare y animemos a nuestros gerentes de producto a que roten de un producto a otro”.

Para empezar: Redefine tu función de gerencia de producto

Recomendamos que las organizaciones empecen con una minuciosa evaluación de sus capacidades actuales de gestión de producto en seis áreas: anclaje en la experiencia del cliente, orientación al mercado, pericia en decisiones de negocio, habilidades técnicas, habilidades soft, y la presencia de capacitadores organizativos. Las empresas se suelen centrar en las categorías primera a tercera y en cumplir el estándar en el resto del tablero (Diagrama 2).

Diagrama 2

Presentación3

Fuente: Traducido de McKinsey

Una vez que una empresa ha establecido un punto de partida acerca de sus capacidades de gestión de producto, suele seguir dos caminos paralelos -contratar nuevo talento en áreas estratégicas e invertir en un amplio programa de construcción de capacidades para el talento existente. Para los últimos, un planteamiento de práctica y debate ha resultado ser lo que mejor funciona, donde los gerentes de producto trabajan sobre proyectos reales con sesiones regulares de orientación y comentarios.

El desarrollo de software es necesariamente una prioridad estratégica para todas las empresas en la actual era digital. Los gerentes de producto juegan un papel decisivo, al servir de enlace entre los equipos de ingeniería de software y otras partes de la organización.  Han emergido distintos arquetipos en las empresas líderes de tecnología que pueden indicar el camino a seguir para las organizaciones que empiezan a construir nuevas capacidades digitales.