Cuéntanos sobre ti
Parafraseando mi biografía compartida con los clientes, soy especialista en gobernanza, riesgo y cumplimiento en aseguramiento de la información, estrategia, gestión de servicios y confianza digital. ¿Qué significa eso? Básicamente, soy un fanático de los marcos, estándares y metodologías y ayudo a los clientes a adaptarlos a sus situaciones únicas.
Aunque vivo en Arizona, EE.UU., la mayor parte de mi trabajo tiene un enfoque internacional. Soy una organización de una sola persona, por lo que, como pueden imaginar, tengo que asegurarme de equilibrar mi trabajo y mi vida personal. En mi tiempo libre, pesco varias veces al año, hago trineos tirados por perros y viajo. Un pequeño secreto sobre mí es que en mi tiempo libre, también soy un juez de barbacoa certificado.
Es ampliamente conocido que eres es un experto en COBIT, pero aparte de COBIT, ¿con qué otros marcos trabajas?
Sabes que soy un gran fanático de los marcos. En mis puestos de liderazgo de TI, COBIT solía ser el primer lugar al que recurría para ayudarme a entender los problemas a los que me enfrentaba. Por mucho que me guste COBIT, también reconozco que no es el único marco en la ciudad. Creo que un ecosistema de gobernanza consiste en múltiples marcos, estándares, modelos y metodologías. Me gusta trabajar con otros como ITIL, COSO, TOGAF, PRINCE2, PMBOK y varias normas NIST e ISO.
El desafío que enfrentan la mayoría de las organizaciones es lo que yo llamo agotamiento del marco. Todos hemos estado allí. Es abrumador cuántos hay por ahí.
Puede tener múltiples marcos y estándares en su organización, y todos afirman ser la solución que salvará a su empresa. Estos marcos tienen valor, pero hay que averiguar por qué y cómo. El truco es averiguar cuáles pueden crear el mayor valor para usted, y más específicamente, qué partes de estos son las más apropiadas. Es por eso que a menudo llamo a COBIT el «marco para administrar sus marcos». Ayuda a determinar qué partes de estos otros marcos son las más apropiadas en función de los requisitos de gobernanza específicos. Comparemos COBIT con middleware. ¿Qué hace el middleware? Conecta sistemas técnicos que normalmente no se comunican entre sí. Esto se relaciona con COBIT, porque ayuda a múltiples marcos a comunicarse entre sí que normalmente no hacen esto.
A menudo apareces en publicaciones en redes sociales, blogs y seminarios web ofreciendo consejos basados en tus proyectos actuales. ¿En qué estás trabajando estos días?
Mi carga de trabajo actual es de aproximadamente 20% de capacitación y 80% de consultoría. He tenido cambios en los tipos de proyectos en los últimos años. Donde hace unos años estaba ayudando a las empresas con sus mesas de servicio y procesos de control de cambios, hoy estoy más involucrado en temas de junta, comité y nivel ejecutivo. Durante la pandemia, contraje COVID dos veces, lo que ralentizó un poco las cosas. Un colega mío me preguntó por qué no he puesto mis conocimientos en un formato reutilizable. Entonces, comencé a crear mis propios videos de e-learning en mi estudio casero. Además, estoy descubriendo que hay un creciente interés en ESG (Environmental, Social and Governance) y Digital Trust, por lo que estoy encontrando mucho de mi tiempo trabajando en esas dos áreas.
Eres un orador y consultor reconocido a nivel mundial en el espacio de gobierno de TI. ¿Cuáles son tus principales consejos para una organización que comienza o intenta mejorar su madurez de gobierno de TI?
Creo que el término gobernanza es un término ampliamente entendido, pero a menudo mal aplicado. No se puede simplemente lanzar la palabra gobernanza detrás de un rol o proceso y esperar que la gobernanza suceda mágicamente. Podría llenar páginas con consejos, pero los siguientes son lo que creo que son mis cinco principales consideraciones críticas:
Uno. Conozca el negocio. La gobernanza consiste en permitir la creación de valor empresarial mediante el equilibrio entre el rendimiento y la conformidad. Ninguna inversión en TI debe ser aprobada, o incluso considerada a menos que pueda apoyar a la organización. Una herramienta valiosa para ayudar a lograr esto es la cascada de objetivos.
Dos. Utilice varios marcos, estándares y modelos para crear su sistema de gobernanza. No hay un solo marco que pueda salvar su empresa. La idea general de los marcos es que son sugerencias y no mandatos. Examine cada área del negocio y determine los marcos más apropiados que pueden permitirle crear valor para sus partes interesadas.
Tres. El riesgo puede ser tu amigo o tu enemigo, así que considera el riesgo en todas las decisiones. Recuerde que hay riesgo positivo y negativo. De cualquier manera, el riesgo se trata de tomar decisiones comerciales informadas. Asegúrese de que realmente está abordando los riesgos para lograr sus objetivos comerciales y vincule las decisiones con el apetito de riesgo empresarial y los niveles de tolerancia. Identifique escenarios de riesgo, evalúelos y priorice, determine sus respuestas adecuadas y monitoréelos utilizando indicadores de riesgo apropiados.
Cuatro. Adapte su sistema de gobierno a su empresa. No existe un sistema de «talla única» apropiado para todas las organizaciones. Mira la Guía de diseño de COBIT para esto. COBIT identifica varios factores que pueden ayudar colectivamente a crear un sistema de gobernanza personalizado que puede modificarse a medida que cambian los factores internos y externos, y en base a los eventos de los últimos años, todos sabemos que los factores pueden cambiar muy rápidamente.
Cinco. Recuerde que el cambio organizacional puede ser un asesino silencioso para la adopción de cualquier modelo de gobierno. Esto es lo que quiero decir con esto: nuestra industria se está volviendo muy eficiente al realizar cambios técnicos, pero una de nuestras mayores vulnerabilidades es abordar los cambios organizacionales necesarios para respaldarlos. Por supuesto, sugiero usar el modelo de implementación de COBIT para esto, ya que aborda estos desafíos y ofrece mejores prácticas significativas. Otras referencias que sugeriría para esto incluyen cosas como el ADKAR Prosci Framework, el modelo de gestión del cambio de Lewin y la teoría de 8 pasos de Kotter.
Mencionaste el cambio organizativo en tus sugerencias anteriores. ¿Estaría esto asociado con la capacitación y la educación? ¿Cuáles son tus pensamientos sobre el entrenamiento?
Mi respuesta corta es, sí, la capacitación es clave. Ahora, aquí está mi larga respuesta.
La educación y la formación son esenciales para apoyar la capacidad de la empresa para alcanzar sus objetivos. De todos los componentes de un sistema de gobernanza, las personas , las habilidades y las competencias son uno de los ingredientes más importantes. Sin personal capacitado y competente, nada más puede suceder.
Creo que demasiadas organizaciones miden su capacitación por los resultados y no por los resultados. Las mediciones de salida incluyen cosas como el número entrenado, la frecuencia del entrenamiento, los tipos de entrenamiento, etc. La razón más importante para la capacitación son los resultados. ¿El entrenamiento resultó en los resultados deseados?
Por ejemplo, si una organización aumenta su programa de capacitación y concientización sobre ciberseguridad, ¿vio la organización un aumento o una disminución en los posibles incidentes de seguridad reportados? La respuesta sería un aumento, ya que la capacitación proporcionó información y conocimiento que los usuarios necesitan para detectar posibles incidentes de seguridad.
Otro aspecto de la capacitación es la retención de empleados. ¿Trabajarías para una organización que no valora tus conocimientos , habilidades y destrezas? En absoluto. Ofrecer un programa de capacitación sólido no solo mejora su capacidad para alcanzar sus objetivos estratégicos, sino que también estimula la confianza y la lealtad con sus mayores activos: las personas.
Has estado en este espacio durante mucho tiempo y has experimentado muchos eventos que alteran el negocio. ¿Puedes compartir alguna predicción sobre cualquier riesgo nuevo o emergente que podamos encontrar en los próximos meses o años?
Esta es una pregunta que me hacen a diario. Por supuesto, esto depende de muchas cosas, pero aquí están mis principales predicciones.
Si crees que las cosas van rápido ahora, ponte los cinturones de seguridad porque está a punto de ser más rápido. En nuestro entorno habilitado digitalmente que cambia rápidamente, las viejas formas de implementar y adoptar cambios solo serán más rápidas.
Hablando de tecnología, veo un aumento masivo en las tecnologías emergentes que, aunque pueden ser de vanguardia, también pueden crear vulnerabilidades que nunca esperábamos. Estos incluyen cosas como IoT, computación en la nube, big data, inteligencia artificial, criptomoneda (o reemplazar la moneda con la siguiente aplicación).
¿Abrumado por los requisitos legales y de cumplimiento? Acostúmbrate porque no va a ralentizarse. GDPR demostró que los requisitos globales pueden afectar a todos, incluso si no cree que esté dentro de la jurisdicción del requisito. Espero ver un número creciente de requisitos globales en áreas como el medio ambiente, social, privacidad y confianza digital.
No sé exactamente qué será, pero prepárate porque lo siguiente está llegando. No esperábamos 9-11, no esperábamos el Coronavirus y muchos otros. Esto es lo que el erudito Nassim Nicholas Taleb llama s en su libro sobre los eventos del «Cisne Negro».
¿Alguna sugerencia final para profesionales u organizaciones?
Sí, sugeriré una palabra: sostenibilidad. Esto incluye dos factores muy importantes: 1) agilidad organizacional y 2) resiliencia organizacional. La agilidad se refiere a la capacidad de moverse y adaptarse de forma rápida, flexible y decisiva. La resiliencia se refiere a la capacidad de anticipar, prepararse, responder y adaptarse a los cambios o interrupciones. Enfoca tus esfuerzos en prepararte para la próxima gran cosa, incluso si no sabes cuál es la próxima gran cosa.
Tell us about yourself
To paraphrase my bio shared with clients, I am a Governance, Risk and Compliance specialist in information assurance, strategy, service management and digital trust. What does that mean? Basically, I’m a fan of frameworks, standards, and methodologies and help clients tailor these to their unique situations.
Although I live in Arizona, USA, most of my work is internationally focused. I am a one-person organization, so, as you can imagine I have to ensure that I am balancing my work and personal lives. In my spare time, I fish several times a year, dogsled, and travel. A little secret about me is that in my spare time, I am also a certified barbecue judge.
It is widely known that you are a COBIT expert, but other than COBIT, what other frameworks do you work with?
You know I’m a big fan of frameworks. In my IT leadership positions, COBIT was typically the first place I turned to help me get my head around issues I was confronted with. As much as I love COBIT, I also recognize that it is not the only framework in town. I believe that a governance ecosystem consists of multiple frameworks, standards, models and methodologies. I enjoy working with others such as ITIL, COSO, TOGAF, PRINCE2, PMBOK, and several NIST and ISO standards.
The challenge that most organizations face is what I call framework exhaustion. We’ve all been there. It is overwhelming how many are out there.
You can have multiple frameworks and standards in your organization, and they all claim to be the solution that will save your company. These frameworks have value, but you have to figure out why and how. The trick is to figure out which ones can create the most value for you, and more specifically, which parts of these are most appropriate. This is why I often call COBIT the “framework to manage your frameworks.” It helps determine what parts of these other frameworks are the most appropriate based on specific governance requirements. Let’s compare COBIT to middleware. What does middleware do? It connects technical systems that typically don’t communicate with each other. This relates to COBIT, because it helps multiple frameworks communicate with each other that typically don’t do this.
You often appear on social media posts, blogs and webinars offering advice based on your current projects. What are you working on these days?
My current workload is about 20% training and 80% consulting. I’ve had shift in the types of projects over the last few years. Where a few years ago I was helping companies with their service desks and change control processes, today I am more involved in board, committee, and executive level topics. During the pandemic, I got COVID twice, which slowed things down a bit. A colleague of mine asked me why I haven’t put my knowledge into a reusable format. So, I started to create my own e-learning videos in my home studio. Also, I’m finding that there is a growing interest in ESG (Environmental, Social and Governance) and Digital Trust, so I’m finding a lot of my time working in those two areas.
You are a globally recognized speaker and consultant in the IT governance space. What are your top tips to an organization starting, or trying to improve their IT governance maturity?
I believe the term governance is a widely understood term, but often misapplied. You can’t just throw the word governance behind a role or process and expect governance to magically happen. I could fill pages with advice, but the following are what I believe are my top five critical considerations:
One. Know the business. Governance is about enabling enterprise value creation by balancing performance and conformance. No IT investment should be approved, or even considered unless it can support the organization. One valuable tool in helping accomplish this is the goals cascade.
Two. Use multiple frameworks, standards, and models to create your governance system. There is not a single framework that can save your company. The whole idea of frameworks is that they are suggestions and not mandates. Look into each area of the business and determine the most appropriate framework(s) that can enable you to create value for your stakeholders.
Three. Risk can be your friend or your enemy, so consider risk in all decisions. Remember there is positive and negative risk. Either way, risk is all about making informed business decisions. Ensure that you are truly addressing the risks to achieving your business objectives and link the decisions to enterprise risk appetite and tolerance levels. Identify risk scenarios, assess, and prioritize them, determine your proper responses, and monitor these using appropriate risk indicators.
Four. Tailor your governance system to your enterprise. There is no ‘one size fits all’ system appropriate to all organizations. Look at the COBIT Design Guide for this. COBIT identifies several factors which can collectively, help create a tailored governance system that can be modified as internal and external factors change – and based on the events of the last few years, we all know that factors can change very quickly.
Five. Remember that organizational change can be a silent killer to any governance model adoption. Here’s what I mean by this: our industry is getting very efficient when making technical changes, but one of our biggest vulnerabilities is addressing the organizational changes required to support these. Of course, I suggest using the COBIT Implementation model for this, as it addresses these challenges and offers meaningful best practices. Other references I’d suggest for this include things like the ADKAR Prosci Framework, Lewin’s Change Management Model, and Kotter’s 8-Step Theory.
You mentioned organizational change in your earlier suggestions. Would this be associated with training and education? What are your thoughts about training?
My short answer is, yes, training is key. Now, here’s my long answer.
Education and training are essential to supporting the enterprise’s ability to meet its objectives. Of all components to a governance system, people, skills, and competencies are the one of the most important ingredients. Without trained and competent staff, nothing else can happen.
I believe that too many organizations measure their training by outputs and not outcomes. Output measurements include things like the number trained, frequency of training, types of training, etc. The more important reason for training is outcomes. Did the training result in the desired results?
For example, if an organization increases its training and awareness program around cybersecurity, did the organization see an increase or a decrease in reported potential security incidents? The answer would be an increase since the training provided information and knowledge that users need to spot potential security incidents.
Another aspect to training is employee retention. Would you work for an organization that doesn’t value your knowledge, skills, and abilities? Absolutely not. Offering a robust training program not only enhances your ability to achieve your strategic goals, but also stimulates trust and loyalty with your greatest assets: people.
You’ve been in this space for a long time and have experienced many business altering events. Can you share any predictions to any new or emerging risks that we might encounter in the coming months or years?
This is a question I get asked daily. Of course, this is dependent on many things, but here are my top predictions.
If you think things are going fast now, put your seatbelts on because it is about to get faster. In our rapidly changing digitally enabled environment, old ways of deploying and adopting changes will only get faster.
Speaking of technology, I see a massive increase in emerging technologies that, although may be cutting-edge, they can also create vulnerabilities that we never expected. These include things like IoT, cloud computing, big data, artificial intelligence, crypto currency (or replace currency with the next application).
Overwhelmed with legal and compliance requirements? Get used to it because it’s not going to slow down. GDPR proved that global requirements can affect everyone, even if you don’t think you are within the jurisdiction of the requirement. I expect to see a growing number of global requirements in areas such as environmental, social, privacy and digital trust.
I don’t know exactly what it will be but be prepared because the next thing is coming. We didn’t expect 9-11, we didn’t expect the Coronavirus and many others. These are what scholar Nassim Nicholas Taleb calls in his book about ‘Black Swan’ events.
Any final suggestions for practitioners or organizations?
Yes, I’ll suggest one word: sustainability. This includes two very important factors: 1) organizational agility and 2) organizational resilience. Agility refers to the ability to move and adapt quickly, flexibly and decisively. Resilience refers to the ability to anticipate, prepare, respond and adapt to changes or disruptions. Focus your efforts on preparing for the next big thing, even if you don’t know what that next big thing is.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.