jueves, 5 de enero de 2017

¿Cúal ha de ser la perspectiva de los equipos técnicos en una compañía ágil?

Responsable de seguridad - cortesía de Pixabay
Recientemente asistí a una conversación entre un Propietario del Producto y el responsable de seguridad de la compañía. Recordemos que el objetivo de este último es el de garantizar que la privacidad y la información de la empresa esté protegida adecuadamente a través de políticas de seguridad de la información.

La conversación se centró sobre la utilización de los marketplaces Google Play y Apple App Store para el despliegue de una App Móvil a los diferentes usuarios colaboradores de la compañía.

El Propietario del Producto sostenía que la App Móvil se debía de desplegar vía marketplace, ya que el volumen de usuarios de la aplicación superaba las 2 cifras y por tanto sería la única forma viable de desplegar, tanto la aplicación inicial como las actualizaciones posteriores. Por otro lado argumentaba que es la forma en que las demás compañías lo hacen, por tanto la ciberseguridad tenía que estar resuelta y que no tenia ningún sentido reinventar la rueda.
Ciberseguridad alineada con negocio
cortesía de Pixabay
Por su lado el responsable de seguridad sostenía que esa solución atentaba contra las políticas de seguridad. Propuso soluciones alternativas, como un servidor propio para el despliegue inicial y sucesivas actualizaciones, o in extremis la posibilidad de desplegar de forma manual...

Esta divergencia puede producirse en multitud de situaciones en las que sistemas y negocio no tienen un objetivo común. ¿No debería el objetivo de toda persona, equipo, grupo, área o departamento de la compañía ser que esta sea más competitiva, se sitúe en la mejor posición posible del mercado y en definitiva maximice sus beneficios? En esta línea, ¿la función principal del responsable de seguridad no debería de ser la de alinear la seguridad de la información con los objetivos de negocio?

¿Cómo resuelve la Agilidad esta divergencia?

En primer término está establecer un entorno de responsabilidad compartida que potencie la comunicación y colaboración del Propietario del Producto e interesados con el equipo técnico, entre ellos sistemas. Un entorno adecuado propicia que se establezcan canales de comunicación para la colaboración y se den las conversaciones necesarias para hacer emerger buenas ideas a modo de abanico de opciones con buenas soluciones desde la perspectiva de negocio. En Agilidad nos guiamos por valor de negocio, por tanto aquellas opciones que dan solución a negocio se dejan madurar hasta que en algún punto de aprendizaje, un punto de feedback, tengamos información fresca para decidirnos por la mejor solución del abanico. Solo se produce entrega de valor de negocio cuando hay colaboración.

Negocio y equipo técnico negocian historias técnicas a incluir en la pila producto, quizá primero spikes para explorar las opciones del abanico, y después historias sobre seguridad, escalabilidad, eficiencia, etc. y algunas de refactorizaciones (recordemos que en Agilidad la calidad no es una variable).

En definitiva, todo trata de colaboración y comprender el objetivo último del porqué estamos en la compañía. Las políticas de seguridad son necesarias, pero no como fin en si mismas, sino con el objetivo de aporte de valor y hacer crecer a la compañía en su core-business.

No hay comentarios:

Publicar un comentario