Si tu marco de gobernanza no está molestando a la gente, lo estás haciendo mal
Buena gobernanza = fricción: La gobernanza efectiva debe causar cierta fricción, lo que indica que está previniendo activamente comportamientos de riesgo.
Espera molestias en las prácticas de cumplimiento: Prepárate para algunas quejas de los desarrolladores; la gobernanza efectiva debe crear límites que, aunque restrictivos, finalmente protegen a la organización.
¿Cero fricción? ¡No, gracias!: Un marco de gobernanza que presume de cero fricción puede ser una señal de alerta, sugiriendo la ausencia de controles y supervisión adecuados, vitales para la gestión de riesgos.
Aquí tienes una verdad incómoda: si tus políticas de gobernanza no están generando al menos una ligera molestia entre tus desarrolladores, probablemente no están funcionando.
La gobernanza efectiva crea fricción de forma inherente porque la fricción es la señal de que tus límites están evitando activamente conductas de riesgo y protegiendo el negocio.
Recientemente, un CTO me contó acerca de un momento embarazoso cuando compartió en una reunión trimestral que su equipo había implementado exitosamente un nuevo marco de gobernanza con “cero fricción y total aceptación”. A la semana, un bucket de AWS sin etiquetar filtró datos de clientes, resultando en una maratón frenética de mitigación de 72 horas, una multa de cumplimiento de seis cifras y una dura lección.
Want more from The CTO Club?
Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.
Have an account? Log In
La gobernanza sin fricción es un mito—y él lo demostró a la fuerza.
Si estás listo para construir una gobernanza que realmente funcione—acompañada de las quejas que prueban su eficacia—nuestro Kit de herramientas para la gobernanza de TI proporciona los marcos, plantillas y herramientas de medición para que comiences de inmediato.
La gobernanza es una prioridad principal para las empresas que adoptan IA agente
Datos recientes subrayan exactamente esta tensión entre innovación y control. Una encuesta realizada por la firma de gestión de APIs Gravitee encontró que casi el 80% de los profesionales de TI calificaron la gobernanza como "extremadamente importante", destacando el enfoque intenso en implementar tecnologías avanzadas, como la IA agente y los grandes modelos de lenguaje (LLMs), de manera responsable.
El mismo estudio reveló que, aunque el 72% de las organizaciones están implementando activamente estas soluciones avanzadas de IA, muchas aún luchan significativamente con desafíos de integración y preocupaciones por la seguridad de los datos, precisamente los riesgos que una gobernanza efectiva busca mitigar.
Como señala Rory Blundell, CEO de Gravitee:
Las empresas están ansiosas por implementar IA agente para la productividad, pero son cautelosas en cuanto a la gobernanza. A medida que las empresas gestionen mejor estos desafíos, la adopción se acelerará aún más.
Tres modos de fallo evidentes (y por qué persisten)
1. Directrices laxas
Las empresas redactan extensas guías de "mejores prácticas" sin hacerlas cumplir, creyendo que la claridad por sí sola impulsa el cumplimiento. En la realidad, los equipos interpretan estas guías como opcionales, lo que lleva a una aplicación inconsistente y al eventual desinterés.
2. Cultura de la conveniencia
Cuando los líderes priorizan la facilidad de uso y los flujos de trabajo sin fricción sobre las restricciones necesarias, los equipos omiten pasos críticos. Cada atajo erosiona la seguridad y el cumplimiento, preparando el terreno para futuros desastres.
Ven Auvaa, Director de Seguridad de la Información en ArmorPoint, enfatiza esta tensión:
Es difícil mantener el equilibrio entre seguridad y comodidad, y por eso vemos tanta frustración hacia los marcos de gobernanza. Herramientas que refuerzan la seguridad, como la autenticación multifactor (MFA) o los cambios regulares de contraseña, a menudo son vistas como inconvenientes por los usuarios que no comprenden del todo su importancia. Muchos incidentes de seguridad ocurren justamente porque los usuarios evitan los controles que consideran incómodos, creando vulnerabilidades. Reconocer y abordar las frustraciones del usuario al diseñar marcos de gobernanza es fundamental para lograr el equilibrio entre usabilidad y seguridad.
3. Excepciones bricolaje fuera de control
Cuando los ingenieros individuales solicitan con frecuencia permisos "temporales" o excepciones destinadas a soluciones a corto plazo, a menudo estas evolucionan y se convierten en prácticas operativas permanentes. La dirección hace la vista gorda mientras las ventajas a corto plazo ocultan los riesgos a largo plazo. Con el tiempo, las excepciones se acumulan, creando intrincadas redes de permisos y políticas casi imposibles de desenredar o auditar eficazmente.
Srikanth Ramachandra, arquitecto de valor para el cliente en UST, destaca una razón clave por la que estos modos de fallo persisten:
Los marcos de gobernanza fracasan cuando el modelo es excesivamente centralizado y unidimensional, creando involuntariamente una burocracia que limita la capacidad de los equipos locales para tomar decisiones oportunas basadas en la cultura y las necesidades locales, sofocando así la innovación. Irónicamente, el verdadero propósito de la gobernanza debería ser fomentar la flexibilidad y el rápido crecimiento. El problema se agrava con la falta de alineación entre negocio y TI, lo que genera un enfoque desproporcionado en las métricas de cumplimiento en lugar de centrarse genuinamente en satisfacer a los clientes y socios del ecosistema.
Ramachandra subraya que una gobernanza efectiva requiere un modelo federado, transparente y basado en datos, con poderes de decisión delegados a los equipos más cercanos a la acción:
Hacer que se rinda cuentas comienza con un modelo operativo inclusivo que madure de forma continua, articulando claramente el propósito, la visión, las políticas y los roles. En última instancia, la cultura organizacional determina cuán plenamente se adopta y mantiene la gobernanza.
Reconocer estos patrones de fallo es el primer paso, pero la implementación requiere acción sistemática.
Nuestro Kit de Herramientas de Gobernanza TI ofrece una completa tarjeta de puntuación de revisión de salud para evaluar la situación actual de su organización y un plan de sprint de 30 días para abordar las brechas más críticas.
La fricción intencional es esencial
La buena gobernanza no está pensada para agradar a todo el mundo. Netflix introdujo célebremente el concepto del "Camino Pavimentado", una ruta segura y estandarizada que se anima a los equipos a seguir—pero no es obligatoria. Si los equipos se desvían, asumen las cargas operativas y el riesgo añadido. Los ingenieros protestaron al principio, pero al cabo de un año, la tasa de incidentes disminuyó considerablemente.
De manera similar, Capital One implementó controles de seguridad que bloqueaban las integraciones de código de alto riesgo. Al principio, los desarrolladores estaban frustrados por la "burocracia", pero las vulnerabilidades críticas se redujeron en un 40%.
Shopify automatizó el borrado nocturno de recursos en la nube sin etiquetas, lo que inicialmente provocó quejas pero finalmente ahorró millones en gastos de nube desperdiciados.
Las quejas son la prueba de que los límites de seguridad están funcionando.
Cómo construir tus propios límites de seguridad
1. Identifique las reglas críticas
Decida aquello que no es negociable. Los ejemplos incluyen el etiquetado obligatorio de recursos, la prohibición absoluta de los buckets S3 públicos, y la ejecución forzosa de escaneos de vulnerabilidades antes de integraciones de código.
2. Automatice la aplicación
Utilice soluciones de políticas como código, tales como Terraform Sentinel, Open Policy Agent (OPA) y la protección de ramas de GitHub. Incorpore el cumplimiento en los procesos de despliegue y construcción para que las infracciones sean bloqueadas en la etapa más temprana posible.
3. Mida las quejas
Monitoree la resistencia y las quejas como indicadores clave. Si sus canales de Slack están en silencio, es una señal de alerta. Probablemente sus reglas no sean lo suficientemente estrictas.
4. Celebre la fricción
Comuníquese de manera regular sobre los incidentes que su marco de gobernanza ha prevenido. Destaque los resultados tangibles (ahorros de costos, brechas evitadas) para reforzar el valor de la fricción intencional.
Para obtener guías detalladas de implementación, plantillas de políticas y marcos de medición, descargue nuestro Kit de Herramientas de Gobernanza TI, que incluye políticas listas para usar de Terraform Sentinel, plantillas de protección de ramas para GitHub y tableros de métricas de fricción.
Los vientos regulatorios acaban de cambiar
La administración Trump está eliminando las directrices de riesgo en IA de la era Biden, recortando la financiación de CISA y endureciendo los controles de exportación para chips de IA.
Para los CTO, Washington acaba de otorgarles mayor libertad para innovar rápidamente, pero con menos redes de seguridad externas si algo sale mal.
Ahora, su gobernanza interna es su principal línea de defensa, y debe ser más rigurosa—y quizás un poco más impopular—para compensar la relajación de las regulaciones externas.
1. Más libertad, menos tutela
- Las políticas de IA y nube están siendo desreguladas
- E.O. 14179 “Eliminación de barreras para el liderazgo estadounidense en IA” elimina directrices de gestión de riesgos de la era Biden y ordena a las agencias "mantener y mejorar la dominancia en IA".
- OMB Memo M-25-21 instruye a cada agencia a acelerar los pilotos de IA y a "evitar requisitos innecesariamente gravosos".
Implicación: Los límites de seguridad federales se flexibilizarán; los inversionistas y las juntas esperarán que avance más rápido.
2. Presión en los controles de exportación y la cadena de suministro
Mientras se relajan las normativas internas , la Casa Blanca duplica los controles de exportación de chips de IA—el Marco para la difusión de IA podría restringir el suministro de GPU avanzados a países no aliados.
Implicación: Espere dificultades de aprovisionamiento, auditorías de proveedores más estrictas y picos repentinos de CAPEX para el cómputo interno.
3. Continuidad en ciberseguridad—pero con menos recursos
- Trump mantuvo las principales órdenes ejecutivas de ciberseguridad de Biden pero redujo el personal y el presupuesto de CISA en $10 millones.
- La nueva E.O. 14144 sobre “Fortalecimiento y Promoción de la Innovación en la Ciberseguridad Nacional” transfiere la responsabilidad a soluciones lideradas por la industria.
Implicación: Se mantienen los checklists de cumplimiento, pero el apoyo federal (subvenciones, servicios de red-team) se reduce. Presupueste más para evaluaciones de terceros y adquisición de inteligencia de amenazas.
4. Transferencia de "resiliencia" a estados y municipios
Una orden ejecutiva titulada “Logrando eficiencia a través de la preparación estatal y local” transfiere la preparación de infraestructuras críticas a estados y condados.
Implicación: SaaS multi-jurisdiccional (fintech, health-tech) puede que tenga que lidiar con 50 requisitos de resiliencia levemente distintos—endurezca su capa de políticas como código para absorber las variaciones.
Qué hacer este trimestre
- Vuelva a puntuar sus controles internos de riesgo de IA – El techo federal es más alto, pero los accionistas seguirán exigiendo pruebas de una IA segura y conforme.
- Extienda su registro de control de exportaciones a los socios de GPU y regiones cloud—mapee las cargas de trabajo que puedan verse afectadas por nuevas restricciones.
- Presupueste un aumento del 15% para evaluaciones independientes de seguridad para reemplazar los servicios perdidos de CISA.
- Codifique reglas estatales de recuperación ante desastres (Terraform Sentinel u OPA policies) para poder heredar, en lugar de reescribir, cuando los mandatos difieran.
- Informe al directorio temprano – “Nos movemos más rápido bajo reglas federales más laxas, pero así es como nuestra gobernanza interna reforzada nos mantiene seguros.”
Nuestro Kit de Herramientas de Gobernanza TI incluye hojas de cálculo para cálculo de ROI y plantillas de resumen ejecutivo para ayudarle a desarrollar un caso empresarial convincente para estos controles mejorados.
Desafío: Endurezca una norma hoy
Una buena gobernanza resulta incómoda porque desafía el status quo. Esta semana, endurezca una norma crítica de gobernanza—quizá exigiendo etiquetado o introduciendo controles de seguridad obligatorios. Luego, escuche atentamente las quejas. Esas quejas no son solo ruido; son la confirmación de que su gobernanza es lo suficientemente robusta como para proteger el negocio.
Acepte la fricción. Es su nuevo punto de referencia para la seguridad y la escalabilidad.
¿Necesita ayuda para identificar qué norma endurecer primero? Nuestro Kit de Herramientas de Gobernanza TI incluye una ficha de evaluación de salud de gobernanza que identifica los controles más débiles de su organización y proporciona una guía de remediación paso a paso. Y suscríbase al boletín de The CTO Club para más herramientas, marcos y perspectivas sobre gobernanza TI.
