Puntos clave
- TI evalúa riesgos, y todo lo desconocido se considera de alto riesgo por defecto — reduce las incógnitas reuniendo documentación de seguridad (SOC 2, DPA) antes de tu primera conversación
- Formula las solicitudes alrededor del problema de negocio, no de la herramienta — "Gastamos 30 horas por semana en X" es más convincente que "Encontramos una herramienta de IA genial"
- Propón un piloto limitado con criterios de salida claros para contener el riesgo y facilitar la aprobación
Encontraste una herramienta de IA que podría ahorrarle horas a tu equipo cada semana. Estás emocionado. Se lo mencionas a TI.
Tres semanas después, sigues esperando respuesta. O recibiste un cuestionario de seguridad con 47 preguntas, de las cuales la mitad no entiendes. O alguien mencionó el "comité de adquisiciones", y tu corazón se hundió porque sabes que eso significa meses.
Mientras tanto, estás bastante seguro de que al menos algunas personas de tu equipo ya están usando ChatGPT en sus teléfonos para hacer el trabajo, porque el camino oficial es demasiado lento.
Aquí está la cosa: TI no es tu enemigo. No están tratando de bloquear el progreso. Están lidiando con un problema real — cada nueva herramienta que toca datos de la empresa crea un riesgo, y ellos son los que reciben la culpa cuando algo sale mal.
El cuestionario de seguridad no es burocracia por sí misma. Es porque han visto lo que pasa cuando alguien trae una herramienta que filtra datos o crea una pesadilla de cumplimiento.
El truco no es pelear con TI ni evitarlos. Es facilitarles el trabajo.
Reduciendo las incógnitas
Lo primero que debes entender es que TI evalúa riesgos, y todo lo desconocido es de alto riesgo por defecto.
Cuando llegas con una herramienta de la que nunca han oído, de un proveedor que no conocen, pidiendo acceso a sistemas que son responsables de proteger — básicamente les estás pidiendo que asuman riesgos para que tu equipo sea más productivo. Ese no es un intercambio que les emocione.
Pero si puedes reducir las incógnitas antes de tener la conversación, todo cambia.
Antes de programar una reunión, haz la tarea. Ve al sitio web del proveedor y encuentra su página de seguridad. Descarga su informe SOC 2 si tienen uno. Obtén el acuerdo de procesamiento de datos. Lee su política de privacidad — léela de verdad, no solo la hojees.
Averigua a dónde van los datos cuando alguien usa la herramienta. Descubre si se usan para entrenar su modelo de IA (gran bandera roja para la mayoría de los equipos de TI) o si los datos de los clientes permanecen aislados.
Cuando llegas a la conversación ya sabiendo todo esto, acabas de ahorrarle a TI horas de investigación. También has señalado que tomas la seguridad en serio, lo cual importa más de lo que crees.
Formulando la solicitud
Cómo formulas la solicitud hace una gran diferencia.
No empieces con la herramienta. Empieza con el problema.
"Nuestro equipo pasa 30 horas a la semana respondiendo las mismas preguntas sobre beneficios una y otra vez. He estado buscando formas de resolver esto, y encontré algo que podría funcionar."
Ahora TI entiende por qué estás preguntando. No es "RH encontró un juguete brillante y quiere jugar con él". Es "RH tiene un problema real de negocio y encontró una solución potencial".
Luego, antes de que puedan preguntar sobre seguridad, abórdala tú mismo. "Sé que la seguridad de datos es la primera pregunta, así que reuní su documentación. Tienen SOC 2 Tipo II, no entrenan con datos de clientes, y pueden hacer residencia de datos en Canadá. ¿Puedo enviarte lo que encontré?"
Acabas de saltarte tres semanas de ir y venir.
Empezar pequeño para ganar en grande
Lo otro que ayuda es hacer la solicitud pequeña.
"Quiero hacer un piloto con 10 personas durante 60 días" es un sí mucho más fácil que "Quiero implementar esto en toda la empresa".
Un piloto limitado contiene el riesgo. Si algo sale mal, el radio de explosión es pequeño. Y si el piloto funciona, tienes evidencia para la implementación más amplia.
Define la estrategia de salida: Ofrece encargarte de lo administrativo durante el piloto. "Yo administraré los accesos y seré el punto de contacto si surge algo — no tendrán que dar soporte directamente." Los equipos de TI están sobrecargados. Cualquier cosa que puedas quitarles hace más probable la aprobación.
Asegúrate de que haya una salida clara. "Si no funciona o hay cualquier problema, podemos cerrarlo inmediatamente. Sin contrato a largo plazo, sin datos bloqueados." Saber que pueden revertir la decisión hace que TI esté mucho más cómodo tomándola.
Lo que TI realmente busca
Algunas herramientas son simplemente más fáciles de aprobar que otras, y vale la pena saber qué busca TI.
Aislamiento de contenido: Se sienten más cómodos con herramientas que responden solo desde tu propio contenido — tus políticas, tus documentos, tu base de conocimiento — que herramientas que extraen de internet abierto o datos de entrenamiento general de IA. Si saben exactamente qué información puede acceder la IA, el perfil de riesgo es más claro.
Compromisos explícitos sobre datos: Les gustan los compromisos explícitos sobre datos. "Tus datos nunca se usan para entrenamiento" es fácil de evaluar. Declaraciones vagas sobre "tomar la privacidad en serio" no lo son.
Controles administrativos: Quieren controles administrativos — la capacidad de ver quién usa la herramienta, qué hacen con ella, y revocar acceso si es necesario. Los registros de auditoría importan. Los permisos basados en roles importan. Si el proveedor no puede mostrar estas características, TI se pone nervioso.
Estabilidad del proveedor: También les importa la estabilidad del proveedor. Una herramienta de una empresa establecida con clientes reales y un historial es más fácil de aprobar que algo de una startup que podría no existir el próximo año. Puede que no sea justo para las startups audaces, pero TI está pensando en qué pasa con tus datos si el proveedor desaparece.
Si todavía estás evaluando opciones, considera estos factores. Elegir una herramienta que marque las casillas de TI desde el principio ahorra semanas de ir y venir.
Qué evitar
Algunas cosas que no funcionan, por si estás tentado:
Evitar a TI. Hacer que la gente se registre con correos personales, cargarlo a una tarjeta corporativa sin aprobación, usarlo discretamente esperando que nadie se dé cuenta. TI siempre se entera eventualmente, y cuando lo hacen, destruiste tu credibilidad. La herramienta se cierra, y cada solicitud futura empieza en un hoyo.
Fabricar urgencia. "Necesitamos esta aprobación para el viernes, o perderemos una oportunidad enorme." TI ya ha escuchado esto antes. Casi nunca es realmente cierto. La urgencia falsa hace que confíen menos en ti.
Minimizar las preocupaciones de seguridad. "Oh, está totalmente bien, no te preocupes." No eres el experto aquí. Cuando desestimas sus preocupaciones, asumen que no hiciste tu tarea.
Escalar para forzarlo. Conseguir que un VP presione a TI para la aprobación podría funcionar una vez. Pero te hiciste un enemigo, y tu próxima solicitud — y la siguiente — será más difícil.
El juego a largo plazo
Aquí está lo que nadie te dice: el verdadero objetivo no es conseguir que aprueben esta herramienta. Es construir una relación con TI para que las solicitudes futuras sean más fáciles.
Cuando tu piloto tenga éxito, díselos. Comparte los resultados. Agradéceles por trabajar contigo. Cuando notes algo preocupante — un problema de seguridad, un comportamiento inesperado — llévalo a TI proactivamente en lugar de ocultarlo. Sé la persona que toma estas cosas en serio.
Con el tiempo, te conviertes en alguien en quien TI confía. Tus solicitudes avanzan más rápido. Tu criterio tiene peso. Te conviertes en la persona a la que otros equipos acuden cuando quieren traer algo nuevo.
Esa reputación vale más que cualquier aprobación individual.
Elige herramientas diseñadas para empresas
Una cosa más. El camino más rápido a través de todo esto es elegir herramientas que fueron diseñadas para empresas desde el principio.
Los proveedores que entienden las ventas empresariales ya han hecho el trabajo de seguridad. Tienen el informe SOC 2 listo para enviar. Han construido los controles administrativos que TI necesita. Saben cómo ejecutar un piloto que facilita la aprobación. Han tenido esta conversación cientos de veces.
Cuando llevas a TI una herramienta así, todo es más fluido. La documentación existe. Las respuestas son claras. El proveedor sabe cómo trabajar con TI en lugar de en su contra.
Lo que significa que pasas menos tiempo en el limbo de adquisiciones y más tiempo resolviendo el problema que te importaba en primer lugar.
JoySuite está diseñado exactamente para esta situación. Certificación SOC 2 Tipo II. Tus datos nunca se usan para entrenamiento. Registros de auditoría completos y controles administrativos que a TI realmente le gustarán. Y estamos encantados de tener una llamada con tu equipo de seguridad — hemos hecho cientos de ellas. Obtén la documentación de seguridad que tu equipo de TI necesita.
