La ciberseguridad es un tema que a menudo preferimos no pensar una vez que hemos pagado por ella. Preferimos pagar y rezar. Pero, ¿cómo sabemos si el software de una empresa de seguridad está funcionando? Con todos los miles de millones de dólares invertidos en protegernos a nosotros mismos y a nuestras empresas en línea, ¿por qué los ataques parecen aumentar en frecuencia y daños?
Hablamos con Oren J. Falkowitz, ex empleado de alto nivel de la NSA y el Comando Cibernético de los Estados Unidos, quien tiene una idea radical sobre cómo las empresas de ciberseguridad deberían ganar dinero.
EL PROBLEMA
Nuestro fiasco moderno de ciberseguridad tiene muchas causas. Tal vez sea falta de financiamiento y regulación gubernamental. Tal vez sean las grandes corporaciones tecnológicas que no se preocupan lo suficiente por la privacidad. Tal vez sea simplemente una cuestión de educar al público y explicar en términos sencillos lo que está en juego.
Falkowitz tiene una opinión diferente. Él cree que el verdadero problema es que las ganancias de la ciberseguridad no están vinculadas al rendimiento. “Para nosotros, significa ciberseguridad basada en el rendimiento y pagar por resultados, no por un fallo”, le dijo a Digital Trends. “Las empresas deberían pagar por la ciberseguridad solo cuando y si funciona según lo diseñado”. Eso no es cómo funciona hoy en día.
Los expertos en ciberseguridad, las empresas y el software antivirus se presentan y se compran como un plan de seguro. Pagas mensualmente y esperas que no pase nada malo. Si sucede, te ayudarán a recoger los pedazos y tal vez intenten venderte más seguridad.
Area 1 Security, la propia empresa de ciberseguridad de Falkowitz, adopta un enfoque opuesto. Area 1 señala el hecho de que las personas “se comprometen con contratos de seguridad que duran de tres a cinco años, gastando seis o siete cifras. Pero aún así, no obtienen lo que pagan”. Falkowitz cree que los clientes deberían pagar solo por los delitos intentados que se detienen. Es una idea similar a los programas de recompensa por errores, que incentivan a los hackers a encontrar y luego divulgar vulnerabilidades.
En resumen, es hora de repensar cómo remuneramos a las empresas de ciberseguridad. En lugar de pagar por adelantado y esperar lo mejor, deberíamos considerar un modelo de pago basado en el rendimiento. Esto no solo motivaría a las empresas a mejorar su software y servicios, sino que también garantizaría que los clientes obtengan lo que pagan.
¿Qué opinas sobre este enfoque? ¿Crees que las empresas de ciberseguridad deberían ser remuneradas por su rendimiento? ¡Déjanos tus comentarios!
