nodos en la Red

Pay-per-Use Information Security

user

Mario López de Ávila Muñoz

Emprendedor e inversor, mentor, advisor. Profesor asociado del área de Operations and Quantitative Methods de la IE Business School, imparte clases en la escuela desde el año 1996. Fundador de la Agile Entrepreneurship Spain, la comunidad hispano hablante de interesados en las metodologías Lean Startup en Meetup decana en España y una de las más grandes del mundo. Startup NEXT Madrid Lead Facilitator. Lean Startup Machine Madrid Co-founder. Co-director del proyecto España Lean Startup. Co-fundador de UEIA, primera aceleradora de empresas sociales de base tecnológica en el mundo.


LATEST POSTS

Let’s talk about Profit Models [I]: introducing Wei-Zhu Profit Model Matrix 06th April, 2015

#LEAN ELEPHANTS True Lean Intrapreneurs 23rd July, 2014

Information Security Management

Pay-per-Use Information Security

el .

Este post ha nacido a partir de un comentario a la última entrada de Antonio Ramos en su blog Carpe Diem, en el que presenta unos datos que deberían hacer pensar a más de uno sobre el coste de la no-seguridad.  Sus palabras acerca de la actitud un tanto irresponsable que muestran algunos gestores con respecto de invertir en Seguridad de la Información me ha traído a la memoria reflexiones similares, que nos hacíamos algunos pringaos a principios de los años 90 alrededor de la Calidad (costes de la no-calidad, famosos!) o del Medio Ambiente (costes medioambientales, aún más famosos!) en una suerte de deja vuBeen there, done that, que dicen los anglos.

En mi comentario remitía a Antonio a los trabajos de Tversky y Kahnemann, que he citado en alguna otra ocasión [una vergüenza que no se encuentre nada de estos señores traducido al español, es que alucino],
Como sabéis, Tversky-Kahnemann son los únicos científicos serios que
han recibido el Premio Nobel de Economía.  También sabéis que ninguno
de los dos se licenció en esa disciplina. Como me siento incapaz de
resumir todas sus aportaciones en los cinco minutos que me he concedido
para escribir esta entrada, me limitaré a citar aquí dos de sus
hallazgos más sonados, que en mi opinión son de aplicación al caso.

(1) La gente trata de evitar los riesgos
cuando busca la ganancia, pero elige el riesgo si se trata de evitar
una pérdida segura.
En el caso de
la Seguridad, la "pérdida segura" es el desembolso en asesoría,
equipamiento, formación, etc, frente a la pérdida tan sólo "probable"
que representa la materialización de la amenaza,
aunque las consecuencias de ésta última sean 100 o 1000 veces más costosas que la adopción de medidas preventivas.

(2) Consecuencia de lo anterior es que aún cuando intentamos comportarnos "lógicamente" a la hora de tomar una decisión, respondemos de diferente manera a un mismo problema en función de cómo se nos plantee éste,
algo que tiene muy poco de "lógico" o racional.  Hay muchos ejemplos,
ya clásicos, de este fenómeno.  El hipotético lector encontrará en esta dirección una buena recopilación de los mismos en un completo artículo de 1985 traducido al español.

Con relación al tema que nos ocupa, la conclusión de todo esto es que si planteamos la adopción de medidas preventivas como algo que cuesta dinero (pérdida segura) encontraremos siempre una resistencia por parte del cliente [F*ck, soy el campeón de las obviedades!], lo que dificultará la venta de nuestros servicios. Por
supuesto, un factor decisivo en la decisión de compra de "seguridad" es
la aversión al riesgo del gestor, pero es de esperar que en cualquier
caso se manifieste una resistencia mayor que si enfocamos el asunto de
otra manera.  ¿De qué manera?

Imaginemos la siguiente oferta mafiosa.

PO  Señor cliente, la adopción de estas medidas preventivas no le va a costar a ud. ni un p*#% duro.
Eso sí, vamos a montar un sistema robusto, confiable, veraz, etc, por
el cual ud. y nosotros tendremos puntual constancia de todas las veces
que le hemos salvado el pellejo
[dicho en otras palabras, de cada incidente de seguridad evitado],
ya se trate de un intento de intrusión en su red, de un ataque DOS a su
página web o de la sustracción de información sensible por parte de un
empleado desleal
[vale, reconozco que unas cosas son más fáciles de medir que otras].  Ud. nos pagará una cantidad previamente estipulada por cada incidente detectado [que puede ser en parte variable, por ejemplo en función de la magnitud de las consecuencias del riesgo evitado]En otras palabras, le montamos el kiosko y ud. paga después y sólo en función del uso."

A este modelo lo denomino Pay-per-Use-Security.

Si hemos de creer a Tversky-Kahnemann, este enfoque comercial sería
más efectivo que cualquier otro, puesto que ya no originaría la
resistencia que produce el dilema de enfrentarse a una ‘pérdida segura’
(desembolso) frente a otra potencial.  El cliente
paga ‘a posteriori’ por un servicio recibido.  De hecho, estoy
convencido de que a la larga pagaría mucho más.

Otra cosa es cómo financiar todo esto, claro!!

profile

Mario López de Ávila Muñoz

Emprendedor e inversor, mentor, advisor. Profesor asociado del área de Operations and Quantitative Methods de la IE Business School, imparte clases en la escuela desde el año 1996. Fundador de la Agile Entrepreneurship Spain, la comunidad hispano hablante de interesados en las metodologías Lean Startup en Meetup decana en España y una de las más grandes del mundo. Startup NEXT Madrid Lead Facilitator. Lean Startup Machine Madrid Co-founder. Co-director del proyecto España Lean Startup. Co-fundador de UEIA, primera aceleradora de empresas sociales de base tecnológica en el mundo.

  • Hombre, Antonio, al fin das señales de vida! :-)
    A ver, ayúdame con un poquito de Claridad… a qué te refieres que la inversión en medidas preventivas es “cuantiosa”? ¿Cuantiosa, comparada con qué? ¿Con la inversión en medidas correctivas?
    Te lo digo porque a lo que me refería era a la inversión total en seguridad con respecto de inversiones en otros conceptos (ej, marketing).
    Pero creo que entiendo a qué te refieres, y te planteo una hipótesis: ¿Es posible que esas inversiones “preventivas” ocurran después de haberse llevado un susto? Es decir, que en el fondo, sean medidas CORRECTORAS de la imprudencia anterior? ¿Es posible que ocurran cuando han visto “las barbas del vecino pelar”, es decir, que ocurra cuando la pérdida probable ya no parece tan “probable” y sí bastante “segura”?
    Hay explicaciones distintas para este comportamiento humano, pero las más interesantes (para mí) proceden de la psicología evolucionaria. En teoría, ese comportamiento (preferir una pérdida probable a una segura), se demostró más efectivo a la hora de garantizar la supervivencia de nuestros antepasados en su entorno. Los que optaban por esa estrategia (de forma inconsciente, recuérdalo, son sesgos “automáticos”) tenían más probabilidades de dejar detrás de sí descendencia.

  • Es evidente que esa resistencia existe, de lo contrario, aplicando una regla de tres, la inversión en seguridad sería mucho mejor recibida.
    No obstante, se me plantea una duda cuando llevo el razonamiento al extremo: Si preferimos siempre la pérdida probable a la pérdida segura, nunca deberíamos invertir en medidas de seguridad preventivas y es también cierto que la inversión en medidas preventivas es cuantiosa. Entonces, ¿cuál es el elemento de la ecuación que hace que, a pesar, de la premisa expresada, haya personas que apuestan por la “pérdida segura”? ¿Es (solo) el grado de aversión al riesgo?

  • Parece mentira, pero este post se publica practicamente a la par que la brillante gestión de Azkarate que se ha saldado con la perdida de 6 millones de euros, que se encuadra dentro del punto numero uno que señalas, y es que el seguro era muy caro

  • jeje, qué tal, uberum?
    Pues sé muy bien de lo que me hablas, pero no, creo que no es lo mismo, porque no se trata de vender después “todo tipo de productos o servicios”, sino de cobrarte por el que has contratado. Se parece más a cuando las operadoras te regalaban el móvil cuando dabas de alta una nueva línea con contrato. Te monto toda la estructura y tú pagas sólo por su uso, según unas tarifas estipuladas.
    Pero no deja de ser un PO, ya sabes :-) No hay que tomárselo literalmente, sólo como un punto de partida para, tal vez, encontrar una solución real a la dificultad que supone vender este tipo de servicios.
    Buen finde!

  • je je je je, puedes apostarte el MBA a que asi el cliente paga mas… bueno, seguro que estamos hablando de clientes corporativos.
    Si tengo que desplegar una plataforma de la que inicialmente no gano nada, es por que tengo un equipo de “up-selling” preparado para colocarte todo tipo de productos y servicios a la primera, ademas… esta es la estrategia de las consultoras y outsorcers… meterse como sea en algo “core” del cliente para desde luego alli hacer cuña y crecer
    Nunca he leido a Tversky-Kahnemann, pero creo que algunos de mis jefes si.. je je je

View Comments (6) ...