Cómo vender seguridad, por Bruce Schneier

Bruce Schneier acaba de publicar un interesante artículo acerca de las dificultades inherentes a la venta de soluciones de seguridad. La razón, explica Schneier, es psicológica.

Schneier recurre al siguiente experimento para explicar las dificultades que surgen al vender seguridad: tomamos dos grupos de individuos, y al primer grupo le damos a escoger entre una ganancia segura de 500 € y una probabilidad del 50% de ganar 1000 €. Al otro grupo le pedimos que escoja entre una pérdida segura de 500 € y una probabilidad del 50% de perder 1000 €. ¿Cúal será el resultado?

Según los resultados obtenidos por la teoría de las perspectivas, cuando se trata de beneficios, un 85% de los sujetos escojen la ganancia pequeña pero segura frente a una potencialmente mayor (más vale pájaro en mano...). Sin embargo, al enfrentarse a una pérdida, 70% de los sujetos escoge la opción del riesgo de una posible pérdida mayor frente a una pérdida menor, pero segura. Este resultado se ha comprobado repetidamente y es independiente de edades, sexo, cultura e incluso especies, y parece haber razones evolutivas detrás del mismo. Por esta teoría y otros trabajos relacionados Daniel Kahneman ganó el Premio Nobel de Economía en 2002.

Este resultado contradice lo predicho por el modelo económico tradicional, el cual prevee que, siendo ambas alternativas similares, no tendría que haber diferencias significativas entre en las decisiones en función de si se trata de ganancias o pérdidas. Habrá gente que prefiera el riesgo y otra la seguridad, pero que el resultado sea una ganancia o una pérdida no afecta al modelo clásico de la utilidad.

¿Afecta el sesgo detectado a través de la teoría de las Perspectivas a la venta de productos de seguridad informática? Sin duda, dado que se trata de elegir entre una pérdida segura (el coste del producto) y una pérdida hipotética (un virus, una intrusión...) La teoría de las perspectivas aplica en este contexto: son mayoría los que prefieren aceptar el riesgo de un ataque informático antes que asumir el coste seguro de que conlleva la compra del producto de seguridad.

Schneier habla de posibles soluciones, como intentar edulcorar los productos entre esloganes positivos y modelos ROI. Otra opción consiste en meter miedo. Siendo el miedo una emoción primaria, se sitúa por encima de nuesta capacidad de cálculo. Cuando las emociones toman el control, la racionalidad disminuye. Así, las ventas de alarmas se disparan tras un robo en el vecindario y, a mayor escala, sucesos como los del 11-S siguen alimentando toda una industria de seguridad.

Pero la verdadera solución, según Schneier (que acuñó la célebre frase "la seguridad no es un producto, es un proceso"), no consiste en vender la seguridad directamente, sino como parte de un producto o servicio más general. De la misma forma que los coches traen de serie sistemas de seguridad, los elementos informáticos deben integrar "de serie" la seguridad que los clientes necesitan. La seguridad debe ser parte integral del presupuesto de todo proyecto, y las políticas de seguridad no debe ser parte integral de las política TI.

La seguridad, concluye Schneier, consiste en evitar lo negativo, y no podemos ignorar el sesgo cognitivo que que esto conlleva. Pero si entendemos este sesgo, tendremos una ocasión de superarlo.

Bruce Schneier, fundador y CTO de BT Counterpane, es autor de diversos libros de seguridad y criptografía, entre ellos Applied Cryptography. Schneier ha diseñado o codiseñado varios algoritmos criptográficos, entre ellos Blowfish, Twofish, MacGuffin, Solitaire, así como de los generadores de números pseudo-aleatorios Yarrow y Fortuna. Es clásico su artículo Why Cryptography Is Harder Than It Looks. Publica mensualmente el boletín Crypto-Gram.

Fuente: Cio vía Schneier. Si te interesó este post puedes suscribirte a través del Feed RSS. (¿Qué es RSS?).