Hace poco asistí a una conferencia general de TI y vi a algunos proveedores interesantes de diversos productos y servicios. Una de ellas era una compañía que proporcionaba seguros contra piratería y dijeron que operaban en dos modelos de negocios:
- Modelo de seguro de responsabilidad civil: aquí es donde aseguran a los proveedores de servicios tales como pruebas de penetración o seguridad de datos contra sus clientes que los demandan cuando hay una violación de seguridad. Al parecer, este es el negocio principal en los Estados Unidos.
- Modelo de pérdida de datos / activos: aquí es donde aseguran a las pequeñas y medianas empresas contra la pérdida de productividad de la empresa, los activos o la información del cliente cuando hay una violación de seguridad.
Me preguntaba cuál sería el impacto de estos servicios en la industria de la seguridad de la información. ¿Esto va a hacer que las personas estén más conscientes de la seguridad de la información, hará que las personas estén menos vigilantes porque existe algún tipo de seguro contra los malos eventos, o tal vez no cambie nada en absoluto?
Lo interesante del modelo de negocio es que, por la pérdida de datos / modelo de activos, no evalúan al cliente por su nivel de infraestructura y proceso de seguridad, lo cual es bastante interesante porque significa que están felices de asegurar a las personas. independientemente del riesgo de tener que hacer un pago (presumiblemente porque están tratando de atraer clientes y no están persiguiendo a grandes empresas o clientes corporativos). Supongo que una vez que obtengan suficientes clientes y reciban muchos reclamos, es posible que deban tener un equipo de evaluación interno o externalizar esta capacidad a otras empresas.