Microsoft anuncia que condicionará un tercio del bonus que perciben sus catorce directivos mejor pagados al éxito que tengan mejorando la orientación a la ciberseguridad de la compañía.
Un anuncio que sigue a una sesión en la que el Congreso interrogó duramente al presidente de Microsoft, Brad Smith, sobre los planes del gigante del software para mejorar su seguridad, tras ataques muy intensos a cuentas de correo electrónico de funcionarios federales por culpa de una cascada de errores en los planteamientos de ciberseguridad de las herramientas de la compañía, algo que cuestiona claramente la idoneidad de la compañía como contratista dominante para el gobierno.
Además, el Congreso manifestó preocupaciones sobre la creciente presencia de Microsoft en China y sobre sus acuerdos de transferencia de tecnología con los Emiratos Árabes. El resultado de la sesión y sobre todo, el fortísimo cuestionamiento sobre la orientación de Microsoft a la ciberseguridad ha puesto a la compañía en modo defensivo hasta el punto de afirmar que hará del desarrollo de la ciberseguridad su prioridad máxima, incluso poniéndola sobre el de la inteligencia artificial.
La gran pregunta es si basta con condicionar un tercio del importe de los bonus de los catorce directivos mejor pagados de la compañía a la ausencia de incidentes de seguridad para cambiar la cultura de una compañía. ¿Depende realmente la ciberseguridad de las acciones de esos catorce directivos mejor pagados? Obviamente, es necesario trasladar las nuevas prioridades a todos los niveles y eso es algo que esos directivos posiblemente sí puedan hacer, pero ¿es suficiente con eso? La ciberseguridad, es bien sabido, depende de las acciones del eslabón más débil, y en estos casos, no parece claro que ese eslabón se active o se refuerce simplemente amenazando a los catorce directivos mejor pagados con perder un tercio de su bonus.
¿Cómo se genera una cultura orientada a la ciberseguridad? Lógicamente, debe abarcar a todos los implicados, desde el más humilde de los desarrolladores hasta el mismísimo Satya Nadella, pero no tengo claro que los bonus sean la palanca más adecuada. Posiblemente esté muy condicionado por mi experiencia profesional, pero tiendo a pensar que la palanca principal deberían ser aspectos como la formación, la transparencia y supervisión del código por múltiples partes, o incluso, llegando a plantear someter a los productos de la compañía al máximo nivel de supervisión que existe: hacerlos open source. Como bien dice la Ley de Linus, «dado un número suficientemente elevado de ojos, todos los errores se vuelven obvios».
Obviamente, eso no quiere decir que el software de código abierto esté exento de bugs. Una afirmación así no puede hacerse de modo absoluto, pero lo que sí es cierto es que si un software tiene un nivel determinado de uso en términos de popularidad como para congregar a un número suficientemente elevado de desarrolladores interesados en trabajar en él y proporcionarle mantenimiento, tendrá menos errores que un software equivalente desarrollado en modo propietario.
Microsoft tiene el suficiente arraigo en el mercado corporativo como para que su valor añadido no esté en las licencias que vende, sino en los servicios que proporciona. Para sus clientes, que sus productos estuviesen disponibles en forma de código abierto no sería un planteamiento de «qué bien, ahora me ahorro la licencia», sino de «qué bien, ahora podrán ser más seguros». Bajo la dirección de Satya Nadella, la compañía ha demostrado tener respeto por el código abierto y haber aprendido mucho de sus prácticas.
¿Se puede plantear algo más contundente y seguramente eficiente de cara a fomentar una cultura de ciberseguridad que simplemente amenazar a los principales directivos con rebajarles un tercio sus bonus?
This article is also available in English on my Medium page, «How much is cybersecurity worth to Microsoft?»
