Hay todo tipo de ideas sobre cómo los legisladores deben responder pero Jeff John Roberts vislumbra cómo podría ser el futuro de esta nueva amenaza.
El profesor Richard Thaler recogió esta semana el Premio Nobel por sus ideas sobre la economía del comportamiento. Su trabajo argumenta, en contra de la teoría económica, que los humanos no son actores racionales cuando se trata de decisiones financieras, sino que pueden ser empujados a tomar diferentes decisiones de una manera más emocional. La idea de Thaler reside en la famosa aplicación de una ley que alienta a las empresas a inscribir automáticamente a los trabajadores en planes de pensiones en lugar de exigirles que se registren. Este empujón simple ha aumentado drásticamente la cantidad que decenas de millones de estadounidenses han ahorrado para la jubilación.
En lo que respecta a la ciberseguridad, está claro que firmas como Equifax podrían haber usado un empujón del estilo Thaler para endurecer sus prácticas de IT descuidadas. La debacle de esta empresa, una de las peores violaciones de datos en la historia, surgió porque la compañía no pudo actualizar su software, y una gran razón para esto fue que carecía de incentivos para hacerlo.
Según Megan Stiles, abogada y experta en cibernética de Public Knowledge, las agencias de crédito no invirtieron sistemáticamente en la protección de datos porque su interés en las ganancias a corto plazo prevaleció sobre la seguridad. Stiles asegura que hemos llegado a un punto en que las agencias de crédito y otras empresas de datos requieren más regulación, incluidos los incentivos para invertir en seguridad. Señaló a la industria petrolera como un posible modelo, asegurando que aquellos que transportan petroleros deben llevar un seguro en caso de que algo vaya mal y las compañías de seguros, a su vez, exigen que tomen precauciones para obtener la cobertura. No es difícil imaginar cómo este modelo podría extenderse a las empresas que almacenan y transportan datos. En este caso, un régimen de seguro obligatorio podría incluir disposiciones que requieran que se aplique un software actualizado para la cobertura. El resultado sería una nueva forma de alinear los incentivos económicos con las prácticas inteligentes de ciberseguridad.