¿Se puede cambiar una cultura corporativa a base de bonus?

IMAGE: OpenAI's DALL·E, via ChatGPT

Microsoft anuncia que condicionará un tercio del bonus que perciben sus catorce directivos mejor pagados al éxito que tengan mejorando la orientación a la ciberseguridad de la compañía.

Un anuncio que sigue a una sesión en la que el Congreso interrogó duramente al presidente de Microsoft, Brad Smith, sobre los planes del gigante del software para mejorar su seguridad, tras ataques muy intensos a cuentas de correo electrónico de funcionarios federales por culpa de una cascada de errores en los planteamientos de ciberseguridad de las herramientas de la compañía, algo que cuestiona claramente la idoneidad de la compañía como contratista dominante para el gobierno.

Además, el Congreso manifestó preocupaciones sobre la creciente presencia de Microsoft en China y sobre sus acuerdos de transferencia de tecnología con los Emiratos Árabes. El resultado de la sesión y sobre todo, el fortísimo cuestionamiento sobre la orientación de Microsoft a la ciberseguridad ha puesto a la compañía en modo defensivo hasta el punto de afirmar que hará del desarrollo de la ciberseguridad su prioridad máxima, incluso poniéndola sobre el de la inteligencia artificial.

La gran pregunta es si basta con condicionar un tercio del importe de los bonus de los catorce directivos mejor pagados de la compañía a la ausencia de incidentes de seguridad para cambiar la cultura de una compañía. ¿Depende realmente la ciberseguridad de las acciones de esos catorce directivos mejor pagados? Obviamente, es necesario trasladar las nuevas prioridades a todos los niveles y eso es algo que esos directivos posiblemente sí puedan hacer, pero ¿es suficiente con eso? La ciberseguridad, es bien sabido, depende de las acciones del eslabón más débil, y en estos casos, no parece claro que ese eslabón se active o se refuerce simplemente amenazando a los catorce directivos mejor pagados con perder un tercio de su bonus.

¿Cómo se genera una cultura orientada a la ciberseguridad? Lógicamente, debe abarcar a todos los implicados, desde el más humilde de los desarrolladores hasta el mismísimo Satya Nadella, pero no tengo claro que los bonus sean la palanca más adecuada. Posiblemente esté muy condicionado por mi experiencia profesional, pero tiendo a pensar que la palanca principal deberían ser aspectos como la formación, la transparencia y supervisión del código por múltiples partes, o incluso, llegando a plantear someter a los productos de la compañía al máximo nivel de supervisión que existe: hacerlos open source. Como bien dice la Ley de Linus, «dado un número suficientemente elevado de ojos, todos los errores se vuelven obvios».

Obviamente, eso no quiere decir que el software de código abierto esté exento de bugs. Una afirmación así no puede hacerse de modo absoluto, pero lo que sí es cierto es que si un software tiene un nivel determinado de uso en términos de popularidad como para congregar a un número suficientemente elevado de desarrolladores interesados en trabajar en él y proporcionarle mantenimiento, tendrá menos errores que un software equivalente desarrollado en modo propietario.

Microsoft tiene el suficiente arraigo en el mercado corporativo como para que su valor añadido no esté en las licencias que vende, sino en los servicios que proporciona. Para sus clientes, que sus productos estuviesen disponibles en forma de código abierto no sería un planteamiento de «qué bien, ahora me ahorro la licencia», sino de «qué bien, ahora podrán ser más seguros». Bajo la dirección de Satya Nadella, la compañía ha demostrado tener respeto por el código abierto y haber aprendido mucho de sus prácticas.

¿Se puede plantear algo más contundente y seguramente eficiente de cara a fomentar una cultura de ciberseguridad que simplemente amenazar a los principales directivos con rebajarles un tercio sus bonus?


This article is also available in English on my Medium page, «How much is cybersecurity worth to Microsoft

15 comentarios

  • #001
    menestro - 14 junio 2024 - 16:59

    En la sociedad del conocimiento y desde la inflexión producida durante la segunda era industrial y la II Guerra mundial, y la creación de Silicon Valley tras la salida de los ‘Ocho Traidores’ de Fairchild Semiconductors, el activo más valioso de una empresa ha pasado de los medios materiales de producción, al capital humano.

    No hay revolución tecnológica o industrial reciente que no implique el talento tecnológico o de cualquier otro tipo, incluido el humano, como piedra angular. El avance ya no es fruto del azar ni, casi ya, de la deriva de los mercados sino de ese raro elemento de la tabla periódica.

    Existe el movimiento Open source tal como lo conocemos hoy porque existía Linus Torvalds. (O Saint Ignucius, da igual)

    Yo no creo que Satya Nadella haya sido el único artífice del ‘sea change’ de Microsoft, pero es obvio que de lo que se cultiva se obtiene un fruto.

    Supongo que hay que aclarar que, en nuestro país se cultiva la mediocridad y la picaresca, por sistema. Y que lo que recogemos son malas hierbas.

    Por eso mismo, hay que premiar el talento y la excepcionalidad de forma excepcional, para asegurar un compromiso con el cambio.

    ¿Necesita alguien un sueldo de siete cifras para vivir? Probablemente, no. ¿Es necesario valorar de esa forma el talento con capacidad de generar un cambio cultural, la génesis de una transformación?, sin lugar a dudas, sí.

    No, no va a ser a 60 días

    Ex Libris.

    Hay personas tan mediocres en sus relaciones personales que confunden tener amigos, con experimentar la amistad o el amor.

    Es como quien ha comido en un McDonald’s toda su vida y no conoce otra cosa, y presume de que sale a cenar en un restaurante.

    Eligiendo del menú, de forma reflexiva y meditada, lo mejor del fast food y los precocinados, rodeandose de depredadores sociales y comensales, buscando en pucheros ajenos un alimento real.

    Los amigos no te hacen el caldo gordo ni van a mesa puesta.

  • #002
    Gorki - 14 junio 2024 - 18:38

    La gran pregunta es si basta con condicionar un tercio del importe de los bonus de los catorce directivos mejor pagados de la compañía a la ausencia de incidentes de seguridad para cambiar la cultura de una compañía.…. Mi opinión es que, NO

    Mi opinión es que sólo mejorará la ciberseguridad de la compañía, creando si no existe, o potenciando, si existe, el departamento de Ciberseguridad, dotandola de mas medios, mas dinero y sobre todo de la captación de mas y mejor talento. Ofrece premios importantes para todo aquél haker que señale un bug, o una técnica que logre romper las medidas de ciberseguridad existentes y no dudes en cambiar de forma urgente todo aquello que pueda ser una brecha en tu seguridad, por caro y complejo que sea el hacerlo,

    • Benji - 15 junio 2024 - 08:58

      +1.

      Pagar a externos para que encuentren tus agujeros es lo mejor. Los hackers chinos/rusos son capaces de «descubrir» un hack que usen por el dinero que les llegue directamente a ellos.

      Y sí, lo pagaría en Cripto para que los hackers puedan conservar su anonimato o escapar

      • Gorki - 15 junio 2024 - 10:40

        Quizá tu fueras un buen jefe del Departamento de Ciberseguridad, tienes talento, A mi no se he habría ocurrido pensar en pagar con criptos a los hacker.

        El talento es algo esencial en ese departamento, es mas necesario que en otros, donde el puro «curro», puede sustituir bastante bien al «talento».

  • #005
    menestro - 14 junio 2024 - 19:51

    Para poner un poco de contexto, todas las compañías que son proveedores del gobierno de EE.UU. tienen que cumplir con una serie de certificaciones de seguridad (NIST, NIAP) para proporcionar sus productos a las agencias de del gobierno.

    Entre esas agencias se encuentran desde la NSA hasta el Departamento de Seguridad Nacional o el Departamento de defensa.

    Diversos productos de Microsoft han sido vulnerados por agencias de seguridad de países considerados hostiles, desde la SVR rusa, hasta las agencias chinas.

    Y por ello, se ha citado a los directivos para una comparecencia en el Congreso de EE.UU.

    A raíz de esa comparecencia, se ha condicionado los Bonus de los directivos a forzar una mayor atención a la seguridad, que a los resultados comerciales. Si me preguntasen, lo mismo que debería hacerse en los Bancos o con el sueldo de los Funcionarios, para establecer el cumplimiento escrupuloso de los códigos de buenas prácticas y conducta.

    Centro de operaciones de ciberseguridad de Microsoft

    NIST’s Responsibilities Under the May 2021 Executive Order

    Executive Order (EO) 14028 on ‘Improving the Nation’s Cybersecurity

    Report on Microsoft Online Exchange Incident from Summer 2023 – dhs.gov

    Microsoft’s cybersecurity culture ‘inadequate,’ Department of Homeland Security reports

  • #006
    Lua - 14 junio 2024 - 20:56

    Offtopic: (que ya me toca los huevos, con perdon)

    «Tesla. La compañía ha invertido 5.000 millones de dólares con el gobierno indonesio hasta ahora, al tiempo que se ha asociado con varias empresas conectadas a la minera Weda Bay que se encuentra en la isla. El acuerdo de la compañía de Musk es para comprar níquel y cobalto, aunque cuando se le ha preguntado sobre la situación, la respuesta se dirige al código deontológico interno, el cual establece unas garantías que no siempre se cumplen para la extracción y procesamiento de las materias primas de sus productos, al fin y al cabo, el níquel es esencial para la producción de baterías.

    La paradoja de los coches eléctricos en un vídeo: una tribu pide ayuda a los mineros que deforestan sus bosques para el níquel

    Lo hubiera puesto en el articulo anterior, pero da igual cuando se lea…

    • Lua - 14 junio 2024 - 20:56

      Me vale para cualquier compañia… no solo Tesla…

  • #008
    JM - 15 junio 2024 - 08:37

    Probablemente la medida solo sirva para perseguir encarnizadamente a cualquier trabajador de la empresa que encuentre un fallo de seguridad para evitar que se haga público antes de cobrar el bonus.

    O para aumentar los bonus un 50% que nadie va a cobrar. O algo similar, es decir que no servirá para nada.

  • #009
    Queridos Reyes - 15 junio 2024 - 10:05

    Estos Reyes la «fiesta de ventas de Copilot+PC» va a ser el BOUM, no hay nada más que ver lo que enseñaron desde Apple y desde Microsoft. Lo de Microsoft en cuestiones de IA se puede ver aquí

    https://elpais.com/tecnologia/2024-05-21/microsoft-multiplica-por-200-la-potencia-del-ordenador-personal-con-copilot-para-dotarlo-de-ia.html#?rel=mas

    El acceso a lo más íntimo de ti y que guardas en tu ordenador va a estar a disposición de su IA. En este caso no hay trampa mientras Apple recurre a su nube (dicen que super privada), Microsoft sabe que en la nube antes o después todo es público, y por eso la usa al mínimo. Pero eso supone que tu sistema en local no sea un coladero, De ahí la apuesta renovada por la seguridad y que funciona bastante bien desde Windows 10. Pero si algo es windows es la víctima numero 1 de criminales, y por eso motiva a sus empleados con bonus. Es una prioridad. Y la forma que han visto de hacerlo es en cascada, de arriba a abajo. Pasta no les va a faltar sus VENTAS van a ser ALUCINANTES., Si alguien ilusiona en equipos locales no es la triste manzana, vuelve a ser MICROSOFT y sus DELL,HP, LENOVO,…

  • #010
    f3r - 15 junio 2024 - 12:34

    1) «algo que cuestiona claramente la idoneidad de la compañía como contratista dominante para el gobierno.»
    Es que me parto. Es como los diputados españoles teniendo un iphone para el curro que además es el que usan personalmente.

    Señores, se coge un kernel ultra-endurecido y minimalista (los SO que lo tengan, juas, juas M$) y se le pone una microcapa ultra-específica de programas para cada puesto de trabajo. El iphone de los diputados (en sí mismo un error gravísimo), tendría que tener un SO adrede creado por expertos de seguridad _españoles_ con prácticamente todas las funciones capadas.

    2) en mi campus universitario, hay unos putos cracks que han decidido que a) la vpn va con microsoft authenticator, b) todo se vuelve Office365, c) las carpetas flotantes (con backups chachis) van con microsoft también. En serio, ¿quién está recibiendo los sobornos y mordidas? Es flagrante.

    3) «Bajo la dirección de Satya Nadella, la compañía ha demostrado tener respeto por el código abierto». Me caigo de la silla. ¿Han liberado las especificaciones técnicas de NTFS? Qué bonito es(era) github…Embrace, extend, and extinguish en 3,2,1. El león fue, es y será león, y si te acercas demasiado te comerá.

    4) ahora ya poniéndonos prácticos, ¿no se basan todos los ataques en coger al más imbécil de un organismo y mandarle un email falso para que pinche? ¿cómo se erradica esto: poniéndoles una máquina de escribir a los más desfavorecidos intelectualmente? ¿haciendo un SO donde todo esté ultra-compartamentado en base al departamento en el que estás y que no pueda propagar al resto?

    5) las palabras «bonus» y «directivos» me evoca una imagen de fuego y gente pereciendo entre estertores.

    • Lua - 15 junio 2024 - 16:39

      Me has hecho el dia… XDDD

    • JM - 16 junio 2024 - 14:52

      Plas, plas, plas!

      +1

  • #013
    Angeles - 15 junio 2024 - 22:22

    Como persona que trabaja en el sector del software, he de decir que esta medida tiene mucho sentido a la hora de actuar contra el factor «aceptación de riesgo por parte del negocio». Combatiría la impunidad existente por la cual con sólo firmar un papel legal se saltan a toda la capa de seguridad, y así cumplen con su objetivo de «acortar el time to market» llevándose un bonus (véase la canción cínica: https://www.youtube.com/watch?v=9IG3zqvUqJY).

  • #014
    Dedo-en-la-llaga - 16 junio 2024 - 19:33

    Hay que ver, ¿eh? «Interrogó duramente», y los hace parecer superdemócratos y políticos incorruptos, más que el brazo de S. Teresa… pero luego alguien masacra a bebés, niños y etc., y lo de interrogarlo durantemente, eso, mejor otro día, que se me está haciendo tarde y necesito tomarme mínimo una caja de cervezas o un par de botellas de whisky.

    En fin, basura humana.

  • #015
    Michel Henric-Coll - 18 junio 2024 - 15:13

    La gran pregunta es si basta con condicionar un tercio del importe de los bonus de los catorce directivos mejor pagados de la compañía a la ausencia de incidentes de seguridad para cambiar la cultura de una compañía.

    ¿Estáis seguros que el objetivos del cambio de bonus es mejorar las incidencias de seguridad? Yo no.

    Para Microsoft, lo más importante no es que la Reina sea pura, sino que lo parezca. No creo que sea más que un mensaje a las Grandes Cuentas para que confie en sus productos. «Mira lo mucho que tenemos la seguridad en cuenta que el sueldo de los directivos depende de esto».

    Como escribió Lampedusa, es necesario que algo cambie para que todo permanezca igual.

Dejar un Comentario

Los comentarios están cerrados