Recentemente ho partecipato a una conferenza IT generale e ho visto alcuni venditori interessanti di vari prodotti e servizi. Una di queste era una compagnia che forniva assicurazioni per l'hacking e dissero che c'erano due modelli di business su cui operano:
- Modello assicurativo di responsabilità civile: è qui che assicurano i fornitori di servizi come i test di penetrazione o la sicurezza dei dati contro i loro clienti che li citano in giudizio in caso di violazione della sicurezza. Apparentemente questa è l'attività principale negli Stati Uniti.
- Perdita di dati / modello di asset: è qui che assicurano le piccole e medie imprese contro la perdita di produttività aziendale, beni o informazioni sui clienti in caso di violazione della sicurezza.
Mi chiedevo quale fosse l'impatto di questi servizi sul settore della sicurezza delle informazioni. Questo renderà le persone più consapevoli della sicurezza delle informazioni, renderà le persone meno vigili perché c'è qualche assicurazione contro i cattivi eventi, o forse non cambierà nulla?
La cosa interessante del modello di business è che per la perdita del modello di dati / asset non valutano il cliente per il loro livello di infrastruttura e processo di sicurezza, che è piuttosto interessante perché significa che sono felici di assicurare le persone indipendentemente dal rischio di dover effettuare un pagamento (presumibilmente perché stanno cercando di attirare i clienti e non stanno andando dietro a grandi imprese o clienti aziendali). Suppongo che una volta ottenuto un numero sufficiente di clienti e un sacco di richieste possano passare a un team di valutazione interno o esternalizzare questa capacità ad altre aziende.