La economía de la seguridad de la información aborda los aspectos económicos de la privacidad y la seguridad informática . La economía de la seguridad de la información incluye modelos del " homo economicus " estrictamente racional , así como la economía del comportamiento . La economía de la seguridad aborda las decisiones y los comportamientos individuales y organizacionales con respecto a la seguridad y la privacidad como decisiones de mercado.
La economía de la seguridad aborda una pregunta central: ¿por qué los agentes eligen riesgos técnicos cuando existen soluciones técnicas para mitigar los riesgos de seguridad y privacidad? La economía no solo aborda esta cuestión, sino que también informa las decisiones de diseño en la ingeniería de seguridad .
Aparición de la economía de la seguridad
La seguridad nacional es el bien público canónico . El estatus económico de la seguridad de la información pasó a un primer plano intelectual alrededor del año 2000. Como es el caso de las innovaciones, surgió simultáneamente en múltiples lugares.
En 2000, Ross Anderson escribió, Por qué la seguridad de la información es difícil . Anderson explicó que una dificultad significativa en el desarrollo óptimo de la tecnología de seguridad es que los incentivos deben estar alineados con la tecnología para permitir una adopción racional. Por lo tanto, los conocimientos económicos deben integrarse en el diseño técnico. Una tecnología de seguridad debería permitir a la parte en riesgo invertir para limitar ese riesgo. De lo contrario, los diseñadores simplemente cuentan con el altruismo para su adopción y difusión. Muchos consideran esta publicación el nacimiento de la economía de la seguridad.
También en 2000 en Harvard, Camp en la Escuela de Gobierno y Wolfram en el Departamento de Economía argumentaron que la seguridad no es un bien público, sino que cada vulnerabilidad existente tiene un valor de externalidad negativo asociado . Las vulnerabilidades se definieron en este trabajo como bienes transables. Seis años después, iDEFENSE , ZDI y Mozilla tienen mercados existentes para vulnerabilidades.
En 2000, los científicos del Equipo de Respuesta a Emergencias Informáticas de la Universidad Carnegie Mellon propusieron un mecanismo temprano para la evaluación de riesgos. El modelo holográfico jerárquico proporcionó la primera herramienta de evaluación multifacética para guiar las inversiones en seguridad utilizando la ciencia del riesgo. Desde entonces, el CERT ha desarrollado un conjunto de mecanismos sistemáticos para que las organizaciones los utilicen en las evaluaciones de riesgos, según el tamaño y la experiencia de la organización: OCTAVE . El estudio de la seguridad informática como inversión para evitar riesgos se ha convertido en una práctica estándar.
En 2001, en un desarrollo no relacionado, Lawrence A. Gordon y Martin P. Loeb publicaron Using Information Security as a Response to Competitor Analysis System . [1] Un documento de trabajo del artículo publicado fue escrito en 2000. Estos profesores, de la Smith School of Business de Maryland, presentan un marco de teoría de juegos que demuestra cómo la seguridad de la información puede evitar que las empresas rivales obtengan información confidencial. En este contexto, el artículo considera los aspectos económicos (es decir, costo-beneficio) de la seguridad de la información.
Los autores se unieron para desarrollar y expandir una serie de eventos emblemáticos bajo el nombre Workshop on the Economics of Information Security.
Ejemplos de hallazgos en economía de la seguridad
La prueba de trabajo es una tecnología de seguridad diseñada para detener el spam alterando la economía. Un artículo temprano en economía de la seguridad de la información argumentó que la prueba de trabajo no puede funcionar. De hecho, el hallazgo fue que la prueba de trabajo no puede funcionar sin discriminación de precios, como se ilustra en un documento posterior, Prueba de trabajo puede funcionar .
Otro hallazgo, que es fundamental para comprender las prácticas de datos estadounidenses actuales, es que lo opuesto a la privacidad no es, en términos económicos, el anonimato , sino la discriminación de precios . La privacidad y la discriminación de precios fue escrito por Andrew Odlyzko e ilustra que lo que puede aparecer como patología de la información en la recopilación de datos es, de hecho, un comportamiento organizacional racional.
Hal Varian presentó tres modelos de seguridad utilizando la metáfora de la altura de los muros alrededor de una ciudad para mostrar la seguridad como un bien normal, un bien público o un bien con externalidades. La conducción libre es el resultado final, en cualquier caso.
Lawrence A. Gordon y Martin P. Loeb escribieron Economía de la inversión en seguridad de la información . El modelo de Gordon-Loeb es considerado por muchos como el primer modelo económico que determina la cantidad óptima a invertir para proteger un conjunto dado de información. El modelo tiene en cuenta la vulnerabilidad de la información a una violación de seguridad y la pérdida potencial en caso de que ocurra dicha violación.
Ver también
Referencias
enlaces externos
Centros que estudian economía de la seguridad
- Universidad Carnegie Mellon Heinz College
- Laboratorio de privacidad de la Universidad Carnegie Mellon
- Laboratorio de Ciencias de la Computación de la Universidad de Cambridge
- Escuela de Informática de la Universidad de Indiana
- Universidad de Minnesota
- Escuela de Información de la Universidad de Michigan
- División de Ingeniería y Ciencias Aplicadas de la Universidad de Harvard
- Dartmouth alberga el I3P, que incluye la Tuck School y el Departamento de Ciencias de la Computación en el estudio de la economía de la seguridad de la información.
Recursos en economía de la seguridad
- Ross Anderson mantiene la página Economía de la seguridad de la información .
- Alessandro Acquisti tiene la página correspondiente de Economía de los recursos de privacidad .
- Jean Camp Economics of Information Security enlaza con todos los talleres anteriores, con las ponencias correspondientes, así como con las conferencias y convocatorias de ponencias actuales. También proporciona eventos, libros, talleres anteriores y una bibliografía comentada.
- Retorno de la inversión en seguridad de la información proporciona cuestionarios de autoevaluación, documentos y enlaces a recursos económicos de seguridad de la información.
- Cyber Attacks: An Economic Policy Challenge , publicado en el portal de políticas de CEPR , VOX, proporciona una descripción general no técnica de los problemas de políticas y medición relacionados con la economía de la ciberseguridad.