Ensayo sobre los aspectos económicos de la seguridad
Enviado por Leonardo1604 • 26 de Junio de 2021 • Ensayo • 1.325 Palabras (6 Páginas) • 106 Visitas
[pic 1]
Ensayo sobre los aspectos económicos de la seguridad.
Materia: Sistemas de Gestión de la Seguridad de la Información
Nombre de alumno: José Leonardo Báez Heredia.
Ciudad de México, 31 de mayo del 2021.
La externalidad como aspecto clave en el desarrollo de seguridad en las tecnologías.
Sin duda, los temas que se plantean en el artículo de The Economics of Information Security, son poco tratados o no han permeado lo suficiente entre los profesionales de la seguridad de la información y/o entre las empresas mexicanas. Esta aseveración se confirma, ya que en investigaciones o redacciones que aborden temas de ´lo económico de la seguridad de la información´ en diarios con dicho enfoque, hacen mención del impacto de la ciberseguridad valorada como la consecuencia de los daños causados sobre las empresas. Un ejemplo de ello es la publicación realizada por para el diario digital El Financiero y en la que comenta:
“un estudio realizado por KPMG en 2019 revela que para los CEOs en México la ciberseguridad es un riesgo que representa la mayor amenaza para la continuidad operativa de sus empresas. Otro estudio revela que el costo por ciberataques en México creció 38.4 por ciento en 2019 con un costo promedio de 6.5 mdp, según cifras de la empresa de ciberseguridad Sopho” (Rodriguez, 2020, s/p)
En otro reportaje realizado por el diario digital El Economista en el cual se aborda el tema sobre aspectos económicos en la seguridad de la información en México, y en el que se de manera general sobre el impacto y las consecuencias con base a la pérdida de datos e información en una empresa y del daño colateral (reputación, demandas, multas) que supondría la materialización de este tipo de acciones, por lo que se cita lo siguiente:
“Básicamente, la ciberseguridad es la aplicación de tecnologías, procesos y controles para proteger sistemas, redes, programas, dispositivos y datos de ataques cibernéticos. Estos asaltos pueden deseñarse para acceder, extorsionar, con el mal uso o eliminar los datos confidenciales de una organización o una persona. Organizaciones médicas, gubernamentales, corporativas y financieras pueden poseer información personal vital sobre un individuo, por lo que un ataque podría perjudicarlas al máximo” (López, 2020, s/p)
Lo que entendemos por ambas publicaciones de estos diarios digitales, es que en México la seguridad de la información (S.I) se percibe como: 1) una actividad que debe ser tratada como un evento puramente de ciberseguridad, 2) la estructura para el cálculo del costo sólo considera inversión para contener un ciberataque Vs. El costo que supone la pérdida, daño, robo o secuestro de un activo tecnológico o de información.
Cuando se realiza la búsqueda de temas específicos descritos en la disciplina de The Economics of Information Security es muy poco lo que podemos encontrar aterrizado o aplicado a empresas locales. Para este ensayo, extraigo de lo escrito por Anderson, R. y Moore T. (s/f), en donde comentan que se debe atender o poner más foco en las consecuencias de los fallos o brechas de seguridad y no en las causas que lo generan, tales como; los malos incentivos, errores de diseño, capacitación, contar con personal adecuado para las funciones realizadas, deficiencias en la organización, etc. Asimismo, Schneier (2007) comenta “We are paying to mitigate the risk rather than fix the problem” es decir, enfocamos nuestros esfuerzos en mitigar las consecuencias antes de solucionar o atender las causas raíz.
Lo interesante de la lectura, es que algunas teorías económicas impactan sobre los aspectos de seguridad de la información como es el caso de las externalidades, ya que consisten en efectos positivos y/o negativos que trae consigo el consumo de bienes, de la relación entre precios y cantidades, y del costo sobre la calidad de un producto según la demanda del mercado. Sin duda la externalidad es un concepto que aplica para las industrias tecnológicas, y un ejemplo es que aplica perfectamente en aquellas empresas o sectores que se encargan de realizar desarrollos de Software as a Service (SaaS), siendo éstos uno de los servicios mayormente vendidos u ofrecidos a empresas. Si bien, una empresa desarrolladora de software aplica las reglas de externalidades negativas, es decir que no asume todos los costos (por ejemplo, costos de seguridad), sino que espera que otros los asuman para posteriormente aumentar la calidad del producto. Esto es exactamente es lo que trata la externalidad de red, que es un tema ya tratado desde los años 80s por Shapiro, C y Katz, M, y en el que ambos plantean que existe una correlación directa entre el número de compras de un producto sobre calidad de éste, es decir, a medida que se vaya ganando posición de mercado (Market Share), otros (consumidores principalmente) son los que deben asumir los costos de implementación de mejoras, en la que sin duda, la seguridad es uno de estos elementos de valor agregado sobre el producto. Muchas empresas consideran que las inversiones realizadas en temas de seguridad significan una desviación de esfuerzo considerando que el objetivo final del producto es que debe ser práctico, que cumpla con las expectativas del cliente y sea de un costo asequible. Adicional, en las investigaciones de externalidad de red se menciona que una inversión sobre un producto dependerá de la demanda que exista sobre dicha característica por la cual se deba invertir, es decir, a medida que los usuarios adopten los temas de seguridad, las empresas se verán obligadas a cumplir con estos requerimientos de la demanda, tal como sucedió con la propia adopción de la tecnología desde los 80s hasta la era actual, en la que la utilidad recibida de los usuarios derivada de esta adopción (puede medirse en satisfacción, cumplimiento, precio, facilidad de uso), dependerá que otros lo consuman y pertenezcan a la misma red de consumidores.
...