ASPECTOS ECONOMICOS DE LA SEGURIDAD

Aspectos económicos de la seguridad

La seguridad en el software es un área importante no solo en la calidad de este sino que también puede afectar considerablemente la manera en que las empresas presentan este al mercado y como los costos asociados tanto a su desarrollo como a su mantenimiento se pueden ver incrementados, siendo esta una externalidad del producto de software.

Esta externalidad puede abordarse o incluso explotarse de diferentes maneras con el animo de reducir el impacto no solo financiero sino en otros recursos como tiempo tanto en el desarrollo como en el ciclo de vida del producto.

Seguridad como una externalidad

El desarrollo de aplicaciones y sistemas informáticos aunque ha tenido un gran desarrollo en las ultimas décadas y cada ves se desarrollan mas y mejores metodologías para abordar el desarrollo y todo el ciclo de vida de estos aun existen falencias en estas técnicas que mantienen el desarrollo de tecnologías informáticas como algo artesanal aun lejos de ser una ciencia exacta completamente medible o predecible.

Estas características dotan a las aplicaciones de manera concomitante a su desarrollo con errores de seguridad que son incluidos accidentalmente por los desarrolladores de manera relacionada a su experticia, dedicación y/o compromiso al proyecto.

La cantidad de estos riesgos y su complejidad no pueden ser medidos fácilmente, lo cual implica que no pueden ser manejados y controlados de una forma óptima. Esto causa que el mercado este dominado por software con vulnerabilidades que podríamos llamar aplicaciones inseguras.

De la misma manera que para el desarrollador la detección de riesgos es compleja para el usuario final promedio también lo es, lo cual causa que el cliente no pueda distinguir fácilmente que software tiene un nivel de seguridad más alto que otro.

Estas vulnerabilidades se ven incrementadas por varios factores de índole financieros como que una fase de pruebas y búsqueda de errores exhaustiva incrementa el valor del desarrollo y el tiempo, que para ser compensado requeriría una mayor inversión en personal.

Teniendo en cuenta esto se puede decir que una empresa debería invertir más en testers y menos en programadores pero garantizar que estos programadores sean de alta calidad, muy competentes y responsables con sus esfuerzos al proyecto.

Las empresas han utilizado la existencia de las vulnerabilidades como estrategia para posicionamiento de sus aplicaciones en el mercado generando software riesgoso en las primeras versiones motivando al desarrollo de plugins y facilidad de uso mientras logran posicionar el software en el mercado y posteriormente en siguientes versiones se aumentan las políticas de seguridad para atar a los usuarios.

Otra manera en que los vendedores utilizan el riesgo en las aplicaciones para generar valor sobre estas es permitir que sean los usuarios los que realicen la búsqueda de errores mediante la explotación de vulnerabilidades, así ahorran los costos de búsquedas exhaustivas de bugs que no garantizan la no existencia de nuevos bug a veces causados por los mismos ajustes previos. Teniendo en cuenta el principio de que entre mas ataques se realicen al sistema (mayor es la cantidad de usuarios que testers en la empresa) el numero de las vulnerabilidades descubiertas deben ser mayores y al ajustarse estas deben reducirse, por lo que se dice que entre mayor cantidad de ataques posteriormente el numero de vulnerabilidades en el sistema debe ser menor. Esto es debido al hecho de que cuando las vulnerabilidades son expuestas los usuarios exigen una rápida solución a estas para no comprometer su información.

La razón para la existencia de estas vulnerabilidades en las aplicaciones aunque se supone que pueden ser evitadas mediante una buena fase diseño e incluso ahorrar costos posteriores en ajustes no solo es debido a los desarrolladores sino también a las presiones externas del mercado que obliga a responder de manera rápida a las necesidades de los usuarios que se ven atraídos por productos innovadores y nuevas funcionalidades, lo cual repercute sobre fases de diseño cortas y sin la suficiente dedicación para lanzar un producto con alto grado de seguridad, también la fase de pruebas se ve reducida en importancia limitándose solo a un correcto funcionamiento de la aplicación y no a pruebas que busque explotar posibles amenazas y vulnerabilidades.

De ponerse demasiados esfuerzos en estas áreas el software no podría responder a tiempo a las necesidades del mercado y ser menos rentable por la mayor inversión en diseño y pruebas.

Para gestionar esto aspectos en los sistemas de manera más eficiente y rentable, se han desarrollado diferentes metodologías y enfoques que permitan tratar de medir los riesgos en las aplicaciones y solucionarlos para lograr sistemas cada vez más seguros, con este fin tanto la industria como la academia realizan diversos estudios continuamente.

Para

...