La economía de la seguridad de la información

Enviado por BlackHawk93 • 21 de Enero de 2019 • Documentos de Investigación • 6.878 Palabras (28 Páginas) • 72 Visitas

Página 1 de 28

La economía de la seguridad de la información ∗

Ross Anderson y Tyler Moore

Universidad de Cambridge, Laboratorio de Computación

15 JJ Thomson Avenue, Cambridge CB3 0FD, United Kingdom

firstname.lastname@cl.cam.ac.uk

Resumen

La economía de la seguridad de la información se ha convertido recientemente en una disciplina próspera y en rápido movimiento. A medida que los sistemas distribuidos se ensamblan desde máquinas que pertenecen a directores con intereses divergentes, encontramos que los incentivos se están volviendo tan importantes como el diseño técnico para lograr la confiabilidad. El nuevo campo proporciona información valiosa no solo sobre temas de 'seguridad' (como bugs, spam, phishing y estrategia de aplicación de la ley) sino también en áreas más generales como el diseño de sistemas de igual a igual, el equilibrio óptimo de esfuerzos de programadores y evaluadores, por qué se erosiona la privacidad y la política de gestión de derechos digitales.

Introducción

Durante los últimos 6 años, las personas se han dado cuenta de que las fallas de seguridad se deben al menos a menudo por malos incentivos y por un mal diseño. Los sistemas son particularmente propensos a fallar cuando la persona que los protege no es la persona que sufre cuando falla. El uso cada vez mayor de los mecanismos de seguridad para permitir que un usuario del sistema ejerza poder sobre otro usuario, en lugar de simplemente excluir a las personas que no deberían ser usuarios en absoluto, presenta muchos problemas estratégicos y de políticas. Las herramientas y los conceptos de la teoría de juegos y la teoría microeconómica se están volviendo tan importantes como las matemáticas de la criptografía para el ingeniero de seguridad.

Revisamos los resultados recientes y los desafíos de investigación en vivo en la economía de la seguridad de la información. Como la disciplina aún es joven, nuestro objetivo en esta revisión es presentar varias aplicaciones prometedoras de teorías e ideas económicas a problemas prácticos de seguridad de la información en lugar de enumerar los muchos resultados establecidos. Primero consideramos incentivos desalineados en el diseño y despliegue de sistemas informáticos. A continuación, estudiamos el impacto de las externalidades: la inseguridad de la red es algo así como la contaminación del aire o la congestión del tráfico, en el sentido de que las personas que conectan máquinas inseguras a Internet no soportan las consecuencias de sus acciones.

La dificultad de medir los riesgos de seguridad de la información presenta otro desafío: estos riesgos no se pueden manejar mejor hasta que se puedan medir mejor. El software inseguro domina el mercado por la sencilla razón de que la mayoría de los usuarios no pueden distinguirlo del software seguro; por lo tanto, los desarrolladores no son compensados por esfuerzos costosos para fortalecer su código. Sin embargo, los mercados de vulnerabilidades pueden utilizarse para cuantificar la seguridad del software, recompensando así las buenas prácticas de programación y castigando las malas. Asegurar contra ataques también podría proporcionar métricas al construir un conjunto de datos para valorar los riesgos. Sin embargo, las correlaciones locales y globales exhibidas por diferentes tipos de ataques determinan en gran medida qué tipo de mercados de seguros son factibles. Los mecanismos de seguridad de la información o las fallas pueden crear, destruir o distorsionar otros mercados; La gestión de derechos digitales (DRM) en los mercados de software de música y productos en línea proporciona un ejemplo actual. Los factores económicos también explican muchos desafíos a la privacidad personal. Los precios discriminatorios que son económicamente eficientes, pero socialmente polémicos se hacen simultáneamente más atractivos para los comerciantes y más fáciles de implementar debido a los avances tecnológicos. Concluimos hablando de un esfuerzo de investigación incipiente: examinar el impacto de la seguridad de la estructura de la red en las interacciones, la confiabilidad y la solidez.

Incentivos desalineados

Una de las observaciones que motivó el interés inicial en la economía de la seguridad de la información provino de la banca. En los Estados Unidos, los bancos generalmente son responsables de los costos del fraude con la tarjeta; cuando un cliente impugna una transacción, el banco debe mostrar que el cliente está intentando hacer trampa o debe ofrecer un reembolso. En el Reino Unido, los bancos tuvieron un viaje mucho más fácil: generalmente se salieron con la suya al afirmar que su sistema de cajeros automáticos (ATM) era "seguro", por lo que un cliente que se quejó debe estar equivocado o mintiendo. "Banqueros afortunados", uno podría pensar; sin embargo, los bancos del Reino Unido gastaron más en seguridad y sufrieron más fraudes. ¿Cómo podría ser esto? Parece que fue lo que los economistas llaman un efecto de riesgo moral: el personal del banco del Reino Unido sabía que las quejas de los clientes no se tomarían en serio, por lo que se volvieron perezosos y descuidados. Esta situación llevó a una avalancha de fraude [1]. En 2000, Varian realizó una observación clave similar sobre el mercado de software antivirus. Las personas no gastaron tanto en proteger sus computadoras como podrían haberlo hecho. ¿Por qué no? En ese momento, una carga de virus típica era un ataque de servicio contra el sitio web de una empresa como Microsoft. Aunque un consumidor racional bien podría gastar $ 20 para evitar que un virus destruya su disco duro, no podría hacerlo solo para evitar un ataque a otra persona [2]. Los teóricos legales han sabido por mucho tiempo que la responsabilidad debe ser asignada a la parte que mejor puede manejar el riesgo. Sin embargo, dondequiera que miremos, vemos que los riesgos en línea están mal asignados, lo que da como resultado fallas en la privacidad y prolonga la lucha normativa. Por ejemplo, los directores de los hospitales y las compañías de seguros compran los sistemas de registros médicos, cuyos intereses en la administración de cuentas, el control de costos y la investigación no están bien alineados con los intereses de los pacientes en la privacidad. Los incentivos también pueden influir en las estrategias de ataque y defensa. En teoría económica, un problema de acción oculta surge cuando dos partes desean realizar transacciones, pero una parte puede tomar acciones no observables que afectan el resultado. El ejemplo clásico proviene del seguro, donde el asegurado puede comportarse de manera imprudente (aumentando la probabilidad de una reclamación) porque la compañía de seguros no puede observar su comportamiento. Podemos usar dichos conceptos económicos para clasificar los problemas de seguridad informática [3]. Los enrutadores pueden descartar silenciosamente paquetes seleccionados o falsificar respuestas a solicitudes de enrutamiento; Los nodos pueden redirigir el tráfico de la red a la escucha de conversaciones. y los jugadores en los sistemas de intercambio de archivos pueden ocultar si han elegido compartir con otros, por lo que algunos pueden "viajar gratis" en lugar de ayudar a sostener el sistema. En tales ataques de acción oculta, algunos nodos pueden ocultar el comportamiento malicioso o antisocial de otros. Una vez que se ve el problema bajo esta luz, los diseñadores pueden estructurar las interacciones para minimizar la capacidad de acción oculta o facilitar la ejecución de los contratos adecuados. Esto ayuda a explicar la evolución de los sistemas de igual a igual en los últimos 10 años. Los primeros sistemas propuestos por académicos, como Eternity, Freenet, Chord, Pastry y OceanStore, requerían que los usuarios sirvieran una selección aleatoria de archivos de toda la red. Estos sistemas nunca fueron ampliamente adoptados por los usuarios. Los sistemas posteriores que lograron atraer a muchos usuarios, como Gnutella y Kazaa, en cambio permiten que los nodos pares sirvan el contenido que han descargado para su uso personal, sin cargarlos con los archivos de otros. La comparación entre estas arquitecturas se centró originalmente en aspectos puramente técnicos: los costos de búsqueda, recuperación, comunicaciones y almacenamiento. Sin embargo, resulta que los incentivos también importan aquí. Primero, un sistema estructurado como una asociación de clubes reduce el potencial de acción oculta; Es más probable que los miembros del club puedan evaluar correctamente qué miembros están contribuyendo. En segundo lugar, los clubes pueden tener intereses muy divergentes. Aunque los sistemas de igual a igual ahora se consideran mecanismos para compartir música, los primeros sistemas fueron diseñados para resistir la censura. Un sistema puede servir a varios grupos muy diferentes, como los disidentes chinos, los críticos de Cienciología o los aficionados a las imágenes sadomasoquistas que son legales en California pero están prohibidas en Tennessee. Los primeros sistemas peer-to-peer requerían que dichos usuarios sirvieran los archivos de los demás, de modo que terminaran protegiendo la libre expresión de los demás. Una pregunta que se debe tener en cuenta es si estos grupos podrían no luchar más duro para defender a sus propios colegas, en lugar de personas involucradas en luchas en las que no tenían ningún interés y donde podrían estar dispuestos a apoyar al censor. Danezis y Anderson introdujeron el modelo Red-Blue para analizar este fenómeno [4]. Cada nodo tiene una preferencia entre los tipos de recursos, por ejemplo, los manuscritos políticos de izquierda a derecha, mientras que un censor que ataca a la red intentará imponer una preferencia particular, por lo que cumple con la aprobación de algunos nodos, pero no de otros. El modelo procede como un juego multirruta en el que los nodos establecen presupuestos de defensa que afectan la probabilidad de que sean derrotados o abrumados por el censor. Bajo supuestos razonables, los autores muestran que la diversidad (donde cada nodo almacena su combinación de recursos preferida) se realiza mejor bajo ataque que la solidaridad (donde cada nodo almacena la misma combinación de recursos, que generalmente no es su preferencia). La diversidad hace que los nodos estén dispuestos a asignar mayores presupuestos de defensa; Cuanto mayor sea la diversidad, más rápidamente se derrumbará la solidaridad ante el ataque. Este modelo arroja luz sobre el problema más general de las concesiones entre diversidad y solidaridad, y sobre el tema relacionado de política social en la medida en que la creciente diversidad de las sociedades modernas está en tensión con la solidaridad en la que se basan los sistemas de bienestar modernos. [5].

...

Descargar como (para miembros actualizados) txt (44.7 Kb) pdf (310.3 Kb) docx (26.7 Kb)

Leer 27 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

Denunciar este ensayo

Ensayos relacionados

Seguridad en el trabajo en un taladro
Recomendaciones de seguridad para la prevención de riesgos laborales en taladros Generalidades 1. Las poleas y correas de transmisión de los taladros deben estar protegidas

6 Páginas • 1610 Visualizaciones
Sistemas De Gestión De Calidad Y Seguridad Social
SEMANA 1 INTRODUCCION A LOS SISTEMAS DE GESTION DE SEGURIDAD INDUSTRIAL Y SEGURIDAD OCUPACIONAL 1. Una vez que conocemos la evolución de la Salud y

2 Páginas • 3038 Visualizaciones
Normas básicas De Seguridad Industrial
Decálogo de la seguridad industrial 1. El orden y la vigilancia dan seguridad al trabajo. Colabora en conseguirlo. 2. Corrige o da aviso de las

5 Páginas • 3775 Visualizaciones
La seguridad en el transporte por carretera
• Hebillas del cinturón de seguridad de fácil apertura. SEGURIDAD DE BEBES Y NIÑOS La seguridad automovilística es crítica en estos casos, sobre todo

10 Páginas • 1522 Visualizaciones
Seguridad Social En Costa Rica
El Sistema de Seguridad Social en Costa Rica La seguridad social en un concepto amplio esta referido a la protección de los riesgos alrededor de

6 Páginas • 3062 Visualizaciones
Seguridad Industrial
Seguridad Industrial e Higiene: Normas Básicas. Decálogo de la seguridad industrial Orden y limpieza Equipos de protección individual Herramientas manuales Escaleras de mano Electricidad Riesgos

4 Páginas • 1936 Visualizaciones
Higiene Y Seguridad
Mario el hermano de Esperanza contrato a Luna una joven que realiza a diario los procesos de limpieza y desinfección de su sala de belleza.

3 Páginas • 1715 Visualizaciones
Seguridad Nacional
La Seguridad Nacional se refiere a la noción de relativa estabilidad, calma o predictibilidad que se supone beneficiosa para el desarrollo de un país; así

4 Páginas • 1526 Visualizaciones
SEGURIDAD EN ESPACIOS CONFINADOS
SEGURIDAD EN ESPACIOS CONFINADOS PRESENTADO A: SERVICIO NACIONAL DE APRENDIZAJE SENA CUCUTA 23 DE MARZO 2011 TABLA DE CONTENIDO INTRODUCCION DEFINICION. TIPOS DE ESPACIOS CONFINADOS.

15 Páginas • 4044 Visualizaciones
Ley 100/93 SEGURIDAD SOCIAL INTEGRAL
TRABAJO LEY 100/93 SEGURIDAD SOCIAL INTEGRAL ANTECEDENTES En el siglo IXX se crearon los seguros sociales por el canciller OTTO VON BISMAK 1883-Enfermedad. 1884-Accidentes de

7 Páginas • 3797 Visualizaciones