Economía de seguridad informativa
Enviado por Lissandro Herrera • 12 de Junio de 2020 • Apuntes • 4.609 Palabras (19 Páginas) • 72 Visitas
Introduction
En los últimos seis años, las personas se han dado cuenta de que las fallas de seguridad son causadas, al menos con tanta frecuencia, por malas
incentivos como por mal diseño. Los sistemas son particularmente propensos a fallar cuando la persona que los protege
ellos no es la persona que sufre cuando fallan. El creciente uso de mecanismos de seguridad para
permitir que un usuario del sistema ejerza poder sobre otro usuario, en lugar de simplemente excluir a las personas
quienes no deberían ser usuarios, presenta muchos problemas estratégicos y de políticas. Las herramientas y los conceptos de la teoría de juegos y la teoría microeconómica son cada vez más importantes para la seguridad.
ingeniero como las matemáticas de la criptografía.
Revisamos varios resultados recientes y desafíos de investigación en vivo en la economía de la seguridad de la información. Primero consideramos incentivos desalineados y externalidades: la inseguridad de la red es
algo así como la contaminación del aire o la congestión del tráfico, en que las personas que conectan máquinas inseguras
a Internet no soportan todas las consecuencias de sus acciones.
La dificultad para medir los riesgos de seguridad de la información presenta otro desafío: estos
los riesgos no pueden manejarse mejor hasta que puedan medirse mejor. Las subastas y los mercados pueden
ayuda a reducir la asimetría de información prevalente en la industria del software. También examinamos
El problema de asegurar contra ataques. Las correlaciones locales y globales exhibidas por diferentes
Los tipos de ataque determinan en gran medida qué tipo de mercados de seguros son factibles. Seguridad de información
1
Los mecanismos o las fallas pueden crear, destruir o distorsionar otros mercados: DRM proporciona un tema
ejemplo.
Los factores económicos también explican muchos desafíos a la privacidad personal. Precios discriminatorios
- que es económicamente eficiente pero socialmente controvertido - simultáneamente se hace más
atractivo para los comerciantes, y más fácil de implementar, por avance tecnológico. Concluimos por
Discutir un esfuerzo de investigación incipiente: examinar el impacto de seguridad de la estructura de red en
interacciones, fiabilidad y robustez.
Incentivos desalineados
Una de las observaciones que impulsó el interés inicial en la economía de la seguridad provino de la banca.
En los Estados Unidos, los bancos son generalmente responsables por los costos del fraude con tarjetas; cuando un cliente disputa
En una transacción, el banco debe demostrar que está tratando de hacer trampa o reembolsarle el dinero. En
En el Reino Unido, los bancos tuvieron un viaje mucho más fácil: generalmente se salieron con la suya al afirmar que
El sistema de cajero automático era "seguro", por lo que un cliente que se quejó debe estar equivocado o mentir. "Suerte
banqueros ", podría pensar; Sin embargo, los bancos del Reino Unido gastaron más en seguridad y sufrieron más fraude. Cómo
¿puede ser esto? Parece haber sido lo que los economistas llaman un efecto de riesgo moral: el banco del Reino Unido
el personal sabía que las quejas de los clientes no se tomarían en serio, por lo que se volvieron perezosos y
descuidado. Esta situación condujo a una avalancha de fraude [1].
En 2000, Varian hizo otra observación clave: sobre el mercado de software antivirus. Personas
no gastaron tanto en proteger sus computadoras como podrían haberlo hecho. Por qué no? Bueno en eso
vez, una carga de virus típica era un ataque de denegación de servicio contra el sitio web de una empresa como
Microsoft Mientras que un consumidor racional bien podría gastar $ 20 para evitar que un virus destruya su
disco duro, puede que no lo haga solo para evitar un ataque contra otra persona [2].
Los teóricos legales saben desde hace tiempo que la responsabilidad debe asignarse a la parte que mejor pueda
Gestionar el riesgo. Sin embargo, dondequiera que miremos, vemos riesgos en línea mal asignados, lo que resulta en
fallas de privacidad y peleas regulatorias prolongadas. Por ejemplo, se compran sistemas informáticos médicos
por directores de hospitales y compañías de seguros, cuyos intereses en la administración de cuentas, costos
el control y la investigación no están bien alineados con los intereses de los pacientes en la privacidad.
Los incentivos también pueden influir en las estrategias de ataque y defensa. En teoría económica, surge un problema de ocultación cuando dos partes desean realizar transacciones, pero una parte puede tomar inobservable
acciones que impactan la transacción. El ejemplo clásico proviene del seguro, donde el
El asegurado puede comportarse de manera imprudente (aumentando la probabilidad de un reclamo) porque el seguro
La empresa no puede observar su comportamiento.
Moore señaló que podemos usar tales conceptos económicos para clasificar los problemas de seguridad informática [3]. Los enrutadores pueden descartar silenciosamente los paquetes seleccionados o falsificar las respuestas a las solicitudes de enrutamiento;
los nodos pueden redirigir el tráfico de red para espiar conversaciones; y jugadores en el intercambio de archivos
los sistemas pueden ocultar si han optado por compartir con otros, por lo que algunos pueden "viajar libremente"
que ayudar a mantener el sistema. En tales ataques de acción oculta, algunos nodos pueden ocultar maliciosos o
comportamiento antisocial de los demás. Una vez que se ve el problema desde esta perspectiva, los diseñadores pueden estructurar
interacciones para minimizar la capacidad de acción oculta o para facilitar la aplicación adecuada
contratos
Esto ayuda a explicar la evolución de los sistemas entre pares en los últimos diez años. Los primeros sistemas, como Eternity, Freenet, Chord, Pastry y OceanStore, proporcionaron una "olla única", con
Funcionalidad ampliamente distribuida al azar. Sistemas posteriores y más exitosos, como el
Los populares Gnutella y Kazaa permiten que los nodos pares sirvan contenido que han descargado para su
uso personal, sin sobrecargarlos con archivos aleatorios. La comparación entre estas arquitecturas originalmente se centró en aspectos puramente técnicos: el costo de búsqueda, recuperación, comunicaciones y almacenamiento. Sin embargo, resulta que los incentivos también importan aquí.
Primero,
...