La Economía de la Seguridad de la Información
Enviado por mocmikat • 21 de Noviembre de 2016 • Ensayo • 6.186 Palabras (25 Páginas) • 441 Visitas
Página 1 |
La Economía de la Seguridad de la Información*
Ross Anderson y Tyler Moore
Universidad de Cambridge, Laboratorio de Informática
15 JJ Thomson Avenue, Cambridge CB3 0FD, Reino Unido
firstname.lastname@cl.cam.ac.uk
Abstracto
La economía de la seguridad de la información se ha convertido recientemente en un próspero y rápido-Disciplina en movimiento. A medida que los sistemas distribuidos se ensamblan a partir de A los directores con intereses divergentes, nos encontramos con que los incentivos Como el diseño técnico para lograr la fiabilidad. El nuevo campo ofrece No sólo en temas de "seguridad" (como bugs, spam, phishing y Estrategia de fortalecimiento), sino en áreas más generales tales como el diseño de sistemas peer-to-peer Sistemas, el equilibrio óptimo de esfuerzo de los programadores y los Erosionada, y la política de gestión de derechos digitales.
Introducción
En los últimos 6 años, la gente se ha dado cuenta de que el fallo de seguridad es causado al menos tan a menudo Por los malos incentivos como por el mal diseño. Los sistemas son particularmente propensos al La persona que los guarda no es la persona que sufre cuando fallan. El creciente uso de Mecanismos de seguridad para permitir que un usuario del sistema ejerza poder sobre otro Que simplemente excluir a las personas que no deberían ser usuarios en absoluto, introduce muchas Y cuestiones de política. Las herramientas y conceptos de teoría de juegos y teoría microeconómica son Convirtiéndose en tan importante como la matemática de la criptografía para el ingeniero de seguridad.
Revisamos los resultados recientes y los desafíos de la investigación en vivo en la economía de la información seguridad. Como la disciplina es todavía joven, nuestro objetivo en esta revisión es presentar varias Aplicaciones prometedoras de las teorías e ideas económicas a la seguridad de la información práctica
* Esta opinión fue publicado originalmente en Science 314 (5799), pp.610-613 27 de octubre de 2006 (Http://dx.doi.org/10.1126/science.1130992).
Página 2 |
En lugar de enumerar los muchos resultados establecidos. Primero consideramos mis-Alineados en el diseño y despliegue de sistemas informáticos. A continuación, estudiamos El impacto de las externalidades: La inseguridad de la red es algo así como la contaminación del aire o el tráfico La congestión, ya que las personas que conectan máquinas inseguras a Internet no Consecuencias de sus acciones.
La dificultad para medir los riesgos de seguridad de la información presenta otro reto: Los riesgos no pueden ser manejados mejor hasta que se puedan medir mejor. Software inseguro Domina el mercado por la sencilla razón de que la mayoría de los usuarios no pueden distinguirlo de Software seguro; Por lo tanto, los desarrolladores no son compensados por costosos esfuerzos para fortalecer Su código. Sin embargo, los mercados de vulnerabilidades pueden utilizarse para cuantificar la seguridad del software, Recompensando así las buenas prácticas de programación y castigando las malas. Asegurando contra Los ataques también podrían proporcionar métricas mediante la creación de un conjunto de datos para valorar los riesgos. Sin embargo, Las correlaciones locales y globales exhibidas por diferentes tipos de ataque determinan en gran medida qué
Una especie de mercados de seguros son factibles. Mecanismos de seguridad de la información o Crear, destruir o distorsionar otros mercados; Gestión de derechos digitales (DRM) en línea La música y los mercados de software de productos básicos proporciona un ejemplo de actualidad.
Los factores económicos también explican muchos desafíos a la privacidad personal. Discriminación pric-Que es económicamente eficiente, pero socialmente controvertido, es simultáneamente Atractivo para los comerciantes y más fácil de implementar debido a los avances tecnológicos. Nosotros Concluir al discutir un incipiente esfuerzo de investigación: examinar el impacto de la Estructura de trabajo sobre interacciones, confiabilidad y robustez.
Incentivos desalineados
Una de las observaciones que impulsaron el interés inicial en la economía de seguridad de la información De la banca. En los Estados Unidos, los bancos son generalmente responsables de los costos del fraude con tarjetas; Cuando un cliente cuestiona una transacción, el banco debe demostrar que el cliente está Tratando de engañar o debe ofrecer un reembolso. En el Reino Unido, los bancos tuvieron Paseo más fácil: Por lo general se escapó con la afirmación de que su cajero automático (ATM) era "seguro", por lo que un cliente que se quejó debe estar equivocado o mentir. «Lucky banqueros», se podría pensar; Los bancos del Reino Unido gastaron más en seguridad y sufrieron más fraude. ¿Cómo podría ser esto? Parece haber sido lo que los economistas llaman un riesgo moral Efecto: el personal del banco británico sabía que las quejas de los clientes no se
Se volvieron perezosos y descuidados. Esta situación llevó a una avalancha de fraude [1].
En 2000, Varian hizo una observación clave similar sobre el mercado de software antivirus. La gente no gastó tanto en proteger sus computadoras como podría tener. Por qué ¿no? En ese momento, una carga útil típica del virus era un ataque servicedenial contra el Web site De una empresa como Microsoft. Aunque un consumidor racional podría bien gastar $ 20 a
Página 3 |
Evitar que un virus trashing su disco duro, puede que no lo haga sólo para evitar un ataque En otra persona [2].
Los teóricos legales saben desde hace mucho tiempo que la responsabilidad debe asignarse a la parte que mejor pueda Gestionar el riesgo. Sin embargo, en todas partes, observamos que los riesgos en línea se asignan mal, Fallas de privacidad y prolongadas batallas regulatorias. Por ejemplo, los sistemas de registros médicos Son adquiridos por directores de hospitales y compañías de seguros, cuyos intereses en La gestión, el control de costes y la investigación no están bien alineados con los intereses de los pacientes En la intimidad. Los incentivos también pueden influir en las estrategias de ataque y defensa. En la teoría económica, Un problema de acción oculta surge cuando dos partes desean realizar transacciones, pero una parte puede tomar Acciones inobservables que afectan el resultado. El ejemplo clásico viene del seguro, Donde el asegurado puede comportarse imprudentemente (aumentando la probabilidad de un reclamo) Porque la compañía de seguros no puede observar su comportamiento.
...