La economa de la Seguridad de la Informacin?Ross Anderson y Tyler MooreUniversidad de Cambridge, Laboratorio de ordenadores15 JJ Thomson Avenue, Cambridge CB3 0FD, Reino Unidofirstname.lastname@cl.cam.ac.uk

AbstractoLa economa de la seguridad de la informacin se ha convertido recientemente en un prspero y fastmoving disciplina. Como los sistemas distribuidos son ensambladas a partir mquinas pertenecientes a los directores con intereses divergentes, nos encontramos con que los incentivos estn volviendo tan importante como diseo tcnico en la consecucin de fiabilidad. El nuevo campo proporciona una valiosa conocimientos no slo en temas de "seguridad" (como por ejemplo insectos, spam, phishing y aplicacin de la ley estrategia), pero en reas ms generales, tales como el diseo de peer-to-peer sistemas, el equilibrio ptimo de esfuerzo por parte de los programadores y probadores, por qu la confidencialidad obtiene erosionado, y las polticas de gestin de derechos digitales.INTRODUCCINDurante los ltimos 6 aos, las personas se han dado cuenta que la falta de seguridad es causado por lo menos con la frecuencia por malos incentivos como por el mal diseo. Los sistemas son particularmente propensos al fracaso cuando el persona vigilando que no es la persona que sufre cuando fallan. El creciente uso demecanismos de seguridad para permitir a un usuario del sistema para ejercer poder sobre otro usuario, en lugarque simplemente excluir a las personas que no deberan estar los usuarios en todo, introduce muchos estratgicay cuestiones de poltica. Las herramientas y los conceptos de la teora de juegos y la teora microeconmica sonconvirtindose tan importante como las matemticas de la criptografa al ingeniero de seguridad.Revisamos los ltimos resultados y desafos de la investigacin en directo en la economa de la informacinseguridad. A medida que la disciplina es todava joven, nuestro objetivo en esta revisin es presentar variosprometedoras aplicaciones de teoras econmicas y las ideas a la prctica seguridad de la informacin? Esta crtica apareci originalmente en Science 314 (5799), pp.610-613, 27 de octubre 2006(http://dx.doi.org/10.1126/science.1130992).problemas en lugar de enumerar los muchos resultados establecidos. Primero consideramos desalineadaincentivos en el diseo e implantacin de sistemas informticos. A continuacin, se estudiael impacto de los factores externos: la inseguridad de la red es algo as como la contaminacin del aire o del trficocongestin, en que las personas que se conectan mquinas inseguras a Internet no llevan elconsecuencias de sus acciones.La dificultad en la medicin de los riesgos de seguridad de informacin presenta otro desafo: Estosriesgos no se pueden gestionar mejor hasta que puedan ser medidos mejor. software insegurodomina el mercado por la sencilla razn de que la mayora de los usuarios no pueden distinguirlo desoftware seguro; por lo tanto, los desarrolladores no son compensados por costosos esfuerzos para fortalecersu cdigo. Sin embargo, los mercados para las vulnerabilidades pueden ser utilizados para cuantificar la seguridad del software,de esta manera gratificante buenas prcticas de programacin y malos castigar. asegurar contraataques tambin podran proporcionar las mtricas mediante la construccin de un grupo de datos para la valoracin de riesgos. Sin embargo,correlaciones locales y globales exhibidos por diferentes tipos de ataques determinan en gran medida lo queclase de los mercados de seguros son factibles. Mecanismos de seguridad de la informacin o los fracasos puedencrear, destruir o distorsionar otros mercados; gestin de derechos digitales (DRM) en lneaMsica y software de los productos bsicos mercados proveen un ejemplo de actualidad.Los factores econmicos tambin explican muchos desafos a la privacidad personal. pricingwhich discriminatoriaes econmicamente eficiente, pero socialmente controversialis hecho simultneamente msatractivo para los comerciantes y ms fcil de implementar debido a los avances tecnolgicos. nosotrosconcluir la discusin de un esfuerzo de investigacin en ciernes: examinar el impacto en la seguridad de la redestructura de las interacciones, la fiabilidad y robustez.Los incentivos mal alineadosUna de las observaciones que llevaron inters inicial en Economa de la informacin de seguridad llegarondesde la banca. En los Estados Unidos, los bancos son generalmente responsables de los costes de fraude de tarjetas;cuando un cliente reclama una transaccin, el banco tampoco debe demostrar que el cliente estratando de engaar o debe ofrecer un reembolso. En el Reino Unido, los bancos tenan una gran partepaseo fcil: Por lo general, se salieron con la alegando que su cajero automtico(ATM) era "seguro", por lo que un cliente que se quej debe confundirse o acostado.'Banqueros Lucky', uno podra pensar; sin embargo, los bancos britnicos gastaron ms en seguridad y sufrieron msfraude. Cmo puede ser esto? Parece haber sido lo que los economistas llaman un riesgo moralefecto: El personal de banco del Reino Unido saba que las quejas de los clientes no se tomaran en serio, asse hicieron perezosos y descuidados. Esta situacin dio lugar a una avalancha de fraude [1].En 2000, Varian hizo una observacin clave similar sobre el mercado de software antivirus.La gente no gastan tanto en la proteccin de sus equipos, ya que podra tener. Por quno? En ese momento, una carga til virus tpico fue un ataque servicedenial contra el sitio Webde una empresa como Microsoft. Aunque un consumidor racional bien podra gastar $ 20 a2evitar que un virus de destrozar su disco duro, que no podra hacerlo slo para prevenir un ataquede otra persona [2].Los tericos del derecho han sabido por mucho tiempo que la responsabilidad debe ser asignado a la parte que mejor puedegestionar el riesgo. Sin embargo, all donde miremos, vemos riesgos en lnea asignaron mal, lo que resulta enfracasos de privacidad y peleas reguladoras prolongadas. Por ejemplo, los sistemas de registros mdicosson comprados por los directores de hospitales y compaas de seguros, cuyos intereses en la cuentagestin, control de costos, y la investigacin no estn bien alineados con los intereses de los pacientesen la intimidad. Los incentivos tambin pueden influir en las estrategias de ataque y defensa. En la teora econmica,un problema de accin oculta surge cuando dos partes deseen realizar transacciones pero una de las partes pueden tomaracciones no observables que afectan el resultado. El ejemplo clsico viene de seguros,donde el asegurado puede comportarse imprudentemente (aumentando la probabilidad de una reclamacin)debido a que la compaa de seguros no puede observar su comportamiento.Podemos utilizar tales conceptos econmicos para clasificar los problemas de seguridad informtica [3]. Los routers puedentranquilamente descartar los paquetes seleccionados o falsificar las respuestas a las solicitudes de enrutamiento; nodos pueden redirigirtrfico a escuchar conversaciones de la red; y los jugadores de los sistemas de intercambio de archivos pueden ocultarsi han optado por compartir con los dems, por lo que algunos pueden "libre-ride" en lugar de ayudapara sostener el sistema. En este tipo de ataques de accin oculta, algunos nodos pueden ocultar maliciosa oconducta antisocial de los dems. Una vez que el problema se ve en esta luz, los diseadores puedenestructura de interacciones para reducir al mnimo la capacidad de accin oculta o para que sea fcil dehacer cumplir los contratos adecuados.Esto ayuda a explicar la evolucin de los sistemas peer-to-peer en los ltimos 10 aos. tempranosistemas propuestos por los acadmicos, como la eternidad, Freenet, acordes, Pastelera y Oceanstore,los usuarios necesarios para servir a una seleccin aleatoria de los archivos desde el otro lado de la red. estos sistemasnunca fueron ampliamente adoptado por los usuarios. Sistemas posteriores que tuvieron xito en la atraccin de muymuchos usuarios, como Gnutella y Kazaa, en lugar permiten nodos pares para servir contenido quehan cargado hacia abajo para su uso personal, sin cargar con archivos de otros. lacomparacin entre estas arquitecturas originalmente se centr en los aspectos puramente tcnicos:los costos de la bsqueda, recuperacin, comunicaciones y almacenamiento. Sin embargo, resulta queincentivos importan aqu tambin.En primer lugar, un sistema estructurado como una asociacin de clubes reduce el potencial de ocultaaccin; Socios del Club tienen ms probabilidades de ser capaces de evaluar correctamente el cual los miembros soncontribuyendo. En segundo lugar, los clubes pueden tener intereses muy divergentes. Aunque peer-to-peersistemas son ahora considerados como mecanismos para compartir msica, los primeros sistemas fueron diseadospara la resistencia a la censura. Un sistema puede servir a un nmero de muy diferente groupsmaybeDisidentes chinos, los crticos de la Cienciologa, o aficionados a la imaginera sadomasoquista quees legal en California pero prohibido en Tennessee. Los primeros sistemas peer-to-peer requieren talesusuarios para servir archivos de cada uno, de modo que terminaron proteger la libertad de expresin de cada uno.Una cuestin a considerar es si esos grupos no podran luchar con ms fuerza para defender sucolegas propios, en lugar de las personas que participan en las luchas en las que no tenan inters3y donde incluso podran ser eliminados a lado con el censor.Danezis y Anderson introdujo el modelo Red-Blue para analizar este fenmeno [4].Cada nodo tiene una preferencia entre los recursos typesfor ejemplo, izquierdista frente rightleaningmanuscriptswhereas polticos un censor que ataca a la red intentar imponeruna preferencia en particular, respondiendo as a la aprobacin de algunos nodos pero no otros. lamodelo procede como un juego en el que los nodos multiround presupuestos de defensa set que afectanla probabilidad de que van a derrotar o ser abrumado por el censor. bajo razonablesuposiciones, los autores muestran que la diversidad (donde cada nodo almacena su recurso preferidomix) funciona mejor bajo el ataque de hace solidarios (donde cada nodo almacena la mismamezcla de recursos, que no es por lo general su preferencia). La diversidad hace nodos dispuestos a asignarlos presupuestos de defensa ms altos; cuanto mayor sea la diversidad, la solidaridad ms rpidamente se derrumbaren la cara de ataque. Este modelo arroja luz sobre el problema ms general de las compensacionesentre la diversidad y la solidaridad, y en el tema de poltica social en relacin de la medidaque la creciente diversidad de las sociedades modernas est en tensin con la solidaridad en la quesistemas de bienestar modernos se basan [5].Seguridad como una externalidadIndustrias de la informacin se caracterizan por muchos tipos diferentes de externalidades, dondeacciones de los individuos tienen efectos secundarios sobre otros. La industria del software tiende hacia dominanteempresas, gracias en gran parte a los beneficios de la interoperabilidad. Los economistas llaman a estoexternalidad de red: Una red ms grande, o una comunidad de usuarios de software, es ms valiosoa cada uno de sus miembros. Seleccin de un sistema operativo no slo depende de sus caractersticasy el rendimiento, sino tambin en el nmero de otras personas que ya han hecho el mismoeleccin; por ejemplo, ms software de terceros est disponible para las plataformas ms populares.Esto no slo ayuda a explicar el surgimiento y dominio de los sistemas operativos, de Sistema /360 a travs de Windows para Symbian, y de plataformas de msica como iTunes; tambinayuda a explicar el patrn tpico de los fallos de seguridad. En pocas palabras, mientras que un vendedor de la plataformaest construyendo el dominio del mercado, debe apelar a los vendedores de productos complementarios comoas como a sus clientes directos; No slo esta energa desvo que podra ser gastado enFijacin de la plataforma, pero la seguridad podra ponerse en el camino de hacer la vida ms difcil para elempresas complementarias. As proveedores de plataformas comnmente ignoran la seguridad en el principio, ya queson la construccin de su posicin en el mercado; ms tarde, una vez que han capturado a un mercado lucrativo, queaadir el exceso de seguridad con el fin de bloquear sus clientes en fuerza [6].Otros factores externos se pueden encontrar cuando se analiza la inversin en seguridad, como proteccina menudo depende de los esfuerzos de muchos directores. Presupuestos dependen generalmente de la maneraen el que las inversiones de los individuos se traducen en resultados, pero el impacto de la inversin en seguridada menudo depende no slo de las propias decisiones del inversor, sino tambin en las decisionesde los dems.4Considere la posibilidad de una ciudad medieval. Si la amenaza principal es un estado de sitio, y cada familia es responsable deel mantenimiento y la vigilancia de un tramo de la pared, entonces la seguridad de la ciudad depender delos esfuerzos de la familia ms perezoso y ms cobarde. Si, sin embargo, las disputas son resueltas porcombate singular entre campeones, entonces su seguridad depende de la fuerza y el valorde su caballero ms valiente. Pero si las guerras son una cuestin de desgaste, entonces es la suma de todoslos esfuerzos de los ciudadanos que importa.La fiabilidad del sistema no es diferente; que puede depender de la suma de los esfuerzos individuales, el mnimoesfuerzo que nadie hace, o el mximo esfuerzo nadie hace. la correccin del programapuede depender de un mnimo esfuerzo (el programador ms descuidada introducir una vulnerabilidad),mientras que la validacin de software y pruebas de vulnerabilidad pueden depender de la suma deel esfuerzo de todos. Tambin puede haber casos en los que la seguridad depende de la mejor effortthemedidas adoptadas por un campen individual. Un modelo simple por Varian ofrece interesanteresultados cuando los jugadores eligen sus niveles de esfuerzo independiente [7]. Costo de cada jugador es elesfuerzo realizado en defensa, mientras que el beneficio esperado para los jugadores es la probabilidad de queel sistema evita el fracaso. Cuando esta probabilidad es una funcin de la suma de individuoesfuerzos, la fiabilidad del sistema depende del agente con la proporcin ms alta de costo-beneficio, y todootros agentes de free-ride.En el caso mnimo esfuerzo, el agente con la proporcin ms baja de costo-beneficio domina. comose aaden ms agentes, los sistemas son cada vez ms fiable en el caso total esfuerzo, perocada vez menos fiable en el caso ms dbil-link. Cules son las implicaciones? Una es queempresas de software deben contratar ms probadores de software y menos (pero ms competente)programadores.Trabaja como esto ha inspirado a otros investigadores a considerar el riesgo interdependientes. Un recientemodelo influyente Kunreuther y Heal notas que las inversiones de seguridad pueden ser estratgicocomplementa: Un individuo de tomar medidas de proteccin crea externalidades positivas paraotros que a su vez puede desalentar su propia inversin [8]. Este resultado tiene implicacionesmucho ms all de la seguridad de la informacin. La decisin de un propietario del apartamento para instalar un aspersorsistema que minimiza el riesgo de daos por incendio afectar a las decisiones de sus vecinos;las compaas areas pueden decidir no a la pantalla equipaje transferido de otras compaas que se creetener cuidado con la seguridad; y que la gente piense de vacunar a sus hijos contra unenfermedad contagiosa puede optar por free-ride de la inmunidad de grupo en su lugar. En cada caso,varios resultados de equilibrio muy diferentes son posibles, desde la adopcin completa o la totalnegativa, dependiendo de los niveles de coordinacin entre los directores.Katz y Shapiro analizaron famoso cmo externalidades de red influyen en la adopcinde la tecnologa: conducen a la curva de adopcin en forma de S-clsica, en la que lento tempranaadopcin da paso a un despliegue rpido una vez que el nmero de usuarios alcanza algn crticode masas [9]. Los efectos de red tambin pueden influir en el despliegue inicial de la tecnologa de seguridad.La ventaja que ofrece una tecnologa de proteccin puede depender del nmero de usuarios queadoptarlo. El costo puede ser mayor que el beneficio hasta un nmero mnimo de jugadores5adoptar; si todo el mundo espera que otros vayan en primer lugar, la tecnologa nunca se despleg. Ozmenty Schechter recientemente analiz diferentes enfoques para superar tales bootstrappingproblemas [10].Este desafo es de especial actualidad. Una serie de protocolos de Internet bsicas, como DNSy enrutamiento, se consideran inseguros. Existen protocolos ms seguros (por ejemplo, DNSSEC, SBGP);el reto es conseguir que los adoptaron. Dos protocolos de seguridad que ya tienensido ampliamente desplegado, SSH e IPsec, ambos superaron el problema bootstrapping porproporcionar a las empresas que adoptan con beneficios internos. Por lo tanto, la adopcin podra hacerse una empresaa la vez, en lugar de tener la mayora de las organizaciones para mover a la vez. el desplieguede mquinas de fax tambin se produjeron a travs de este mecanismo: Empresas inicialmente compraron faxmquinas para conectar sus propias oficinas.Economa de VulnerabilidadesHa habido un intenso debate entre los proveedores de software e investigadores de seguridad mssi la bsqueda y divulgacin de vulnerabilidades activamente es socialmente deseable. Rescorla tieneargumentado que para el software con muchas vulnerabilidades latentes (por ejemplo, Windows), la eliminacin de unobug hace poca diferencia a la probabilidad de que un atacante encontrar otra posterior [11].Debido hazaas a menudo se basan en las vulnerabilidades inferidas de parches o avisos de seguridad,argument contra la divulgacin y aplicacin de parches frecuente a menos que las mismas vulnerabilidadesson susceptibles de ser redescubierto ms tarde. Ozment encontr que para FreeBSD, un UNIX popularessistema operativo que forma el ncleo de Apple OS X, las vulnerabilidades son, en efecto probable queser redescubierta [12]. Ozment y Schechter tambin encontraron que la velocidad a la que nicovulnerabilidades fueron revelados, para cada ncleo y sistema operativo FreeBSD sin cambios tienedisminuido a lo largo de un perodo de 6 aos [13]. Estos hallazgos sugieren que la divulgacin de vulnerabilidadespuede mejorar la seguridad del sistema en el largo plazo.Divulgacin de vulnerabilidades tambin ayuda a dar a los vendedores un incentivo para corregir errores en la posteriorlanzamientos de productos [14]. Arora et al. han demostrado a travs de anlisis cuantitativo que pblicavendedores de divulgacin hecho responden con soluciones con mayor rapidez; el nmero de ataques se increment,pero el nmero de vulnerabilidades reportadas disminuy con el tiempo [15].Esta discusin plantea una pregunta ms fundamental: Por qu tantas vulnerabilidadesexistir en el primer lugar? Seguramente, si las empresas quieren productos seguros, software, entonces segurodominar el mercado. Pero la experiencia nos dice que este no es el caso; mssoftware comercial contiene diseo e implementacin defectos que podran haber sido fcilmenteimpedido. Si bien los vendedores son capaces de crear software ms seguro, la economade la industria del software les proporcionan pocos incentivos para hacerlo [6]. En muchos mercados,la actitud de 'enviamos martes y hacer las cosas bien por la versin 3' es un comportamiento perfectamente racional.Generalmente, los consumidores premian vendedores para la adicin de caractersticas, por ser primero en el mercado, o parasiendo dominante en un marketand existente sobre todo en los mercados de plataforma con red6externalidades. Estas motivaciones chocan con la tarea de escribir software ms seguro,que requiere la prueba de tiempo y un enfoque en la simplicidad.Otro aspecto de vendedores falta de motivacin es que el mercado de software es un "mercado delimones "[6]. En un trabajo premiado Nobel, economista George Akerlof emple el usadomercado de automviles como una metfora de un mercado con informacin asimtrica [16]. Imagin unciudad en la que 50 buenos coches usados (por valor de 2.000 dlares cada uno) estn a la venta, junto con 50 'limones'(por valor de $ 1.000 cada uno). Los vendedores saben la diferencia, pero los compradores no lo hacen. Cul serser el precio de equilibrio del mercado? Uno podra pensar inicialmente 1.500 dlares, pero por ese precio nadiecon un buen coche ofrecer para la venta, por lo que el precio de mercado va a terminar rpidamente hasta cerca de $ 1.000.Debido a que los compradores estn dispuestos a pagar una prima por la calidad que no pueden medir, slobaja calidad coches de segunda mano estn disponibles para la venta.El mercado de software sufre de la misma asimetra de la informacin. Los vendedores pueden hacerlas afirmaciones sobre la seguridad de sus productos, pero los compradores no tienen razones para confiar en ellos. enmuchos casos, incluso el vendedor no sabe qu tan seguro es su software. As que los compradores no tienenrazn para pagar ms por la proteccin, y los vendedores son reacios a invertir en ella. Cmo puedeeste abordarse?Hay dos enfoques en desarrollo a obtener medidas precisas de la seguridad del software:mercados de vulnerabilidad y seguros. Mercados de vulnerabilidad ayudar a los compradores y vendedores para establecerel costo real de la bsqueda de una vulnerabilidad en el software, que es una aproximacin razonable ala seguridad del software. Originalmente, algunas normas especifican un costo mnimo de diversos tipos decompromiso tcnico; un ejemplo es las normas bancarias para terminales [17] en el punto de venta.Entonces Schechter propuso la apertura de mercados para los informes de vulnerabilidades previamente sin descubrir[18]. Dos empresas, iDefense y Tipping Point, estn comprando abiertamente vulnerabilidades,lo que en realidad existe un mercado (por desgracia, los precios no se publican). su negociomodelo es el de proporcionar los datos de vulnerabilidades simultneamente a sus clientes y al vendedordel producto afectado, por lo que sus clientes pueden actualizar sus servidores de seguridad antes de que nadiems. Sin embargo, los incentivos en este modelo son subptimas: organizaciones Bug-mercadopodra aumentar el valor de su producto mediante la filtracin de informacin sobre la vulnerabilidad de daarno suscriptores [19].Se han propuesto varias variaciones en los mercados de vulnerabilidad. Bhme ha sostenido quederivados de software son una herramienta mejor que los mercados para la medicin de la seguridad del software[20]. Aqu, los profesionales de seguridad pueden llegar a un consenso de precios en el nivel de seguridadpara un producto. Los contratos de software podran ser emitidos en parejas; la primera paga un valor fijosi no hay vulnerabilidad se encuentra en un programa en una fecha especfica, y el segundo paga a otrovalor si se encuentran vulnerabilidades. Si estos contratos pueden ser objeto de comercio, a continuacin, su precio serreflejar el consenso sobre el programa. Los proveedores de software, los inversores de la compaa de software, ylas compaas de seguros podran utilizar estos derivados para cubrir riesgos. Una tercera posibilidad, ofrecidapor Ozment, es disear un mercado vulnerabilidad como una subasta [21].Una de las crticas de todos los enfoques basados en el mercado es que podran aumentar el nmero7de las vulnerabilidades identificadas por la gente de compensacin que de otro modo no buscardefectos. As, algunos se debe tener cuidado en el diseo de ellos.Un enfoque alternativo es confiar en las aseguradoras. El argumento es que los aseguradores asignanlas primas basadas en tecnologa de la informacin de la empresa (TI) y los procesospor el cual se gestiona. Su evaluacin puede resultar en el asesoramiento sobre las mejores prcticas y, sobreA largo plazo, que amasar una piscina de los datos por los cuales pueden valorar los riesgos con mayor precisin.En este momento, sin embargo, el mercado ciberntico seguro es tanto subdesarrollado y subutilizado.Por qu puede ser esto?Una de las razones, de acuerdo con Bhme y Kataria [22], es el problema del riesgo interdependientes,que toma por lo menos dos formas. Infraestructura de TI de una empresa se conecta a otras entidades,por lo que sus esfuerzos pueden ser socavadas por fallos en otro lugar. Los ciberataques tambin suelen explotar unavulnerabilidad en un sistema utilizado por muchas empresas. Esta interdependencia hace que ciertos ciberriesgosONU-atractivo para insurersparticularly aquellos en los que el riesgo es a nivel mundial en lugar decorrelacionada localmente, tales como gusanos y ataques de virus y riesgos sistmicos, como Y2K. muchosescritores han llamado a los riesgos de software para ser transferidos a los proveedores; Pero si esto fuera elley, es poco probable que Microsoft sera capaz de comprar un seguro. Hasta el momento, los vendedores tienenlogr el dumping mayora de los riesgos de software, pero este resultado es tambin muy lejos de ser socialmenteptima. Incluso a nivel de las empresas clientes, riesgo correlacionado hace que las empresas invierten poco entanto la tecnologa de seguridad y ciber-seguros [23]. Las compaas de seguros deben cobrarprimas ms altas, por lo que los mercados ciber-seguros carecen del volumen y la liquidez a convertirseeficiente.El seguro no es el nico mercado afectado por la seguridad de la informacin. Algunos muy alto perfildebates se han centrado en DRM; las compaas discogrficas han presionado durante aos para DRM aser incorporados en los ordenadores y electrnica de consumo, mientras que los activistas de derechos digitalesellos se han opuesto. Qu luz puede arrojar economa de la seguridad en este debate?Varian present un resultado sorprendente en enero de 2005 [24]: que el DRM fuerte ayudarasistema de proveedores de ms de lo que ayudara a la industria de la msica, ya que la industria de la computacinest ms concentrada (con slo tres proveedores serios de plataformas DRM: Microsoft,Sony y la empresa dominante, Apple). La industria de contenidos se burlaba, pero a finales de2.005 editores de msica protestaban de que Apple estaba recibiendo una parte excesivamente grandedel efectivo de las ventas de msica en lnea. Como el poder en la cadena de suministro se mud de la msicamayores a los proveedores de plataformas, por lo que el poder en la industria de la msica parece estar cambiandode las Grandes Ligas a los independientes, los aviones slo como desregulacin de las aerolneas ha favorecidofabricantes y compaas de bajo coste. Esta es una demostracin impresionante del poder predictivo deanlisis econmico.Hay otras fallas de mercado interesantes. Recientemente, por ejemplo, un nmero de organizacioneshan puesto en marcha servicios de certificacin para dar fe de la calidad de los productos de software oSitios Web. El objetivo ha sido doble: para superar la desconfianza pblica sobre el comercio electrnico,y por la autorregulacin para evitar una regulacin ms caro por el gobierno.8Pero los mercados de certificacin fcilmente puede ser arruinado por una carrera hacia el fondo; empresas dudosasson ms propensos a comprar certificados que los de buena reputacin, e incluso la empresa ordinariapuede darse una vuelta por el trato fcil. Edelman ha demostrado que tales "seleccin adversa" esrealmente est sucediendo [25]: Mientras que un 3% de los sitios Web son maliciosos, un 8% de los sitios Webcon la certificacin de un proveedor grande son maliciosos. Tambin descubri inconsistenciasentre los resultados de bsqueda Web ordinarios y los de la publicidad de pago: Si, 2,73%de empresas clasificadas en la parte superior de una bsqueda en Internet eran malas, 4,44% de las empresas que tenananuncios comprados desde el motor de bsqueda eran malas. Su conclusin: "No hagas clic en los anuncios. 'Economa de PrivacidadLa erosin persistente de la intimidad personal con los avances en la tecnologa ha frustradopersonas de polticas y profesionales por igual. Tecnologas de proteccin de la intimidad se han ofrecidopara la venta, sin embargo, la mayora han fracasado en el mercado. Una vez ms, la economa explica esto mejorque los factores tcnicos hacen.Odlyzko ha argumentado que la erosin de la privacidad es una consecuencia del deseo de cobrar diferentesprecios de los servicios similares [26]. La tecnologa est aumentando tanto los incentivos como laoportunidades de precios discriminatorios. Las empresas pueden extraer las compras y las interacciones en lneapara los datos que revela la voluntad de los individuos a pagar. Los resultados son el complejo yprecios cobrados por esos productos bsicos como las plazas de avin, software y telecomunicaciones en constante cambioservicios. Tal precios diferenciales es econmicamente eficiente, pero es cada vez msresentido. Acquisti y Varian analizaron las condiciones del mercado en el que en primer gradodiscriminacin de precios en realidad puede ser rentable [27]: Se puede prosperar en industrias con granvariacin en la valoracin de los consumidores de servicios, donde los servicios personalizados se pueden suministrarcon bajos costos marginales, y donde las compras repetidas son probables.Esto en cuanto a los factores que hacen intrusiones a la privacidad ms probable. Qu factores hacenellos no tanto? Campbell et al. encontrado que el precio de las acciones de las compaas de informes de unviolacin de la seguridad es ms probable que caiga si el incumplimiento filtr informacin confidencial [28].Acquisti et al. llevado a cabo un anlisis similar para violaciones de la intimidad [29]. Sus resultados inicialesson menos concluyentes, pero todava apuntar a un impacto negativo en precio de las acciones, seguido de unla recuperacin eventual.Los incentivos tambin afectan el diseo detallado de la tecnologa de la privacidad. Sistemas dependen Anonimatoen gran medida de las externalidades de red: usuarios adicionales proporcionan el trfico cobertura necesaria paraocultar actividades de los usuarios de un observador. Este hecho ha sido reconocido por algunos desarrolladoresanonimato de los sistemas [30]. Como resultado, algunas aplicaciones de xito como Tor [31],que anonimiza trfico Web, hacen hincapi en la facilidad de uso para aumentar las tasas de adopcin.9En el horizonte: la topologa de red y la InformacinseguridadLa topologa de las redes complejas es una herramienta emergente para el anlisis de seguridad de la informacin.Las redes informticas de Internet a las redes peer-to-peer descentralizados son complejospero salir de interacciones ad hoc de muchas entidades que utilizan reglas simples. estecomplejidad emergente, junto con la heterogeneidad, es similar a las redes sociales e inclusoa las vas metablicas en los organismos vivos. Recientemente, una disciplina de anlisis de redesha surgido en el lmite entre la sociologa y la fsica condensada-materia. se necesitaideas de otras disciplinas, como la teora de grafos, ya su vez proporciona herramientas para el modeladoy la investigacin de este tipo de redes (ver [32] para una encuesta reciente). La interaccin de la red dela ciencia con la seguridad de la informacin ofrece un interesante puente de juego evolutivoteora, una rama de la economa que ha sido muy influyente en el estudio de los recursos humanos ycomportamiento animal.Topologa de red puede influir fuertemente en la dinmica del conflicto. A menudo, un atacante intentadesconectar una red o aumentar su dimetro mediante la destruccin de los nodos o bordes mientras que el defensorcontadores con diversos mecanismos de resistencia. Los ejemplos incluyen una industria de la msicacuerpo de intentar cerrar una red de intercambio de archivos peer-to-peer, una fuerza de polica tratandopara decapitar a una organizacin terrorista, y una vigilancia del gobierno totalitario realizacinlos activistas polticos. Las fuerzas policiales han sentido curiosidad por algunos aos acerca de siciencia de las redes podra ser de utilidad prctica en los conflictos encubiertos, ya sea a los insurgentes ofuerzas de contrainsurgencia.Diferentes topologas tienen diferentes propiedades de robustez con respecto a diversos ataques.Albert et al. mostraron que ciertas redes del mundo real con grado distribuciones libres de escalason ms robustas a los ataques al azar que a ataques dirigidos [33]. Esto se debe sin escalaredes, al igual que muchas redes del mundo real, obtienen gran parte de su conectividad de una minorade nodos que tienen una orden de alto vrtice. Esta resistencia hace altamente robusto frentetrastornos al azar, pero si se eliminan los "nodos perno rey ', la conectividad se derrumba.El caso esttico de este modelo es ejemplificado por una fuerza policial que tenga conocimiento de unred y criminal o terrorista se dispone a interrumpir por encontrar y detener su clavepersonas. Nagaraja y Anderson extendieron recientemente el modelo al caso dinmico [34], enque el atacante puede remover un cierto nmero de nodos en cada ronda y los defensoresluego reclutar a otros nodos para reemplazarlos. Usando simulaciones multiround para estudiar cmoataque y defensa interactan, se encontraron con que la formacin de las estructuras localizadas en camarillapuntos clave de la red funcion razonablemente bien, mientras que las defensas basadas en los anillos no funcionaronas en absoluto. Esto ayuda a explicar por qu los sistemas peer-to-peer con arquitecturas en anillo volvieronser bastante fragileand tambin por qu los revolucionarios han tendido a organizarseen las clulas.10Comentarios finalesEn los ltimos aos, un programa de investigacin sobre la economa de la seguridad se ha construido muchosenlaces interdisciplinaria y ha producido muchas ideas tiles (y de hecho una delicia)de lugares inesperados. Muchos aspectos perversos de la seguridad de la informacin que tenan de largose sabe que los profesionales pero fueron despedidos como 'mal tiempo' han resultado serbastante explicable en trminos de los incentivos que enfrentan los individuos y las organizaciones, y entrminos de diferentes tipos de fallas del mercado.En cuanto al futuro, el trabajo de los cientos de investigadores que trabajan en este campo ha comenzadocon extenderse a dos nuevos dominios. La primera es la economa de la seguridad en general, dondehay convergencia con temas economistas que estudian como la delincuencia y la guerra. lacausas de la insurgencia, y herramientas para la comprensin y se ocupan de las redes insurgentes,son un atractor obvio. El segundo nuevo dominio es la economa de la fiabilidad. Por ques que, por ejemplo, que los grandes proyectos de TI fracasan? Tenemos mucho mejores herramientas para la gestinproyectos complejos de lo que hicimos hace 30 aos, sin embargo, la misma proporcin de proyectos grandes parecena failwe slo construir fracasos ms grandes hoy en da. Esto sugiere que las causas tienen tantaque ver con los incentivos y el comportamiento organizacional como con la complejidad del sistema intrnseco.Y a medida que los sistemas se vuelven cada vez ms interconectado, la tentacin para los propietarios de los sistemastratar de volcar problemas de fiabilidad en otros aumentarn. Existe, pues, un principio de bsquedapara protocolos de red e interfaces que son 'estrategia a prueba' - es decir, diseados para quelos incentivos de los directores estn correctamente alineados y nadie puede ganar haciendo trampas.Disear el mal comportamiento de los sistemas en el inicio es mucho ms atractivo que tratara la polica despus.Referencias y notas1. R. J. Anderson. Por qu fallan los criptosistemas. En Comm. ACM. 37, 32 (1994).2. H. Varian. Gestin de los riesgos de seguridad en lnea. En The New York Times (2000),http://www.nytimes.com/library/financial/columns/060100econ-scene.html3. T. Moore. La lucha contra los ataques de accin oculta en los sistemas en red. en cuarto lugarTaller sobre Economa de la Seguridad de la Informacin (2005),http://www.infosecon.net/workshop/pdf/18.pdf4. G. Danezis y R. J. Anderson. La economa de la resistencia a la censura. en IEEESeguridad y privacidad 3, 45 (2005).5. D. Goodhart. Demasiado diversa? En la perspectiva (2004),http://www.guardian.co.uk/race/story/0,11374,1154684,00.html.6. R. Anderson. Por seguridad de la informacin es difcil - una perspectiva econmica. en 17aConferencia Anual de Seguridad Informtica Aplicaciones (2001), pp. 358-365.117. H. Varian. La fiabilidad del sistema y el parasitismo. En Economa de la Seguridad de la Informacin,L. J. Camp, S. Lewis, eds. (Kluwer Academic Publishers, 2004), vol. 12 de Avancesen Seguridad de la Informacin, pp. 1-15.8. H. Kunreuther y G. Heal, seguridad interdependiente. En Diario de Riesgo e Incertidumbre26, 231 (2003).9. M. L. Katz y C. Shapiro. Las externalidades de red, la competencia y la compatibilidad.En The American Economic Review 75, 424 (1985).10. A. Ozment y S. E. Schechter. Bootstrapping la adopcin de la seguridad en Internetprotocolos. En Quinto Taller sobre la Economa de la Seguridad de la Informacin (2006),http://weis2006.econinfosec.org/docs/46.pdf.11. E. Rescorla. Es encontrar agujeros de seguridad es una buena idea? En Tercer Taller sobre laEconoma de la Seguridad de la Informacin (2004),http://www.dtc.umn.edu/weis2004/rescorla.pdf.12. A. Ozment. La probabilidad de que el redescubrimiento de la vulnerabilidad y la utilidad social de la vulnerabilidadla caza. En Cuarto Taller sobre la Economa de Seguridad de la Informacin(2005), http://www.infosecon.net/workshop/pdf/10.pdf.13. A. Ozment y S. E. Schechter. La leche o vino: s mejora la seguridad del software conedad? En el Simposio de Seguridad 15a USENIX (2006), pp. 93-104.14. A. Arora, R. Telang y H. Xu. La poltica ptima para la divulgacin de vulnerabilidades de software.En Tercer Taller sobre la Economa de la Seguridad de la Informacin (2004),http://www.dtc.umn.edu/weis2004/xu.pdf.15. A. Arora, R. Krishnan, A. Nandkumar, R. Telang y Y. Yang. Alcance de la vulnerabilidadla divulgacin y el parche disponibilidad - un anlisis emprico. En Tercer Tallersobre la economa de Seguridad de la Informacin (2004),http://www.dtc.umn.edu/weis2004/telang.pdf.16. G. A. Akerlof. El mercado de los 'limones': el mecanismo del mercado incertidumbre calidad y.En Quarterly Journal of Economics 84, 488 (1970).Los requisitos de gestin 17. PIN: PIN manual de los requisitos de seguridad de dispositivos de entrada(2004),http://partnernetwork.visa.com/dv/pin/pdf/Visa ATM Requirements.pdf Seguridad.18. S. E. Schechter. Fuerza Computer seguridad y riesgo: un enfoque cuantitativo,Ph.D. tesis, la Universidad de Harvard (2004).1219. K. Kannan y R. Telang. El anlisis econmico del mercado de las vulnerabilidades del software.En Tercer Taller sobre la Economa de la Seguridad de la Informacin (2004),http://www.dtc.umn.edu/weis2004/kannan-telang.pdf.20. R. Bhme. Una comparacin de mercado se acerca al de divulgacin de vulnerabilidades de software.En ETRICS (Springer Verlag, 2006), pp. 298-311. LNCS 2995.21. A. Ozment. Subastas de errores; mercados de vulnerabilidad reconsiderados. En Tercer Tallersobre la economa de Seguridad de la Informacin (2004),http://www.dtc.umn.edu/weis2004/ozment.pdf.22. R. Bhme y G. Kataria. Modelos y medidas de correlacin en ciber-seguros.En Quinto Taller sobre la Economa de la Seguridad de la Informacin (2006),http://weis2006.econinfosec.org/docs/16.pdf.23. H. Ogut, N. Menon y S. Raghunathan. El seguro ciberntico y la inversin en seguridad de TI:impacto del riesgo interdependientes. En Cuarto Taller sobre la economa delSeguridad de la Informacin (2005), http://www.infosecon.net/workshop/pdf/56.pdf.24. H. Varian. Discurso de apertura de la Tercera Conferencia de gestin de derechos digitales,Berln, Alemania, 13 de enero, 2005.25. B. Edelman. La seleccin adversa en los certificados en lnea "confianza". En Quinto Taller sobrela Economa de la Seguridad de la Informacin (2006),http://weis2006.econinfosec.org/docs/10.pdf.26. A. Odlyzko. Privacidad, la economa y la discriminacin de precios en Internet. en quinto lugarInt'l. Conferencia sobre Comercio Electrnico (ACM Press, Nueva York, Nueva York, EE.UU., 2003),pp. 355-366.27. A. Acquisti y H. Varian. Precios acondicionado en el historial de compras. en marketingCiencia 24 367 (2005).28. K. Campbell, LA Gordon, MP Loeb y L. Zhou. El costo econmico de pblicoinformacin anunciadas brechas de seguridad: la evidencia emprica de la bolsa de valores.En J. Comput. Secur. 11, 431 (2003).29. A. Acquisti, A. Friedman y R. Telang. Hay un costo para violaciones a la privacidad? enQuinto Taller sobre la Economa de la Seguridad de la Informacin (2006),http://weis2006.econinfosec.org/docs/40.pdf.30. R. Dingledine y N. Matthewson. El anonimato ama la compaa: facilidad de uso y laefecto de red. En Quinto Taller sobre la Economa de la Seguridad de la Informacin (2006),http://weis2006.econinfosec.org/docs/41.pdf.31. http://tor.eff.org.1332. M. E. J. Newman. La estructura y funcin de las redes complejas. en SIAMComentario 45, 167 (2003).33. R. Albert, H. Jeong y A. Barab'asi. Error y tolerancia ataque de redes complejas.En Naturaleza 406, 387 (2000).