• Tweet

Académicos europeos solicitan les sean notificados los fallos de seguridad y que se sancione a los ISP's (proveedores de servicio) que no limpien botnets como parte de una serie de medidas diseñadas para hacer que los sistemas inseguros sean menos provechosos para los delincuentes.

Un artículo comisionado por la agencia Europea de Redes y Seguridad de la Información (ENISA, European Network and Information Security Agency) busca aplicar metodologías desde el campo económico hasta el mundo de las vulnerabilidades del software, ataques de hackers entre otros.

Un marco teórico de discusión de la seguridad desde el punto de vista económico ha sido siempre un punto álgido en los círculos académicos desde comienzos del siglo. Entre los que han estudiado de cerca el problema se encuentra Ross Anderson del Laboratorio de Cómputo de la Universidad de Cambridge, uno de los autores del artículo de ENISA.

En el mundo real, invertir en la disminución de los riesgos puede ser costoso económicamente. Los fallos de seguridad surgen debido a los incentivos perversos y no por la carencia de tecnología apropiada. Por ejemplo, las compañías que otorgan tarjetas de crédito dependen de modelos que depositan todo el costo del fraude en sus clientes y no invierten en reducir estos problemas por su cuenta. Todo esto debido a que estas inversiones en seguridad los pondrían en una posición desventajosa comercialmente con sus competidores.

El establecimiento de incentivos económicos a los proveedores de tecnologías de la información para que produzcan productos más seguros es un problema difícil de resolver, ya que los creadores de software no son sujetos de acción legal debido a las fallas de sus productos. Estas fallas pueden dañar la confianza del consumidor en el comercio electrónico pero no afectan a las ventas, por lo que una solución del mercado en ausencia de una presión regulatoria es difícil de imaginar.

La ausencia de estadísticas confiables sobre la extensión del crimen cibernético provoca a las aguas.

El artículo denominado "Security Economics and the Internal Market" busca informar sobre el desarrollo de las políticas del comercio electrónico europeo. Además identifica las barreras económicas que impiden mejorar la seguridad del comercio electrónico, pondera el impacto de estas barreras y sugiere incentivos (regulatorios y no regulatorios, técnicos, educacionales, etc.) para remover estos obstáculos.

El reporte concluye con una serie de recomendaciones tanto para el gobierno como para la industria en opciones regulatorias e iniciativas, incluyendo una ley de notificación completa sobre rupturas de seguridad para la unión Europea, sugiere la creación de una agencia independiente de la policía y la industria que pondere el impacto del crimen cibernético, además de fijar sanciones contra los proveedores de servicio (ISP's) que fallen en actuar sobre reportes de máquinas comprometidas.

Los investigadores también quieren desarrollar estándares para la unión Europea de tal forma que un equipo conectado a la red sea considerado seguro por default y que los vendedores de estos equipos sean considerados responsables de software no parchado, lo cual aceleraría el proceso de creación de parches.

Anderson trabajó con Richard Clayton y Tyler Moore de la Universidad de Cambridge así como con Rainer Böhme de la Universidad Técnica de Dresde para la creación de este artículo, que esperan provoque el debate sobre este tema.

ENISA ha lanzado una consulta pública sobre este reporte, solicitando comentarios de las partes interesadas antes de que termine Abril como se explica aqui el artículo de Anderson sobre los aspectos económicos de la seguridad se encuentra aqui

En los últimos años se ha visto un crecimiento en el interés de la aplicación de metodologías desde las ciencias sociales hasta problemas en seguridad de la información. El gurú de la seguridad Bruce Schneier, por ejemplo, publicó un cierto número de artículos sobre la psicología de la seguridad.