Visión de la economía de la seguridad de la información desde la perspectiva de Ross Anderson, Tyler Moore y otros.

¿Sigue teniendo sentido la seguridad de la información o basta con cumplir los requisitos legales? ¿Qué hay detrás del concepto de SGSI?

Miramos detrás de las fachadas y nos adentramos en las razones por las que las empresas son tan reacias a enfocar los conceptos de seguridad de forma pragmática y por las que se sigue pidiendo el ROSI (Return On Security Investment).
El panorama de la seguridad en Europa está marcado por los reglamentos, las leyes y las normas que se están implantando actualmente, pero el trasfondo real de la seguridad de la información está motivado por factores económicos. En sus escritos, Ross Anderson y Tyler Moore, así como otros coautores, aclaran cómo la seguridad de la información está impulsada por la economía, qué problemas se derivan y qué recomendaciones pueden aportar los expertos.

Para entender si la implantación de la seguridad de la información tiene sentido para las empresas, primero hay que entender para qué se necesita la seguridad y de quién. En este sentido, aún quedan retos de gran calado en la economía para que la seguridad sea el centro de los servicios.

Hasta ahora, según Anderson y Moore, las empresas no tienen incentivos para desarrollar y ofrecer sus servicios de forma segura, lo que se debe a la falta de conocimiento de las ventajas y desventajas de los servicios. Esto queda más claro cuando examinamos de cerca las perspectivas de las partes interesadas: Los proveedores de servicios y los compradores tienen diferente información sobre el estado de seguridad del producto ofrecido. Esta asimetría de información es uno de los principales retos de los servicios y sistemas de protección. Dado que la seguridad ofrece poca previsión y los servicios seguros se diferencian poco en su forma de los inseguros, no es necesario contar con costosos sistemas seguros mientras se ofrezcan servicios más baratos¹. Desde la perspectiva del comprador, no hay ningún incentivo para adquirir un servicio seguro desde el principio. En consecuencia, el incentivo para invertir en servicios seguros también disminuye desde la perspectiva del vendedor. En Estados Unidos, esta cuestión de la visibilidad de los problemas de seguridad y los incidentes resultantes se aborda exigiendo por ley que una empresa que experimenta un incidente de seguridad informe de dicho incidente a una autoridad competente². Al menos hasta cierto punto, la ventaja o desventaja de los servicios inseguros se hace visible a través de esto. Desde entonces, ha habido enfoques similares en esta dirección en Europa. El efecto de esta obligación de informar es crear artificialmente un cambio de medidas obligatorias a un incentivo para que las empresas tomen medidas de seguridad si quieren evitar la publicación de sus actos ilícitos³.

Sin embargo, sigue sin estar claro si se puede contrarrestar la asimetría de la información y la falta de incentivos para aplicar la seguridad de la información, y en qué medida. La normativa externa sólo tiene una influencia limitada en la presentación externa de los servicios seguros y, mientras no se remunere en función de los costes ampliados de desarrollo o aplicación, son las empresas las que deciden si la seguridad es rentable para el proveedor de servicios al final.

Las consecuencias de los incidentes de seguridad no suelen ser percibidas directamente por el responsable. Un ejemplo: alguien que conecta un dispositivo inseguro en la red de su empresa no tiene por qué sentir las consecuencias de un ataque que él mismo hizo posible en primer lugar. Queda abierta la cuestión de quién debe ser responsable de prevenir estos incidentes. Tiene sentido distribuir esta responsabilidad para evitar riesgos, como el uso de equipos inseguros, de manera que no sólo sea responsable la persona que sufre las consecuencias, sino también la que mejor puede afrontar o contener el riesgo correspondiente⁴. En el mejor de los casos, se trataría de una misma persona. Por desgracia, este ventajoso reparto de responsabilidades no siempre es así. A menudo, el incentivo para reducir el riesgo no recae en la persona que tiene que sufrir las consecuencias de un incidente, sino, en el peor de los casos, en la persona que, además, no sabe cómo afrontar el riesgo. Un ejemplo clásico sería una póliza de seguro de daños en la que la persona asegurada actúa de forma imprudente y, por tanto, aumenta la posibilidad de que se produzca un suceso asegurado⁵.

El principio de laissez-faire de delegar la responsabilidad y crear incentivos puede no ser suficiente para imponer un nivel adecuado de seguridad o incluso una amplia aplicación de medidas de seguridad eficaces, a pesar de todos los esfuerzos. Los costes de una implementación de gran alcance de la seguridad suficiente son todavía demasiado bajos en comparación con las pérdidas para las empresas. Una de las formas de aplicación serían las sanciones fijas⁶. Este es el enfoque que está adoptando la UE, al menos en el ámbito de la protección de datos, con el Reglamento General de Protección de Datos de la UE, que entró en vigor en 2018. La causa de una ley de protección de datos personales en toda la UE puede tener eco entre los individuos, pero aún está muy lejos de ser una solución integral al problema de la seguridad. Además, no resuelve el problema de una solución eficaz para la aplicación.

Sin embargo, este fenómeno va más allá, ya que los incentivos de los individuos pueden divergir. Cuantos más grupos sean similares, y supongo que este principio también se aplica a las infraestructuras de carácter técnico, más vulnerables serán a los ataques⁷. Este fenómeno tendría otras consecuencias políticas⁸. En este caso, los autores se refieren a la situación de las comunidades de bienestar que trabajan para crear más seguridad social a través de la solidaridad. Aplicado al ámbito de la seguridad, queda por decidir si una división de zonas de seguridad con diferentes preferencias en una organización supone un cierto esfuerzo adicional, por un lado, pero por otro dificulta los ataques debido a las diferentes características.

La falta de incentivos para aplicar medidas de seguridad plantea algunos obstáculos, pero no es el único problema que abordan los autores para implantar sistemas y servicios más seguros. Aludiendo a la cuestión de la responsabilidad en la aplicación de las medidas de prevención de riesgos, los factores externos siguen estando en primer plano. Las consecuencias de las influencias externas, además de la falta de incentivos, dificultan la aplicación de las medidas de seguridad. En muchos casos, es necesario que un determinado número de sistemas o puntos finales apliquen una medida para añadir valor⁹. Esta circunstancia impide a menudo la aplicación de medidas que deberían ser aplicadas por todas las partes al mismo tiempo. En particular, me gustaría señalar aquí que este problema se ha abordado desde entonces y existen soluciones. Un ejemplo es la serie de normas NIST SP 800, es decir, concretamente el Marco de Gestión de Riesgos del NIST, que toma este punto como punto de partida e incorpora la seguridad en el ciclo de desarrollo de los sistemas. No sólo se mejora el desarrollo de la seguridad como resultado, sino que también se produce una adaptación continua de las medidas a aplicar al sistema individual respectivo. Esta serie de normas ha llegado a la legislación estadounidense a través de la FISMA y parece ir en la misma dirección de aplicación de las medidas de forma limitada al sistema y no a todo el sistema. También existen otros enfoques en Europa, que siguen desarrollándose y se ajustan a las normas establecidas internacionalmente.

Para afrontar el reto, al menos para los proveedores de servicios que ofrecen aplicaciones, podría salir a la luz una ley que permitiera ofrecer únicamente productos seguros. Los fabricantes y, en última instancia, los desarrolladores deben ser responsables cuando los usuarios compran y utilizan aplicaciones inseguras¹⁰. Los autores se basan en el hecho de que la seguridad del producto no es evidente para el usuario final¹ y, aunque fuera claramente visible, el comprador seguiría sopesando la seguridad frente al precio extra del producto. Hay que aclarar qué características debe cumplir un «producto seguro» y hasta qué punto los parches entran en él.

En general, apenas parece haber una forma eficaz de presionar a las empresas desde el exterior para que apliquen la seguridad de forma más exhaustiva. Adelman había demostrado que ni siquiera los certificados que se supone que garantizan la seguridad pueden considerarse un signo de calidad¹². La razón era que las empresas que ofrecían sitios web inseguros en particular buscaban estos certificados para desviar la atención de la circunstancia de inseguridad. Anderson y Moore demuestran que, independientemente del estado de la técnica, varios factores indican que la seguridad de la información es un tema poco atractivo para muchas empresas y que la normativa sólo puede aplicarse vagamente. Queda por ver si las condiciones económicas seguirán dificultando el cumplimiento de los requisitos de seguridad mientras no se hagan visibles los riesgos y no se muestren claramente las responsabilidades. Hoy en día, vemos que en muchas industrias la seguridad se implementa al mínimo y principalmente por la razón de cumplir con las leyes. La cuestión sigue siendo si habrá un cambio cultural en el futuro para considerar la seguridad como un bien que justifica una determinada prima, y para quién.

Una contribución de Alexander Kühl.

[1] EIS, página 5; de «The Economics of Information Security», por Ross Anderson y Tyler Moore, Universidad de Cambridge, Reino Unido, publicado en 2006. en «Ciencia»; aquí EIS para abreviar
[2] SEEP, página 5; de «Security Economics and European Policy», por Ross Anderson, Rainer Böhme, Richard Clayton y Tyler Moore. Computer Laboratory, University of Cambridge, UK, Technische Universität Dresden, DE, 2008, veröffentl. en ISSE 2008 Securing Electronic Business Processes; aquí abreviado SEEP
[3] SEEP, página 5
[4] EIS, P. 2
[5] EIs, p. 2
[6] FILTRACIÓN, P. 10
[7] SEEP, P. 3
[8] SEEP, P. 3
[9] EIS, P. 4
[10] SEEP, P. 13
[11] EIS, P. 5
[12] B. Edelman, Proceedings of the Fifth Workshop on the Economics of Information Security (2006).