La economía de la seguridad de la información aborda los aspectos económicos de la privacidad y la seguridad informática . La economía de la seguridad de la información incluye modelos del “ homo economicus ” estrictamente racional, así como de la economía del comportamiento . La economía de la seguridad aborda decisiones y comportamientos individuales y organizacionales con respecto a la seguridad y la privacidad como decisiones de mercado.
La economía de la seguridad aborda una pregunta central: ¿por qué los agentes eligen riesgos técnicos cuando existen soluciones técnicas para mitigar los riesgos de seguridad y privacidad? La economía no solo aborda esta cuestión, sino que también informa las decisiones de diseño en ingeniería de seguridad .
La seguridad nacional es el bien público canónico . La situación económica de la seguridad de la información pasó a primer plano intelectual alrededor del año 2000. Como ocurre con las innovaciones, surgió simultáneamente en múltiples lugares.
En 2000, Ross Anderson escribió Por qué la seguridad de la información es difícil. Anderson explicó que una dificultad importante en el desarrollo óptimo de la tecnología de seguridad es que los incentivos deben estar alineados con la tecnología para permitir una adopción racional. Por lo tanto, los conocimientos económicos deben integrarse en el diseño técnico. Una tecnología de seguridad debería permitir a la parte en riesgo invertir para limitar ese riesgo. De lo contrario, los diseñadores simplemente cuentan con el altruismo para su adopción y difusión. Muchos consideran esta publicación el nacimiento de la economía de la seguridad.
También en 2000 en Harvard, Camp en la Escuela de Gobierno y Wolfram en el Departamento de Economía argumentaron que la seguridad no es un bien público sino que cada vulnerabilidad existente tiene un valor de externalidad negativo asociado. Las vulnerabilidades se definieron en este trabajo como bienes comercializables. Seis años después, iDEFENSE, ZDI y Mozilla tienen mercados existentes para vulnerabilidades.
En 2000, los científicos del Equipo de Respuesta a Emergencias Informáticas de la Universidad Carnegie Mellon propusieron un mecanismo temprano para la evaluación de riesgos . El modelo holográfico jerárquico proporcionó la primera herramienta de evaluación multifacética para guiar las inversiones en seguridad utilizando la ciencia del riesgo. Desde entonces, CERT ha desarrollado un conjunto de mecanismos sistemáticos para que las organizaciones lo utilicen en evaluaciones de riesgos, según el tamaño y la experiencia de la organización: OCTAVE. El estudio de la seguridad informática como una inversión para evitar riesgos se ha convertido en una práctica habitual.
En 2001, en un desarrollo no relacionado, Lawrence A. Gordon y Martin P. Loeb publicaron Uso de la seguridad de la información como respuesta al sistema de análisis de la competencia. Un documento de trabajo del artículo publicado fue escrito en 2000. Estos profesores, de la Smith School of Business de Maryland, presentan un marco de teoría de juegos que demuestra cómo la seguridad de la información puede evitar que empresas rivales obtengan información confidencial. En este contexto, el artículo considera los aspectos económicos (es decir, costo-beneficio) de la seguridad de la información.
Los autores se reunieron para desarrollar y ampliar una serie de eventos emblemáticos bajo el nombre de Taller sobre economía de la seguridad de la información.
La prueba de trabajo es una tecnología de seguridad diseñada para detener el spam alterando la economía. Uno de los primeros artículos sobre economía de la seguridad de la información argumentaba que la prueba de trabajo no puede funcionar. De hecho, el hallazgo fue que la prueba de trabajo no puede funcionar sin discriminación de precios, como lo ilustra un artículo posterior, La prueba de trabajo puede funcionar.
Otro hallazgo, fundamental para comprender las prácticas estadounidenses actuales en materia de datos, es que lo opuesto a la privacidad no es, en términos económicos, el anonimato , sino la discriminación de precios . La privacidad y la discriminación de precios fue escrito por Andrew Odlyzko e ilustra que lo que puede parecer una patología de la información en la recopilación de datos es, de hecho, un comportamiento organizacional racional.
Hal Varian presentó tres modelos de seguridad utilizando la metáfora de la altura de los muros alrededor de una ciudad para mostrar la seguridad como un bien normal, un bien público o un bien con externalidades. En cualquier caso, el resultado final es el aprovechamiento gratuito.
Lawrence A. Gordon y Martin P. Loeb escribieron "Economía de la inversión en seguridad de la información". [1] Muchos consideran que el modelo Gordon-Loeb es el primer modelo económico que determina la cantidad óptima a invertir para proteger un determinado conjunto de información. El modelo tiene en cuenta la vulnerabilidad de la información a una violación de la seguridad y la pérdida potencial si dicha violación ocurriera.