Buenas,
Una notilla rápida, que acabo de ver en el blog de Bruce Scheneier. Sí, lo siento por aquellos que no os gusten los tochos relacionados con la seguridad, ya que es uno de esos informes en PDF sin apenas gráficas ni fotos, enormes y largos (114 páginas). El texto ha sido publicado y patrocinado por la European Network and Information Security Agency (ENISA)
El informe se titula Security, Economics, and the Internal Market. Los autores son Ross Anderson, Rainer Böhme, Richard Clayton y Tyler Moore. Quizás el más popular sea Ross Anderson, y si os digo la verdad, si me planteo ojear el documento es por Anderson, un autor con un background en el mundillo de la seguridad amplio y que generalmente ha sido de mi agrado.
El informe es un documento de investigación donde se ponen a un lado la seguridad, y al otro, los costes de la misma. Me gusta este tipo de comparativas, ya que recomendar que las cosas sean más seguras es fácil, pero recomendar con criterio, considerando los impactos económicos, es harina de otro costal. En este PDF podréis leer, por lo que he podido ver tras una lectura rapidilla por encima, un estudio sobre el coste de las medidas de protección que tiene la seguridad en el ámbito europeo.
Haciendo un resumen, podría destacarse que las limitaciones que los autores exponen como principales barreras a la seguridad, atendiendo a la severidad de su impacto económico, serían:
1. Asimetrías en la información
2. Externalidades
3. Traspaso de responsabilidad
4. Diversidad de plataformas y redes
5. Fragmentación de la legislación en materia de seguridad.
Las primeras páginas constituyen un informe ejecutivo donde se lanzan recomendaciones a la Unión Europea. Algunas son interesantes, otras quizás poco alcanzables (requieren un esfuerzo de coordinación muy importante). Leed y opinad vosotros mismos :)
Un saludo, y buen fin de semana a todos.
Hola Sergio,
Gracias por la referencia. Le echaré un vistazo. Probablemente no «caiga la breva», pero me gustaría encontrar en el informe datos sobre costes de la seguridad versus coste de la inseguridad, pero fácil / intuitivo, en palabras que se las diga yo a mi cónyuge… y lo entienda :-)
Parece una chorrada lo que acabo de decir, pero -sinceramente- creo que es uno de los grandes fallos que existe en el «negocio de la seguridad», explicar
con claridad y sin tecnicismos [a la alta direccion de una empresa, digamos] por qué es bueno a veces gastarse unos cuartos en seguridad.
Una vez escuché esta expresión en una conferencia y me gustó: «coste de la seguridad…. ¿COMPARADO con qué?»
Schneier usa la expresion [inglesa] «trade-off». Buen chaval ese ;-)
Estoy leyendo a ratos / a cuotas el informe. Lo hago por gusto; no estoy obligado a ello ;-) Es interesantísimo, a pesar del aspecto de ladrillo que tiene :-)
El enfoque del informe me ha sorprendido gratamente; lo que despista es el título. Yo hubiera preferido algo así como… «Seguridad de la Información en la Nueva Era. Enfoque Social, Seguridad Nacional e Internacional. Propuesta de estrategias de actualización a largo plazo» [Top-Down].
(aunque suena rocambolesco)
Me gustan detalles como el querer recoger MÉTRICAS / estadísticas de toda la EU, tal como ya lo hace UK (me suena haber visto estadísticas por mi cuenta, de «APACS»).
Está claro que en algunos puntos hay cosas que no son viables directamente y que requieren líneas de acción a más largo plazo, pero como documento inicial parece bien enfocado.