Productos de Ciberseguridad

Este elemento es una profundización de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs] Algún autor sostiene que quienes escriben el código de software generalmente toman precauciones inadecuadas para garantizar que el código la escritura (su redacción) está libre de defectos (o, más precisamente, de que no tomen medidas para limitar razonablemente el grado en que los defectos están inevitablemente presentes en el código). La serie también explica bien por qué es una mala idea de política (porque los usuarios tampoco toman las precauciones adecuadas y realmente no pueden) y cómo es que las doctrinas legales existentes han llegado, más o menos, a proteger los creadores de software de la responsabilidad.

En la entrada sobre Responsabilidad Civil Informática se trata de explicar por qué asignar los costos (o costes, como se emplea mayoritariamente en España) de las deficiencias de software entre los fabricantes de software y los usuarios es tan importante para abordar el creciente problema del código cargado de vulnerabilidad: -y cómo tal régimen requerirá cuestionar algunas de nuestras creencias profundamente arraigadas sobre la naturaleza misma de la seguridad del software. Aunque no es el objetivo principal, se recoje el argumento de que los escritores de software deberían ser responsables por defectos irrazonables en su código porque son lo que los analistas de derecho y economía llaman “el que evita el menor costo”. El objetivo en esta entrada es explicar ese concepto en general y luego sugerir brevemente cómo se aplica al dominio cibernético.

Un breve resumen del concepto es el siguiente: la teoría económica nos dice que debemos imponer la responsabilidad (y, por lo tanto, las obligaciones de hacer cambios para evitar la responsabilidad si la relación costo (o coste, como se emplea mayoritariamente en España) / beneficio lo requiere) de la parte en una transacción que es la que puede solucionar el “problema” mientras incurre en el menor costo, y probablemente sean los escritores de software y los ISP, en lugar de los usuarios finales de los servicios cibernéticos.

Para empezar, definamos un “avoider” de menor costo. Considere un caso simple (volveremos a este ejemplo con más detalle a medida que avanzamos): imagine un ferrocarril que atraviesa un campo de heno, donde el motor emite chispas que pueden quemar el heno. Si queremos saber quién es el que evita el menor costo, haríamos preguntas como: ¿cuánto cuesta equipar todos los motores del ferrocarril con supresores de chispas? Y ponderaríamos ese costo (o coste, como se emplea mayoritariamente en España) en comparación con lo que podría costarle al granjero mover sus pajares y dejar que la tierra cerca del ferrocarril quede en barbecho o cuánto vale el valor del heno que se quema. Claramente, esta es una pregunta empírica y algunas veces puede ser difícil, si no imposible, responder de manera definitiva en todos los contextos económicos.

Entonces, ¿por qué es importante evitar el menor costo? ¿Cuál es la teoría que se encuentra detrás de la percepción y cómo se vincula con la responsabilidad?

Comencemos con la idea de una externalidad. La ciberseguridad es un “bien”, es decir, un producto económico que se puede comprar en el mercado privado. La producción de un bien privado a menudo causará una externalidad, es decir, la actividad entre dos actores económicos puede afectar directa e involuntariamente a un tercero.

Detalles

Las externalidades pueden ser positivas (cuando una transacción yo voluntariamente entra en beneficios para un tercero que no paga nada por el beneficio) o negativa (cuando la transacción perjudica a la persona).

Pensemos, por ejemplo, en nuestro ejemplo de ferrocarril. El bien privado es la transacción que implica el transporte entre el ferrocarril y el viajero (o remitente) que utiliza el servicio ferroviario. Presumiblemente, el precio de eso lo establece el ferrocarril para reflejar sus costos (o costes, como se emplea mayoritariamente en España) de producción (combustible, material rodante y mano de obra, etc.) con un margen de beneficio para el ferrocarril. El posible efecto sobre el agricultor al quemar su cosecha (al menos en un mundo donde no existe una regla de responsabilidad sobre si el ferrocarril tiene una obligación para con el agricultor por sus efectos adversos) es una externalidad, es decir, un efecto de la transacción privada.Entre las Líneas En una tercera parte no involucrada.Entre las Líneas En este caso, por supuesto, la externalidad es bastante negativa.

Muchas actividades de ciberseguridad tienen externalidades positivas. Al proteger mi propio servidor o computadora portátil contra intrusiones, por ejemplo, beneficio a otros en la red cuyos sistemas se vuelven más seguros por mis acciones. De hecho, casi todas las medidas de seguridad realizadas en cualquier parte del ciberespacio mejoran el nivel general de ciberseguridad al aumentar los costos (o costes, como se emplea mayoritariamente en España) de ataque. Hasta ahora, la evolución de la seguridad cibernética ha sido impulsada en gran medida por la demanda del mercado y se ha desarrollado en ausencia de un gobierno formal.

Puntualización

Sin embargo, en el mundo posterior al 11-S y con un aumento en los ataques cibernéticos, el papel del gobierno en la seguridad cibernética se ha convertido en un tema importante de política.

Pero la ciberseguridad también tiene dos externalidades negativas. El primero es un efecto de desviación: algunos métodos de protección, como los cortafuegos, desvían los ataques de un objetivo a otro, lo que significa que la mejora de la seguridad de un actor puede disminuir la seguridad de los sistemas que no están tan bien protegidos.

El segundo es un problema de precios: por mucho que el costo (o coste, como se emplea mayoritariamente en España) de un boleto de tren no incluya el daño esperado al agricultor, los actores del sector privado a menudo no internalizan los costos (o costes, como se emplea mayoritariamente en España) de las fallas de seguridad de una manera que los lleva a tomar los pasos de protección adecuados. Cuando el software no puede evitar una intrusión o un proveedor de servicios no puede interceptar un ataque de malware, no hay ningún mecanismo a través del cual se responsabilice al fabricante del software o al proveedor de servicios de Internet por los costos (o costes, como se emplea mayoritariamente en España) de esas fallas. Los costes (o costos, como se emplea mayoritariamente en América) son asumidos en su totalidad por los usuarios finales. De esta manera, la seguridad para Internet más amplia es una externalidad clásica del mercado cuyos verdaderos costos (o costes, como se emplea mayoritariamente en España) no se reconocen adecuadamente en los precios cobrados y los costos (o costes, como se emplea mayoritariamente en España) experimentados por los actores individuales.

El teorema de Coase

Esto nos lleva a Ronald Coase, el economista ganador del Premio Nobel y su famoso artículo ” El problema del costo (o coste, como se emplea mayoritariamente en España) social “. Sus ideas fundamentales (que merecen el nombre del ” Teorema de Coase “) desarrollan una comprensión de cómo la realidad económica las externalidades deben, en teoría, estar relacionadas con los conceptos legales de deber y responsabilidad. El teorema de Coase es una teoría legal y económica que afirma que donde hay mercados competitivos completos sin costos (o costes, como se emplea mayoritariamente en España) de transacción, se selecciona un conjunto eficiente de entradas y salidas hacia y desde la distribución óptima de la producción, independientemente de cómo se dividan los derechos de propiedad.

Otros Elementos

Además, el Teorema de Coase afirma que cuando se trata de derechos de propiedad, las partes naturalmente gravitan hacia el resultado más eficaz y mutuamente beneficioso.

El teorema de Coase establece que cuando existe un conflicto de derechos de propiedad, las partes involucradas pueden negociar o negociar términos que son más beneficiosos para ambas partes que el resultado de cualquier derecho de propiedad asignado. También afirma que para que esto ocurra, la negociación debe ser sin costo; Si existen costos (o costes, como se emplea mayoritariamente en España) asociados con la negociación, como los relacionados con reuniones o cumplimiento, esto afecta el resultado. El teorema de Coase muestra que, cuando se trata de derechos de propiedad, las partes involucradas no necesariamente consideran cómo se otorgan los derechos de propiedad si pueden comerciar para producir un resultado mutuamente ventajoso.

Sobre la base de la negociación que se produce durante la aplicación del Teorema de Coase, se pueden ofrecer fondos para compensar a una parte por las actividades de la otra parte. Por ejemplo, si una empresa está sujeta a una queja por ruido iniciada por hogares vecinos u otras entidades, la empresa puede optar por ofrecer una compensación financiera a las partes afectadas si ese resultado se considera más favorable para la empresa ofensora que otras alternativas, como hacer producción cambios a niveles de ruido más bajos, apagando operaciones o moviendo operaciones a otra ubicación.

En este caso, los vecinos del negocio se benefician de la compensación financiera, mientras que el negocio evita las opciones que pueden resultar en costos (o costes, como se emplea mayoritariamente en España) más altos. Para que se aplique el valor intrínseco completo del Teorema de Coase, el resultado debe ser discutido y negociado entre las dos partes sin interferencia externa.

Además, una empresa puede ofrecer una compensación preventiva a los residentes del área que pueden verse afectados por una molestia una vez que comienzan las operaciones. Esto permite que el negocio comience las negociaciones antes de que se conozca la naturaleza completa del problema, lo que puede fortalecer su posición de negociación. (Tal vez sea de interés más investigación sobre el concepto). A cambio de la compensación anticipada, los residentes potencialmente afectados deben aceptar no presentar ninguna queja legal contra el negocio debido a las molestias mencionadas anteriormente.

Este teorema de Coase fue desarrollado por Ronald Coase al considerar la regulación de las frecuencias de radio. Él postuló que las frecuencias de regulación no eran necesarias porque las estaciones que más ganaban al emitir en una frecuencia particular tenían un incentivo para pagar a otras emisoras para que no interfirieran.

Su primera idea y una crítica es que todas las externalidades son, de hecho, recíprocas. Para ver esto, considere la idea de un “costo de oportunidad”, que es el costo (o coste, como se emplea mayoritariamente en España) financiero de una oportunidad económica que un actor se niega a aceptar. Cuando Walmart considera expandirse a Washington DC, pero se niega a hacerlo (por ejemplo, debido a la legislación en el Consejo de DC), las ganancias que no obtienen allí y todos los asistentes siguen los beneficios económicos que no se obtienen en el Distrito son una costo (o coste, como se emplea mayoritariamente en España) de oportunidad perdida

Eso significa que la externalidad del posible efecto del ferrocarril en el agricultor es la otra cara de la moneda de un costo (o coste, como se emplea mayoritariamente en España) de oportunidad perdida para el agricultor: para evitar quemarse, podría simplemente renunciar al cultivo de heno cerca de la línea de ferrocarril. Esa es una oportunidad de ganancia que el agricultor no aprovecha para evitar la externalidad de un campo de heno en llamas. Digamos que hipotéticamente, él podría ganar $ 5000 al año en ventas de heno. Esa es su ganancia no realizada y por lo tanto su costo (o coste, como se emplea mayoritariamente en España) de oportunidad.

Una de las cosas que Coase se dio cuenta es que, debido a la naturaleza recíproca de las externalidades, en un mundo sin costos (o costes, como se emplea mayoritariamente en España) de transacción(el énfasis es, por supuesto, una advertencia importante) no importa dónde la ley asigna la responsabilidad.Entre las Líneas En un mercado libre, donde sea que esté la responsabilidad, la persona que tiene más para ganar (o perder) económicamente terminará pagando. Así, por ejemplo, incluso si hace que el ferrocarril sea responsable de los incendios causados ​​en los pajares por los que pasa la línea, si vale la pena para ellos (en otras palabras, si sus ganancias son lo suficientemente grandes y el costo (o coste, como se emplea mayoritariamente en España) de los supresores de chispas es demasiado alto), solo pagarán por el privilegio de causar incendios.Entre las Líneas En nuestro ejemplo, negociarán con el agricultor y le entregarán los costos (o costes, como se emplea mayoritariamente en España) de sus oportunidades perdidas (en nuestra hipótesis, $ 5000) por el privilegio de manejar (gestionar) los trenes.

Del mismo modo, si el agricultor es “responsable”, es decir, si la regla es que él asume los costos, emitirá su propio juicio basándose en sus propios costos (o costes, como se emplea mayoritariamente en España) de oportunidad y los daños en los que incurrirá. Si el valor para él es lo suficientemente alto (tendría que ser mucho más alto que en nuestra hipótesis) incluso pagaría al ferrocarril para que no corra sus trenes.Si, Pero: Pero de cualquier manera, la regla legal es irrelevante: Coase dice que deberíamos esperar que las partes negocien, y cualquiera de los dos creará el mayor valor económico neto positivo que sería el que proceda realmente con su actividad económica mientras compensa a la otra parte por sus oportunidades perdidas.

Pero aquí está el problema: no vivimos en un mundo sin costos (o costes, como se emplea mayoritariamente en España) de transacción. (Tal vez sea de interés más investigación sobre el concepto).

Pormenores

Por el contrario, sabemos que adjudicar (decidir o resolver) responsabilidades o negociar intercambios de valor en realidad requiere tiempo y cuesta dinero. Sabemos que las asimetrías de información a veces dan a algunos actores más o mejor información que otros. Y sabemos que a veces algunos de los actores enfrentan un problema de acción colectiva: piense en todos los agricultores a lo largo del ferrocarril. Tomados individualmente, pueden estar menos en desventaja por el paso del ferrocarril, pero colectivamente su valor económico podría ser mayor, y tienen un gran problema para unirse y coordinar su respuesta conjunta al ferrocarril.

La posición de los consumidores de software

Y eso, por supuesto, es exactamente lo que ocurre con respecto a los consumidores de software. No tienen el incentivo económico para negociar individualmente con los proveedores de software; solo aceptan los términos de servicio que se ofrecen en los contratos de retractilado que aceptan como condición para obtener el nuevo producto. Sufren de asimetrías de información: los proveedores de software saben más sobre escritura (su redacción) de códigos que la mayoría de los consumidores. Y tienen un problema de acción colectiva: cada individuo está en una posición muy débil con respecto a las negociaciones con los escritores de software, especialmente los más grandes cuyos sistemas operativos son los más esenciales (cuántos de nosotros usamos un sistema de código abierto como Linux ¿En lugar de un sistema operativo de Microsoft o Apple?) y los más vulnerables a los ataques.

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

Entonces, ¿cuál es la respuesta económica correcta a la pregunta de responsabilidad en un mundo donde existen costos (o costes, como se emplea mayoritariamente en España) de transacción? La respuesta a esa pregunta (y esta es la última de las ideas de Coase) es hacer su mejor estimación de quién es el “evitador de menor costo”: esa es la persona que incurrirá en el menor costo (o coste, como se emplea mayoritariamente en España) para evitar el daño en consideración. (Tal vez sea de interés más investigación sobre el concepto). Si puede identificar correctamente a esa persona / entidad (normalmente mediante algún tipo de análisis de sistemas) y asignar la responsabilidad allí, minimizará los costos (o costes, como se emplea mayoritariamente en España) de transacción y se aproximará lo más posible al mundo puro de Coasean.

Como dijimos, al final, identificar el que evita el menor costo (o coste, como se emplea mayoritariamente en España) es una pregunta empírica y, a menudo, es una pregunta difícil. Volvamos a nuestro hipotético ferrocarril. Si los detonadores de chispas tienen un costo (o coste, como se emplea mayoritariamente en España) de $ 100,000 para instalar y los costos (o costes, como se emplea mayoritariamente en España) de oportunidad perdidos para el agricultor son $ 5000 en ganancias en el cultivo de heno, entonces necesitamos saber cuántos agricultores se verán afectados y cuáles son sus costos (o costes, como se emplea mayoritariamente en España) colectivos. Dependiendo de la geografía, la responsabilidad debe colocarse en el ferrocarril (es decir, la regla legal debe ser que el ferrocarril paga los daños) si más de 100 agricultores han afectado la tierra.

Cómo eso se desarrolla en la industria del software es aún más difícil de evaluar como un asunto empírico.

Puntualización

Sin embargo, varios casos de productos de software ciertamente confirman la idea de que los desarrolladores de software, si bien incurrirán en un costo (o coste, como se emplea mayoritariamente en España) para “arreglar” su código, incurrirán en costos (o costes, como se emplea mayoritariamente en España) menores que los costos (o costes, como se emplea mayoritariamente en España) colectivos de la ciberseguridad. Estudios recientes sugieren que la magnitud del costo (o coste, como se emplea mayoritariamente en España) del delito cibernético y el espionaje es bastante alta. Por ejemplo, el CSIS publicó recientemente un estudio, ” Estimación de los costos (o costes, como se emplea mayoritariamente en España) del ciberdelito y el espionaje cibernético “, que sugiere que los costos (o costes, como se emplea mayoritariamente en España) anuales para la economía de los EE. UU. Son de $ 100 mil millones y más de 500,000 empleos perdidos.

Con razón podemos sospechar que cuesta menos que eso para arreglar el código. O, tal vez no, deberíamos estar abiertos a la evidencia objetiva compensatoria. La pregunta implica no solo saber cuáles son los costos (o costes, como se emplea mayoritariamente en España) de desarrollar un mejor código, sino también una estimación de los costos (o costes, como se emplea mayoritariamente en España) de oportunidad perdidos que surgen de una innovación y desarrollo más lento de software y aplicaciones nuevas. Al menos es teóricamente verosímil que esos costos (o costes, como se emplea mayoritariamente en España) (que todos experimentaríamos como un obstáculo en el desarrollo de nuevas aplicaciones) serían significativos, aunque podríamos considerar formas en que limitamos ese arrastre a través de reglas de responsabilidad estructurada. Al final, no conocemos la respuesta a esta pregunta, pero si pensamos en el concepto de la opción de evitar el menor costo, podríamos comenzar a hacer preguntas más relevantes.

Una nota final: la ciberseguridad no es un bien singular. Más bien, es un conjunto de productos, que van desde un mejor código a firewalls personales a sistemas de monitoreo de redes en la red troncal de Internet. Y, por lo tanto, también podemos ver a otros que evitan los costos (o costes, como se emplea mayoritariamente en España) más bajos: personas como los ISP que podrían monitorear (vigilar) (vigilar) el tráfico e interceptar el malware más fácilmente que los usuarios individuales. Aquí, sin embargo, si fuéramos a un modelo de responsabilidad, también tendríamos que autorizar a los ISP a actuar.Entre las Líneas En este momento están restringidos por muchas restricciones legales percibidas en sus actividades. Sería injusto en extremo darles la responsabilidad sin la autoridad.

Autor: Williams

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.