No reglamentemos a la seguridad cibernética

28 de febrero, 2005

¿Debería incrementar el gobierno las reglamentaciones sobre la seguridad en materia cibernética para las empresas privadas? La cuestión fue debatida el mes pasado durante la Conferencia sobre Seguridad RSA celebrada en la ciudad de San Francisco. El ex consejero de seguridad de la Casa Blanca Richard Clarke y el experto en criptografía Bruce Schneier, se manifestaron ambos en favor de una reglamentación acrecentada. Sin embargo, la economía de la seguridad cibernética y los antecedentes de la industria debieran tornarnos escépticos respecto de que la reglamentación gubernamental pueda mejorar la seguridad sin dañar a la innovación.

Numerosos observadores consideran que existe una “falla del mercado” en el tema de la seguridad cibernética, debida a que las empresas lanzan productos con defectos de seguridad o en virtud de que los virus y otros ataques cibernéticos provocan perjuicios económicos. Ciertamente, estos perjuicios son enormes—el infame virus Love Bug del año 2000 le costó a la economía global $2,62 mil millones (billones en inglés), de acuerdo con la firma de consultoría Computer Economics. Pero la seguridad cibernética también posee costos, y es posible adquirir demasiado de ella, del mismo modo que es posible comprar demasiados candados o alarmas contra ladrones. Un nivel de seguridad económicamente eficiente exige sopesar los beneficios potenciales por sobre los costos.

En tanto y en cuanto los beneficios y los costos de la seguridad cibernética sean internos de las empresas y de sus clientes, lo que implica decir que los mismos no se extiendan a terceras partes, el mercado ofrecerá un eficiente nivel de seguridad. Schneier asumía que la reglamentación era necesaria cuando se quejaba de que los productores de software carecen de un incentivo económico para mejorar su producto dado que no asumen responsabilidad por los defectos.

Pero los consumidores exigen productos que posean nuevas características, que sean rápidos, y que ingresen al mercado de manera vertiginosa. Ellos también demandan algún nivel de seguridad en los productos, pero estas exigencias son sopesadas contra la circunstancia de que las mismas incrementarán los costos y retrasarán el lanzamiento del producto. Si los consumidores demandan mayor seguridad en los productos, los desarrolladores de software que los proveen serán quienes triunfen en el mercado.

El mayor desafió es que el mercado proporcione una seguridad cibernética eficiente cuando algunos de los beneficios recaigan sobre quienes no son clientes, pero incluso aquí el mercado por lo general actúa bien.

La industria de los servicios financieros se encuentra interconectada y a menudo es asumida como parte de la “infraestructura critica de la nación,” en la cual los beneficios de la seguridad de una empresa pueden verterse sobre las demás. Si existiese una “falla del mercado” en la seguridad cibernética dentro de la industria financiera, deberíamos hallar bajos niveles de provisión de seguridad y no encontraríamos ingentes y crecientes esfuerzos en la seguridad de las firmas. Pero la industria de los servicios financieros no exhibe evidencia alguna de una falla del mercado.

De acuerdo con el más reciente Relevamiento de la Seguridad Global llevado a cabo por la firma Deloitte, las más importantes compañías financieras, bancarias y de seguros—especialmente las compañías estadounidenses—se encuentran utilizando una amplia gama de tecnologías, incrementando sus presupuestos y el número de personal a fin de mejorar la seguridad cibernética. Todas las firmas empleaban software anti-virus, y más del 85 por ciento utilizaban también software para la detección y la prevención de intrusiones y la mayoría de las empresas se encontraban experimentando con el uso de tecnologías bastante más avanzadas.

Si los beneficios derramados fueron grandes y las ganancias privadas no justificaron este nivel de seguridad, esperaríamos que la inversión en seguridad declinase. No obstante, entre los años 2003 y 2004, el 63 por ciento de las firmas encuestadas vieron incrementarse sus presupuestos de seguridad mientras que tan solo el 10 por ciento lo disminuyó, y casi la mitad de todas las compañías aumentaron el personal atinente a la seguridad.

A pesar de que pareciera no existir una masiva “falla del mercado” en la provisión de seguridad cibernética en la industria de los servicios financieros, la introducción de la reglamentación gubernamental creará la potencial falla del gobierno.

Como lo puntualizara Harris Miller, presidente de la Information Technology Association of America, durante la reciente conferencia mencionada más arriba, “La reglamentación a menudo se torna el enemigo de la innovación.” Una burocracia gubernamental es casi seguro que será demasiado lenta y engorrosa como para seguir el ritmo de un campo que cambia tan rápidamente como el de la información tecnológica.

Los reglamentadores son también proclives a equivocarse al tomar la dirección de exigir demasiada seguridad por temor a un desastre de relaciones públicas. Mientras que las empresas tan solo le temen a los desastres de relaciones públicas, las mismas se encuentran disciplinadas por las ganancias y las pérdidas cuando son demasiado pesimistas. Los reglamentadores no hacen frente a tal restricción.

La seguridad cibernética tiene beneficios que deben ser ponderados contra sus costos. Las reformas debieran limitarse a examinar los estándares de responsabilidad por negligencia en situaciones en las que fisuras en la seguridad afecten a firmas con las que no existen relaciones contractuales. La reglamentación gubernamental directa elevará los costos en contra de los deseos del consumidor, demorando y limitando ela circunstancia de que nuevos productos ingresen en el mercado.

Las fuerzas del mercado son mejores reguladoras de la seguridad cibernética que los burócratas en el gobierno.

Traducido por Gabriel Gasave

  • es Asociado Senior en el Independent Institute y Director del Free Market Institute de la Texas Tech University.

Artículos relacionados