tag:blogger.com,1999:blog-21139284.post2348104126731130941..comments2007-10-24T20:19:46.309+02:00Antonio Ramoshttps://profiles.google.com/100716080332234755697noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-21139284.post-35452922547565587322007-10-24T20:19:00.000+02:002007-10-24T20:19:00.000+02:00Es evidente que esa resistencia existe, de lo contrario, aplicando una regla de tres, la inversión en seguridad sería mucho mejor recibida.<BR/><BR/>No obstante, se me plantea una duda cuando llevo el razonamiento al extremo: Si preferimos siempre la pérdida probable a la pérdida segura, nunca deberíamos invertir en medidas de seguridad preventivas y es también cierto que la inversión en medidas preventivas es cuantiosa. Entonces, ¿cuál es el elemento de la ecuación que hace que, a pesar, de la premisa expresada, haya personas que apuestan por la "pérdida segura"? ¿Es (solo) el grado de aversión al riesgo?Soranihttp://www.blogger.com/profile/07193537464512243030noreply@blogger.comtag:blogger.com,1999:blog-21139284.post-68737166362690841052007-10-10T17:12:00.000+02:002007-10-10T17:12:00.000+02:00Son datos que desde luego deberían hacer pensar a más de uno.<BR/><BR/>Con todo, Antonio, te remito a Kahnemann y Tversky:<BR/><BR/>(1) La gente trata de evitar los riesgos cuando busca la ganancia, pero elige el riesgo si se trata de evitar una pérdida segura.<BR/>En el caso de la seguridad, la "pérdida segura" es el desembolso en asesoría, equipamiento, formación, etc, frente a la pérdida probable que representa la materialización de la amenaza (aunque las consecuencias sean 100 o 1000 veces más costosas que la adopción de medidas preventivas).<BR/><BR/>(2) Consecuencia de lo anterior es que aún cuando intentamos comportarnos "lógicamente", respondemos de diferente manera a un mismo problema en función de cómo se nos plantee. Hay muchos ejemplos, ya clásicos, de esto que te cuento. Por ejemplo, en: http://usuarios.iponet.es/ddt/incertidumbre.htm<BR/>Si planteamos la adopción de medidas preventivas como algo que cuesta dinero (pérdida segura) encontraremos siempre una resistencia por parte del cliente.<BR/><BR/>Por supuesto, siempre hay que tener en cuenta la aversión al riesgo del decisor. Los hay más cagaos que otros.<BR/><BR/>En un mundo en el que tú y yo pintáramos algo y nuestras opiniones fueran tenidas en cuenta, yo me atrevería a formular la siguiente oferta mafiosa: señor cliente, la adopción de estas medidas preventivas no le va a costar a ud. ni un duro. Eso sí, vamos a montar un sistema robusto, confiable, veraz, etc, por el cual ud. y nosotros tendremos constancia de cada incidente de seguridad del que le hemos salvado, ya sea un intento de intrusión impedido, un ataque DOS bloqueado, etc. Caracterizaremos perfectamente dicho incidente y ud. nos pagará una cantidad previamente estipulada (que puede ser en parte variable, en función de la magnitud de las consecuencias del riesgo evitado). <BR/><BR/>A este modelo lo denomino Pay-per-Use-Security.<BR/>Ya no hay pérdida segura frente a potencial; se paga por un servicio recibido.<BR/><BR/>Este enfoque será más efectivo, si hemos de creer a Tversky-Kahnemann, que cualquier otro.Mariohttp://www.blogger.com/profile/16969809349487756177noreply@blogger.com