Un mercado de futuros para la seguridad informática

Los investigadores de seguridad de la información de la academia, la industria y la comunidad de inteligencia de EE. UU. Están colaborando para construir un mercado piloto de predicción capaz de anticipar los principales eventos de seguridad de la información antes de que ocurran.

Un mercado de predicción es similar a una bolsa de valores normal, excepto que las acciones son declaraciones simples que los miembros de la bolsa deben evaluar. Los comerciantes comprarán y venderán acciones de una acción basándose en la solidez de su confianza sobre el resultado futuro, con el objetivo general de aumentar el valor de sus carteras, lo que a su vez les hará ganar algún tipo de recompensa financiera. Los comerciantes pueden optar por comprar o vender acciones adicionales de una acción, y esa actividad de compra y venta empuja el precio de la acción hacia arriba o hacia abajo, al igual que en un mercado real.

Algunas de las acciones que se están considerando cubren algunos meses, tales como: El volumen de correo electrónico no deseado aumentará en un 10 por ciento en el tercer trimestre de 2011. Otros pedirán a los participantes que midan la probabilidad de eventos lejanos, como el posibilidad de que la Cámara de Representantes de los Estados Unidos apruebe un proyecto de ley con ciberseguridad en su título en la primera sesión del 112º Congreso, o si los algoritmos de cifrado ampliamente utilizados serán rechazados en los próximos 24 meses.

Greg Shannon, científico jefe del programa CERT en el Instituto de Ingeniería de Software de Carnegie Mellon, que está involucrado en el proyecto, dice que el propósito es proporcionar datos procesables.

Si es de Verizon y está tratando de preposicionar recursos, es posible que desee tener algo de visibilidad en el horizonte sobre la prevalencia proyectada del malware móvil, dijo Shannon. Eso es algo sobre lo que les gustaría tener una opinión informada aprovechando la sabiduría de la comunidad de seguridad.

Los mercados de predicciones han pronosticado eficazmente todo tipo de eventos y tendencias, desde el éxito de los equipos deportivos hasta las ventas de nuevos productos. El proyecto piloto se basará en el software y los servicios proporcionados por Consensus Point, una empresa con sede en Nashville que ha ayudado a construir mercados de predicción impulsados ​​por los empleados para varias empresas importantes, incluidas General Electric, Best Buy y Qualcomm. El mercado de predicciones de Best Buy, llamado TagTrade, está diseñado para brindar a la administración un indicador temprano de qué nuevos productos o ideas tienen probabilidades de tener éxito, y si nuevas tiendas específicas abrirán a tiempo.


Los mercados electrónicos de Iowa de la Universidad de Iowa, uno de los primeros mercados de predicción, ha superado significativamente las encuestas en todas las elecciones presidenciales al pronosticar con más de 100 días de anticipación: en comparación con las 964 encuestas de las cinco elecciones presidenciales desde 1988, el mercado de Iowa estaba más cerca al resultado final el 74 por ciento de las veces. La Universidad de Iowa también utiliza mercados de predicción para pronosticar brotes de gripe estacional.

Los mercados de predicción tienen un sesgo importante incorporado: los que responden las preguntas no son encuestados al azar, pero los encuestados también tienen un incentivo para responder solo a aquellas preguntas que se sienten seguros para responder con precisión.

Los mercados de predicción no son solo encuestas que piden a todos que hablen, Robin Hanson, científico jefe de Consensus Point. Las personas tienden a hablar solo cuando están razonablemente seguras de conocer la respuesta.

La directora ejecutiva de Consensus Point, Linda Rebrovick, dice que el objetivo del proyecto es atraer una red de unos 250 expertos, aunque los organizadores aún están decidiendo cómo compensar las respuestas correctas.

Habrá una combinación de recompensas e incentivos financieros por participar, dice Rebrovick.

Incluso si las preguntas generan solo respuestas tibias, tales respuestas pueden ser informativas, dice Dan Geer, director de seguridad de la información de In-Q-Tel, la rama de capital de riesgo de la Agencia Central de Inteligencia (CIA). Geer también está involucrado en el proyecto. Puede ser que esto nos diga que hay ambigüedad o que, en efecto, estamos midiendo el desacuerdo en una pregunta que no tiene un aspecto cuantitativo, dice Geer. Las encuestas directas son vulnerables a respuestas idiotas y los mercados de predicción son vulnerables a preguntas estúpidas.

Si bien el proyecto piloto se limitará a expertos en seguridad de la información invitados, las decisiones de consenso alcanzadas por el grupo se harán públicas. Incluso si no podemos encontrar algo útil en todo esto, creemos que es un resultado valioso. Es la forma en que progresas, dice Geer.

esconder