Título Inglês:
Countermeasures in information security and cybernetic vulnerability: empirical evidence of Brazilian companies
Título Espanhol:
Las contramedidas en seguridad de la información y vulnerabilidad cibernética: evidencia empírica de las empresas brasileñas
Resumo:
Recentemente, uma série de ataques cibernéticos a empresas e governos no Brasil e no exterior tornou público o potencial impacto econômico desse tipo de atividade, do ponto de vista tanto privado quanto público. Existe extensa literatura econômica — teórica e empírica — que avalia os incentivos para que as empresas adotem ou não medidas de segurança da informação. No presente estudo foi desenvolvida uma avaliação empírica desse fenômeno no Brasil. Modelos logit e probit ordenado foram desenvolvidos como forma de avaliar os efeitos sobre a probabilidade de ocorrência de problemas de segurança da informação, levando-se em conta as características das firmas, inclusive as medidas de segurança de informação. Os resultados apontam para uma relação positiva entre as medidas de segurança da informação e a probabilidade de identificar a ocorrência de problemas cibernéticos, sugerindo que a sofisticação dessas medidas de proteção aumenta a probabilidade de identificação dos problemas.
Resumo Inglês:
Recently, a series of cyber attacks to firms and governments, in Brazil and abroad highlighted the potential economic impact of this kind of activity, from private and public perspectives. There is a vast economic literature — theoretical and empirical — that evaluates the incentives for the adoption of measures of information security. The current study developed an empirical evaluation of this phenomenon in Brazil. Logit and ordered probit models were to evaluate the effects on the probability of occurrence of information security problems, considering firms’ characteristics, including measures of information security. Results indicate that there is a positive correlation between measures of information security and the probability of identifying the occurrence of cyber attacks, what suggests that the sophistication of these measures of protection increase the probability of identification of the problems.
Resumo Espanhol:
Recientemente, una serie de ataques cibernéticos a firmas y gobiernos, en Brasil y en el exterior hizo público el potencial impacto económico de este tipo de actividad, tanto del punto de vista privado como público. Existe una extensa literatura económica — teórica y empírica — que analiza los incentivos para que las empresas adopten o no medidas de seguridad de la información. El presente estudio hizo una evaluación empírica de este fenómeno en Brasil. Modelos
logit y probit ordenado fueron estimados para evaluar los efectos sobre la probabilidad de ocurrencia de problemas de seguridad de información, teniendo en cuenta características de las firmas, incluso las medidas de seguridad de información. Los resultados indican una relación positiva entre las medidas de seguridad de la información y la probabilidad de identificar la ocurrencia de problemas cibernéticos, lo que sugiere que la sofisticación de estas medidas de protección aumenta la probabilidad de identificación de los problemas.
Citação ABNT:
CORTEZ, I. S.; KUBOTA, L. C. Contramedidas em segurança da informação e vulnerabilidade cibernética: evidência empírica de empresas brasileiras. RAUSP Management Journal, v. 48, n. 4, p. 757-769, 2013.
Citação APA:
Cortez, I. S., & Kubota, L. C. (2013). Contramedidas em segurança da informação e vulnerabilidade cibernética: evidência empírica de empresas brasileiras. RAUSP Management Journal, 48(4), 757-769.
Link Permanente:
https://www.spell.org.br/documentos/ver/18379/contramedidas-em-seguranca-da-informacao-e-vulnerabilidade-cibernetica--evidencia-empirica-de-empresas-brasileiras/i/pt-br
Referências:
Anderson, R. (1994). Why cryptosystems fail. Communications of the ACM, 37(11), 32-40.
Anderson, R. (2001). Why information security is hard: an economic perspective. Proceedings of the Annual Computer Security Applications Conference, Lousiana, ACSA, 17. Recuperado em 19 julho, 2011, de http://www.acsac.org/2001/papers/110.pdf. doi: h10.1109/ACSAC.2001.991552
Campbell, K., Gordon, L. A., Loeb, M. P., Zhout, L. (2003). The economic cost of publicly announced information security breaches: empirical evidence from the stock market. Journal of Computer Security, 11(3), 431-448.
Cavusoglu, H., Mishra, B., Raghunathan, S. (2004). The effect of internet security breach announcements on market value: capital market reactions for breached firms and internet security developers. International Journal of Electronic Commerce, 9(1), 69-104.
Comitê Gestor de Informática (CGI) (2010). Pesquisa sobre o uso das tecnologias da informação e da comunicação no Brasil: TIC Domicílios e TIC Empresas 2009. São Paulo: Comitê Gestor de Informática no Brasil.
Cremonini, M., Nizovtsev, d. (2006). Understanding and influencing attackers’ decisions: implications for security investment strategies. Proceedings of the Workshop on The Economics of Information Security (WEIS), Cambridge, I3P, 5. Recuperado em 19 julho, 2011, de http://weis2006.econinfosec.org/docs/3.pdf
Garcia, A., Horowitz, B. (2006). The potential for underinvestment in internet security: implications for regulatory policy. Proceedings of the Workshop on The Economics of Information Security (WEIS), Cambridge, I3P, 5. Recuperado em 19 julho, 2011, de http://papers.ssrn.com/sol3/papers.cfm?abstract_id=889071. doi:10.1007/s11149-006-9011-y
Gordon, L. A., Loeb, m. p. (2002, November). The economics of information security investment. ACM Transactions on Information and System Security, 5(4), 438-457.
Hoepers, C. (2011). Princípios de segurança da informação. I Ciberjur. São Paulo: OAB. Recuperado em 7 fevereiro, 2012, de http://www.cert.br/docs/palestras/certbr-ciberjur2011.pdf
Liu, W., Tanaka, H., Kanta, M. (2008). Empirical-analysis methodology for information-security investment and its application to reliable survey of Japanese firms. Information and Media Technologies, 3(2), 464-478. doi: 10.2197/ipsjdc.3.585
Moore, T., Clayton, R. (2007). Examining the impact of website take-down on phishing. Proceedings of the AntiPhishing Working Group eCrime Researchers Summit. New York: ACM. Recuperado em 19 julho, 2011, de http://www.ecrimeresearch.org/2007/proceedings/p1_moore.pdf. doi: 10.1145/1299015.1299016
Moore, T., Clayton, R. (2011). The impact of public information on phishing attack and defense. Communications & Strategies, v. 8, p. 45-68. Recuperado em 19 julho, 2011, de http://people.seas.harvard.edu/~tmoore/cs81.pdf
Takemura, T., Osajima, m., Kawano, M. (2008). Economic analysis on information security incidents and the countermeasures: the case of Japanese internet service providers. Advanced Technologies. October. Doi: 10.5772/8203
Tanaka, H., Kmatsuura, k., Sudoh, O. (2005). Vulnerability and information security investment: an empirical analysis of e-local government in Japan. Journal of Accounting and Public Policy, 24(1), 37-59. doi: 10.1016/j.jaccpubpol.2004.12.003
Varian, H. (2004). System reliability and free-riding. In L. J. Camp, & S. Lewis (Eds.). Economics of Information Security. Advances in Information Security, v. 12, p. 1-15. New York: Springer. doi: 10.1007/1-4020-8090-5_1
