Antonio Ramos - La asimetría en el mercado de la seguridad [RootedCON 2011]
1. La asimetría en el
mercado de la
seguridad
Antonio Ramos
antonio.ramos@leetsecurity.com
2. Contenido
• Antecedentes
• ¿Qué es el rating?
• La calificación del
riesgo proveedor
• Nuestro enfoque de un
sistema de calificación
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 2
5. “The
cost
of
dishonesty,
therefore,
lies
not
only
in
the
amount
by
which
the
purchaser
is
cheated;
the
cost
also
must
include
the
loss
incurred
from
driving
legi;mate
business
out
of
existence.”
George
Akerlof,
1970
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 5
6. Fundamento teórico
Selección
Consecuencias
Soluciones
adversa
• Riesgo
moral
• Screening
• Información
(George
• Signaling
imperfecta
Akerlof,
1970)
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 6
8. Signaling
(Michael
Spence,
1973)
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 8
9. Opciones
• Hacen falta un mecanismo Auditoría
(screening)
que ayude a eliminar este
desequilibrio informativo.
• Opciones (todas ellas
basadas en terceros de Opciones
confianza) à conflicto de
intereses. RaGng
CerGficación
SGSI
(signaling)
(signaling)
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 9
12. ¿QUÉ ES EL RATING?
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 12
13. ¿Qué es una calificación o rating?
• Calificación (RAE)
– “Puntuación obtenida en un examen o en cualquier
tipo de prueba.”
• Rating (Collins English Dictionary)
– “a classification according to order or grade;
ranking.”
– (Economics, Accounting & Finance / Banking &
Finance) “the estimated financial or credit standing of
a business enterprise or individual”
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 13
14. ¿Qué es una calificación
o rating?
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 14
15. ¿Qué es una agencia de calificación
de riesgo?
• “Empresas que, por cuenta de un cliente, califican
unos determinados productos financieros o activos
ya sean de empresas, estados o gobiernos
regionales.”, www.wikipedia.org
• Compañías especializadas en el análisis de valores y
empresas que analizan las compañías con
metodologías propias (que combinan métodos
cualitativos y cuantitativos de análisis financiero).
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 15
16. ¿Para qué sirve la calificación?
• Síntesis del análisis de la capacidad de una
compañía para hacer frente a sus obligaciones
financieras, a corto y largo plazo (solvencia).
• Indicador del riesgo de una emisión
(emisiones con peor rating proporcionan normalmente
rendimientos superiores, para compensar así el mayor riesgo
que se asume).
• Permite a los inversores comparar el riesgo de
diferentes inversiones a pesar de que vengan de
emisores de distintos países, sectores, etc.
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 16
17. Retos de la calificación
Tiempo
Dinero
Esfuerzo
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 17
19. Descripción de la necesidad
• La información asimétrica
afecta a la subcontratación
de servicios pudiendo
ocasionar selección
adversa.
• Esta situación es acuciante
en relación a los servicios
de cloud computing.
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 19
20. ¿Qué indica la calificación de riesgo
proveedor?
• El rating (por servicio) otorga un valor relativo que
sirve como previsión sobre la solvencia técnica de
dicho proveedor en cuanto a su seguridad y
resiliencia.
• Mejor calificación à Menor probabilidad de sufrir
incidentes que afectaran de manera significativa a
los Acuerdos de Nivel de Servicio.
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 20
21. Análisis comparativo de la
calificación
RaGng
Otras
opciones
• Menos
recursos
(Gempo,
• Más
difundidas
/
dinero
y
esfuerzo)
conocidas
por
el
sector
• Enfoque
en
seguridad
y
resiliencia
• Posibilidad
de
comparaciones
homogéneas
(escala
única)
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 21
23. Fiabilidad
Áreas/
proveedor
capítulos
Resiliencia
Madurez
controles
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 23
24. Enfoque mixto Auto-declaración &
Evaluación
• Objetivo: Evitar el habitual conflicto de
intereses derivado de que los honorarios del
tercero de confianza son satisfechos por el
calificado.
– 1er acceso al sistema: Memoria explicativa que
defienda su incorporación.
– A partir de su aceptación: El proveedor auto-
declara el rating del servicio.
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 24
25. Enfoque mixto Auto-declaración &
Evaluación
• Implicación: Mecanismos de seguimiento
más estrictos.
– Auditorías aleatorias y periódicas.
– Canales de notificación de incidencias al comité
de seguimiento.
– Procedimiento sancionador.
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 25
26. Licencia de uso
• Permite al proveedor de servicios utilizar el
sistema de calificación.
• Fija el compromiso de este a actuar
debidamente al auto-declarar sus ratings.
• Establece las sanciones a aplicar en casos de
incumplimiento.
• Da derecho a la formación necesaria para poder
realizar auto-declaraciones de nivel.
• Renovaciones anuales.
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 26
27. Muchas gracias…
… ¿preguntas?
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 27
28. Contacto
leet_security
www.leetsecurity.com
info@leetsecurity.com
3 de m4rz0 de 2011 @nt0n¡0 R@m0s 28