Antonio Ramos - La asimetría en el mercado de la seguridad [RootedCON 2011]

La asimetría en el mercado de la seguridad Antonio Ramosantonio.ramos@leetsecurity.com

Contenido •  Antecedentes •  ¿Qué es el rating? •  La calificación del riesgo proveedor •  Nuestro enfoque de un sistema de calificación3 de m4rz0 de 2011 @nt0n¡0 R@m0s 2

ANTECEDENTES3 de m4rz0 de 2011 @nt0n¡0 R@m0s 3

3 de m4rz0 de 2011 @nt0n¡0 R@m0s 4

“The cost of dishonesty, therefore, lies not only in the amount by which the purchaser is cheated; the cost also must include the loss incurred from driving legi;mate business out of existence.” George Akerlof, 1970 3 de m4rz0 de 2011 @nt0n¡0 R@m0s 5

Fundamento teórico Selección Consecuencias Soluciones adversa • Riesgo moral • Screening • Información (George • Signaling imperfecta Akerlof, 1970) 3 de m4rz0 de 2011 @nt0n¡0 R@m0s 6

Screening (Joseph E. SGglitz, 1973) 3 de m4rz0 de 2011 @nt0n¡0 R@m0s 7

Signaling (Michael Spence, 1973) 3 de m4rz0 de 2011 @nt0n¡0 R@m0s 8

Opciones•  Hacen falta un mecanismo Auditoría (screening) que ayude a eliminar este desequilibrio informativo.•  Opciones (todas ellas basadas en terceros de Opciones confianza) à conflicto de intereses. RaGng CerGﬁcación SGSI (signaling) (signaling) 3 de m4rz0 de 2011 @nt0n¡0 R@m0s 9

Auditoría3 de m4rz0 de 2011 @nt0n¡0 R@m0s 10

Certificación3 de m4rz0 de 2011 @nt0n¡0 R@m0s 11

¿QUÉ ES EL RATING?3 de m4rz0 de 2011 @nt0n¡0 R@m0s 12

¿Qué es una calificación o rating?•  Calificación (RAE) –  “Puntuación obtenida en un examen o en cualquier tipo de prueba.”•  Rating (Collins English Dictionary) –  “a classification according to order or grade; ranking.” –  (Economics, Accounting & Finance / Banking & Finance) “the estimated financial or credit standing of a business enterprise or individual”3 de m4rz0 de 2011 @nt0n¡0 R@m0s 13

¿Qué es una calificación o rating?3 de m4rz0 de 2011 @nt0n¡0 R@m0s 14

¿Qué es una agencia de calificación de riesgo?•  “Empresas que, por cuenta de un cliente, califican unos determinados productos financieros o activos ya sean de empresas, estados o gobiernos regionales.”, www.wikipedia.org•  Compañías especializadas en el análisis de valores y empresas que analizan las compañías con metodologías propias (que combinan métodos cualitativos y cuantitativos de análisis financiero).3 de m4rz0 de 2011 @nt0n¡0 R@m0s 15

¿Para qué sirve la calificación?•  Síntesis del análisis de la capacidad de una compañía para hacer frente a sus obligaciones financieras, a corto y largo plazo (solvencia).•  Indicador del riesgo de una emisión (emisiones con peor rating proporcionan normalmente rendimientos superiores, para compensar así el mayor riesgo que se asume).•  Permite a los inversores comparar el riesgo de diferentes inversiones a pesar de que vengan de emisores de distintos países, sectores, etc.3 de m4rz0 de 2011 @nt0n¡0 R@m0s 16

Retos de la calificación Tiempo Dinero Esfuerzo 3 de m4rz0 de 2011 @nt0n¡0 R@m0s 17

LA CALIFICACIÓN DEL RIESGOPROVEEDOR3 de m4rz0 de 2011 @nt0n¡0 R@m0s 18

Descripción de la necesidad •  La información asimétrica afecta a la subcontratación de servicios pudiendo ocasionar selección adversa. •  Esta situación es acuciante en relación a los servicios de cloud computing.3 de m4rz0 de 2011 @nt0n¡0 R@m0s 19

¿Qué indica la calificación de riesgo proveedor?•  El rating (por servicio) otorga un valor relativo que sirve como previsión sobre la solvencia técnica de dicho proveedor en cuanto a su seguridad y resiliencia.•  Mejor calificación à Menor probabilidad de sufrir incidentes que afectaran de manera significativa a los Acuerdos de Nivel de Servicio.3 de m4rz0 de 2011 @nt0n¡0 R@m0s 20

Análisis comparativo de la calificación RaGng Otras opciones •  Menos recursos (Gempo, •  Más difundidas / dinero y esfuerzo) conocidas por el sector •  Enfoque en seguridad y resiliencia •  Posibilidad de comparaciones homogéneas (escala única) 3 de m4rz0 de 2011 @nt0n¡0 R@m0s 21

NUESTRA ENFOQUE DEUN SISTEMA DE CALIFICACIÓN3 de m4rz0 de 2011 @nt0n¡0 R@m0s 22

Fiabilidad Áreas/ proveedor capítulos Resiliencia Madurez controles 3 de m4rz0 de 2011 @nt0n¡0 R@m0s 23

Enfoque mixto Auto-declaración & Evaluación•  Objetivo: Evitar el habitual conflicto de intereses derivado de que los honorarios del tercero de confianza son satisfechos por el calificado. –  1er acceso al sistema: Memoria explicativa que defienda su incorporación. –  A partir de su aceptación: El proveedor auto- declara el rating del servicio.3 de m4rz0 de 2011 @nt0n¡0 R@m0s 24

Enfoque mixto Auto-declaración & Evaluación•  Implicación: Mecanismos de seguimiento más estrictos. –  Auditorías aleatorias y periódicas. –  Canales de notificación de incidencias al comité de seguimiento. –  Procedimiento sancionador.3 de m4rz0 de 2011 @nt0n¡0 R@m0s 25

Licencia de uso•  Permite al proveedor de servicios utilizar el sistema de calificación.•  Fija el compromiso de este a actuar debidamente al auto-declarar sus ratings.•  Establece las sanciones a aplicar en casos de incumplimiento.•  Da derecho a la formación necesaria para poder realizar auto-declaraciones de nivel.•  Renovaciones anuales.3 de m4rz0 de 2011 @nt0n¡0 R@m0s 26

Muchas gracias… … ¿preguntas?3 de m4rz0 de 2011 @nt0n¡0 R@m0s 27

Contacto leet_security www.leetsecurity.com info@leetsecurity.com 3 de m4rz0 de 2011 @nt0n¡0 R@m0s 28

http://www.securitybydefault.com	465
http://www.dragonjar.org	130
http://recocio.blogspot.com	11
http://blogubpli.blogspot.com	5
http://blogubpli.blogspot.com	5
http://recocio.blogspot.com.es	5
http://blogubpli.blogspot.com.es	3
http://blogubpli.blogspot.com.ar	3
http://static.slidesharecdn.com	2
http://www.slideshare.net	1
http://www.netvibes.com	1

Antonio Ramos - La asimetría en el mercado de la seguridad [RootedCON 2011]

by RootedCON

Accessibility

Upload Details

Usage Rights

11 Embeds 631

Statistics

Antonio Ramos - La asimetría en el mercado de la seguridad [RootedCON 2011] Presentation Transcript