Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Antonio Ramos - La asimetría en el mercado de la seguridad [RootedCON 2011]

3,124 views

Published on

  • Be the first to comment

  • Be the first to like this

Antonio Ramos - La asimetría en el mercado de la seguridad [RootedCON 2011]

  1. 1. La asimetría en el mercado de la seguridad Antonio Ramosantonio.ramos@leetsecurity.com
  2. 2. Contenido •  Antecedentes •  ¿Qué es el rating? •  La calificación del riesgo proveedor •  Nuestro enfoque de un sistema de calificación3 de m4rz0 de 2011 @nt0n¡0 R@m0s 2
  3. 3. ANTECEDENTES3 de m4rz0 de 2011 @nt0n¡0 R@m0s 3
  4. 4. 3 de m4rz0 de 2011 @nt0n¡0 R@m0s 4
  5. 5. “The  cost  of  dishonesty,  therefore,  lies  not  only  in  the  amount  by  which  the  purchaser  is  cheated;  the  cost  also  must  include  the  loss  incurred  from  driving  legi;mate  business  out  of  existence.”    George  Akerlof,  1970   3 de m4rz0 de 2011 @nt0n¡0 R@m0s 5
  6. 6. Fundamento teórico Selección   Consecuencias   Soluciones   adversa   • Riesgo  moral   • Screening   • Información   (George   • Signaling   imperfecta   Akerlof,  1970)    3 de m4rz0 de 2011 @nt0n¡0 R@m0s 6
  7. 7. Screening  (Joseph  E.  SGglitz,  1973)   3 de m4rz0 de 2011 @nt0n¡0 R@m0s 7
  8. 8. Signaling   (Michael  Spence,  1973)  3 de m4rz0 de 2011 @nt0n¡0 R@m0s 8
  9. 9. Opciones•  Hacen falta un mecanismo Auditoría   (screening)   que ayude a eliminar este desequilibrio informativo.•  Opciones (todas ellas basadas en terceros de Opciones   confianza) à conflicto de intereses. RaGng   CerGficación   SGSI   (signaling)   (signaling)  3 de m4rz0 de 2011 @nt0n¡0 R@m0s 9
  10. 10. Auditoría3 de m4rz0 de 2011 @nt0n¡0 R@m0s 10
  11. 11. Certificación3 de m4rz0 de 2011 @nt0n¡0 R@m0s 11
  12. 12. ¿QUÉ ES EL RATING?3 de m4rz0 de 2011 @nt0n¡0 R@m0s 12
  13. 13. ¿Qué es una calificación o rating?•  Calificación (RAE) –  “Puntuación obtenida en un examen o en cualquier tipo de prueba.”•  Rating (Collins English Dictionary) –  “a classification according to order or grade; ranking.” –  (Economics, Accounting & Finance / Banking & Finance) “the estimated financial or credit standing of a business enterprise or individual”3 de m4rz0 de 2011 @nt0n¡0 R@m0s 13
  14. 14. ¿Qué es una calificación o rating?3 de m4rz0 de 2011 @nt0n¡0 R@m0s 14
  15. 15. ¿Qué es una agencia de calificación de riesgo?•  “Empresas que, por cuenta de un cliente, califican unos determinados productos financieros o activos ya sean de empresas, estados o gobiernos regionales.”, www.wikipedia.org•  Compañías especializadas en el análisis de valores y empresas que analizan las compañías con metodologías propias (que combinan métodos cualitativos y cuantitativos de análisis financiero).3 de m4rz0 de 2011 @nt0n¡0 R@m0s 15
  16. 16. ¿Para qué sirve la calificación?•  Síntesis del análisis de la capacidad de una compañía para hacer frente a sus obligaciones financieras, a corto y largo plazo (solvencia).•  Indicador del riesgo de una emisión (emisiones con peor rating proporcionan normalmente rendimientos superiores, para compensar así el mayor riesgo que se asume).•  Permite a los inversores comparar el riesgo de diferentes inversiones a pesar de que vengan de emisores de distintos países, sectores, etc.3 de m4rz0 de 2011 @nt0n¡0 R@m0s 16
  17. 17. Retos de la calificación Tiempo   Dinero   Esfuerzo  3 de m4rz0 de 2011 @nt0n¡0 R@m0s 17
  18. 18. LA CALIFICACIÓN DEL RIESGOPROVEEDOR3 de m4rz0 de 2011 @nt0n¡0 R@m0s 18
  19. 19. Descripción de la necesidad •  La información asimétrica afecta a la subcontratación de servicios pudiendo ocasionar selección adversa. •  Esta situación es acuciante en relación a los servicios de cloud computing.3 de m4rz0 de 2011 @nt0n¡0 R@m0s 19
  20. 20. ¿Qué indica la calificación de riesgo proveedor?•  El rating (por servicio) otorga un valor relativo que sirve como previsión sobre la solvencia técnica de dicho proveedor en cuanto a su seguridad y resiliencia.•  Mejor calificación à Menor probabilidad de sufrir incidentes que afectaran de manera significativa a los Acuerdos de Nivel de Servicio.3 de m4rz0 de 2011 @nt0n¡0 R@m0s 20
  21. 21. Análisis comparativo de la calificación RaGng   Otras  opciones   •  Menos  recursos  (Gempo,   •  Más  difundidas  /   dinero  y  esfuerzo)   conocidas  por  el  sector   •  Enfoque  en  seguridad  y   resiliencia   •  Posibilidad  de   comparaciones   homogéneas  (escala  única)  3 de m4rz0 de 2011 @nt0n¡0 R@m0s 21
  22. 22. NUESTRA ENFOQUE DEUN SISTEMA DE CALIFICACIÓN3 de m4rz0 de 2011 @nt0n¡0 R@m0s 22
  23. 23. Fiabilidad   Áreas/ proveedor   capítulos Resiliencia   Madurez   controles  3 de m4rz0 de 2011 @nt0n¡0 R@m0s 23
  24. 24. Enfoque mixto Auto-declaración & Evaluación•  Objetivo: Evitar el habitual conflicto de intereses derivado de que los honorarios del tercero de confianza son satisfechos por el calificado. –  1er acceso al sistema: Memoria explicativa que defienda su incorporación. –  A partir de su aceptación: El proveedor auto- declara el rating del servicio.3 de m4rz0 de 2011 @nt0n¡0 R@m0s 24
  25. 25. Enfoque mixto Auto-declaración & Evaluación•  Implicación: Mecanismos de seguimiento más estrictos. –  Auditorías aleatorias y periódicas. –  Canales de notificación de incidencias al comité de seguimiento. –  Procedimiento sancionador.3 de m4rz0 de 2011 @nt0n¡0 R@m0s 25
  26. 26. Licencia de uso•  Permite al proveedor de servicios utilizar el sistema de calificación.•  Fija el compromiso de este a actuar debidamente al auto-declarar sus ratings.•  Establece las sanciones a aplicar en casos de incumplimiento.•  Da derecho a la formación necesaria para poder realizar auto-declaraciones de nivel.•  Renovaciones anuales.3 de m4rz0 de 2011 @nt0n¡0 R@m0s 26
  27. 27. Muchas gracias… … ¿preguntas?3 de m4rz0 de 2011 @nt0n¡0 R@m0s 27
  28. 28. Contacto leet_security   www.leetsecurity.com   info@leetsecurity.com  3 de m4rz0 de 2011 @nt0n¡0 R@m0s 28

×