La asimetría en el mercado de la

seguridad

Antonio Ramos antonio.ramos@leetsecurity.com

Contenido

•  Antecedentes

•  ¿Qué es el rating?

•  La calificación del riesgo proveedor

•  Nuestro enfoque de un sistema de calificación

2 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

ANTECEDENTES

3 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

4 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

5

“The  cost  of  dishonesty,  therefore,  lies  not  only  in  the  amount  by  which  the  purchaser  is  cheated;  the  cost  also  must  include  the  loss  incurred  from  driving  legi;mate  business  out  of  existence.”    George  Akerlof,  1970  

3 de m4rz0 de 2011 @nt0n¡0 R@m0s

Fundamento teórico

6

Consecuencias  • Riesgo  moral  • Información  imperfecta  

Selección  adversa  (George  

Akerlof,  1970)    

Soluciones  • Screening  • Signaling  

3 de m4rz0 de 2011 @nt0n¡0 R@m0s

7

Screening  (Joseph  E.  SGglitz,  1973)  

3 de m4rz0 de 2011 @nt0n¡0 R@m0s

8

Signaling  (Michael  Spence,  1973)  

3 de m4rz0 de 2011 @nt0n¡0 R@m0s

Opciones

•  Hacen falta un mecanismo que ayude a eliminar este desequilibrio informativo.

•  Opciones (todas ellas basadas en terceros de confianza) à conflicto de intereses.

Opciones  

Auditoría  (screening)  

CerGficación  SGSI  

(signaling)  

RaGng  (signaling)  

9 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

Auditoría

10 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

11

Certificación

3 de m4rz0 de 2011 @nt0n¡0 R@m0s

¿QUÉ ES EL RATING?

12 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

¿Qué es una calificación o rating?

•  Calificación (RAE) –  “Puntuación obtenida en un examen o en cualquier

tipo de prueba.”

•  Rating (Collins English Dictionary) –  “a classification according to order or grade;

ranking.” –  (Economics, Accounting & Finance / Banking &

Finance) “the estimated financial or credit standing of a business enterprise or individual”

13 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

¿Qué es una calificación o rating?

14 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

¿Qué es una agencia de calificación de riesgo?

•  “Empresas que, por cuenta de un cliente, califican unos determinados productos financieros o activos ya sean de empresas, estados o gobiernos regionales.”, www.wikipedia.org

•  Compañías especializadas en el análisis de valores y empresas que analizan las compañías con metodologías propias (que combinan métodos cualitativos y cuantitativos de análisis financiero).

15 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

¿Para qué sirve la calificación?

•  Síntesis del análisis de la capacidad de una compañía para hacer frente a sus obligaciones financieras, a corto y largo plazo (solvencia).

•  Indicador del riesgo de una emisión (emisiones con peor rating proporcionan normalmente rendimientos superiores, para compensar así el mayor riesgo que se asume).

•  Permite a los inversores comparar el riesgo de diferentes inversiones a pesar de que vengan de emisores de distintos países, sectores, etc.

16 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

Retos de la calificación

Tiempo  

Esfuerzo  Dinero  

17 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

LA CALIFICACIÓN DEL RIESGO PROVEEDOR

18 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

Descripción de la necesidad •  La información asimétrica

afecta a la subcontratación de servicios pudiendo ocasionar selección adversa.

•  Esta situación es acuciante en relación a los servicios de cloud computing.

19 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

¿Qué indica la calificación de riesgo proveedor?

•  El rating (por servicio) otorga un valor relativo que sirve como previsión sobre la solvencia técnica de dicho proveedor en cuanto a su seguridad y resiliencia.

•  Mejor calificación à Menor probabilidad de sufrir incidentes que afectaran de manera significativa a los Acuerdos de Nivel de Servicio.

20 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

Análisis comparativo de la calificación

RaGng  • Menos  recursos  (Gempo,  dinero  y  esfuerzo)  

•  Enfoque  en  seguridad  y  resiliencia  

•  Posibilidad  de  comparaciones  homogéneas  (escala  única)  

Otras  opciones  • Más  difundidas  /  conocidas  por  el  sector  

21 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

NUESTRA ENFOQUE DE UN SISTEMA DE CALIFICACIÓN

22 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

Áreas/ capítulos

Madurez  controles  

Resiliencia  

Fiabilidad  proveedor  

23 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

Enfoque mixto Auto-declaración & Evaluación

•  Objetivo: Evitar el habitual conflicto de intereses derivado de que los honorarios del tercero de confianza son satisfechos por el calificado. – 1er acceso al sistema: Memoria explicativa que

defienda su incorporación. – A partir de su aceptación: El proveedor auto-

declara el rating del servicio.

24 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

Enfoque mixto Auto-declaración & Evaluación

•  Implicación: Mecanismos de seguimiento más estrictos. – Auditorías aleatorias y periódicas. – Canales de notificación de incidencias al comité

de seguimiento. – Procedimiento sancionador.

25 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

Licencia de uso

•  Permite al proveedor de servicios utilizar el sistema de calificación.

•  Fija el compromiso de este a actuar debidamente al auto-declarar sus ratings.

•  Establece las sanciones a aplicar en casos de incumplimiento.

•  Da derecho a la formación necesaria para poder realizar auto-declaraciones de nivel.

•  Renovaciones anuales.

26 3 de m4rz0 de 2011 @nt0n¡0 R@m0s

Muchas gracias…

27

… ¿preguntas?

3 de m4rz0 de 2011 @nt0n¡0 R@m0s

Contacto

28

info@leetsecurity.com  

www.leetsecurity.com  

leet_security  

3 de m4rz0 de 2011 @nt0n¡0 R@m0s