El documento presenta una propuesta para un sistema de calificación de riesgo de proveedores de servicios TIC. Explica que la falta de información sobre las medidas de seguridad de los proveedores puede llevar a una selección adversa por parte de los clientes. El sistema combinaría auto-declaraciones de los proveedores con auditorías aleatorias para evitar conflictos de intereses. Las calificaciones se asignarían a diferentes dimensiones como la información, gestión o continuidad del negocio. Esto permitiría una segmentación de la oferta en función del nivel de

1. leet security
Presentación corporativa
F3br3r0 2012

2. Contenido
• Conceptos iniciales
1
• La calificación del
riesgo proveedor
• Nuestra propuesta de
sistema de calificación

3. 2
CONCEPTOS INICIALES

4. ¿Qué es una calificación o rating?
• Calificación (RAE)
– “Puntuación obtenida en un examen o en cualquier tipo de
3
prueba.”
• Rating (Collins English Dictionary)
– “a classification according to order or grade; ranking.”
– (Economics, Accounting & Finance / Banking & Finance) “the
estimated financial or credit standing of a business enterprise or
individual”

5. ¿Qué es una calificación o rating?
• Los ratings o calificaciones
de las principales agencias
se expresan con una 4
nomenclatura que puede
combinar letras, mayúsculas
y minúsculas, números y
signos. Aunque varían de
una agencia a otra, en
general la mejor calificación
se expresa como AAA o
A1+.

6. ¿Qué es una agencia de calificación de
riesgo?
• “Empresas que, por cuenta de un cliente, califican unos
determinados productos financieros o activos ya sean
de empresas, estados o gobiernos regionales.”, 5
www.wikipedia.org
• Compañías especializadas en el análisis de valores y
empresas que analizan las compañías con metodologías
propias (que combinan métodos cualitativos y
cuantitativos de análisis financiero).

7. ¿Para qué sirve la calificación?
• Reflejan la síntesis del análisis de la capacidad de una
compañía para hacer frente a sus obligaciones
financieras, a corto y largo plazo. Es decir, reflejan la 6
solvencia de una compañía.
• Es un indicador sucinto del riesgo de una emisión. Las
emisiones con peor rating normalmente proporcionan
rendimientos superiores, para compensar así el mayor
riesgo que se asume.
• Permite a los inversores comparar el riesgo de diferentes
inversiones a pesar de que vengan de emisores de
distintos países, sectores, etc.

8. Retos de la calificación
• Tiempo, energía o
dinero que debe
emplear la parte Tiempo 7
agente (proveedor)
para enviar la señal.
• Mecanismos para que el
receptor (potencial
cliente) pueda confiar en
que la señal es una Dinero Esfuerzo
declaración honesta de su
información.

9. Fundamento teórico
• En algunas transacciones económicas
(teoría de contratos), las
desigualdades en el acceso a la 8
información alteran el funcionamiento
normal de los mercados, generando
problemas de selección adversa y de
riesgo moral.
• Existen 2 soluciones para combatir la
información imperfecta (George
Akerlof, 1970):
– Signaling
– Screening

10. Fundamento teórico
• Signaling (Michael Spence, 1973)
– Dos partes pueden sortear el problema
9
de la información asimétrica si una de
ellas envía una señal (signal) que
revele información relevante a la otra
parte.
– El signaling consiste precisamente en
que la parte agente envíe cierta
información sobre sí misma de manera
creíble a la otra parte.

11. Fundamento teórico
• Screening (Joseph E. Stiglitz, 1973)
– En esta teoría, una de las partes puede
10
inducir a la otra a que revele su
información.
– En este caso, la parte con información no
es la primera en actuar, sino que es la
parte sin información la que acepta
aprender lo que pueda sobre la otra
parte.

12. 11
LA CALIFICACIÓN DEL RIESGO
PROVEEDOR

13. Descripción de la necesidad
• En la subcontratación de servicios (y en
especial en el sector TIC) se produce un
fenómeno de información asimétrica que 12
puede conducir a la selección adversa.
– El cliente desconoce realmente las medidas de
seguridad con las que cuenta el proveedor.
– La falta de información puede llevar al cliente a
elegir siempre el más barato aunque no sea el
más adecuado a sus necesidades.
• Esta situación es acuciante en relación a
los servicios de cloud computing.

14. Descripción de la necesidad
• Hacen falta un
Auditoría
mecanismo que ayude a (screening)
eliminar este desequilibrio 13
informativo.
• Opciones (todas ellas
basadas en terceros de Opciones
confianza):
Rating Certificación
SGSI
(signaling) (signaling)

15. ¿Qué indica la calificación de riesgo
proveedor?
• El rating (por servicio) otorga un valor
relativo que sirve como previsión sobre la
solvencia técnica de dicho proveedor en 14
cuanto a su seguridad y resiliencia.
• De esta forma, los servicios que tengan una
mejor calificación son los que tendrían
menos probabilidades de sufrir incidentes
que afectaran de manera significativa a los
Acuerdos de Nivel de Servicio.

16. Ventajas de la calificación
Rating Otras opciones 15
• Menos recursos (tiempo, • Más difundidas /
dinero y esfuerzo) conocidas por el sector
• Enfoque en seguridad y
resiliencia
• Posibilidad de
comparaciones
homogéneas (escala única)

17. Ventajas de la calificación:
Segmentación de la oferta
Situación actual – El Servicio segmentado
proveedor solo tiene con diferentes ratings
una opción Usuarios que
16
contratan el
servicio
Precio Usuarios que Precio
Servicio riesgo
contratan el bajo
servicio
Nivel de riesgo Servicio riesgo
del servicio medio
Necesidades Servicio riesgo
de los usuarios alto
Riesgo Riesgo

18. Ventajas de la calificación: Cada
proceso su nivel de riesgo
Situación actual – Los Diferentes procesos
servicios son “café con diferentes
para todos” necesidades
Usuarios que
17
contratan el
servicio
Precio Usuarios que Precio
Servicio riesgo
contratan el bajo
servicio
Nivel de riesgo Servicio riesgo
del servicio medio
Necesidades Servicio riesgo
de los usuarios alto
Riesgo Riesgo

19. 18
NUESTRA PROPUESTA DE
SISTEMA DE CALIFICACIÓN

20. Dimensiones
A
B
C 19
D
E
+ Niveles específicos de cumplimiento: C+, B+

21. Áreas / capítulos
20

22. Información general
21

23. Enfoque mixto Auto-declaración &
Evaluación
• Objetivo: Evitar el habitual conflicto de intereses derivado
de que los honorarios del tercero de confianza son
satisfechos por el calificado. 22
– Acceso al sistema: Memoria explicativa.
– A partir de su aceptación: El proveedor auto-declara el rating del
servicio.
– Posibilidad de límites de calificación superior.
• Implicación: Mecanismos de seguimiento más estrictos.
– Auditorías aleatorias y periódicas.
– Canales de notificación de incidencias al comité de seguimiento.
– Procedimiento sancionador.

24. Condiciones de uso del servicio
• Permite al proveedor de servicios utilizar el sistema de
calificación.
• Fija el compromiso de este a actuar debidamente al auto-
23
declarar sus ratings.
• Establece las sanciones a aplicar en casos de
incumplimiento.
• Da derecho a la formación necesaria para poder realizar
auto-declaraciones de nivel.
• Renovaciones anuales.

25. Muchas gracias…
… ¿preguntas? 24

26. Contacto
25
leet_security
www.leetsecurity.com
info@leetsecurity.com
antonio.ramos@leetsecurity.com