Los derivados como una solución para imbuir las vulnerabilidades de TI con la fuerza económica parece ser una idea confusa con consecuencias potencialmente desastrosas. La fecha del documento sobre ese tema debe considerarse en su revisión. En los días de embriaguez de 2007, antes del evento de la cola gruesa, que ahora conocemos como la Gran Recesión, el intercambio de riesgos fue toda la rabia. Resulta que tenemos numerosos ejemplos en las últimas décadas (futuros del clima de Enron, swaps de incumplimiento de crédito hipotecario (CDS), etc.) del costo contraintuitivo de los derivados cuando se utilizan para mitigar el riesgo. En lugar de mitigar el riesgo, en realidad lo aprovechan en la estratosfera.
Tenga en cuenta las fuerzas económicas que operan en la compra y venta de swaps sobre si aparecerá un determinado exploit el próximo mes contra un objetivo específico. Puedo ver las mismas fuerzas que tenían los administradores de fondos de cobertura creando CDS de hipotecas diseñadas para fallar para que pudieran apostar contra ellos actuando en este espacio. Considere que tiene una apuesta en un evento raro que ocurre en una gran compañía de tarjetas de crédito. La compañía podría reclamar que estaban cubiertos para los pasivos relacionados descargando el riesgo para el AIG de seguros de explotaciones. El motivo para el compañero al otro lado de esos intercambios de AIG sería ver que lo raro ocurre incluso. Incluso podría poner a miles en contra de las probabilidades del evento (pagando millones como es la naturaleza de los derivados) y estar bastante incentivado por las mismas fuerzas económicas que estamos tratando de aprovechar para el efecto contrario.
Aparte de eso, consideremos las fuerzas económicas más tradicionales en el contexto de esta pregunta. Un proveedor que proporciona software o hardware con fallas críticas, ¿no son responsables de la misma manera que el fabricante de automóviles que produce un automóvil que ocasionalmente estalla en llamas? A partir de hoy la respuesta es no. Esta situación verá una evolución interesante cuando tengamos fallas automáticas inducidas por el software, como lo hicimos con la acusación de aceleración incontrolada contra Toyota. Cuando eso sucede, el hecho de que estaba relacionado con el firmware o el software de TI exime al fabricante de la responsabilidad, ya que no consideramos que esa responsabilidad sea válida, ya que tiene el factor de inmunidad a la complejidad COTS. Se puede hacer la misma pregunta económica a quienes prestan servicios como nuestros bancos. Si exponen mi identidad, lo que a su vez permite el robo de mi dinero en efectivo en su banco, ¿llegará un día en que la carga de la responsabilidad se transfiera más completamente al proveedor del servicio y no a la víctima?
La maduración de las fuerzas económicas tradicionales relacionadas con la responsabilidad del proveedor y del proveedor de servicios se vería obstaculizada por los derivados de riesgo de seguridad. Los derivados incentivarían a los malhechores a especular, atacar y desincentivar a los proveedores y proveedores de servicios a medida que despiden su riesgo (deletreando esa responsabilidad) al AIG de intercambios de vulnerabilidades.