gestión cuantitativas de la inccertidumbre en los...
TRANSCRIPT
![Page 1: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/1.jpg)
El método Monte Carlo en la evaluación de riesgos
de la Seguridad de la Información
VI Congreso Internacional sobre Gobierno, Riesgos, Auditoría y Seguridad
de la Información
Ing. P.A. Ortiz, M.Sc., PMP Set-2015
![Page 2: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/2.jpg)
Agenda
Objetivo El problema… Inputs del modelo Algunas T&H cuantitativas Simulación Monte Carlo Retorno al problema Resumen
M.Sc., Ing. P.A. Ortiz, PMP 2 sep-15
“Education never ends Watson. It is a series
of lessons with the greatest for the last” Sherlock Holmes, The red circle, 1917
![Page 3: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/3.jpg)
Objetivo
Conocer los fundamentos de una de las herramientas principales para la evaluación cuantitativa de los riesgos en la SI: el método Monte Carlo.
M.Sc., Ing. P.A. Ortiz, PMP 3 sep-15
![Page 4: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/4.jpg)
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 4
Burtescu, E., 2012
![Page 5: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/5.jpg)
El Problema…
De acuerdo a la norma ISO 73 el riesgo es la combinación entre la probabilidad que ocurra un evento y la probabilidad que el evento ocurra. En el campo de IS el riesgo es identificado como una amenaza que puede explotar la potencial debilidad de un sistema y que se mide por su pérdida o daño causado
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 5
• Consciente de este problema la empresa ABC Logistic ha contratado a la consultora C&R Consulting para que las ayude a crear un plan que gestione estos riesgos.
![Page 6: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/6.jpg)
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 6
Fuente: Microsoft. The Security Risk Management Guide.
Roles y Reglas en la Gestión de la Seguridad de la Información
![Page 7: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/7.jpg)
Inputs del modelo
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 7
¿Siguiente paso?
Matriz de pérdidas
unitarias s/ amenaza
![Page 8: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/8.jpg)
Conferencia anterior…
Análisis CUALITATIVO
del Riesgo
Análisis CUANTITATIVO
del Riesgo
Evaluación del Riesgo
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 8 Y porqué no!
![Page 9: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/9.jpg)
Algunas T&H cuantitativas
M.Sc., Ing. P.A. Ortiz, PMP
Fuzzy Logic
Latin Hypercube
Análisis de Sensibilidad
Simulación Monte Carlo
Distribuciones de Probabilidad
sep-15
Análisis: “Qué pasa si…?”
Análisis de Escenarios
Redes Bayesianas
Árboles de decisión
9
entre otras..
![Page 10: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/10.jpg)
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 10
Ejemplo de Análisis de Sensibilidad
4 Entradas
1 Salida
Modelo: Monto Cuota = f(MP, TI, CA, NP)
Variables salida (dependientes)
Variables entrada (independientes)
Préstamo Monto del Préstamo U$S 32.000
Tasa de Interés Anual 8,0%
Cantidad de Años 10
Nro. de Pagos (p/Año) 12
Monto de la Cuota $ 388,25
![Page 11: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/11.jpg)
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 11
Análisis de Sensibilidad en Excel
Se varía la Cantidad de Años y analiza el impacto
![Page 12: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/12.jpg)
Análisis de Escenarios
M.Sc., Ing. P.A. Ortiz, PMP 12
La limitación del Análisis de Sensibilidad de trabajar una variable a la vez se subsana al considerar distintos escenarios donde un conjunto de variables pueden cambiar, resultando en un cambio colectivo en el resultado.
sep-15
![Page 13: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/13.jpg)
Escenarios
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 13
Peor (-10%) Base Mejor (+10%) Monto del Préstamo U$S 28.800 U$S 32.000 U$S 35.200
Tasa de Interés Anual 7,20% 8,00% 8,80%
Cantidad de Años 9 10 11
Nro. de Pagos (p/Año) 10,8 12 13,2
![Page 14: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/14.jpg)
Resultado
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 14
$374,85
$416,60
$349,42
$431,49
$401,91
$365,29
$427,07
$352,88
U$S340 U$S350 U$S360 U$S370 U$S380 U$S390 U$S400 U$S410 U$S420 U$S430 U$S440
Tasa de Interés Anual
Cantidad de Años
Monto del Préstamo
Nro. de Pagos (p/Año)
Monto de la Cuota
Diagrama de Tornado
![Page 15: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/15.jpg)
Las limitaciones y la alternativa MC
Quantitative risk analysis (QRA), using Monte Carlo simulation, is similar to "what if" scenarios in that it generates a number of possible scenarios. However, it goes one step further by effectively accounting for every possible value that each variable could take and weighting each possible scenario by the probability of its occurrence. QRA achieves this by modelling each variable within a model by a probability distribution.
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 15
Vose, D., 2000
![Page 16: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/16.jpg)
Simulación Monte Carlo para la evaluación del riesgo
M.Sc., Ing. P.A. Ortiz, PMP 16
“We balance probabilities and choose the most likely. It is the scientific use of the imagination”
A. Conan Doyle. The Hound of the Baskervilles (1902)
sep-15
![Page 17: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/17.jpg)
¿Qué es la simulación Monte Carlo?
Método computacional usado para estudiar el comportamiento de sistemas matemáticos, físicos o de cualquier índole, a partir del uso de muestreo estadístico, números aleatorios y seudo-aleatorios.
Es iterativo ⇒ requiere cálculos por computador.
Desarrollado por S. Ulam y J. Von Neumann en 1949
sep-15 17 M.Sc., Ing. P.A. Ortiz, PMP
![Page 18: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/18.jpg)
Introducción al Método Monte Carlo
El método Monte Carlo básicamente es una forma de resolver problemas complejos mediante aproximaciones usando gran cantidad de números aleatorios.
M.Sc., Ing. P.A. Ortiz, PMP 18 sep-15
The first thoughts and attempts I made to practice [the Monte Carlo Method] were suggested by a question which occurred to me in 1946 as I was convalescing from an illness and playing solitaires. The question was what are the chances that a Canfield solitaire laid out with 52 cards will come out successfully? After spending a lot of time trying to estimate them by pure combinatorial calculations, I wondered whether a more practical method than "abstract thinking" might not be to lay it out say one hundred times and simply observe and count the number of successful plays.
Ulam, S.
![Page 19: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/19.jpg)
Ejemplo: Aproximación de 𝜋 por el MMC
-1 -0,5 0 0,5 1
1
0.5
0
-0.5
-1
Área Círculo = π r2 = π
Área Cuadrado= L2= 4 L = 2
Área Círculo = π Área Cuadrado 4 4 * Área Círculo = π Área Cuadrado
Si n es grande podemos pensar que es válida la aprox.:
4 *puntos_en_el_circulo ≈ π n (total de ptos.)
𝑟 = 1
Referencia: http://twtmas.mpei.ac.ru/mas/Worksheets/approxpi.mcd
sep-15 19 M.Sc., Ing. P.A. Ortiz, PMP
![Page 20: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/20.jpg)
M.Sc., Ing. P.A. Ortiz, PMP 20
¿Qué podemos deducir?. Pasos
1. Crear un modelo paramétrico
𝑦 = 𝑓(𝑥1, … , 𝑥 𝑛)
2. Generar un conjunto de
números aleatorios 𝑥1, . . , 𝑥𝑛
3. Evaluar el modelo y guardar el
resultado como yk
4. Repetir los pasos 2 a 3 para
k= 1 a n
5. Analizar los resultados usando
histogramas, intervalos de
confianza, etc.
4 × 𝑝𝑢𝑛𝑡𝑜𝑠_𝑐𝑖𝑟𝑐𝑢𝑙𝑜 𝑛 ~𝜋
Se generan nros. aleatorios con distribución uniforme para x => g(x1) ; g(x2) ; …. g(xn) ;
aprox_𝜋 ∶ 𝑦𝑘 = 𝑓(𝑔(𝑥𝑘))
𝑒𝑟𝑟 = | 𝑎𝑝𝑟𝑜𝑥_𝜋 – 𝜋|
sep-15
![Page 21: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/21.jpg)
Resumiendo..
James F. Wright, 2002 21 M.Sc., Ing. P.A. Ortiz, PMP sep-15
gi(x)
![Page 22: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/22.jpg)
El MMC y la Evaluación de Riesgo
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 22
![Page 23: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/23.jpg)
Retorno al problema
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 23
Los valores marcados en verde son los dominantes porque fueron los que recibieron mayores respuestas afirmativas entre los stakeholders entrevistados. No obstante estos valores son estimaciones.
Usaremos la Simulación Monte Carlo para el nivel de riesgo bajo condiciones de incertidumbre
![Page 24: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/24.jpg)
Primer paso
1. Crear un modelo paramétrico 𝑦 = 𝑓(𝑥1, … , 𝑥 𝑛)
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 24
Modelo
![Page 25: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/25.jpg)
Modelo. Horse Races
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 25
Si x<0.3 Gana el #1
Si 0.3≤x<0.7 Gana el #6
Si 0.7≤x<0.9 Gana el #5
Si 0.9≤x≤1 Gana el #3
x número aleatorio
Supongamos 4 caballos (#1, #6, #5, #3) que son los favoritos en la carrera de fondo y se quiere saber a cuál apostar. Estos han corrido muchas veces por lo que se dispone de información histórica. El #1 ha ganado el 30% de las veces, el #6 el 40% de las veces, el #5 el 20% de las veces y el #3 el 10% de las veces. Podemos simular los resultados de una carrera de la siguiente forma.
![Page 26: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/26.jpg)
Modelo. Horse Races
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 26
Con fondo verde se indica el valor mas probable
![Page 27: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/27.jpg)
Pasos 2, 3 y 4.
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 27
…………………………………………..
𝑥𝑖 𝑦𝑖
𝑟𝑒𝑝𝑒𝑡𝑖𝑟 𝑛 𝑣𝑒𝑐𝑒𝑠
Recuerden: “every possible value that each variable could take and weighting each possible scenario by the probability of its occurrence”
![Page 28: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/28.jpg)
Paso 5. Analizar los resultados
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 28
![Page 29: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/29.jpg)
En resumen
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 29
Con el método Monte Carlo es posible que el equipo de riesgo simule diferentes escenarios que les permita realizar estimaciones de todas los posibles situaciones futuras. Corriendo distintos escenarios se tiene la posibilidad de manejar la incertidumbre del futuro y pensar en términos futuros.
Basados en los resultados generados por los escenarios se reducen los riesgos de inversión y se eligen cuáles serán los controles destinados a reducir los riesgos
![Page 30: Gestión Cuantitativas de la Inccertidumbre en los …m.isaca.org/chapters8/Montevideo/cigras/Documents... · Resumen sep-15 M.Sc., Ing. P.A. Ortiz, PMP 2 ... Análisis de Sensibilidad](https://reader031.vdocuments.co/reader031/viewer/2022021713/5bafad2509d3f274188c7ab9/html5/thumbnails/30.jpg)
M.Sc., Ing. P.A. Ortiz, PMP 30 sep-15
Solum certum nihil esse certi La única certidumbre es la incertidumbre
Plinio el Viejo, Historia Naturalis, Libro ii, 7