El Método Monte Carlo en la evaluación de riesgos de la SI
-
Upload
pa-ortiz-bochard -
Category
Technology
-
view
834 -
download
1
Transcript of El Método Monte Carlo en la evaluación de riesgos de la SI
-
El mtodo Monte Carlo en la evaluacin de riesgos
de la Seguridad de la Informacin
VI Congreso Internacional sobre Gobierno, Riesgos, Auditora y Seguridad
de la Informacin
Ing. P.A. Ortiz, M.Sc., PMPSet-2015
-
Agenda
Objetivo El problema Inputs del modelo Algunas T&H cuantitativas Simulacin Monte Carlo Retorno al problema Resumen
M.Sc., Ing. P.A. Ortiz, PMP 2set-15
Education never ends Watson. It is a series of lessons with the greatest for the last
Sherlock Holmes, The red circle, 1917
-
Objetivo
Conocer los fundamentosde una de lasherramientas principalespara la evaluacincuantitativa de los riesgosen la SI: el mtodo MonteCarlo.
M.Sc., Ing. P.A. Ortiz, PMP 3set-15
-
set-15 M.Sc., Ing. P.A. Ortiz, PMP 4
Burtescu, E., 2012
-
El Problema
De acuerdo a la norma ISO 73 el riesgo es la combinacin entre la probabilidad que ocurra un evento y la probabilidad que el evento ocurra. En el campo de IS el riesgo es identificado como una amenaza que puede explotar la potencial debilidad de un sistema y que se mide por su prdida o dao causado
set-15 M.Sc., Ing. P.A. Ortiz, PMP 5
Consciente de este problema la empresa ABC Logistic ha contratado a la consultora C&R Consulting para que las ayude a crear un plan que gestione estos riesgos.
-
set-15 M.Sc., Ing. P.A. Ortiz, PMP 6
Fuente: Microsoft. The Security Risk Management Guide.
Roles y Reglas en la Gestin de la Seguridad de la Informacin
-
Inputs del modelo
set-15 M.Sc., Ing. P.A. Ortiz, PMP 7
Siguiente paso?
Matriz de
amenaza
Matriz de prdidas
unitarias s/ amenaza
-
Conferencia anterior
Anlisis CUALITATIVO
del Riesgo
Anlisis CUANTITATIVO
del Riesgo
Evaluacin del Riesgo
set-15 M.Sc., Ing. P.A. Ortiz, PMP 8Y porqu no!
-
Algunas T&H cuantitativas
M.Sc., Ing. P.A. Ortiz, PMP
Fuzzy Logic
LatinHypercube
Anlisis de Sensibilidad
SimulacinMonte Carlo
Distribuciones de Probabilidad
set-15
Anlisis: Qu pasa si?
Anlisis de Escenarios
Redes Bayesianas
rboles de decisin
9
entre otras..
-
set-15 M.Sc., Ing. P.A. Ortiz, PMP 10
Ejemplo de Anlisis de Sensibilidad
4 Entradas
1 Salida
Modelo: Monto Cuota = f(MP, TI, CA, NP)
Variables salida(dependientes)
Variables entrada (independientes)
Prstamo Monto del Prstamo U$S 32.000 Tasa de Inters Anual 8,0%Cantidad de Aos 10Nro. de Pagos (p/Ao) 12
Monto de la Cuota $ 388,25
-
set-15 M.Sc., Ing. P.A. Ortiz, PMP 11
Anlisis de Sensibilidad en Excel
Se vara la Cantidad de Aos y analiza el impacto
-
Anlisis de Escenarios
M.Sc., Ing. P.A. Ortiz, PMP 12
La limitacin del Anlisis de Sensibilidad de trabajar una variable a la vez se subsana al considerar distintos escenarios donde un conjunto de variables pueden cambiar, resultando en un cambio colectivo en el resultado.
set-15
-
Escenarios
set-15 M.Sc., Ing. P.A. Ortiz, PMP 13
Peor (-10%) Base Mejor (+10%)Monto del Prstamo U$S 28.800 U$S 32.000 U$S 35.200 Tasa de Inters Anual 7,20% 8,00% 8,80%Cantidad de Aos 9 10 11Nro. de Pagos (p/Ao) 10,8 12 13,2
-
Resultado
set-15 M.Sc., Ing. P.A. Ortiz, PMP 14
$374,85
$416,60
$349,42
$431,49
$401,91
$365,29
$427,07
$352,88
U$S340 U$S350 U$S360 U$S370 U$S380 U$S390 U$S400 U$S410 U$S420 U$S430 U$S440
Tasa de Inters Anual
Cantidad de Aos
Monto del Prstamo
Nro. de Pagos (p/Ao)
Monto de la Cuota
Diagrama de Tornado
-
Las limitaciones y la alternativa MC
Quantitative risk analysis (QRA), using Monte Carlo simulation, is similar to "what if" scenarios in that it generates a number of possible scenarios. However, it goes one step further by effectively accounting for every possible value that each variable could take andweighting each possible scenario by the probability of its occurrence. QRA achieves this by modelling each variable within a model by a probability distribution.
set-15 M.Sc., Ing. P.A. Ortiz, PMP 15
Vose, D., 2000
-
Simulacin Monte Carlo para la evaluacin del riesgo
M.Sc., Ing. P.A. Ortiz, PMP 16
We balance probabilities and choose the most likely. It is the scientific use of the imagination
A. Conan Doyle. The Hound of the Baskervilles (1902)
set-15
-
Qu es la simulacin Monte Carlo?
Mtodo computacional usado para estudiar el comportamiento de sistemas matemticos, fsicos o de cualquier ndole, a partir del uso de muestreo estadstico, nmeros aleatorios y seudo-aleatorios.
Es iterativo requiere clculos por computador.
Desarrollado por S. Ulam y J. Von Neumann en 1949
set-15 17M.Sc., Ing. P.A. Ortiz, PMP
-
Introduccin al Mtodo Monte CarloEl mtodo Monte Carlo bsicamente es una forma de resolver problemas complejos mediante aproximacionesusando gran cantidad de nmeros aleatorios.
M.Sc., Ing. P.A. Ortiz, PMP 18set-15
The first thoughts and attempts I made to practice [the Monte Carlo Method] were suggested by a question which occurred to me in 1946 as I was convalescing from an illness and playing solitaires. The question was what are the chances that a Canfield solitaire laid out with 52 cards will come out successfully? After spending a lot of time trying to estimate them by pure combinatorial calculations, I wondered whether a more practical method than "abstract thinking" might not be to lay it out say one hundred times and simply observe and count the number of successful plays.
Ulam, S.
-
Ejemplo: Aproximacin de por el MMC
-1 -0,5 0 0,5 1
1
0.5
0
-0.5
-1
rea Crculo = r2 =
rea Cuadrado= L2= 4L = 2
rea Crculo = rea Cuadrado 4
4 * rea Crculo = rea Cuadrado
Si n es grande podemos pensar que es vlida la aprox.:
4 *puntos_en_el_circulo n (total de ptos.)
= 1
Referencia: http://twtmas.mpei.ac.ru/mas/Worksheets/approxpi.mcdset-15 19M.Sc., Ing. P.A. Ortiz, PMP
-
M.Sc., Ing. P.A. Ortiz, PMP 20
Qu podemos deducir?. Pasos
1. Crear un modelo paramtrico = 1, ,
2. Generar un conjunto de nmeros aleatorios , . . ,
3. Evaluar el modelo y guardar el resultado como y k
4. Repetir los pasos 2 a 3 para k= 1 a n
5. Analizar los resultados usando histogramas, intervalos de confianza, etc.
4 _ ~
Se generan nros. aleatorios con distribucin uniforme para x => g(x1) ; g(x2) ; . g(xn) ;
aprox_ !
" |$_ |" |$_ |
set-15
-
Resumiendo..
James F. Wright, 2002 21M.Sc., Ing. P.A. Ortiz, PMPset-15
gi(x)
-
El MMC y la Evaluacin de Riesgo
set-15 M.Sc., Ing. P.A. Ortiz, PMP 22
-
Retorno al problema
set-15 M.Sc., Ing. P.A. Ortiz, PMP 23
Los valores marcados en verde son los dominantes porque fueron los que recibieron mayores respuestas afirmativas entre los stakeholders entrevistados.
No obstante estos valores son estimaciones.
Usaremos la Simulacin Monte Carlo para el nivel de riesgo bajo condiciones de incertidumbre
-
Primer paso
1. Crear un modelo paramtrico = 1, ,
set-15 M.Sc., Ing. P.A. Ortiz, PMP 24
Modelo
-
Modelo. Horse Races
set-15 M.Sc., Ing. P.A. Ortiz, PMP 25
Si x
-
Modelo. Horse Races
set-15 M.Sc., Ing. P.A. Ortiz, PMP 26
Con fondo verde se indica el valor mas probable
-
Pasos 2, 3 y 4.
set-15 M.Sc., Ing. P.A. Ortiz, PMP 27
..
&& &&
""
'""
""
'""
Recuerden: every possible valuethat each variable could take and weighting each possible scenario by the probability of its occurrence
-
Paso 5. Analizar los resultados
set-15 M.Sc., Ing. P.A. Ortiz, PMP 28
-
En resumen
set-15 M.Sc., Ing. P.A. Ortiz, PMP 29
Con el mtodo Monte Carlo es posible que el equipo de riesgo simule diferentes escenarios que les permita realizar estimaciones de todas los posibles situaciones futuras. Corriendo distintos escenarios se tiene la posibilidad de manejar la incertidumbre del futuro y pensar en trminos futuros.
Basados en los resultados generados por los escenarios se reducen los riesgos de inversin y se eligen cules sern los controles destinados a reducir los riesgos
-
M.Sc., Ing. P.A. Ortiz, PMP 30set-15
Solum certum nihil esse certi
La nica certidumbre es la incertidumbre
Plinio el Viejo, Historia Naturalis, Libro ii, 7