El mtodo Monte Carlo en la evaluacin de riesgos

de la Seguridad de la Informacin

VI Congreso Internacional sobre Gobierno, Riesgos, Auditora y Seguridad

de la Informacin

Ing. P.A. Ortiz, M.Sc., PMPSet-2015

Agenda

Objetivo El problema Inputs del modelo Algunas T&H cuantitativas Simulacin Monte Carlo Retorno al problema Resumen

M.Sc., Ing. P.A. Ortiz, PMP 2set-15

Education never ends Watson. It is a series of lessons with the greatest for the last

Sherlock Holmes, The red circle, 1917

Objetivo

Conocer los fundamentosde una de lasherramientas principalespara la evaluacincuantitativa de los riesgosen la SI: el mtodo MonteCarlo.

M.Sc., Ing. P.A. Ortiz, PMP 3set-15

set-15 M.Sc., Ing. P.A. Ortiz, PMP 4

Burtescu, E., 2012

El Problema

De acuerdo a la norma ISO 73 el riesgo es la combinacin entre la probabilidad que ocurra un evento y la probabilidad que el evento ocurra. En el campo de IS el riesgo es identificado como una amenaza que puede explotar la potencial debilidad de un sistema y que se mide por su prdida o dao causado

set-15 M.Sc., Ing. P.A. Ortiz, PMP 5

Consciente de este problema la empresa ABC Logistic ha contratado a la consultora C&R Consulting para que las ayude a crear un plan que gestione estos riesgos.

set-15 M.Sc., Ing. P.A. Ortiz, PMP 6

Fuente: Microsoft. The Security Risk Management Guide.

Roles y Reglas en la Gestin de la Seguridad de la Informacin

Inputs del modelo

set-15 M.Sc., Ing. P.A. Ortiz, PMP 7

Siguiente paso?

Matriz de

amenaza

Matriz de prdidas

unitarias s/ amenaza

Conferencia anterior

Anlisis CUALITATIVO

del Riesgo

Anlisis CUANTITATIVO

del Riesgo

Evaluacin del Riesgo

set-15 M.Sc., Ing. P.A. Ortiz, PMP 8Y porqu no!

Algunas T&H cuantitativas

M.Sc., Ing. P.A. Ortiz, PMP

Fuzzy Logic

LatinHypercube

Anlisis de Sensibilidad

SimulacinMonte Carlo

Distribuciones de Probabilidad

set-15

Anlisis: Qu pasa si?

Anlisis de Escenarios

Redes Bayesianas

rboles de decisin

9

entre otras..

set-15 M.Sc., Ing. P.A. Ortiz, PMP 10

Ejemplo de Anlisis de Sensibilidad

4 Entradas

1 Salida

Modelo: Monto Cuota = f(MP, TI, CA, NP)

Variables salida(dependientes)

Variables entrada (independientes)

Prstamo Monto del Prstamo U$S 32.000 Tasa de Inters Anual 8,0%Cantidad de Aos 10Nro. de Pagos (p/Ao) 12

Monto de la Cuota $ 388,25

set-15 M.Sc., Ing. P.A. Ortiz, PMP 11

Anlisis de Sensibilidad en Excel

Se vara la Cantidad de Aos y analiza el impacto

Anlisis de Escenarios

M.Sc., Ing. P.A. Ortiz, PMP 12

La limitacin del Anlisis de Sensibilidad de trabajar una variable a la vez se subsana al considerar distintos escenarios donde un conjunto de variables pueden cambiar, resultando en un cambio colectivo en el resultado.

set-15

Escenarios

set-15 M.Sc., Ing. P.A. Ortiz, PMP 13

Peor (-10%) Base Mejor (+10%)Monto del Prstamo U$S 28.800 U$S 32.000 U$S 35.200 Tasa de Inters Anual 7,20% 8,00% 8,80%Cantidad de Aos 9 10 11Nro. de Pagos (p/Ao) 10,8 12 13,2

Resultado

set-15 M.Sc., Ing. P.A. Ortiz, PMP 14

$374,85

$416,60

$349,42

$431,49

$401,91

$365,29

$427,07

$352,88

U$S340 U$S350 U$S360 U$S370 U$S380 U$S390 U$S400 U$S410 U$S420 U$S430 U$S440

Tasa de Inters Anual

Cantidad de Aos

Monto del Prstamo

Nro. de Pagos (p/Ao)

Monto de la Cuota

Diagrama de Tornado

Las limitaciones y la alternativa MC

Quantitative risk analysis (QRA), using Monte Carlo simulation, is similar to "what if" scenarios in that it generates a number of possible scenarios. However, it goes one step further by effectively accounting for every possible value that each variable could take andweighting each possible scenario by the probability of its occurrence. QRA achieves this by modelling each variable within a model by a probability distribution.

set-15 M.Sc., Ing. P.A. Ortiz, PMP 15

Vose, D., 2000

Simulacin Monte Carlo para la evaluacin del riesgo

M.Sc., Ing. P.A. Ortiz, PMP 16

We balance probabilities and choose the most likely. It is the scientific use of the imagination

A. Conan Doyle. The Hound of the Baskervilles (1902)

set-15

Qu es la simulacin Monte Carlo?

Mtodo computacional usado para estudiar el comportamiento de sistemas matemticos, fsicos o de cualquier ndole, a partir del uso de muestreo estadstico, nmeros aleatorios y seudo-aleatorios.

Es iterativo requiere clculos por computador.

Desarrollado por S. Ulam y J. Von Neumann en 1949

set-15 17M.Sc., Ing. P.A. Ortiz, PMP

Introduccin al Mtodo Monte CarloEl mtodo Monte Carlo bsicamente es una forma de resolver problemas complejos mediante aproximacionesusando gran cantidad de nmeros aleatorios.

M.Sc., Ing. P.A. Ortiz, PMP 18set-15

The first thoughts and attempts I made to practice [the Monte Carlo Method] were suggested by a question which occurred to me in 1946 as I was convalescing from an illness and playing solitaires. The question was what are the chances that a Canfield solitaire laid out with 52 cards will come out successfully? After spending a lot of time trying to estimate them by pure combinatorial calculations, I wondered whether a more practical method than "abstract thinking" might not be to lay it out say one hundred times and simply observe and count the number of successful plays.

Ulam, S.

Ejemplo: Aproximacin de por el MMC

-1 -0,5 0 0,5 1

1

0.5

0

-0.5

-1

rea Crculo = r2 =

rea Cuadrado= L2= 4L = 2

rea Crculo = rea Cuadrado 4

4 * rea Crculo = rea Cuadrado

Si n es grande podemos pensar que es vlida la aprox.:

4 *puntos_en_el_circulo n (total de ptos.)

= 1

Referencia: http://twtmas.mpei.ac.ru/mas/Worksheets/approxpi.mcdset-15 19M.Sc., Ing. P.A. Ortiz, PMP

M.Sc., Ing. P.A. Ortiz, PMP 20

Qu podemos deducir?. Pasos

1. Crear un modelo paramtrico = 1, ,

2. Generar un conjunto de nmeros aleatorios , . . ,

3. Evaluar el modelo y guardar el resultado como y k

4. Repetir los pasos 2 a 3 para k= 1 a n

5. Analizar los resultados usando histogramas, intervalos de confianza, etc.

4 _ ~

Se generan nros. aleatorios con distribucin uniforme para x => g(x1) ; g(x2) ; . g(xn) ;

aprox_ !

" |$_ |" |$_ |

set-15

Resumiendo..

James F. Wright, 2002 21M.Sc., Ing. P.A. Ortiz, PMPset-15

gi(x)

El MMC y la Evaluacin de Riesgo

set-15 M.Sc., Ing. P.A. Ortiz, PMP 22

Retorno al problema

set-15 M.Sc., Ing. P.A. Ortiz, PMP 23

Los valores marcados en verde son los dominantes porque fueron los que recibieron mayores respuestas afirmativas entre los stakeholders entrevistados.

No obstante estos valores son estimaciones.

Usaremos la Simulacin Monte Carlo para el nivel de riesgo bajo condiciones de incertidumbre

Primer paso

1. Crear un modelo paramtrico = 1, ,

set-15 M.Sc., Ing. P.A. Ortiz, PMP 24

Modelo

Modelo. Horse Races

set-15 M.Sc., Ing. P.A. Ortiz, PMP 25

Si x

Modelo. Horse Races

set-15 M.Sc., Ing. P.A. Ortiz, PMP 26

Con fondo verde se indica el valor mas probable

Pasos 2, 3 y 4.

set-15 M.Sc., Ing. P.A. Ortiz, PMP 27

..

&& &&

""

'""

""

'""

Recuerden: every possible valuethat each variable could take and weighting each possible scenario by the probability of its occurrence

Paso 5. Analizar los resultados

set-15 M.Sc., Ing. P.A. Ortiz, PMP 28

En resumen

set-15 M.Sc., Ing. P.A. Ortiz, PMP 29

Con el mtodo Monte Carlo es posible que el equipo de riesgo simule diferentes escenarios que les permita realizar estimaciones de todas los posibles situaciones futuras. Corriendo distintos escenarios se tiene la posibilidad de manejar la incertidumbre del futuro y pensar en trminos futuros.

Basados en los resultados generados por los escenarios se reducen los riesgos de inversin y se eligen cules sern los controles destinados a reducir los riesgos

M.Sc., Ing. P.A. Ortiz, PMP 30set-15

Solum certum nihil esse certi

La nica certidumbre es la incertidumbre

Plinio el Viejo, Historia Naturalis, Libro ii, 7