Gestión Cuantitativas de la Inccertidumbre en los...

El método Monte Carlo en la evaluación de riesgos

de la Seguridad de la Información

VI Congreso Internacional sobre Gobierno, Riesgos, Auditoría y Seguridad

de la Información

Ing. P.A. Ortiz, M.Sc., PMP Set-2015

Agenda

Objetivo El problema… Inputs del modelo Algunas T&H cuantitativas Simulación Monte Carlo Retorno al problema Resumen

M.Sc., Ing. P.A. Ortiz, PMP 2 sep-15

“Education never ends Watson. It is a series

of lessons with the greatest for the last” Sherlock Holmes, The red circle, 1917

Objetivo

Conocer los fundamentos de una de las herramientas principales para la evaluación cuantitativa de los riesgos en la SI: el método Monte Carlo.


sep-15 M.Sc., Ing. P.A. Ortiz, PMP 4

Burtescu, E., 2012

El Problema…

De acuerdo a la norma ISO 73 el riesgo es la combinación entre la probabilidad que ocurra un evento y la probabilidad que el evento ocurra. En el campo de IS el riesgo es identificado como una amenaza que puede explotar la potencial debilidad de un sistema y que se mide por su pérdida o daño causado


• Consciente de este problema la empresa ABC Logistic ha contratado a la consultora C&R Consulting para que las ayude a crear un plan que gestione estos riesgos.


Fuente: Microsoft. The Security Risk Management Guide.

Roles y Reglas en la Gestión de la Seguridad de la Información

Inputs del modelo


¿Siguiente paso?

Matriz de pérdidas

unitarias s/ amenaza

Conferencia anterior…

Análisis CUALITATIVO

del Riesgo

Análisis CUANTITATIVO

del Riesgo

Evaluación del Riesgo

sep-15 M.Sc., Ing. P.A. Ortiz, PMP 8 Y porqué no!

Algunas T&H cuantitativas

M.Sc., Ing. P.A. Ortiz, PMP

Fuzzy Logic

Latin Hypercube

Análisis de Sensibilidad

Simulación Monte Carlo

Distribuciones de Probabilidad

sep-15

Análisis: “Qué pasa si…?”

Análisis de Escenarios

Redes Bayesianas

Árboles de decisión

9

entre otras..


Ejemplo de Análisis de Sensibilidad

4 Entradas

1 Salida

Modelo: Monto Cuota = f(MP, TI, CA, NP)

Variables salida (dependientes)

Variables entrada (independientes)

Préstamo Monto del Préstamo U$S 32.000

Tasa de Interés Anual 8,0%

Cantidad de Años 10

Nro. de Pagos (p/Año) 12

Monto de la Cuota $ 388,25


Análisis de Sensibilidad en Excel

Se varía la Cantidad de Años y analiza el impacto

Análisis de Escenarios

M.Sc., Ing. P.A. Ortiz, PMP 12

La limitación del Análisis de Sensibilidad de trabajar una variable a la vez se subsana al considerar distintos escenarios donde un conjunto de variables pueden cambiar, resultando en un cambio colectivo en el resultado.

sep-15

Escenarios


Peor (-10%) Base Mejor (+10%) Monto del Préstamo U$S 28.800 U$S 32.000 U$S 35.200

Tasa de Interés Anual 7,20% 8,00% 8,80%

Cantidad de Años 9 10 11

Nro. de Pagos (p/Año) 10,8 12 13,2

Resultado


$374,85

$416,60

$349,42

$431,49

$401,91

$365,29

$427,07

$352,88

U$S340 U$S350 U$S360 U$S370 U$S380 U$S390 U$S400 U$S410 U$S420 U$S430 U$S440

Tasa de Interés Anual

Cantidad de Años

Monto del Préstamo

Nro. de Pagos (p/Año)

Monto de la Cuota

Diagrama de Tornado

Las limitaciones y la alternativa MC

Quantitative risk analysis (QRA), using Monte Carlo simulation, is similar to "what if" scenarios in that it generates a number of possible scenarios. However, it goes one step further by effectively accounting for every possible value that each variable could take and weighting each possible scenario by the probability of its occurrence. QRA achieves this by modelling each variable within a model by a probability distribution.


Vose, D., 2000

Simulación Monte Carlo para la evaluación del riesgo


“We balance probabilities and choose the most likely. It is the scientific use of the imagination”

A. Conan Doyle. The Hound of the Baskervilles (1902)

sep-15

¿Qué es la simulación Monte Carlo?

Método computacional usado para estudiar el comportamiento de sistemas matemáticos, físicos o de cualquier índole, a partir del uso de muestreo estadístico, números aleatorios y seudo-aleatorios.

Es iterativo ⇒ requiere cálculos por computador.

Desarrollado por S. Ulam y J. Von Neumann en 1949

sep-15 17 M.Sc., Ing. P.A. Ortiz, PMP

Introducción al Método Monte Carlo

El método Monte Carlo básicamente es una forma de resolver problemas complejos mediante aproximaciones usando gran cantidad de números aleatorios.


The first thoughts and attempts I made to practice [the Monte Carlo Method] were suggested by a question which occurred to me in 1946 as I was convalescing from an illness and playing solitaires. The question was what are the chances that a Canfield solitaire laid out with 52 cards will come out successfully? After spending a lot of time trying to estimate them by pure combinatorial calculations, I wondered whether a more practical method than "abstract thinking" might not be to lay it out say one hundred times and simply observe and count the number of successful plays.

Ulam, S.

https://en.wikipedia.org/wiki/Canfield_(solitaire)

Ejemplo: Aproximación de 𝜋 por el MMC

-1 -0,5 0 0,5 1

1

0.5

0

-0.5

-1

Área Círculo = π r2 = π

Área Cuadrado= L2= 4 L = 2

Área Círculo = π Área Cuadrado 4 4 * Área Círculo = π Área Cuadrado

Si n es grande podemos pensar que es válida la aprox.:

4 *puntos_en_el_circulo ≈ π n (total de ptos.)

𝑟 = 1

Referencia: http://twtmas.mpei.ac.ru/mas/Worksheets/approxpi.mcd

sep-15 19 M.Sc., Ing. P.A. Ortiz, PMP

http://twtmas.mpei.ac.ru/mas/Worksheets/approxpi.mcd


¿Qué podemos deducir?. Pasos

1. Crear un modelo paramétrico

𝑦 = 𝑓(𝑥1, … , 𝑥 𝑛)

2. Generar un conjunto de

números aleatorios 𝑥1, . . , 𝑥𝑛

3. Evaluar el modelo y guardar el

resultado como yk

4. Repetir los pasos 2 a 3 para

k= 1 a n

5. Analizar los resultados usando

histogramas, intervalos de

confianza, etc.

4 × 𝑝𝑢𝑛𝑡𝑜𝑠_𝑐𝑖𝑟𝑐𝑢𝑙𝑜 𝑛 ~𝜋

Se generan nros. aleatorios con distribución uniforme para x => g(x1) ; g(x2) ; …. g(xn) ;

aprox_𝜋 ∶ 𝑦𝑘 = 𝑓(𝑔(𝑥𝑘))

𝑒𝑟𝑟 = | 𝑎𝑝𝑟𝑜𝑥_𝜋 – 𝜋|

sep-15

Resumiendo..

James F. Wright, 2002 21 M.Sc., Ing. P.A. Ortiz, PMP sep-15

gi(x)

El MMC y la Evaluación de Riesgo


Retorno al problema


Los valores marcados en verde son los dominantes porque fueron los que recibieron mayores respuestas afirmativas entre los stakeholders entrevistados. No obstante estos valores son estimaciones.

Usaremos la Simulación Monte Carlo para el nivel de riesgo bajo condiciones de incertidumbre

Primer paso

1. Crear un modelo paramétrico 𝑦 = 𝑓(𝑥1, … , 𝑥 𝑛)


Modelo

Modelo. Horse Races


Si x<0.3 Gana el #1

Si 0.3≤x<0.7 Gana el #6

Si 0.7≤x<0.9 Gana el #5

Si 0.9≤x≤1 Gana el #3

x número aleatorio

Supongamos 4 caballos (#1, #6, #5, #3) que son los favoritos en la carrera de fondo y se quiere saber a cuál apostar. Estos han corrido muchas veces por lo que se dispone de información histórica. El #1 ha ganado el 30% de las veces, el #6 el 40% de las veces, el #5 el 20% de las veces y el #3 el 10% de las veces. Podemos simular los resultados de una carrera de la siguiente forma.

Modelo. Horse Races


Con fondo verde se indica el valor mas probable

Pasos 2, 3 y 4.


…………………………………………..

𝑥𝑖 𝑦𝑖

𝑟𝑒𝑝𝑒𝑡𝑖𝑟 𝑛 𝑣𝑒𝑐𝑒𝑠

Recuerden: “every possible value that each variable could take and weighting each possible scenario by the probability of its occurrence”

Paso 5. Analizar los resultados


En resumen


Con el método Monte Carlo es posible que el equipo de riesgo simule diferentes escenarios que les permita realizar estimaciones de todas los posibles situaciones futuras. Corriendo distintos escenarios se tiene la posibilidad de manejar la incertidumbre del futuro y pensar en términos futuros.

Basados en los resultados generados por los escenarios se reducen los riesgos de inversión y se eligen cuáles serán los controles destinados a reducir los riesgos


Solum certum nihil esse certi La única certidumbre es la incertidumbre

Plinio el Viejo, Historia Naturalis, Libro ii, 7

Gestión Cuantitativas de la Inccertidumbre en los...

Documents

Transcript of Gestión Cuantitativas de la Inccertidumbre en los...