El método Monte Carlo en la evaluación de riesgos
de la Seguridad de la Información
VI Congreso Internacional sobre Gobierno, Riesgos, Auditoría y Seguridad
de la Información
Ing. P.A. Ortiz, M.Sc., PMP Set-2015
Agenda
Objetivo El problema… Inputs del modelo Algunas T&H cuantitativas Simulación Monte Carlo Retorno al problema Resumen
M.Sc., Ing. P.A. Ortiz, PMP 2 sep-15
“Education never ends Watson. It is a series
of lessons with the greatest for the last” Sherlock Holmes, The red circle, 1917
Objetivo
Conocer los fundamentos de una de las herramientas principales para la evaluación cuantitativa de los riesgos en la SI: el método Monte Carlo.
M.Sc., Ing. P.A. Ortiz, PMP 3 sep-15
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 4
Burtescu, E., 2012
El Problema…
De acuerdo a la norma ISO 73 el riesgo es la combinación entre la probabilidad que ocurra un evento y la probabilidad que el evento ocurra. En el campo de IS el riesgo es identificado como una amenaza que puede explotar la potencial debilidad de un sistema y que se mide por su pérdida o daño causado
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 5
• Consciente de este problema la empresa ABC Logistic ha contratado a la consultora C&R Consulting para que las ayude a crear un plan que gestione estos riesgos.
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 6
Fuente: Microsoft. The Security Risk Management Guide.
Roles y Reglas en la Gestión de la Seguridad de la Información
Inputs del modelo
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 7
¿Siguiente paso?
Matriz de pérdidas
unitarias s/ amenaza
Conferencia anterior…
Análisis CUALITATIVO
del Riesgo
Análisis CUANTITATIVO
del Riesgo
Evaluación del Riesgo
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 8 Y porqué no!
Algunas T&H cuantitativas
M.Sc., Ing. P.A. Ortiz, PMP
Fuzzy Logic
Latin Hypercube
Análisis de Sensibilidad
Simulación Monte Carlo
Distribuciones de Probabilidad
sep-15
Análisis: “Qué pasa si…?”
Análisis de Escenarios
Redes Bayesianas
Árboles de decisión
9
entre otras..
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 10
Ejemplo de Análisis de Sensibilidad
4 Entradas
1 Salida
Modelo: Monto Cuota = f(MP, TI, CA, NP)
Variables salida (dependientes)
Variables entrada (independientes)
Préstamo Monto del Préstamo U$S 32.000
Tasa de Interés Anual 8,0%
Cantidad de Años 10
Nro. de Pagos (p/Año) 12
Monto de la Cuota $ 388,25
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 11
Análisis de Sensibilidad en Excel
Se varía la Cantidad de Años y analiza el impacto
Análisis de Escenarios
M.Sc., Ing. P.A. Ortiz, PMP 12
La limitación del Análisis de Sensibilidad de trabajar una variable a la vez se subsana al considerar distintos escenarios donde un conjunto de variables pueden cambiar, resultando en un cambio colectivo en el resultado.
sep-15
Escenarios
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 13
Peor (-10%) Base Mejor (+10%) Monto del Préstamo U$S 28.800 U$S 32.000 U$S 35.200
Tasa de Interés Anual 7,20% 8,00% 8,80%
Cantidad de Años 9 10 11
Nro. de Pagos (p/Año) 10,8 12 13,2
Resultado
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 14
$374,85
$416,60
$349,42
$431,49
$401,91
$365,29
$427,07
$352,88
U$S340 U$S350 U$S360 U$S370 U$S380 U$S390 U$S400 U$S410 U$S420 U$S430 U$S440
Tasa de Interés Anual
Cantidad de Años
Monto del Préstamo
Nro. de Pagos (p/Año)
Monto de la Cuota
Diagrama de Tornado
Las limitaciones y la alternativa MC
Quantitative risk analysis (QRA), using Monte Carlo simulation, is similar to "what if" scenarios in that it generates a number of possible scenarios. However, it goes one step further by effectively accounting for every possible value that each variable could take and weighting each possible scenario by the probability of its occurrence. QRA achieves this by modelling each variable within a model by a probability distribution.
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 15
Vose, D., 2000
Simulación Monte Carlo para la evaluación del riesgo
M.Sc., Ing. P.A. Ortiz, PMP 16
“We balance probabilities and choose the most likely. It is the scientific use of the imagination”
A. Conan Doyle. The Hound of the Baskervilles (1902)
sep-15
¿Qué es la simulación Monte Carlo?
Método computacional usado para estudiar el comportamiento de sistemas matemáticos, físicos o de cualquier índole, a partir del uso de muestreo estadístico, números aleatorios y seudo-aleatorios.
Es iterativo ⇒ requiere cálculos por computador.
Desarrollado por S. Ulam y J. Von Neumann en 1949
sep-15 17 M.Sc., Ing. P.A. Ortiz, PMP
Introducción al Método Monte Carlo
El método Monte Carlo básicamente es una forma de resolver problemas complejos mediante aproximaciones usando gran cantidad de números aleatorios.
M.Sc., Ing. P.A. Ortiz, PMP 18 sep-15
The first thoughts and attempts I made to practice [the Monte Carlo Method] were suggested by a question which occurred to me in 1946 as I was convalescing from an illness and playing solitaires. The question was what are the chances that a Canfield solitaire laid out with 52 cards will come out successfully? After spending a lot of time trying to estimate them by pure combinatorial calculations, I wondered whether a more practical method than "abstract thinking" might not be to lay it out say one hundred times and simply observe and count the number of successful plays.
Ulam, S.
Ejemplo: Aproximación de 𝜋 por el MMC
-1 -0,5 0 0,5 1
1
0.5
0
-0.5
-1
Área Círculo = π r2 = π
Área Cuadrado= L2= 4 L = 2
Área Círculo = π Área Cuadrado 4 4 * Área Círculo = π Área Cuadrado
Si n es grande podemos pensar que es válida la aprox.:
4 *puntos_en_el_circulo ≈ π n (total de ptos.)
𝑟 = 1
Referencia: http://twtmas.mpei.ac.ru/mas/Worksheets/approxpi.mcd
sep-15 19 M.Sc., Ing. P.A. Ortiz, PMP
M.Sc., Ing. P.A. Ortiz, PMP 20
¿Qué podemos deducir?. Pasos
1. Crear un modelo paramétrico
𝑦 = 𝑓(𝑥1, … , 𝑥 𝑛)
2. Generar un conjunto de
números aleatorios 𝑥1, . . , 𝑥𝑛
3. Evaluar el modelo y guardar el
resultado como yk
4. Repetir los pasos 2 a 3 para
k= 1 a n
5. Analizar los resultados usando
histogramas, intervalos de
confianza, etc.
4 × 𝑝𝑢𝑛𝑡𝑜𝑠_𝑐𝑖𝑟𝑐𝑢𝑙𝑜 𝑛 ~𝜋
Se generan nros. aleatorios con distribución uniforme para x => g(x1) ; g(x2) ; …. g(xn) ;
aprox_𝜋 ∶ 𝑦𝑘 = 𝑓(𝑔(𝑥𝑘))
𝑒𝑟𝑟 = | 𝑎𝑝𝑟𝑜𝑥_𝜋 – 𝜋|
sep-15
Resumiendo..
James F. Wright, 2002 21 M.Sc., Ing. P.A. Ortiz, PMP sep-15
gi(x)
El MMC y la Evaluación de Riesgo
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 22
Retorno al problema
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 23
Los valores marcados en verde son los dominantes porque fueron los que recibieron mayores respuestas afirmativas entre los stakeholders entrevistados. No obstante estos valores son estimaciones.
Usaremos la Simulación Monte Carlo para el nivel de riesgo bajo condiciones de incertidumbre
Primer paso
1. Crear un modelo paramétrico 𝑦 = 𝑓(𝑥1, … , 𝑥 𝑛)
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 24
Modelo
Modelo. Horse Races
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 25
Si x<0.3 Gana el #1
Si 0.3≤x<0.7 Gana el #6
Si 0.7≤x<0.9 Gana el #5
Si 0.9≤x≤1 Gana el #3
x número aleatorio
Supongamos 4 caballos (#1, #6, #5, #3) que son los favoritos en la carrera de fondo y se quiere saber a cuál apostar. Estos han corrido muchas veces por lo que se dispone de información histórica. El #1 ha ganado el 30% de las veces, el #6 el 40% de las veces, el #5 el 20% de las veces y el #3 el 10% de las veces. Podemos simular los resultados de una carrera de la siguiente forma.
Modelo. Horse Races
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 26
Con fondo verde se indica el valor mas probable
Pasos 2, 3 y 4.
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 27
…………………………………………..
𝑥𝑖 𝑦𝑖
𝑟𝑒𝑝𝑒𝑡𝑖𝑟 𝑛 𝑣𝑒𝑐𝑒𝑠
Recuerden: “every possible value that each variable could take and weighting each possible scenario by the probability of its occurrence”
Paso 5. Analizar los resultados
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 28
En resumen
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 29
Con el método Monte Carlo es posible que el equipo de riesgo simule diferentes escenarios que les permita realizar estimaciones de todas los posibles situaciones futuras. Corriendo distintos escenarios se tiene la posibilidad de manejar la incertidumbre del futuro y pensar en términos futuros.
Basados en los resultados generados por los escenarios se reducen los riesgos de inversión y se eligen cuáles serán los controles destinados a reducir los riesgos
M.Sc., Ing. P.A. Ortiz, PMP 30 sep-15
Solum certum nihil esse certi La única certidumbre es la incertidumbre
Plinio el Viejo, Historia Naturalis, Libro ii, 7