el método monte carlo en la evaluación de riesgos de la
TRANSCRIPT
![Page 1: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/1.jpg)
El método Monte Carlo en la evaluación de riesgos
de la Seguridad de la Información
VI Congreso Internacional sobre Gobierno, Riesgos, Auditoría y Seguridad
de la Información
Ing. P.A. Ortiz, M.Sc., PMP Set-2015
![Page 2: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/2.jpg)
Agenda
Objetivo El problema… Inputs del modelo Algunas T&H cuantitativas Simulación Monte Carlo Retorno al problema Resumen
M.Sc., Ing. P.A. Ortiz, PMP 2 sep-15
“Education never ends Watson. It is a series
of lessons with the greatest for the last” Sherlock Holmes, The red circle, 1917
![Page 3: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/3.jpg)
Objetivo
Conocer los fundamentos de una de las herramientas principales para la evaluación cuantitativa de los riesgos en la SI: el método Monte Carlo.
M.Sc., Ing. P.A. Ortiz, PMP 3 sep-15
![Page 4: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/4.jpg)
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 4
Burtescu, E., 2012
![Page 5: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/5.jpg)
El Problema…
De acuerdo a la norma ISO 73 el riesgo es la combinación entre la probabilidad que ocurra un evento y la probabilidad que el evento ocurra. En el campo de IS el riesgo es identificado como una amenaza que puede explotar la potencial debilidad de un sistema y que se mide por su pérdida o daño causado
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 5
• Consciente de este problema la empresa ABC Logistic ha contratado a la consultora C&R Consulting para que las ayude a crear un plan que gestione estos riesgos.
![Page 6: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/6.jpg)
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 6
Fuente: Microsoft. The Security Risk Management Guide.
Roles y Reglas en la Gestión de la Seguridad de la Información
![Page 7: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/7.jpg)
Inputs del modelo
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 7
¿Siguiente paso?
Matriz de pérdidas
unitarias s/ amenaza
![Page 8: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/8.jpg)
Conferencia anterior…
Análisis CUALITATIVO
del Riesgo
Análisis CUANTITATIVO
del Riesgo
Evaluación del Riesgo
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 8 Y porqué no!
![Page 9: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/9.jpg)
Algunas T&H cuantitativas
M.Sc., Ing. P.A. Ortiz, PMP
Fuzzy Logic
Latin Hypercube
Análisis de Sensibilidad
Simulación Monte Carlo
Distribuciones de Probabilidad
sep-15
Análisis: “Qué pasa si…?”
Análisis de Escenarios
Redes Bayesianas
Árboles de decisión
9
entre otras..
![Page 10: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/10.jpg)
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 10
Ejemplo de Análisis de Sensibilidad
4 Entradas
1 Salida
Modelo: Monto Cuota = f(MP, TI, CA, NP)
Variables salida (dependientes)
Variables entrada (independientes)
Préstamo Monto del Préstamo U$S 32.000
Tasa de Interés Anual 8,0%
Cantidad de Años 10
Nro. de Pagos (p/Año) 12
Monto de la Cuota $ 388,25
![Page 11: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/11.jpg)
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 11
Análisis de Sensibilidad en Excel
Se varía la Cantidad de Años y analiza el impacto
![Page 12: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/12.jpg)
Análisis de Escenarios
M.Sc., Ing. P.A. Ortiz, PMP 12
La limitación del Análisis de Sensibilidad de trabajar una variable a la vez se subsana al considerar distintos escenarios donde un conjunto de variables pueden cambiar, resultando en un cambio colectivo en el resultado.
sep-15
![Page 13: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/13.jpg)
Escenarios
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 13
Peor (-10%) Base Mejor (+10%) Monto del Préstamo U$S 28.800 U$S 32.000 U$S 35.200
Tasa de Interés Anual 7,20% 8,00% 8,80%
Cantidad de Años 9 10 11
Nro. de Pagos (p/Año) 10,8 12 13,2
![Page 14: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/14.jpg)
Resultado
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 14
$374,85
$416,60
$349,42
$431,49
$401,91
$365,29
$427,07
$352,88
U$S340 U$S350 U$S360 U$S370 U$S380 U$S390 U$S400 U$S410 U$S420 U$S430 U$S440
Tasa de Interés Anual
Cantidad de Años
Monto del Préstamo
Nro. de Pagos (p/Año)
Monto de la Cuota
Diagrama de Tornado
![Page 15: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/15.jpg)
Las limitaciones y la alternativa MC
Quantitative risk analysis (QRA), using Monte Carlo simulation, is similar to "what if" scenarios in that it generates a number of possible scenarios. However, it goes one step further by effectively accounting for every possible value that each variable could take and weighting each possible scenario by the probability of its occurrence. QRA achieves this by modelling each variable within a model by a probability distribution.
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 15
Vose, D., 2000
![Page 16: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/16.jpg)
Simulación Monte Carlo para la evaluación del riesgo
M.Sc., Ing. P.A. Ortiz, PMP 16
“We balance probabilities and choose the most likely. It is the scientific use of the imagination”
A. Conan Doyle. The Hound of the Baskervilles (1902)
sep-15
![Page 17: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/17.jpg)
¿Qué es la simulación Monte Carlo?
Método computacional usado para estudiar el comportamiento de sistemas matemáticos, físicos o de cualquier índole, a partir del uso de muestreo estadístico, números aleatorios y seudo-aleatorios.
Es iterativo ⇒ requiere cálculos por computador.
Desarrollado por S. Ulam y J. Von Neumann en 1949
sep-15 17 M.Sc., Ing. P.A. Ortiz, PMP
![Page 18: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/18.jpg)
Introducción al Método Monte Carlo
El método Monte Carlo básicamente es una forma de resolver problemas complejos mediante aproximaciones usando gran cantidad de números aleatorios.
M.Sc., Ing. P.A. Ortiz, PMP 18 sep-15
The first thoughts and attempts I made to practice [the Monte Carlo Method] were suggested by a question which occurred to me in 1946 as I was convalescing from an illness and playing solitaires. The question was what are the chances that a Canfield solitaire laid out with 52 cards will come out successfully? After spending a lot of time trying to estimate them by pure combinatorial calculations, I wondered whether a more practical method than "abstract thinking" might not be to lay it out say one hundred times and simply observe and count the number of successful plays.
Ulam, S.
![Page 19: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/19.jpg)
Ejemplo: Aproximación de 𝜋 por el MMC
-1 -0,5 0 0,5 1
1
0.5
0
-0.5
-1
Área Círculo = π r2 = π
Área Cuadrado= L2= 4 L = 2
Área Círculo = π Área Cuadrado 4 4 * Área Círculo = π Área Cuadrado
Si n es grande podemos pensar que es válida la aprox.:
4 *puntos_en_el_circulo ≈ π n (total de ptos.)
𝑟 = 1
Referencia: http://twtmas.mpei.ac.ru/mas/Worksheets/approxpi.mcd
sep-15 19 M.Sc., Ing. P.A. Ortiz, PMP
![Page 20: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/20.jpg)
M.Sc., Ing. P.A. Ortiz, PMP 20
¿Qué podemos deducir?. Pasos
1. Crear un modelo paramétrico
𝑦 = 𝑓(𝑥1, … , 𝑥 𝑛)
2. Generar un conjunto de
números aleatorios 𝑥1, . . , 𝑥𝑛
3. Evaluar el modelo y guardar el
resultado como yk
4. Repetir los pasos 2 a 3 para
k= 1 a n
5. Analizar los resultados usando
histogramas, intervalos de
confianza, etc.
4 × 𝑝𝑢𝑛𝑡𝑜𝑠_𝑐𝑖𝑟𝑐𝑢𝑙𝑜 𝑛 ~𝜋
Se generan nros. aleatorios con distribución uniforme para x => g(x1) ; g(x2) ; …. g(xn) ;
aprox_𝜋 ∶ 𝑦𝑘 = 𝑓(𝑔(𝑥𝑘))
𝑒𝑟𝑟 = | 𝑎𝑝𝑟𝑜𝑥_𝜋 – 𝜋|
sep-15
![Page 21: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/21.jpg)
Resumiendo..
James F. Wright, 2002 21 M.Sc., Ing. P.A. Ortiz, PMP sep-15
gi(x)
![Page 22: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/22.jpg)
El MMC y la Evaluación de Riesgo
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 22
![Page 23: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/23.jpg)
Retorno al problema
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 23
Los valores marcados en verde son los dominantes porque fueron los que recibieron mayores respuestas afirmativas entre los stakeholders entrevistados. No obstante estos valores son estimaciones.
Usaremos la Simulación Monte Carlo para el nivel de riesgo bajo condiciones de incertidumbre
![Page 24: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/24.jpg)
Primer paso
1. Crear un modelo paramétrico 𝑦 = 𝑓(𝑥1, … , 𝑥 𝑛)
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 24
Modelo
![Page 25: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/25.jpg)
Modelo. Horse Races
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 25
Si x<0.3 Gana el #1
Si 0.3≤x<0.7 Gana el #6
Si 0.7≤x<0.9 Gana el #5
Si 0.9≤x≤1 Gana el #3
x número aleatorio
Supongamos 4 caballos (#1, #6, #5, #3) que son los favoritos en la carrera de fondo y se quiere saber a cuál apostar. Estos han corrido muchas veces por lo que se dispone de información histórica. El #1 ha ganado el 30% de las veces, el #6 el 40% de las veces, el #5 el 20% de las veces y el #3 el 10% de las veces. Podemos simular los resultados de una carrera de la siguiente forma.
![Page 26: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/26.jpg)
Modelo. Horse Races
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 26
Con fondo verde se indica el valor mas probable
![Page 27: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/27.jpg)
Pasos 2, 3 y 4.
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 27
…………………………………………..
𝑥𝑖 𝑦𝑖
𝑟𝑒𝑝𝑒𝑡𝑖𝑟 𝑛 𝑣𝑒𝑐𝑒𝑠
Recuerden: “every possible value that each variable could take and weighting each possible scenario by the probability of its occurrence”
![Page 28: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/28.jpg)
Paso 5. Analizar los resultados
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 28
![Page 29: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/29.jpg)
En resumen
sep-15 M.Sc., Ing. P.A. Ortiz, PMP 29
Con el método Monte Carlo es posible que el equipo de riesgo simule diferentes escenarios que les permita realizar estimaciones de todas los posibles situaciones futuras. Corriendo distintos escenarios se tiene la posibilidad de manejar la incertidumbre del futuro y pensar en términos futuros.
Basados en los resultados generados por los escenarios se reducen los riesgos de inversión y se eligen cuáles serán los controles destinados a reducir los riesgos
![Page 30: El Método Monte Carlo en la Evaluación de Riesgos de la](https://reader034.vdocumento.com/reader034/viewer/2022042611/5868d5011a28ab11118b7b1e/html5/thumbnails/30.jpg)
M.Sc., Ing. P.A. Ortiz, PMP 30 sep-15
Solum certum nihil esse certi La única certidumbre es la incertidumbre
Plinio el Viejo, Historia Naturalis, Libro ii, 7