Cisnes Negros

Anuncio
Cisnes Negros
“Hasta el descubrimiento de Australia, se
daba por descontado que todos los cisnes eran
blancos porque así lo eran en el Viejo Mundo”
Aproximación a la gestión de este tipo de Riesgos.
Isaca Madrid Chapter -- 13 de Noviembre de 2013
Indice
1.
2.
3.
4.
5.
6.
7.
8.
Cisnes negros: ¿Qué son? Ejemplos
Cisnes negros y metodologías de A.R
Estadística y modelos matemáticos.
Estrategias para gestionar cisnes negros
Infraestructuras críticas, caso especial
Salvaguardas particulares a aplicar
Descubrir Cisnes Negros.
Conclusiones
Isaca Madrid Chapter -- 13 de Noviembre de 2013
1.Definición de Cisne Negro
• Según Nicholas Taleb, que fue el primero que investigó en profundidad
este tipo de eventos (Cisnes Negros), para que un fenómeno se pueda
considerar un evento tipo “Cisne Negro” tienen que darse tres condiciones:
1. El evento es sorprendente, no había ocurrido hasta entonces y muy pocos (o
nadie) podrían haber pensado que podría ocurrir.
2. El impacto es enorme, extremo (positivo o negativo).
3. Una vez ocurrido, la explicación de por qué ocurrió y el mecanismo de cómo
podría haber sido predicho es relativamente simple.
• Un “Cisne Negro” por tanto, en el contexto del Análisis de Riesgos se puede definir
como una amenaza/oportunidad que no ha ocurrido antes (y que además ni
siquiera se contempla), cuyo impacto es muy grande.
• Ejemplos de Cisnes Negros: Negativos: Ataque de las Torres Gemelas. Positivos:
Boom de Internet y la web2.0.
• Concepto de Cisne Gris: Suceso que se sabe que puede ocurrir, pero es muy poco
probable (ejemplo, un Tsunami, un terremoto, etc.).
Isaca Madrid Chapter -- 13 de Noviembre de 2013
2.Cisnes negros y Análisis de Riesgos
• Las diferentes metodologías de Análisis de Riesgos elaboran para la toma
de decisiones (nivel de riesgo que asumen, salvaguardas, etc.) un Mapa de
Riesgos.
• El Mapa de Riesgo sitúa los riesgos por impacto y probabilidad de
ocurrencia (normalmente la probabilidad se asimila a su frecuencia
estudiada).
Isaca Madrid Chapter -- 13 de Noviembre de 2013
2.Cisnes negros y Análisis de Riesgos
• Como podemos ver, con metodologías estándar de Análisis de
Riesgos, los cisnes negros no entrarían siquiera en el mapa de
riesgos o lo harían como mucho a un nivel en el que la mayoría
de organizaciones lo despreciarían.
• La cuestión es: ¿Merece la pena modificar las metodologías de
Análisis de Riesgos actuales para introducir este tipo de
“fenómenos raros” y darles un tratamiento adecuado?
• En el punto 4 veremos diversas consideraciones y estrategias.
• Lo primero será poder predecir estos fenómenos y situarlos
correctamente en un Mapa de Riesgos con una metodología
acorde.
Isaca Madrid Chapter -- 13 de Noviembre de 2013
3.Estadística y Modelos matemáticos
• Estadísticamente, un Cisne Negro no tiene frecuencia a
priori, por lo tanto, no puede estudiarse con técnicas
estadísticas.
• Los humanos no tenemos capacidad de predecir sucesos raros
porque estamos acostumbrados a pensar “determinísticamente”, es
preciso recurrir a los modelos de simulación matemáticos
de tipo dinámicos y estocásticos.
• Ejemplo habitual de este tipo de modelos es la predicción
meteorológica, dinámico porque varía en el tiempo y estocástico
porque tiene una componente de azar a pesar de existir reglas.
• La Teoría del Caos establece que pequeñas perturbaciones en este
tipo de sistemas pueden producir consecuencias tremendamente
diferentes que las mismas perturbaciones en sistemas deterministas
Isaca Madrid Chapter -- 13 de Noviembre de 2013
4.Estrategias para gestionar cisnes negros
• No podemos predecir de forma sencilla un evento de este tipo pero
sí podemos adivinar el impacto y usar estrategias de mitigación
del impacto, ahí entra en juego la Continuidad de Negocio y el
tener actualizados y a punto todos los planes que conlleva (DRP,
Plan de Contingencia, Formación, Pruebas, etc.).
• No podemos predecir lo que no podemos imaginar, pero sí
podemos establecer lo que es normal, y detectar cuándo
hay un cambio de patrón de la normalidad (aunque todavía
no haya ocurrido ningún evento con gran impacto) y saltar las
alertas para tener preparadas las medidas de reacción. Algo así
como los niveles de alerta DEFCON del Ministerio de Defensa en
USA.
Isaca Madrid Chapter -- 13 de Noviembre de 2013
5.Infraestructuras Críticas, caso especial
• Un negocio puede soportar quizás la destrucción material de una
sede, pero un país no puede soportar la muerte de miles de personas
o la paralización de servicios públicos esenciales (caso de las Torres
Gemelas, por ejemplo).
• El “apetito por el riesgo” típico empresarial no es de aplicación en el
caso de servicios públicos esenciales e infraestructuras críticas.
• Los Mapas de Riesgos deben elaborarse en base a criterios de
servicio público y no a objetivos de negocio.
• Las Metodologías estándar de A.Riesgos no sirven o deben ser
modificadas para incluir este enfoque.
• En Infraestructuras críticas, tiene mayor ponderación el impacto que
la frecuencia. De hecho, se establecen probabilidades empíricas, no
basadas en estadísticas. (Por ejemplo, jamás ha habido una guerra
nuclear, pero los gobiernos se preparan ante esta posibilidad)
Isaca Madrid Chapter -- 13 de Noviembre de 2013
6.Salvaguardas particulares a aplicar
• Sacar a flote los “Cisnes Grises” en el Análisis de Riesgos:
▫
▫
▫
▫
Realizar un análisis de riesgos usando un catálogo de amenazas no basado en lo
que ha ocurrido ya, sino incluyendo lo que puede ocurrir, siempre que sea posible
(CISNES GRISES).
No tomar la frecuencia por la probabilidad, si queremos sacar a la luz los Cisnes
Grises. Realizar una estimación si no es posible basada en modelos matemáticos, al menos en
la estimación subjetiva de la probabilidad, nunca asignar el valor 0 directamente.
Primar el impacto antes que la probabilidad. No usar directamente la fórmula
habitual de R=IxP, dar un mayor peso al impacto (¿que tal usar P al cuadrado?).
Nota: La versión 3 de MAGERIT usa esta versión corregida de impacto y probabilidad para
aflorar estos eventos de Cisne Gris.
Isaca Madrid Chapter -- 13 de Noviembre de 2013
6.Salvaguardas particulares a aplicar
• Sacar a flote las vulnerabilidades ocultas (cisne negro a cisne
gris)
▫
▫
▫
Realizar auditorías periódicas para evidenciar qué debilidades en los sistemas
pueden introducir AMENAZAS OCULTAS con GRAN IMPACTO (Por ejemplo,
puertas traseras en los sistemas, ausencia de control durante algunos períodos
de tiempo como el cambio de turno de vigilantes, mantenimiento de sistemas,
etc.).
Usar, en sistemas y entornos realmente críticos, Test de intrusión, ingeniería
social, etc. con equipos externos entrenados en ello. Equipo rojo/Equipo negro.
Contratar personal de seguridad con aptitudes “sanamente paranoicas”,
capaces de detectar cambios relevantes que pueden conducir a incidentes
graves.
• Usar sistemas de detecccion temprana y reacción inmediata.
▫
▫
▫
Detectar lo antes posible cuando está ocurriendo un IMPACTO alto en un
sistema y poder controlarlo antes de que pase a un estadío más severo
(Contener el desastre).
Para ello, debemos haber al menos esbozado una idea de lo que puede llegar a
ocurrir (punto anterior).
Definir nivel de Alerta
Isaca Madrid Chapter -- 13 de Noviembre de 2013
6.Salvaguardas particulares a aplicar
• Umbrales de Alerta y medidas de protección.
▫ Usar Anomaly Detection Systems para establecer grados de alteración de la
“Normalidad”
▫ Revisar dinámicamente la estimación de probabilidad de los “Cisnes
Grises” en base a la introducción como input de estas
▫ Una vez determinado un grado de anomalía sustancial, subir el nivel de
alerta (similar a como hacen los CERTS respecto a las alertas
Antivirus).
Isaca Madrid Chapter -- 13 de Noviembre de 2013
7.Descubrir Cisnes Negros
• Los humanos somos deterministas por naturaleza, dado que
es lo que nos hace prevenir los riesgos más habituales.
Normalmente pensamos que todo lo que nos rodea se rige por una
serie de patrones o secuencias que, aunque complejos, pueden llegar
a ser predecibles.
• La teoría del caos, sin embargo, dice que hay sistemas que,
aunque similares, con diferencias mínimas en las condiciones
iniciales, acaban siendo no deterministas (el llamado efecto
mariposa).
• Hay personas especialmente dotadas para captar cambios sutiles de
comportamiento en patrones aparentemente deterministas. Otras,
sin embargo, no detectan estos cambios hasta que están muy
avanzados y difícilmente abordables. Los animales son más
intuitivos que los humanos ante catástrofes naturales.
Isaca Madrid Chapter -- 13 de Noviembre de 2013
7.Descubrir Cisnes Negros
• La cuestión es: ¿Se puede saber que algo distinto,
importante, está ocurriendo o va a ocurrir? Si es así,
¿cómo?
▫ Evitar errores del Pensamiento Determinista: Dado
que la probabilidad de un suceso está condicionada por las
causas que la desencadenan, una vez que se ha dado una de
estas causas, la probabilidad de que el suceso ocurra es
mayor. ¿Es esto válido? Sí pero hay que tener cuidado de
no caer en la “Navaja de Ocam” o pensamiento de que la
causa más probable es siempre la que realmente ocurre,
aunque así sea a menudo.
▫ Pensamiento Lateral (romper el determinismo):
¿Se están escapando causas triviales con gran impacto?
Isaca Madrid Chapter -- 13 de Noviembre de 2013
7.Descubrir Cisnes Negros
▫ Pensamiento Lateral (romper el determinismo):
¿Se están escapando causas triviales con gran
impacto?
▫ Evitar los fallos por falta de consideración de todas las
causas que pueden incidir en un fenómeno por muy
absurdas que parezcan.
▫ Para producir buenas ideas usar técnicas de
“braimstorming” ya que a menudo los árboles no
nos dejan ver el bosque y es preciso incluir
opiniones no viciadas.
▫ Usar la máxima de Groucho Marx: “Esto es tan simple que
lo resolvería un niño de 4 años. Que me traigan uno para
que me diga cómo”. A veces las cosas más simples escapan
de nuestro pensamiento de adultos condicionados.
Isaca Madrid Chapter -- 13 de Noviembre de 2013
8.Conclusiones
• ¿Paranoico, visionario o simplemente mejor informado?
• Información es poder: Un pavo, que no sabe que será cenado en
Acción de Gracias es alimentado y cuidado durante los cien días
precedentes. Luego es ejecutado. Para él, su ejecución es un evento
“Cisne Negro”, una sorpresa brutal. Para su matarife no, ya que
sabía cuándo se lo iba cenar.
• Pensar en concreto-abstrato: Generalmente, la gente que ha
experimentado más tiempo un fenómeno tiende a crear relaciones
causa-efecto que no son tales, son sólo temporales derivadas de
varias experiencias. Se tiende a generalizar en exceso.
• Ejemplo: Un turista y un matemático en un tren en Escocia. Ven
por la ventanilla una oveja negra. El turista dice al matemático:
“Anda, las ovejas en Escocia son todas negras. El matemático
corrige: No, al menos una oveja en Escocia tiene un lado negro”.
Isaca Madrid Chapter -- 13 de Noviembre de 2013
8.Conclusiones
• ¿Hasta dónde hay que introducir los Cisnes Negros en
nuestra Gestión de Riesgos?
• Cisnes Negros Negativos:




Como norma general, a la hora de considerar riesgos, hay que introducir
siempre el y si… Pero a la hora de tomar salvaguardas con coste elevado,
hay que tener en cuenta el dicho de que “No salga más caro el collar que
el perro”.
Hay que tener en cuenta que las buenas prácticas y los buenos
procedimientos son más rentables que el abuso de tecnología. De
nada sirve instalar la alarma antirobos más moderna en el coche y luego
dejarlo abierto por descuido, o sucumbir ante un pícaro que finge un desmayo
para robarnos, por ejemplo.
Adoptar medidas de contingencia para minimizar el impacto. Si no
tenemos cosas valiosas (que no caras, ojo) en casa, mejor un buen seguro que
gastar en un caja fuerte que cuesta una millonada.
Entrenar el “sexto sentido” (o los sistemas de alerta) para detectar
cuando “algo no va bien” y tomar acciones preventivas, sin caer en
el pánico.
Isaca Madrid Chapter -- 13 de Noviembre de 2013
8.Conclusiones
• ¿Hasta dónde hay que introducir los Cisnes Negros en
nuestra Gestión de Riesgos?
• Los Cisnes Negros Positivos: Hay que sacarles partido!!!




Hasta ahora hemos hablado de efectos negativos, pero los efectos
positivos (Riesgos Positivos u Oportunidades) son muy rentables y
hay que saber detectarlos y explotarlos.
Evitar pensar que si se repite algo mal cien veces, al final saldrá
bien: Eso sólo ocurre jugando a los dados buscando un seis, no buscando un
objetivo en que uno tiene parte y puede influir en el resultado. Desterrar la
idea de que cuando más fallas, más cerca estás del éxito.
Dí que Sí: Introducir pequeños cambios en la realización de las cosas, a veces
pueden conducir a un éxito rotundo. Por ejemplo, ¿qué hay de ese día que uno
decidió aceptar la invitación a salir a bailar a ese sitio tan aburrido y conoció a
su actual pareja?
Como dice Osho el secreto del éxito es: Atención, Atención y más
Atención. A veces miramos a nuestro alrededor buscando el trébol de cuatro
hojas y justo lo acabamos de pisar y no lo vemos.
Isaca Madrid Chapter -- 13 de Noviembre de 2013
Gracias por su atención.
Maite Avelino
CISA, CISSP, PMP
[email protected]
Isaca Madrid Chapter -- 13 de Noviembre de 2013
Descargar