Cisnes Negros “Hasta el descubrimiento de Australia, se daba por descontado que todos los cisnes eran blancos porque así lo eran en el Viejo Mundo” Aproximación a la gestión de este tipo de Riesgos. Isaca Madrid Chapter -- 13 de Noviembre de 2013 Indice 1. 2. 3. 4. 5. 6. 7. 8. Cisnes negros: ¿Qué son? Ejemplos Cisnes negros y metodologías de A.R Estadística y modelos matemáticos. Estrategias para gestionar cisnes negros Infraestructuras críticas, caso especial Salvaguardas particulares a aplicar Descubrir Cisnes Negros. Conclusiones Isaca Madrid Chapter -- 13 de Noviembre de 2013 1.Definición de Cisne Negro • Según Nicholas Taleb, que fue el primero que investigó en profundidad este tipo de eventos (Cisnes Negros), para que un fenómeno se pueda considerar un evento tipo “Cisne Negro” tienen que darse tres condiciones: 1. El evento es sorprendente, no había ocurrido hasta entonces y muy pocos (o nadie) podrían haber pensado que podría ocurrir. 2. El impacto es enorme, extremo (positivo o negativo). 3. Una vez ocurrido, la explicación de por qué ocurrió y el mecanismo de cómo podría haber sido predicho es relativamente simple. • Un “Cisne Negro” por tanto, en el contexto del Análisis de Riesgos se puede definir como una amenaza/oportunidad que no ha ocurrido antes (y que además ni siquiera se contempla), cuyo impacto es muy grande. • Ejemplos de Cisnes Negros: Negativos: Ataque de las Torres Gemelas. Positivos: Boom de Internet y la web2.0. • Concepto de Cisne Gris: Suceso que se sabe que puede ocurrir, pero es muy poco probable (ejemplo, un Tsunami, un terremoto, etc.). Isaca Madrid Chapter -- 13 de Noviembre de 2013 2.Cisnes negros y Análisis de Riesgos • Las diferentes metodologías de Análisis de Riesgos elaboran para la toma de decisiones (nivel de riesgo que asumen, salvaguardas, etc.) un Mapa de Riesgos. • El Mapa de Riesgo sitúa los riesgos por impacto y probabilidad de ocurrencia (normalmente la probabilidad se asimila a su frecuencia estudiada). Isaca Madrid Chapter -- 13 de Noviembre de 2013 2.Cisnes negros y Análisis de Riesgos • Como podemos ver, con metodologías estándar de Análisis de Riesgos, los cisnes negros no entrarían siquiera en el mapa de riesgos o lo harían como mucho a un nivel en el que la mayoría de organizaciones lo despreciarían. • La cuestión es: ¿Merece la pena modificar las metodologías de Análisis de Riesgos actuales para introducir este tipo de “fenómenos raros” y darles un tratamiento adecuado? • En el punto 4 veremos diversas consideraciones y estrategias. • Lo primero será poder predecir estos fenómenos y situarlos correctamente en un Mapa de Riesgos con una metodología acorde. Isaca Madrid Chapter -- 13 de Noviembre de 2013 3.Estadística y Modelos matemáticos • Estadísticamente, un Cisne Negro no tiene frecuencia a priori, por lo tanto, no puede estudiarse con técnicas estadísticas. • Los humanos no tenemos capacidad de predecir sucesos raros porque estamos acostumbrados a pensar “determinísticamente”, es preciso recurrir a los modelos de simulación matemáticos de tipo dinámicos y estocásticos. • Ejemplo habitual de este tipo de modelos es la predicción meteorológica, dinámico porque varía en el tiempo y estocástico porque tiene una componente de azar a pesar de existir reglas. • La Teoría del Caos establece que pequeñas perturbaciones en este tipo de sistemas pueden producir consecuencias tremendamente diferentes que las mismas perturbaciones en sistemas deterministas Isaca Madrid Chapter -- 13 de Noviembre de 2013 4.Estrategias para gestionar cisnes negros • No podemos predecir de forma sencilla un evento de este tipo pero sí podemos adivinar el impacto y usar estrategias de mitigación del impacto, ahí entra en juego la Continuidad de Negocio y el tener actualizados y a punto todos los planes que conlleva (DRP, Plan de Contingencia, Formación, Pruebas, etc.). • No podemos predecir lo que no podemos imaginar, pero sí podemos establecer lo que es normal, y detectar cuándo hay un cambio de patrón de la normalidad (aunque todavía no haya ocurrido ningún evento con gran impacto) y saltar las alertas para tener preparadas las medidas de reacción. Algo así como los niveles de alerta DEFCON del Ministerio de Defensa en USA. Isaca Madrid Chapter -- 13 de Noviembre de 2013 5.Infraestructuras Críticas, caso especial • Un negocio puede soportar quizás la destrucción material de una sede, pero un país no puede soportar la muerte de miles de personas o la paralización de servicios públicos esenciales (caso de las Torres Gemelas, por ejemplo). • El “apetito por el riesgo” típico empresarial no es de aplicación en el caso de servicios públicos esenciales e infraestructuras críticas. • Los Mapas de Riesgos deben elaborarse en base a criterios de servicio público y no a objetivos de negocio. • Las Metodologías estándar de A.Riesgos no sirven o deben ser modificadas para incluir este enfoque. • En Infraestructuras críticas, tiene mayor ponderación el impacto que la frecuencia. De hecho, se establecen probabilidades empíricas, no basadas en estadísticas. (Por ejemplo, jamás ha habido una guerra nuclear, pero los gobiernos se preparan ante esta posibilidad) Isaca Madrid Chapter -- 13 de Noviembre de 2013 6.Salvaguardas particulares a aplicar • Sacar a flote los “Cisnes Grises” en el Análisis de Riesgos: ▫ ▫ ▫ ▫ Realizar un análisis de riesgos usando un catálogo de amenazas no basado en lo que ha ocurrido ya, sino incluyendo lo que puede ocurrir, siempre que sea posible (CISNES GRISES). No tomar la frecuencia por la probabilidad, si queremos sacar a la luz los Cisnes Grises. Realizar una estimación si no es posible basada en modelos matemáticos, al menos en la estimación subjetiva de la probabilidad, nunca asignar el valor 0 directamente. Primar el impacto antes que la probabilidad. No usar directamente la fórmula habitual de R=IxP, dar un mayor peso al impacto (¿que tal usar P al cuadrado?). Nota: La versión 3 de MAGERIT usa esta versión corregida de impacto y probabilidad para aflorar estos eventos de Cisne Gris. Isaca Madrid Chapter -- 13 de Noviembre de 2013 6.Salvaguardas particulares a aplicar • Sacar a flote las vulnerabilidades ocultas (cisne negro a cisne gris) ▫ ▫ ▫ Realizar auditorías periódicas para evidenciar qué debilidades en los sistemas pueden introducir AMENAZAS OCULTAS con GRAN IMPACTO (Por ejemplo, puertas traseras en los sistemas, ausencia de control durante algunos períodos de tiempo como el cambio de turno de vigilantes, mantenimiento de sistemas, etc.). Usar, en sistemas y entornos realmente críticos, Test de intrusión, ingeniería social, etc. con equipos externos entrenados en ello. Equipo rojo/Equipo negro. Contratar personal de seguridad con aptitudes “sanamente paranoicas”, capaces de detectar cambios relevantes que pueden conducir a incidentes graves. • Usar sistemas de detecccion temprana y reacción inmediata. ▫ ▫ ▫ Detectar lo antes posible cuando está ocurriendo un IMPACTO alto en un sistema y poder controlarlo antes de que pase a un estadío más severo (Contener el desastre). Para ello, debemos haber al menos esbozado una idea de lo que puede llegar a ocurrir (punto anterior). Definir nivel de Alerta Isaca Madrid Chapter -- 13 de Noviembre de 2013 6.Salvaguardas particulares a aplicar • Umbrales de Alerta y medidas de protección. ▫ Usar Anomaly Detection Systems para establecer grados de alteración de la “Normalidad” ▫ Revisar dinámicamente la estimación de probabilidad de los “Cisnes Grises” en base a la introducción como input de estas ▫ Una vez determinado un grado de anomalía sustancial, subir el nivel de alerta (similar a como hacen los CERTS respecto a las alertas Antivirus). Isaca Madrid Chapter -- 13 de Noviembre de 2013 7.Descubrir Cisnes Negros • Los humanos somos deterministas por naturaleza, dado que es lo que nos hace prevenir los riesgos más habituales. Normalmente pensamos que todo lo que nos rodea se rige por una serie de patrones o secuencias que, aunque complejos, pueden llegar a ser predecibles. • La teoría del caos, sin embargo, dice que hay sistemas que, aunque similares, con diferencias mínimas en las condiciones iniciales, acaban siendo no deterministas (el llamado efecto mariposa). • Hay personas especialmente dotadas para captar cambios sutiles de comportamiento en patrones aparentemente deterministas. Otras, sin embargo, no detectan estos cambios hasta que están muy avanzados y difícilmente abordables. Los animales son más intuitivos que los humanos ante catástrofes naturales. Isaca Madrid Chapter -- 13 de Noviembre de 2013 7.Descubrir Cisnes Negros • La cuestión es: ¿Se puede saber que algo distinto, importante, está ocurriendo o va a ocurrir? Si es así, ¿cómo? ▫ Evitar errores del Pensamiento Determinista: Dado que la probabilidad de un suceso está condicionada por las causas que la desencadenan, una vez que se ha dado una de estas causas, la probabilidad de que el suceso ocurra es mayor. ¿Es esto válido? Sí pero hay que tener cuidado de no caer en la “Navaja de Ocam” o pensamiento de que la causa más probable es siempre la que realmente ocurre, aunque así sea a menudo. ▫ Pensamiento Lateral (romper el determinismo): ¿Se están escapando causas triviales con gran impacto? Isaca Madrid Chapter -- 13 de Noviembre de 2013 7.Descubrir Cisnes Negros ▫ Pensamiento Lateral (romper el determinismo): ¿Se están escapando causas triviales con gran impacto? ▫ Evitar los fallos por falta de consideración de todas las causas que pueden incidir en un fenómeno por muy absurdas que parezcan. ▫ Para producir buenas ideas usar técnicas de “braimstorming” ya que a menudo los árboles no nos dejan ver el bosque y es preciso incluir opiniones no viciadas. ▫ Usar la máxima de Groucho Marx: “Esto es tan simple que lo resolvería un niño de 4 años. Que me traigan uno para que me diga cómo”. A veces las cosas más simples escapan de nuestro pensamiento de adultos condicionados. Isaca Madrid Chapter -- 13 de Noviembre de 2013 8.Conclusiones • ¿Paranoico, visionario o simplemente mejor informado? • Información es poder: Un pavo, que no sabe que será cenado en Acción de Gracias es alimentado y cuidado durante los cien días precedentes. Luego es ejecutado. Para él, su ejecución es un evento “Cisne Negro”, una sorpresa brutal. Para su matarife no, ya que sabía cuándo se lo iba cenar. • Pensar en concreto-abstrato: Generalmente, la gente que ha experimentado más tiempo un fenómeno tiende a crear relaciones causa-efecto que no son tales, son sólo temporales derivadas de varias experiencias. Se tiende a generalizar en exceso. • Ejemplo: Un turista y un matemático en un tren en Escocia. Ven por la ventanilla una oveja negra. El turista dice al matemático: “Anda, las ovejas en Escocia son todas negras. El matemático corrige: No, al menos una oveja en Escocia tiene un lado negro”. Isaca Madrid Chapter -- 13 de Noviembre de 2013 8.Conclusiones • ¿Hasta dónde hay que introducir los Cisnes Negros en nuestra Gestión de Riesgos? • Cisnes Negros Negativos: Como norma general, a la hora de considerar riesgos, hay que introducir siempre el y si… Pero a la hora de tomar salvaguardas con coste elevado, hay que tener en cuenta el dicho de que “No salga más caro el collar que el perro”. Hay que tener en cuenta que las buenas prácticas y los buenos procedimientos son más rentables que el abuso de tecnología. De nada sirve instalar la alarma antirobos más moderna en el coche y luego dejarlo abierto por descuido, o sucumbir ante un pícaro que finge un desmayo para robarnos, por ejemplo. Adoptar medidas de contingencia para minimizar el impacto. Si no tenemos cosas valiosas (que no caras, ojo) en casa, mejor un buen seguro que gastar en un caja fuerte que cuesta una millonada. Entrenar el “sexto sentido” (o los sistemas de alerta) para detectar cuando “algo no va bien” y tomar acciones preventivas, sin caer en el pánico. Isaca Madrid Chapter -- 13 de Noviembre de 2013 8.Conclusiones • ¿Hasta dónde hay que introducir los Cisnes Negros en nuestra Gestión de Riesgos? • Los Cisnes Negros Positivos: Hay que sacarles partido!!! Hasta ahora hemos hablado de efectos negativos, pero los efectos positivos (Riesgos Positivos u Oportunidades) son muy rentables y hay que saber detectarlos y explotarlos. Evitar pensar que si se repite algo mal cien veces, al final saldrá bien: Eso sólo ocurre jugando a los dados buscando un seis, no buscando un objetivo en que uno tiene parte y puede influir en el resultado. Desterrar la idea de que cuando más fallas, más cerca estás del éxito. Dí que Sí: Introducir pequeños cambios en la realización de las cosas, a veces pueden conducir a un éxito rotundo. Por ejemplo, ¿qué hay de ese día que uno decidió aceptar la invitación a salir a bailar a ese sitio tan aburrido y conoció a su actual pareja? Como dice Osho el secreto del éxito es: Atención, Atención y más Atención. A veces miramos a nuestro alrededor buscando el trébol de cuatro hojas y justo lo acabamos de pisar y no lo vemos. Isaca Madrid Chapter -- 13 de Noviembre de 2013 Gracias por su atención. Maite Avelino CISA, CISSP, PMP [email protected] Isaca Madrid Chapter -- 13 de Noviembre de 2013