Вы находитесь на странице: 1из 18

Cisnes Negros

Hasta el descubrimiento de Australia, se


daba por descontado que todos los cisnes eran
blancos porque as lo eran en el Viejo Mundo

Aproximacin a la gestin de este tipo de Riesgos.

Isaca Madrid Chapter -- 13 de Noviembre de 2013

Indice
1.
2.
3.
4.
5.
6.
7.
8.

Cisnes negros: Qu son? Ejemplos


Cisnes negros y metodologas de A.R
Estadstica y modelos matemticos.
Estrategias para gestionar cisnes negros
Infraestructuras crticas, caso especial
Salvaguardas particulares a aplicar
Descubrir Cisnes Negros.
Conclusiones

Isaca Madrid Chapter -- 13 de Noviembre de 2013

1.Definicin de Cisne Negro


Segn Nicholas Taleb, que fue el primero que investig en profundidad
este tipo de eventos (Cisnes Negros), para que un fenmeno se pueda
considerar un evento tipo Cisne Negro tienen que darse tres condiciones:
1. El evento es sorprendente, no haba ocurrido hasta entonces y muy pocos (o
nadie) podran haber pensado que podra ocurrir.
2. El impacto es enorme, extremo (positivo o negativo).
3. Una vez ocurrido, la explicacin de por qu ocurri y el mecanismo de cmo
podra haber sido predicho es relativamente simple.
Un Cisne Negro por tanto, en el contexto del Anlisis de Riesgos se puede definir
como una amenaza/oportunidad que no ha ocurrido antes (y que adems ni
siquiera se contempla), cuyo impacto es muy grande.
Ejemplos de Cisnes Negros: Negativos: Ataque de las Torres Gemelas. Positivos:
Boom de Internet y la web2.0.
Concepto de Cisne Gris: Suceso que se sabe que puede ocurrir, pero es muy poco
probable (ejemplo, un Tsunami, un terremoto, etc.).
Isaca Madrid Chapter -- 13 de Noviembre de 2013

2.Cisnes negros y Anlisis de Riesgos


Las diferentes metodologas de Anlisis de Riesgos elaboran para la toma
de decisiones (nivel de riesgo que asumen, salvaguardas, etc.) un Mapa de
Riesgos.
El Mapa de Riesgo sita los riesgos por impacto y probabilidad de
ocurrencia (normalmente la probabilidad se asimila a su frecuencia
estudiada).

Isaca Madrid Chapter -- 13 de Noviembre de 2013

2.Cisnes negros y Anlisis de Riesgos


Como podemos ver, con metodologas estndar de Anlisis de
Riesgos, los cisnes negros no entraran siquiera en el mapa de
riesgos o lo haran como mucho a un nivel en el que la mayora
de organizaciones lo despreciaran.
La cuestin es: Merece la pena modificar las metodologas de
Anlisis de Riesgos actuales para introducir este tipo de
fenmenos raros y darles un tratamiento adecuado?
En el punto 4 veremos diversas consideraciones y estrategias.

Lo primero ser poder predecir estos fenmenos y situarlos


correctamente en un Mapa de Riesgos con una metodologa
acorde.

Isaca Madrid Chapter -- 13 de Noviembre de 2013

3.Estadstica y Modelos matemticos


Estadsticamente, un Cisne Negro no tiene frecuencia a
priori, por lo tanto, no puede estudiarse con tcnicas
estadsticas.
Los humanos no tenemos capacidad de predecir sucesos raros
porque estamos acostumbrados a pensar determinsticamente, es
preciso recurrir a los modelos de simulacin matemticos
de tipo dinmicos y estocsticos.
Ejemplo habitual de este tipo de modelos es la prediccin
meteorolgica, dinmico porque vara en el tiempo y estocstico
porque tiene una componente de azar a pesar de existir reglas.
La Teora del Caos establece que pequeas perturbaciones en este
tipo de sistemas pueden producir consecuencias tremendamente
diferentes que las mismas perturbaciones en sistemas deterministas
Isaca Madrid Chapter -- 13 de Noviembre de 2013

4.Estrategias para gestionar cisnes negros


No podemos predecir de forma sencilla un evento de este tipo pero
s podemos adivinar el impacto y usar estrategias de mitigacin
del impacto, ah entra en juego la Continuidad de Negocio y el
tener actualizados y a punto todos los planes que conlleva (DRP,
Plan de Contingencia, Formacin, Pruebas, etc.).
No podemos predecir lo que no podemos imaginar, pero s
podemos establecer lo que es normal, y detectar cundo
hay un cambio de patrn de la normalidad (aunque todava
no haya ocurrido ningn evento con gran impacto) y saltar las
alertas para tener preparadas las medidas de reaccin. Algo as
como los niveles de alerta DEFCON del Ministerio de Defensa en
USA.

Isaca Madrid Chapter -- 13 de Noviembre de 2013

5.Infraestructuras Crticas, caso especial


Un negocio puede soportar quizs la destruccin material de una
sede, pero un pas no puede soportar la muerte de miles de personas
o la paralizacin de servicios pblicos esenciales (caso de las Torres
Gemelas, por ejemplo).
El apetito por el riesgo tpico empresarial no es de aplicacin en el
caso de servicios pblicos esenciales e infraestructuras crticas.
Los Mapas de Riesgos deben elaborarse en base a criterios de
servicio pblico y no a objetivos de negocio.
Las Metodologas estndar de A.Riesgos no sirven o deben ser
modificadas para incluir este enfoque.
En Infraestructuras crticas, tiene mayor ponderacin el impacto que
la frecuencia. De hecho, se establecen probabilidades empricas, no
basadas en estadsticas. (Por ejemplo, jams ha habido una guerra
nuclear, pero los gobiernos se preparan ante esta posibilidad)

Isaca Madrid Chapter -- 13 de Noviembre de 2013

6.Salvaguardas particulares a aplicar


Sacar a flote los Cisnes Grises en el Anlisis de Riesgos:

Realizar un anlisis de riesgos usando un catlogo de amenazas no basado en lo


que ha ocurrido ya, sino incluyendo lo que puede ocurrir, siempre que sea posible
(CISNES GRISES).
No tomar la frecuencia por la probabilidad, si queremos sacar a la luz los Cisnes
Grises. Realizar una estimacin si no es posible basada en modelos matemticos, al menos en
la estimacin subjetiva de la probabilidad, nunca asignar el valor 0 directamente.
Primar el impacto antes que la probabilidad. No usar directamente la frmula
habitual de R=IxP, dar un mayor peso al impacto (que tal usar P al cuadrado?).
Nota: La versin 3 de MAGERIT usa esta versin corregida de impacto y probabilidad para
aflorar estos eventos de Cisne Gris.

Isaca Madrid Chapter -- 13 de Noviembre de 2013

6.Salvaguardas particulares a aplicar


Sacar a flote las vulnerabilidades ocultas (cisne negro a cisne
gris)

Realizar auditoras peridicas para evidenciar qu debilidades en los sistemas


pueden introducir AMENAZAS OCULTAS con GRAN IMPACTO (Por ejemplo,
puertas traseras en los sistemas, ausencia de control durante algunos perodos
de tiempo como el cambio de turno de vigilantes, mantenimiento de sistemas,
etc.).
Usar, en sistemas y entornos realmente crticos, Test de intrusin, ingeniera
social, etc. con equipos externos entrenados en ello. Equipo rojo/Equipo negro.
Contratar personal de seguridad con aptitudes sanamente paranoicas,
capaces de detectar cambios relevantes que pueden conducir a incidentes
graves.

Usar sistemas de detecccion temprana y reaccin inmediata.

Detectar lo antes posible cuando est ocurriendo un IMPACTO alto en un


sistema y poder controlarlo antes de que pase a un estado ms severo
(Contener el desastre).
Para ello, debemos haber al menos esbozado una idea de lo que puede llegar a
ocurrir (punto anterior).
Definir nivel de Alerta
Isaca Madrid Chapter -- 13 de Noviembre de 2013

6.Salvaguardas particulares a aplicar


Umbrales de Alerta y medidas de proteccin.
Usar Anomaly Detection Systems para establecer grados de alteracin de la
Normalidad
Revisar dinmicamente la estimacin de probabilidad de los Cisnes
Grises en base a la introduccin como input de estas
Una vez determinado un grado de anomala sustancial, subir el nivel de
alerta (similar a como hacen los CERTS respecto a las alertas
Antivirus).

Isaca Madrid Chapter -- 13 de Noviembre de 2013

7.Descubrir Cisnes Negros


Los humanos somos deterministas por naturaleza, dado que
es lo que nos hace prevenir los riesgos ms habituales.
Normalmente pensamos que todo lo que nos rodea se rige por una
serie de patrones o secuencias que, aunque complejos, pueden llegar
a ser predecibles.
La teora del caos, sin embargo, dice que hay sistemas que,
aunque similares, con diferencias mnimas en las condiciones
iniciales, acaban siendo no deterministas (el llamado efecto
mariposa).
Hay personas especialmente dotadas para captar cambios sutiles de
comportamiento en patrones aparentemente deterministas. Otras,
sin embargo, no detectan estos cambios hasta que estn muy
avanzados y difcilmente abordables. Los animales son ms
intuitivos que los humanos ante catstrofes naturales.
Isaca Madrid Chapter -- 13 de Noviembre de 2013

7.Descubrir Cisnes Negros


La cuestin es: Se puede saber que algo distinto,
importante, est ocurriendo o va a ocurrir? Si es as,
cmo?

Evitar errores del Pensamiento Determinista: Dado


que la probabilidad de un suceso est condicionada por las
causas que la desencadenan, una vez que se ha dado una de
estas causas, la probabilidad de que el suceso ocurra es
mayor. Es esto vlido? S pero hay que tener cuidado de
no caer en la Navaja de Ocam o pensamiento de que la
causa ms probable es siempre la que realmente ocurre,
aunque as sea a menudo.
Pensamiento Lateral (romper el determinismo):
Se estn escapando causas triviales con gran impacto?
Isaca Madrid Chapter -- 13 de Noviembre de 2013

7.Descubrir Cisnes Negros


Pensamiento Lateral (romper el determinismo):
Se estn escapando causas triviales con gran
impacto?
Evitar los fallos por falta de consideracin de todas las
causas que pueden incidir en un fenmeno por muy
absurdas que parezcan.
Para producir buenas ideas usar tcnicas de
braimstorming ya que a menudo los rboles no
nos dejan ver el bosque y es preciso incluir
opiniones no viciadas.
Usar la mxima de Groucho Marx: Esto es tan simple que
lo resolvera un nio de 4 aos. Que me traigan uno para
que me diga cmo. A veces las cosas ms simples escapan
de nuestro pensamiento de adultos condicionados.
Isaca Madrid Chapter -- 13 de Noviembre de 2013

8.Conclusiones
Paranoico, visionario o simplemente mejor informado?
Informacin es poder: Un pavo, que no sabe que ser cenado en
Accin de Gracias es alimentado y cuidado durante los cien das
precedentes. Luego es ejecutado. Para l, su ejecucin es un evento
Cisne Negro, una sorpresa brutal. Para su matarife no, ya que
saba cundo se lo iba cenar.
Pensar en concreto-abstrato: Generalmente, la gente que ha
experimentado ms tiempo un fenmeno tiende a crear relaciones
causa-efecto que no son tales, son slo temporales derivadas de
varias experiencias. Se tiende a generalizar en exceso.
Ejemplo: Un turista y un matemtico en un tren en Escocia. Ven
por la ventanilla una oveja negra. El turista dice al matemtico:
Anda, las ovejas en Escocia son todas negras. El matemtico
corrige: No, al menos una oveja en Escocia tiene un lado negro.
Isaca Madrid Chapter -- 13 de Noviembre de 2013

8.Conclusiones
Hasta dnde hay que introducir los Cisnes Negros en
nuestra Gestin de Riesgos?
Cisnes Negros Negativos:

Como norma general, a la hora de considerar riesgos, hay que introducir


siempre el y si Pero a la hora de tomar salvaguardas con coste elevado,
hay que tener en cuenta el dicho de que No salga ms caro el collar que
el perro.
Hay que tener en cuenta que las buenas prcticas y los buenos
procedimientos son ms rentables que el abuso de tecnologa. De
nada sirve instalar la alarma antirobos ms moderna en el coche y luego
dejarlo abierto por descuido, o sucumbir ante un pcaro que finge un desmayo
para robarnos, por ejemplo.
Adoptar medidas de contingencia para minimizar el impacto. Si no
tenemos cosas valiosas (que no caras, ojo) en casa, mejor un buen seguro que
gastar en un caja fuerte que cuesta una millonada.
Entrenar el sexto sentido (o los sistemas de alerta) para detectar
cuando algo no va bien y tomar acciones preventivas, sin caer en
el pnico.
Isaca Madrid Chapter -- 13 de Noviembre de 2013

8.Conclusiones
Hasta dnde hay que introducir los Cisnes Negros en
nuestra Gestin de Riesgos?
Los Cisnes Negros Positivos: Hay que sacarles partido!!!

Hasta ahora hemos hablado de efectos negativos, pero los efectos


positivos (Riesgos Positivos u Oportunidades) son muy rentables y
hay que saber detectarlos y explotarlos.
Evitar pensar que si se repite algo mal cien veces, al final saldr
bien: Eso slo ocurre jugando a los dados buscando un seis, no buscando un
objetivo en que uno tiene parte y puede influir en el resultado. Desterrar la
idea de que cuando ms fallas, ms cerca ests del xito.
D que S: Introducir pequeos cambios en la realizacin de las cosas, a veces
pueden conducir a un xito rotundo. Por ejemplo, qu hay de ese da que uno
decidi aceptar la invitacin a salir a bailar a ese sitio tan aburrido y conoci a
su actual pareja?
Como dice Osho el secreto del xito es: Atencin, Atencin y ms
Atencin. A veces miramos a nuestro alrededor buscando el trbol de cuatro
hojas y justo lo acabamos de pisar y no lo vemos.
Isaca Madrid Chapter -- 13 de Noviembre de 2013

Gracias por su atencin.

Maite Avelino
CISA, CISSP, PMP
mtavelino@gmv.com
Isaca Madrid Chapter -- 13 de Noviembre de 2013