mecánica estadística y teoría de la información como base de la seguridad estadística
Upload: centro-de-investigacion-para-la-gestion-tecnologica-del-riesgo-cigtr
Post on 12-May-2015
537 views
DESCRIPTION
Ponencia / Lecture. Teresa Correas Ubiera. CISO Innovation. Grupo BBVA Roberto Ortiz Plaza. InfoSec Engineering. Grupo BBVA Santiago Moral Rubio. Director IT Risk, Fraud & Security. Grupo BBVA. CIGTR Curso de Verano / Summer Course. Aranjuez, julio de 2013.TRANSCRIPT
8 – 10 Julio 2013Aranjuez
Cursos de Verano de AranjuezEdición XIV
2
“Un análisis de riesgos es un proceso
metodológico por el que se obtiene
conocimiento fehaciente de la situación
del riesgo de cada elemento del sistema
de información y de las interrelaciones
existentes entre ellos”
3
Grafo de un sistema de información
Una red sencilla Enumerar
Magerit
CRAMM
Octave
4
Una red compleja
¿Cómo?
Información incompleta
5
“Un análisis de riesgos es un proceso
metodológico por el que se obtiene
conocimiento fehaciente de la situación
del riesgo de cada elemento del sistema
de información y de las interrelaciones
existentes entre ellos”
Motivación
6
� Mecánica Clásica
� Termodinámica
� Mecánica Estadística
� Teoría de la Información
� Redes Complejas
� Teoría del Caos
Palancas
7
Termodinámica
Mecánica EstadísticaMecánica
Estadística
Teoría de la InformaciónTeoría de la Información
ComplejasRedes
Complejas
Teoría de los Sistemas de Información
Mecánica
Grafos
Enumerado
8
“Definir magnitudes con
precisión y medirlas con
exactitud”
9
Galileo(1564 – 1642)
Copernico(1473 – 1543)
Newton(1642 – 1727)
Carnot(1796 – 1832)
Joule(1818 – 1889)
Kelvin(1824 – 1907)
Planck(1858 – 1947)
Boltzmann(1844 – 1906)
Einstein(1879 – 1955)
Fowler(1889 – 1944)
Kepler(1561 – 1630)
Otto(1602 – 1686)
Thompson(1753 – 1814)
Clausius(1822 – 1888)
Clapeyron(1799 – 1864)
Boyle(1627 – 1691)
Mariotte(1630 – 1684)
10
Mecánica Clásica
� Ciencia experimental Se comienza a observar y a medir
� Estudio del movimiento de los cuerpos De un planeta a una manzana
� Intuye que deben existir leyes matemáticas que rijan el movimiento de los cuerpos
Galileo (1564 – 1642)
� Aportaciones
11
Mecánica Clásica
� Desarrolla las leyes matemáticas intuidas por Galileo Fija las leyes para explicar los fenómenos observados
� Centro de masas Un sistema de muchos elementos puede sustituirse por UNO que describe comportamiento
Newton (1642 – 1727)
� Aportaciones
� Corolario
� Aunque posteriormente Einstein demuestra que sus leyes no siempre se cumplen, sus ecuaciones siguen estando vigentes para resolver problemas simples
12
“Los fenómenos se miden”
“Simplificación => Centro de masas”
“Hay leyes que rigen los fenómenos
de la naturaleza”
13
Termodinámica (Principio 0 y 1er Principio)
� Experimentan mucho en relación entre presión, volumen y temperatura
� “ Fabrican muchos cacharros”
� Joule, en particular, trabaja mucho en el estudio de la transferencia de energíaentre un sistema y su entorno
Otto
Boyle, Mariotte
Thompson, Joule
� Aportaciones
(1844 – 1906)
14
Principio 0
Equilibrio Térmico
�� ��
��
��= T
T = Temperatura
15
1er Principio
Sistema
Q
Q = ∆U + W
∆U
W
Sistema
W
∆U
Q
Q = Calor
W = Trabajo
∆U = Diferencial de Energía ddPotencial de Riesgo
16
Termodinámica (2do Principio, máquinastérmicas y entropía)
� Los primeros que se plantean obtener un rendimiento de la energía
� Incorporan el tiempo y la evolución en estados con el paso del tiempo
� Trabajan con diferenciales de un mismo sistema de dos momentos distintos
� Inventan la entropía como una medida del desorden de un sistema
� Aportaciones
CarnotKelvin y Planck
Clasius y Clapeyron
(1799 – 1947)
17
2do Principio
¿Por qué unos procesos ocurren en un sentido y no en el contrario?
18
Termodinámica (3er Principio)
� Eligen un punto de idealidad en el 0 teórico que sólo podría alcanzarse en el laboratorio
Planck (1858 – 1947)
� Aportación
� Corolario
� Permite identificar la cantidad de entropía como la distancia entre el “cero” y cada estado
Nota: Cuando nos aproximamos al cero absoluto la entropía del sistema se hace independiente de las variables que definen el estado del mismo. Planck define el calor para ser consecuente con la entropía del Boltzmann
19
3er Principio
20
Principio 0: “Cuando dos sistemas entran en
contacto alcanzan un estado de equilibrio”
Principio 1: “Lo que tocas lo cambias. A veces
con efectos caóticos”
Principio 2: “Aunque no toques algo se degrada.
A veces es irreversible”
Principio 3: “La perfección es imposible”
21
Mecánica Estadística
� Es posible llegar al “TODO” como la suma de la situación de cada una de las partesque lo componen Además con una pequeña selección de los componentespuedes llegar a conocer la situación del “TODO”
� Formula la entropía con una función de probabilidad y la conecta con latermodinámica ECUACIÓN PUENTE
Boltzmann
(1844 – 1906)
� Aportaciones
22
“Se puede pasar de lo
particular a lo general con
métodos probabilísticos”
23
“Los fenómenos se miden”
“Simplificación => Centro de masas”
“Hay leyes que rigen los fenómenos
de la naturaleza”
24
Principio 0: “Cuando dos sistemas entran en
contacto alcanzan un estado de equilibrio”
Principio 1: “Lo que tocas lo cambias. A veces
con efectos caóticos”
Principio 2: “Aunque no toques algo se degrada.
A veces es irreversible”
Principio 3: “La perfección es imposible”
25
“Se puede pasar de lo
particular a lo general con
métodos probabilísticos”
26
La necesidad de una base teórica para la optimización de la comunicación surgió del aumento de la complejidad y
de la masificación de las vías de comunicación.
Andrei A. Márkov(1910)
Ralph V. L. Hartley(1927)
Alan Turing(1936)
Shannon(1948)
Weaver(1949)
27
Andrei A. Márkov (1910)
Comienza la investigación de la manera óptima de enviar mensajes.
Su principal aportación fueron modelos centrados en la compresión de texto.
Teoría de la información
28
Ralph V. L. Hartley(1927)
Precursor del lenguaje binario para optimización de mensajes.
Teoría de la información
29
Alan Turing(1936)
Definió el esquema de una máquina capazde tratar información con emisión desímbolos, mundialmente conocida como laMaquina de Turing.
Teoría de la información
30
Shannon (1948)
Publica una teoría matemática de lacomunicación.
La demostración es a través de criptografíatrabajando en dos planos, el mensaje real yel mensaje recibido. Buscando cuánto separece este último al original define elconcepto de información/incertidumbre.
Posteriormente Von Neumann le sugiereque lo llame Entropía.
Teoría de la información
31
Shannon (1948)
Boltzmann(1875)
32
Weaver(1949)
Culminación y asentamiento de la Teoría de laInformación creando un modelo lineal y simple:
Teoría de la información
Fuente Destino
Transmisor Receptor
Señal
Fuente
Ruido
Fuente
de
Ruido
MensajeSeñal
Señal recibida
Mensaje
33
Trabajo sobre dos planos
Plano de lo que enviamos y el
plano de lo que recibimos.
A su distancia la llamó
entropía.
34
La teoría de grafos surgió para solucionar un problema concreto por parte de Euler. Posteriormente lograr establecer un método único para solucionar
problemas de diferentes ámbitos. Su evolución a redes complejas surgió porque con la teoría actual no eran capaces de modelar algunas leyes de la
naturaleza
Pólya(1887 – 1985)
Erdös - Renyi(1959)
Apple - Haken(1976)
Euler(1707 – 1783)
Cayley(1821 – 1895)
Derek de Solla Price(1965)
Barabási - Albert(Actualidad)
35
Euler(1707 – 1783)
Utiliza las matemáticas para modelar problemas de diferente naturaleza.
Demuestra la imposibilidad de resolver un problema.
De Grafos a Redes Complejas
36
Cayley(1821 – 1895)
Enuncia Teoría de Grafos Enumerativos (Árboles).
Este tipo de grafos se reutilizarán en ámbitos totalmente diferentes al investigado (Química).
De Grafos a Redes Complejas
37
Pólya(1887 – 1985)
Demuestra los resultados definitivos sobre Grafos enumerativos (Árboles).
De Grafos a Redes Complejas
38
Erdös - Renyi(1959)
Presentan un nuevo modelo llamado grafos aleatorios donde los grafos dejan de ser estáticos.
Con los grafos existentes no podían modelar determinados fenómenos.
De Grafos a Redes Complejas
39
Derek de Solla Price(1965)
Enuncia la ventaja acumulativa. Es el primero en proclamar que con grafos simples no es posible modelizar determinados problemas.
De Grafos a Redes Complejas
40
Apple - Haken(1976)
Teorema de los 4 colores. Primer problema relevante de matemáticas demostrado formalmente por computación.
De Grafos a Redes Complejas
41
Barabási - Albert(Actualidad)
Definen redes de escala libre.
Demuestran que con grafos simples es imposible modelar algunas de las leyes que rigen la naturaleza. Por eso fundan esta nueva disciplina.
De Grafos a Redes Complejas
42
Tratamiento de la Complejidad
Para resolver problemas simples las
herramientas simples son óptimas. Los
problemas complejos no siempre pueden
ser resueltos con herramientas simples.
Es necesario evolucionar las herramientas
clásicas.
43
Termodinámica
Mecánica EstadísticaMecánica
Estadística
Teoría de la InformaciónTeoría de la Información
ComplejasRedes
Complejas
Teoría de los Sistemas de Información
Mecánica
Grafos
Enumerado
44
“Hemos encontrado una función
entrópica en la relación
existente entre un sistema de
información y el conocimiento
que tenemos de él”
Teoría de los dos planos
Reflexión
45
“Conocer la diferencia del riesgo
entre dos sistemas de información
o en un sistema de información en
dos momentos distintos como
función de la variación de sus
entropías”
Objetivo
46
“Si podemos hablar de ∆R en función de ∆S, encontraremos una manera
simple de modelar el riesgo en redes complejas”
&'
&
&(
)∆R
∆R ∆R = Diferencial de riesgo
∆S = Diferencial de entropía
47
� La tercera línea científica que hemos abierto cuando hemos llegado a estas conclusiones es el caos
� Por simplicidad vamos a definir 4 conceptos:
� Sistema lineal
� Sistema caótico
� Atractores
� Disparadores
El caos
48
“Los elementos y conexiones dentro de una red
compleja que representan un sistema de
información que existe y que no han sido diseñados”
∆S: Diferencial de entropía
Caminos NO diseñados
Caminos diseñados
Sistema de Información
49
“ La energía (potencial de riesgo) de un
sistema es el conjunto de nodos e
interrelaciones no diseñados y conocidos”
∆U: Diferencial de Energía Potencial de Riesgo
Sistema de Información
Caminos NO
diseñados
Caminos diseñados
Conocimiento de los Caminos No
diseñados
50
Errores, debilidades e impactos∆G(T, P)
(∆U + W)
∆G = (∆H + T∆S)
T
(T, P) = Coste, beneficio y riesgo para el atacante
Nombre Descripción Color
∆S Diferencial de Entropía
∆U Diferencial de Energía
∆H Incidentes
∆S =
51
“Con esta definición de la entropía
y de la energía potencial de riesgo
vamos a analizar su
comportamiento en los 4 principios
fundamentales de la
termodinámica”
52
Ley 0
Física
Teoría de los Sistemas de Información
Conectamos dos sistemas
+∆1�
∆2�
∆1�∆2�
++
*
*Hay que definir que significa sumar estas magnitudes. El resultado finalimplica que la suma no es menor que el mayor de ellas
Analiza el comportamiento de dos sistemas cuando entran en contacto
53
Ley 1
Teoría de los Sistemas de Información
Modifico el Sistema.
Cuando modifico un sistema se conserva su energía potencialde riesgo. La entropía puede quedar modificada.
� Añado nodos o relaciones
∆13 4 ∆1'
� Quito nodos o relaciones
∆13 5 ∆1'
FísicaAnaliza el comportamiento de un sistema
cuando introduces algún cambio.
54
Ley 2
Teoría de los Sistemas de Información
No modifico el Sistema
Proceso irreversible
FísicaAnaliza el comportamiento de un sistema
con el paso del tiempo cuando NO introduces ningún cambio.
55
Ley 3
Teoría de los Sistemas de Información
Intento llegar al cero absoluto de entropía� No se puede verificar
formalmente una redcompleja
� Se puede verificarformalmente un grafo
FísicaAnaliza la posibilidad de alcanzar un valor
cero de la entropía.
56
Seguridad Estadística
“Con métodos de análisis de riesgo
clásicos aplicados a elementos de la red
compleja extraídos de forma aleatoria
podemos inferir los mismos resultados
que los obtenidos bajo una visión Macro”
S = K log W S(X) = - ∑ :;<;=' >?@( :;
8 – 10 Julio 2013Aranjuez
Cursos de Verano de AranjuezEdición XIV