Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Gestión del riesgo intencional mediante análisis redes complejas: aplicación al Fintech.

322 views

Published on

Intentional risk management through complex networks analysis: application to Fintech. Regino Criado (URJC) and Santiago Moral (BBVA).

Curso de Verano 'Ciberseguridad y Fintech'.
'Cybersecurity & Fintech' Summer Course.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Gestión del riesgo intencional mediante análisis redes complejas: aplicación al Fintech.

  1. 1. Gestión del Riesgo Intencional mediante análisis Redes Complejas: Aplicación al Fintech. Curso de Verano CIGTR Aranjuez, 06 de Julio 2016 Dr. Santiago Moral Rubio Prof. Regino Criado
  2. 2. 2 Modelo de Rentabilidad Ajustada a Riesgo (RAR) Ingresos, gastos y riesgo en las industrias formales =>Rentabilidad Riesgos(*) Ingresos Gastos- Riesgos(*): En la industria formal el principal riesgo es la pérdida del capital invertido.
  3. 3. 3 Modelo de Rentabilidad Ajustada a Riesgo (RAR) Ingresos, gastos y riesgo en la Delincuencia Organizada (RAR-DO) =>Rentabilidad Riesgos(*) Ingresos Gastos- Riesgos(*): En la Delincuencia Organizada, además de la pérdida del capital invertido, existe el riesgo de ser descubierto.
  4. 4. 4 =>Rentabilidad Riesgos Ingresos Gastos- Dificultad de ser descubierto Valor esperado del activo atacado Complejidad (coste) de atacar el sistema Modelo de Rentabilidad Ajustada a Riesgo (RAR) Ingresos, gastos y riesgo en la Delincuencia Organizada (RAR-DO)
  5. 5. 5 =>Rentabilidad Riesgos Ingresos Gastos- Anonimidad Valor del activo Accesibilidad Modelo de Rentabilidad Ajustada a Riesgo (RAR) Ingresos, gastos y riesgo en la Delincuencia Organizada (RAR-DO)
  6. 6. 6 Función de Beneficio de la Delincuencia Organizada Ingresos, gastos y riesgo en la Delincuencia Organizada =>Rentabilidad Riesgos Ingresos Gastos- Anonimidad Valor del activo Accesibilidad La Función de Beneficio de la Delincuencia Organizada incorpora
  7. 7. 7 => No Anonimidad - Valor del activo No AccesibilidadLa Función de Beneficio de la Delincuencia Organizada incorpora Función de Beneficio de la Delincuencia Organizada Ingresos, gastos y riesgo en la Delincuencia Organizada
  8. 8. 8 => No Anonimidad - Valor del activo No AccesibilidadLa Función de Beneficio de la Delincuencia Organizada incorpora Estrategias de disminución del valor de la información Estrategias de disminución la accesibilidad de la información Estrategias de disminución la anonimidad (e impunidad) del atacante Estrategias de reducción de la Función de Beneficio de la Delincuencia Organizada
  9. 9. 9 => No Anonimidad - Valor del activo No AccesibilidadLa Función de Beneficio de la Delincuencia Organizada incorpora Disminución del valor: • Anonimización • Disociación • Reconstrucción HTML5 Disminuir la accesibilidad: • Isiolation • AirGaping • DSN Disminuir anonimidad: • Behabiour Analityics • Gestión de Outliers • Lambda Architectures Estrategias de reducción de la Función de Beneficio de la Delincuencia Organizada
  10. 10. 10 => No Anonimidad - Valor del activo No AccesibilidadLa Función de Beneficio de la Delincuencia Organizada incorpora ¿Valoración de los activos en la Deep Web? ¿Cuánto son de accesibles los datos? ¿Cuánto es de anónimo (e impune) el atacante? Reto de alto valor: ¿Podemos medir cuantitativamente la Función de Beneficio de la Delincuencia Organizada?
  11. 11. 11 => No Anonimidad - Valor del activo No Accesibilidad La Función de Beneficio de la Delincuencia Organizada incorpora ¿Valoración de los activos en la Deep Web? ¿Cuánto son de accesibles los datos? ¿Cuánto es de anónimo (e impune) el atacante? Reto de alto valor para los “Boards”: ¿Podemos medir cuantitativamente la Función de Beneficio de la Delincuencia Organizada para una empresa en concreto?(*) El libro plantea una posible solución no reduccionista al problema de alto valor planteado. (*) Y si se puede hacer para una, ¿puede hacerse para varias y establecer un Benchmark?
  12. 12. 12 Redes Complejas y el Caminante Aleatorio Su relación con la anonimidad y la accesibilidad La Hipótesis del Caminante Aleatorio: Si nos movemos en una red de manera aleatoria, pasaremos más frecuentemente por aquellos nodos más interconectados.
  13. 13. 13 Redes Complejas y Larry Page (PageRank) Su relación con la anonimidad y la accesibilidad El algoritmo PageRank da un peso a cada página en función de cuantas pueden accederla, ponderado con el peso de esas mismas páginas.
  14. 14. 14 14
  15. 15. 15 Paseante aleatorio UNIFORME Paseante aleatorio SESGADO (algunos vecinos son elegidos con mayor probabilidad que otros) Paseante aleatorio CON SALTO ESPECTRAL (TELEPORTACIONES) p=2/3, (1-p)=1/3
  16. 16. 16
  17. 17. 17
  18. 18. 18 Paseante aleatorio homogéneo Paseante aleatorio sesgado Paseante aleatorio con saltos espectrales y vector de personalización
  19. 19. 19 Modelo más general (tipo Google) matriz de personalización
  20. 20. 20
  21. 21. 21 Modelo más general (tipo Google) matriz de personalización
  22. 22. 22 Navegación en redes multiplex por capas: Modela diferentes modos de navegación, por ejemplo, si consideramos varios perfiles de usuarios o diferentes capas diferentes tipos de accesos: autorizados, por afinidad o potenciales.
  23. 23. 23 Paseantes aleatorios y el rol de la ACCESIBILIDAD en el RIESGO INTENCIONAL Paseantes aleatorios Accesibilidad en el contexto de RIESGO INTENCIONAL
  24. 24. 24
  25. 25. 25 C -Line graph
  26. 26. 26 1. ¿Accesibilidad de nodos o accesibilidad de aristas?: Algoritmo PageRank para el line graph dirigido y pesado. 2. Spectral Jump: Diferenciamos entre NODOS GENERADORES DE CONEXIONES (accesos desde internet, accesos realizados por administradores, …) y NODOS NO GENERADORES DE CONEXIONES (donde una comunicación se procesa, pero no se inicia una comunicación). 3. La accesibilidad de un nodo podría ser modelada como un paseante aleatorio uniforme sin saltos espectrales en una red multiplex de dos capas. Una de ellas modelaría las conexiones registradas por el sniffing y la otra (capa de inicio y fin de conexiones) las conexiones realizadas debido a un salto espectral
  27. 27. 27
  28. 28. 28 La accesibilidad en Riesgo intencional dinámico también se puede modelar utilizando un navegante aleatorio sesgado sin saltos espectrales en una red multiplex compuesta por tres capas.
  29. 29. 29
  30. 30. 30 Redes Complejas y Larry Page (PageRank) Su relación con la anonimidad y la accesibilidad El algoritmo PageRank da un peso a cada página en función de cuantas pueden accederla, ponderado con el peso de esas mismas páginas.
  31. 31. 31 Teoría de Juegos, Redes Complejas, el Caminante Aleatorio y Larry Page ¿Y si pudiéramos “ubicar” la función de beneficio de la delincuencia organizada dentro de cada nodo de una Red Compleja y utilizamos los algoritmos Random Wolker y PageRank para “propagar por la red compleja” el valor, la anonimidad y la accesibilidad? => Anonimidad - Valor del activo Accesibilidad La Función de Beneficio de la Delincuencia Organizada incorpora
  32. 32. 32 Teoría de Juegos, Redes Complejas, el Caminante Aleatorio y Larry Page Objetivo: Sustituir una red compleja por su nodo equivalente desde el punto de vista del valor de los activos que almacena, su anonimidad y su accesibilidad => Anonimidad - Valor del activo Accesibilidad La Función de Beneficio de la Delincuencia Organizada incorpora
  33. 33. 33 Objetivo conseguido!!! Teoría de Juegos, Redes Complejas, el Caminante Aleatorio y Larry Page Un vista expandida de todos los atributos de una red de ejemplo Un vista colapsada de todos los atributos de la misma red de ejemplo

×