La sintesi contenuta in questo articolo deriva dal lavoro che
l’autore ha svolto durante la preparazione del seminario sul datamining ed il fraud management tenutosi a Roma nell’auditorio di Telecom Italia il 13 Settembre 2011, grazie ad una lodevole iniziativa di Stefano Maria De’ Rossi cui vanno i ringraziamenti dell’autore.
Ulteriori approfondimenti sul tema del fraud management sono
consultabili sui numeri 2, 3, 4 della rivista Information Security
Come sfruttare il potere dei dati: alla scoperta dell’Analisi PredittivaKEA s.r.l.
A completamento delle nostre esplorazioni sui Big Data, ecco il report sul libro di Erich Siegel, Analisi predittiva, LSWR, Milano, 2015, che mostra come utilizzare la Predictive Analysis (PA) per sfruttare il potere dei dati
Come sfruttare il potere dei dati: alla scoperta dell’Analisi PredittivaKEA s.r.l.
A completamento delle nostre esplorazioni sui Big Data, ecco il report sul libro di Erich Siegel, Analisi predittiva, LSWR, Milano, 2015, che mostra come utilizzare la Predictive Analysis (PA) per sfruttare il potere dei dati
"La modellizzazione dei processi" - webinar SUPSI
I processi sono al centro di tutte le organizzazione e di ogni cambiamento delle stesse; dalla “Qualità Totale” degli anni ottanta, ai progetti di digitalizzazione attuali, passando per i sistemi gestionali (Iso 9001, 14001, 27001,45001, ma anche GDPR/LPD,…) i processi sono i protagonisti dei cambiamenti aziendali.
Mapparli e rappresentarli nel modo adeguato alle necessità, è uno degli elementi cardine per individuare punti di forza e di debolezza delle organizzazioni.
Open Data & Data Visualization: dalle licenze ai grafici | Bologna, 16 giugno...Dataninja
Open Data & Data Visualization. Dalle licenze ai grafici: riusare, pulire, esplorare e visualizzare i dati. Lezione in due giorni nell'ambito di un progetto di formazione interna del Comune di Bologna - 16 e 17 giugno 2014.
La capacità di fare previsioni: ecco la base dell’intelligenza artificialeKEA s.r.l.
Qual è il fondamento della AI (artificial intelligence, intelligenza artificiale)? Perché sta diventando sempre più pervasiva? Qual è il suo ruolo nell’ambito della definizione delle strategie aziendali? A queste e a numerose altre domande di base cercano di rispondere tre docenti presso la Rotman School of Management dell’Università di Toronto, esperti di intelligenza artificiale.
Report sull’interessante libro Ajay Agrawal, Joshua Gans, Avi Goldfarb, Macchine predittive. Come l’intelligenza artificiale cambierà lavoro e imprese, Franco Angeli, Milano, 2019
Dai report alle analisi: la «scoperta» attraverso i dati.
La raccolta dei dati aziendali è normalmente rivolta alla generazione di resoconti riassuntivi dell’andamento di vari aspetti dell’attività (ad esempio l’andamento delle vendite, la saturazione degli impianti, ecc.). Ma essi non sono sufficienti a creare informazioni.
Partendo dai dati è possibile estrapolare nuove intuizioni, inizialmente nascoste. Tramite la analisi dei dati è possibile scoprire caratteristiche di grande rilevanza dei fenomeni in esame.
Sviluppo di un Framework semantico per la contestualizzazione delle activityMichele Palumbo
Partendo da un’analisi di un algoritmo di video-tracking, abbiamo ricevuto, come output, un file. Questo file è stato ulteriormente partizionato per permettere di inserire i tag che vengono fuori dalle tecnologie semantiche.
Il file corredato con i tag semantici, ci viene dato come estensione rdf, che costituisce l'ontologia, dalla quale abbiamo, successivamente, sviluppato le queries.
abbiamo estratto informazioni concentrandoci sulle activity complesse, per risalire alle azioni salienti per quanto riguarda le situazioni di imminente pericolo, ad esempio, persone che attraversano, macchine che si spostano sulla strada, etc., le quali denotano una situazione di potenziale pericolo.
Inoltre, abbiamo rilevato anche situazioni pericolose già accadute (incidenti), ad esempio, macchine che decelerano, persone che camminano in gruppi, etc., in quanto ci possono essere persone che si raggruppano e soccorrono la vittima del sinistro stradale.
L'atteggiamento un tempo più diffuso, quando in azienda si cominciava a parlare di sicurezza informatica, era quello che molte società del settore ancora oggi identificano come quello dello "struzzo". Una comprensibile ignoranza delle problematiche faceva ritenere che la probabilità di subire un attacco informatico fosse molto bassa e che, tipicamente, questi eventi accadessero a qualcun altro. Del resto, lo stesso atteggiamento, ancor oggi, si può osservare se si esaminano le procedure di sicurezza applicate in molte imprese, per esempio in materia di prevenzione degli incendio, in generale, degli incidenti sul lavoro. Eppure la sicurezza è un concetto antico quanto quello stesso d'azienda. La protezione del patrimonio intellettuale, i brevetti, le barriere all'ingresso di una banca, i controlli all'uscita da una miniera di diamanti, le guardie giurate, sono tutti elementi volti a garantire la sicurezza aziendale. Si potrebbe andare ancora avanti a elencare altri provvedimenti per la sicurezza aziendale. La relativa giovinezza degli strumenti informatici e, soprattutto, la diffusione degli stessi, cresciuta nell'ultimo decennio con l'avvento di Internet, hanno posto una "questione culturale" sul fronte della protezione logica dei dati e delle informazioni: da un lato, si è avvertita e si avverte una scarsa percezione di quello che significa ICT security, dall'altro una mancanza di una reale percezione del rischio. Oggi si parla dell'era dell'informazione, per mettere in risalto l'importanza crescente del patrimonio della conoscenza come reale valore di un'impresa. Un concetto sul quale si può facilmente essere tutti d'accordo, anche perché non è una novità. Lo spionaggio industriale non è stato inventato con l'avvento dei computer; eppure cos'è se non furto di informazioni e know-how? Sono cambiati però gli strumenti, mentre il paradigma dell'e-business, che vuole un'impresa affidare all'IT tutte le attività e tutti i processi di business, esalta il ruolo del sistema informativo, facendone il deposito di quelle informazioni e di quel know-how che, in precedenza, si poteva raggiungere solo violando archivi e casseforti. L'estensione in rete dell'azienda, il successo di Internet, intranet ed extranet hanno favoritolo sviluppo di soluzioni e strumenti informatici, sia hardware sia software, che rispondono a esigenze di protezione differenti dal passato.
https://www.vincenzocalabro.it
SAPIENZA UNIVERSITA’ DI ROMA
DIPARTIMENTO DI SCIENZE DOCUMENTARIE, LINGUISTICO-FILOLOGICHE E GEOGRAFICHE
SCUOLA DI SPECIALIZZAZIONE IN BENI ARCHIVISTICI E LIBRARI
Anno accademico 2012-2013
Insegnamento: INFORMATICA PER GLI ARCHIVI E LE BIBLIOTECHE
Prof. Giovanni Solimine
Modulo integrativo
INFORMATICA PER LE BIBLIOTECHE
Prof. Maurizio Caminito
Le diverse soluzioni per la sicurezza si sono evolute nel corso degli anni al fine di indirizzare problematiche specifiche, andandosi così a posizionare in punti precisi dell'infrastruttura di elaborazione e comunicazione aziendale. Per esempio, l'autenticazione sugli host centrali, in un primo momento, e sui gateway di accesso, successivamente, oppure i firewall a protezione del perimetro applicativo e così via. Questa visione rifletteva la natura delle minacce, che, però, hanno imboccato la strada di un'evoluzione convergente. Gli attacchi, infatti, adottano tecnologie ibride che richiedono strumenti altrettanto integrati se si vuole avere una ragionevole certezza che possano essere rilevati. Quello che sta emergendo è uno scenario che vede l'affermarsi di un'architettura distribuita dei sistemi di sicurezza, con l'installazione di soluzioni in modalità client server e con l'integrazione di applicazioni inizialmente separate. Un esempio peculiare, a tale proposito, sono i sistemi di intrusion detection. Nati per essere posti all'interno della rete, si stanno spostando in tutti gli elementi dell'architettura, posizionandosi su host, segmenti di rete e client, sia all'interno della LAN sia all'esterno del firewall, come pure nella DMZ. Ma, addirittura, tali sistemi sono anche in grado di colloquiare con analoghe soluzioni poste dagli Internet Service Provider a protezione delle connessioni di rete. Senza contare poi l'interazione degli stessi sistemi di IDS con i dispositivi di firewall.
https://www.vincenzocalabro.it
BUSINESS PROCESS MANAGEMENT IN SANITÀ: RE-ENGINEERING DEI PROCESSI PER LA DIG...convegnonazionaleaiic
BUSINESS PROCESS MANAGEMENT IN SANITÀ: RE-ENGINEERING DEI PROCESSI PER LA DIGITALIZZAZIONE DEL WORKFLOW CHEMIOTERAPICO TRAMITE ANALISI FMEA E DISCRETE EVENT SIMULATION
"La modellizzazione dei processi" - webinar SUPSI
I processi sono al centro di tutte le organizzazione e di ogni cambiamento delle stesse; dalla “Qualità Totale” degli anni ottanta, ai progetti di digitalizzazione attuali, passando per i sistemi gestionali (Iso 9001, 14001, 27001,45001, ma anche GDPR/LPD,…) i processi sono i protagonisti dei cambiamenti aziendali.
Mapparli e rappresentarli nel modo adeguato alle necessità, è uno degli elementi cardine per individuare punti di forza e di debolezza delle organizzazioni.
Open Data & Data Visualization: dalle licenze ai grafici | Bologna, 16 giugno...Dataninja
Open Data & Data Visualization. Dalle licenze ai grafici: riusare, pulire, esplorare e visualizzare i dati. Lezione in due giorni nell'ambito di un progetto di formazione interna del Comune di Bologna - 16 e 17 giugno 2014.
La capacità di fare previsioni: ecco la base dell’intelligenza artificialeKEA s.r.l.
Qual è il fondamento della AI (artificial intelligence, intelligenza artificiale)? Perché sta diventando sempre più pervasiva? Qual è il suo ruolo nell’ambito della definizione delle strategie aziendali? A queste e a numerose altre domande di base cercano di rispondere tre docenti presso la Rotman School of Management dell’Università di Toronto, esperti di intelligenza artificiale.
Report sull’interessante libro Ajay Agrawal, Joshua Gans, Avi Goldfarb, Macchine predittive. Come l’intelligenza artificiale cambierà lavoro e imprese, Franco Angeli, Milano, 2019
Dai report alle analisi: la «scoperta» attraverso i dati.
La raccolta dei dati aziendali è normalmente rivolta alla generazione di resoconti riassuntivi dell’andamento di vari aspetti dell’attività (ad esempio l’andamento delle vendite, la saturazione degli impianti, ecc.). Ma essi non sono sufficienti a creare informazioni.
Partendo dai dati è possibile estrapolare nuove intuizioni, inizialmente nascoste. Tramite la analisi dei dati è possibile scoprire caratteristiche di grande rilevanza dei fenomeni in esame.
Sviluppo di un Framework semantico per la contestualizzazione delle activityMichele Palumbo
Partendo da un’analisi di un algoritmo di video-tracking, abbiamo ricevuto, come output, un file. Questo file è stato ulteriormente partizionato per permettere di inserire i tag che vengono fuori dalle tecnologie semantiche.
Il file corredato con i tag semantici, ci viene dato come estensione rdf, che costituisce l'ontologia, dalla quale abbiamo, successivamente, sviluppato le queries.
abbiamo estratto informazioni concentrandoci sulle activity complesse, per risalire alle azioni salienti per quanto riguarda le situazioni di imminente pericolo, ad esempio, persone che attraversano, macchine che si spostano sulla strada, etc., le quali denotano una situazione di potenziale pericolo.
Inoltre, abbiamo rilevato anche situazioni pericolose già accadute (incidenti), ad esempio, macchine che decelerano, persone che camminano in gruppi, etc., in quanto ci possono essere persone che si raggruppano e soccorrono la vittima del sinistro stradale.
L'atteggiamento un tempo più diffuso, quando in azienda si cominciava a parlare di sicurezza informatica, era quello che molte società del settore ancora oggi identificano come quello dello "struzzo". Una comprensibile ignoranza delle problematiche faceva ritenere che la probabilità di subire un attacco informatico fosse molto bassa e che, tipicamente, questi eventi accadessero a qualcun altro. Del resto, lo stesso atteggiamento, ancor oggi, si può osservare se si esaminano le procedure di sicurezza applicate in molte imprese, per esempio in materia di prevenzione degli incendio, in generale, degli incidenti sul lavoro. Eppure la sicurezza è un concetto antico quanto quello stesso d'azienda. La protezione del patrimonio intellettuale, i brevetti, le barriere all'ingresso di una banca, i controlli all'uscita da una miniera di diamanti, le guardie giurate, sono tutti elementi volti a garantire la sicurezza aziendale. Si potrebbe andare ancora avanti a elencare altri provvedimenti per la sicurezza aziendale. La relativa giovinezza degli strumenti informatici e, soprattutto, la diffusione degli stessi, cresciuta nell'ultimo decennio con l'avvento di Internet, hanno posto una "questione culturale" sul fronte della protezione logica dei dati e delle informazioni: da un lato, si è avvertita e si avverte una scarsa percezione di quello che significa ICT security, dall'altro una mancanza di una reale percezione del rischio. Oggi si parla dell'era dell'informazione, per mettere in risalto l'importanza crescente del patrimonio della conoscenza come reale valore di un'impresa. Un concetto sul quale si può facilmente essere tutti d'accordo, anche perché non è una novità. Lo spionaggio industriale non è stato inventato con l'avvento dei computer; eppure cos'è se non furto di informazioni e know-how? Sono cambiati però gli strumenti, mentre il paradigma dell'e-business, che vuole un'impresa affidare all'IT tutte le attività e tutti i processi di business, esalta il ruolo del sistema informativo, facendone il deposito di quelle informazioni e di quel know-how che, in precedenza, si poteva raggiungere solo violando archivi e casseforti. L'estensione in rete dell'azienda, il successo di Internet, intranet ed extranet hanno favoritolo sviluppo di soluzioni e strumenti informatici, sia hardware sia software, che rispondono a esigenze di protezione differenti dal passato.
https://www.vincenzocalabro.it
SAPIENZA UNIVERSITA’ DI ROMA
DIPARTIMENTO DI SCIENZE DOCUMENTARIE, LINGUISTICO-FILOLOGICHE E GEOGRAFICHE
SCUOLA DI SPECIALIZZAZIONE IN BENI ARCHIVISTICI E LIBRARI
Anno accademico 2012-2013
Insegnamento: INFORMATICA PER GLI ARCHIVI E LE BIBLIOTECHE
Prof. Giovanni Solimine
Modulo integrativo
INFORMATICA PER LE BIBLIOTECHE
Prof. Maurizio Caminito
Le diverse soluzioni per la sicurezza si sono evolute nel corso degli anni al fine di indirizzare problematiche specifiche, andandosi così a posizionare in punti precisi dell'infrastruttura di elaborazione e comunicazione aziendale. Per esempio, l'autenticazione sugli host centrali, in un primo momento, e sui gateway di accesso, successivamente, oppure i firewall a protezione del perimetro applicativo e così via. Questa visione rifletteva la natura delle minacce, che, però, hanno imboccato la strada di un'evoluzione convergente. Gli attacchi, infatti, adottano tecnologie ibride che richiedono strumenti altrettanto integrati se si vuole avere una ragionevole certezza che possano essere rilevati. Quello che sta emergendo è uno scenario che vede l'affermarsi di un'architettura distribuita dei sistemi di sicurezza, con l'installazione di soluzioni in modalità client server e con l'integrazione di applicazioni inizialmente separate. Un esempio peculiare, a tale proposito, sono i sistemi di intrusion detection. Nati per essere posti all'interno della rete, si stanno spostando in tutti gli elementi dell'architettura, posizionandosi su host, segmenti di rete e client, sia all'interno della LAN sia all'esterno del firewall, come pure nella DMZ. Ma, addirittura, tali sistemi sono anche in grado di colloquiare con analoghe soluzioni poste dagli Internet Service Provider a protezione delle connessioni di rete. Senza contare poi l'interazione degli stessi sistemi di IDS con i dispositivi di firewall.
https://www.vincenzocalabro.it
BUSINESS PROCESS MANAGEMENT IN SANITÀ: RE-ENGINEERING DEI PROCESSI PER LA DIG...convegnonazionaleaiic
BUSINESS PROCESS MANAGEMENT IN SANITÀ: RE-ENGINEERING DEI PROCESSI PER LA DIGITALIZZAZIONE DEL WORKFLOW CHEMIOTERAPICO TRAMITE ANALISI FMEA E DISCRETE EVENT SIMULATION
The Japanese are masters of business intelligence, and some American companies were founded on the eyes and ear's culture. Business intelligence is rapidly becoming a major source to achieve competitive advantage. This innovation is a legitimate business function, and businesses over time have collected data about a whole range of issues - mostly about their competitors. According to Greene (1966) business intelligence is processed information of interest to management, about the present and future environment in which the business is operating.
Tecniche di Data Mining a supporto del fraud management
1. >> La sintesi contenuta in questo articolo deriva dal lavoro che
l’autore ha svolto durante la preparazione del seminario sul data-
mining ed il fraud management tenutosi a Roma nell’auditorio di
Telecom Italia il 13 Settembre 2011, grazie ad una lodevole iniziativa
di Stefano Maria De’ Rossi cui vanno i ringraziamenti dell’autore.
Ulteriori approfondimenti sul tema del fraud management sono
consultabili sui numeri 2, 3, 4 della rivista Information Security
Le tecniche di Data Mining a
supporto del fraud management
Marco Scattareggia, laureato in Ingegneria Elettronica, lavora
a Roma presso la Hewlett-Packard Italiana dove dirige il Center of
Excellence di HP EMEA dedicato alla progettazione e realizzazione di
soluzioni di fraud management per gli operatori di telecomunicazioni.
Qualora l’articolo sia stato di interesse per il lettore, è possibile inviare
richieste di chiarimento e valutazioni di merito all’indirizzo e-mail
marco.scattareggia@hp.com.
Information Security - n. 7 nov/dic 2011 scenari 53
RAGIONAMENTO INDUTTIVO, DATA MINING E FRAUD
MANAGEMENT
Il data-mining, ovvero lo scavare nei dati alla ricerca dell’oro della cono-
scenza, consiste nella combinazione di più discipline tra cui la statistica in-
ferenziale, la gestione informatica delle basi di dati e il machine learning.
Quest’ultimo è lo studio dell’autoapprendimento robotico nell’ambito della
ricerca sull’intelligenza artificiale e per data-mining si intende l’estrarre della
conoscenza da una grande massa di dati al fine di acquisire le regole che
diano supporto alle decisioni e che determinino le eventuali azioni da in-
traprendere. Nella lingua inglese questo concetto si esprime efficacemente
con il termine Actionable Insight.
Il data-mining copre un ampio campo di attività di analisi e in questo arti-
colo si vogliono evidenziare i benefici che i processi di business, come il
fraud management, possono in particolare trarre dalle tecniche previsionali.
Queste ultime, note come Predictive Analytics, si compongono di tre ele-
menti:
1. Grandi quantità di dati da analizzare e sufficienti a fornire dei campioni
rappresentativi per l’addestramento, la verifica e la validazione dei mo-
delli predittivi;
2. 2. Tecniche di analisi per la comprensione dei dati, delle
loro strutture e del loro significato;
3. Modelli previsionali articolabili, come ogni processo
informatico, in termini di “input, process e output”;
ovvero in parametri predittori, in algoritmi di calcolo e
in obiettivi e risultati della previsione.
In aggiunta alle tecniche di analisi sono anche necessari
adeguati strumenti e metodi per il caricamento, la
trasformazione e la normalizzazione dei dati. Tali attività
preliminari sono evidenziate nelle prime fasi del
paradigma KDD (Knowledge Discovery in Databases) e
sono generalmente presenti nei prodotti noti come ETL
(Extract, Transform, Load). Se si visita il sito
www.kdd.org, si può capire come il data-mining possa
consistere effettivamente nella fase di analisi del
processo interattivo per l’estrazione della conoscenza dai
dati illustrato in Figura 1.
Essendo però interessati alle applicazioni pratiche del
data-mining in un contesto industriale, è utile esaminare
anche la Figura 2 dove è riportata l’evoluzione delle
tecniche di business analytics. Si inizia con la semplice
attività di reporting, che fornisce una sintesi grafica dei
dati aggregati secondo le diverse dimensioni di interesse
ed evidenzia così le principali differenze e gli elementi di
maggiore interesse. La successiva fase di analysis
corrisponde all’attività di studio dei dati per capire
“perché” è avvenuto un determinato fenomeno.
Successivamente il monitoring corrisponde all’utilizzo di
strumenti che permettono di controllare cosa sta
succedendo ed, infine, il predictive analytics permette di
stabilire cosa potrebbe o dovrebbe accadere in futuro.
Ovviamente, va subito precisato che il futuro può essere
predetto solo in termini probabilistici e non ci sarà la
certezza del cento per cento su cosa accadrà veramente.
In pratica viene fornito un ordinamento (ranking) su
scala probabilistica dei possibili eventi in base
all’esperienza precedentemente accumulata. Tale
ordinamento, noto come attività di scoring, permette di
assegnare in termini percentuali un valore, lo score, il
quale esprime la confidenza che abbiamo nella
previsione stessa. Il livello di confidenza raggiunto ci
permette di eseguire l’azione più consona alla previsione
effettuata; ad esempio nel fraud management uno score
elevato, corrispondente ad un elevato rischio di frode, e
può determinare il blocco automatico dell’erogazione del
servizio (il prestito finanziario da parte di una banca, la
linea telefonica di un operatore, la copertura
assicurativa, ecc.), mentre uno score più moderato
potrebbe richiedere solo un supplemento di indagine da
parte dell’analista.
Questo articolo vuole mostrare come le applicazioni di
fraud management, inteso come processo di business,
possano trarre evidenti benefici dalle tecniche di data-
mining e dall’uso pratico dei modelli predittivi.
È interessante evidenziare che le tecniche di business
analytics derivano dalla statistica inferenziale e più
precisamente dal ragionamento probabilistico di Bayes,
ovvero dal porsi il problema di stabilire quali cause
hanno determinato l’effetto che è stato osservato. Il
teorema di Bayes sulla probabilità condizionata (teorema
per la probabilità delle cause) risponde alla domanda:
“Sapendo che si è verificato l’effetto B, qual è la
probabilità che la causa sia A?”. In breve fornisce la
probabilità della causa dato l’effetto.
Ad esempio sul numero 4 di Information Security,
pubblicato a Maggio/Giugno 2011, nell’articolo “Come
realizzare un Modello Predittivo” è stato
mostrato il modo di calcolare la
probabilità di acquisto che un impiegato
esperto assegna ad ogni avventore in
base al genere della persona, uomo o
donna, ed in base al fatto che la
persona sia vestita in modo più o meno
ricercato. Si può ora constatare che,
durante la costruzione del modello
predittivo “l’effetto” (acquisto positivo o
acquisto negativo) è noto, mentre è “la
causa” ad essere oggetto di studio e
richiedere una valutazione
probabilistica. In tale fase di analisi i
54 scenari Information Security - n. 7 nov/dic 2011
Figura 1
3. ruoli sono invertiti: dato l’effetto si cerca la causa. Nella
successiva fase esecutiva i ruoli di causa ed effetto
riprendono la loro sequenza naturale: data la causa si
prevede l’effetto che ne deriva.
In altre parole, nel modello previsionale, il sesso si
comporta da “predittore”, mentre l’acquisto, nel suo
attributo di positivo o negativo, diventa “l’oggetto”
(Target) da indovinare.
La fase di analisi, durante la quale i ruoli “causa ed
effetto” sono invertiti, è indicata nelle tecniche di
Predictive Analytics come “addestramento” (training) del
modello.
Di seguito, in Figura 3, è riportata la tabella di
contingenza con dei valori esemplificativi delle probabilità
da utilizzare nel teorema di Bayes per calcolare la
probabilità di acquisto per un uomo o una donna. In
altre parole, si vuole prevedere la probabilità di acquisto
(“effetto”) conoscendo il sesso dell’avventore
(“causa”). È come dire che avendo analizzato
la storia degli acquisti diversificati sulla base
del genere delle persone ed avendo potuto
calcolare la probabilità della causa (“sesso”)
condizionata da un specifico effetto
(“acquisto”), si può utilizzare un modello
previsionale basato sul teorema di Bayes per
prevedere la probabilità di un futuro acquisto
una volta che si disponga del sesso della
persona.
Il teorema delle probabilità delle cause di
Thomas Bayes è ampiamente impiegato per
prevedere quali cause hanno maggiore
probabilità di aver scatenato l’evento
osservato. Tuttavia è stato Pierre-Simon Laplace a
consolidare, nel suo “Essai philosophique sur les
probabilités (1814)”, il sistema logico che è alla base del
ragionamento induttivo e che oggi indichiamo come
ragionamento bayesiano.
La formula che emerge dal sistema di Laplace è la
“regola delle successioni”. Supposto che gli esiti di un
fenomeno siano solo due, “successo” e “fallimento” e
supposto che “a priori” si sappia poco o nulla di come
venga determinato l’esito dei risultati, Laplace derivò il
modo per calcolare la probabilità che il successivo esito
sia un successo:
P = (s+1)/(n+2)
dove “s” è il numero successi precedentemente osservati
e “n” il numero totale dei casi noti. Laplace si spinse ad
utilizzare la sua regola delle successioni per calcolare la
probabilità del sorgere del sole ad ogni nuovo giorno,
basandosi sul fatto che fino ad oggi tale evento non sia
mai fallito. Ovviamente fu fortemente criticato dai suoi
contemporanei per questa sua irreverente
estrapolazione.
L’obiettivo della statistica inferenziale è fornire i metodi
che servono ad imparare dall’esperienza, cioè a costruire
modelli per passare da casi particolari al caso generale.
Ma la regola delle successioni di Laplace, come anche
tutto il sistema del ragionamento induttivo Bayesiano,
può portare a dei clamorosi errori.
Le insidie insite nei ragionamenti sulle probabilità sono
messe in evidenza dai cosiddetti paradossi che pongono
domande le cui giuste risposte appaiono fortemente
illogiche. Il filosofo Bertrand Russell mise, ad esempio, in
evidenza che cadendo dal tetto di un palazzo di venti
Information Security - n. 7 nov/dic 2011 scenari 55
Figura 2
Figura 3
4. piani quando si è arrivati all’altezza del primo piano si
potrebbe erroneamente dedurre con la regola delle
successioni di Laplace che, non essendo successo nulla
di male durante la caduta per ben 19 dei 20 piani, non ci
sia alcun pericolo anche nel ventesimo tratto di caduta.
Russell concluse pragmaticamente che il ragionamento
induttivo non deve solo portare ad una maggiore
probabilità, ma anche essere “ragionevolmente
credibile”.
Un ulteriore esempio spesso utilizzato per dimostrare i
limiti del procedimento logico induttivo è il “paradosso
dei corvi neri” sviluppato negli anni ’40 da Carl Gustav
Hempel. Esaminando, ad uno ad uno, un milione di
corvi, notiamo che sono tutti neri. Dopo ogni
osservazione, perciò, la teoria che tutti i corvi siano neri
diviene sempre più probabilmente vera, coerentemente
col principio induttivo. Ma l’assunto “i corvi sono tutti
neri”, se isolato, è logicamente equivalente all’assunto
“tutte le cose che non sono nere, non sono corvi”.
Questo secondo enunciato diventerebbe più
probabilmente vero anche in seguito all’osservazione di
una “mela rossa”: osserveremmo, infatti, una cosa “non
nera” che “non è un corvo”. Ma l’osservazione
di una mela rossa, se presa per rendere più
vero l’assunto secondo cui tutti i corvi sono
neri, non è consistente e non è
ragionevolmente credibile. Bertrand Russell
argomenterebbe che se la popolazione di corvi
nel mondo comprende in totale “un milione più
uno” esemplari, allora la deduzione “i corvi
sono tutti neri” è da ritenere ragionevolmente
giusta, ma se invece si dovesse stimare
l’esistenza di “cento milioni” di corvi allora il
campione di un solo milione di corvi neri non
sarebbe più sufficiente.
È sulla base di questa “risposta di Russell” che
si fondano i presupposti per poter adottare
nella pratica le previsioni fornite dai modelli predittivi ed
utilizzarle per prendere le decisioni di business.
Nello scegliere i campioni di dati per l’addestramento, il
test e la validazione di un modello predittivo, occorre
formulare due domande fondamentali:
a) Le regole che costituiscono l’algoritmo del modello
sono consistenti con le caratteristiche delle entità
individuali che compongono il campione?
b) I dati del campione sono rappresentativi dell’universo
della popolazione di soggetti che si vuole sottoporre
alle previsioni?
Le risposte a queste due domande derivano
rispettivamente dai concetti di validità interna e di
validità esterna di uno studio statistico inferenziale come
indicato nella Figura 5. La validità interna misura quanto
i risultati del modello e dell’analisi effettuata sono corretti
per il campione delle entità che sono state studiate e
può venire compromessa dalla variazione non
perfettamente casuale dei dati che agisce come rumore
ed elemento di disturbo (bias). La validità interna
rappresenta una condizione necessaria ma non
sufficiente perché un modello sia utilizzabile e si deve
verificare anche la validità esterna e cioè il grado di
generalizzazione acquisita dal modello predittivo.
Quando il modello non ha prodotto delle regole che
abbiano generalizzato a sufficienza è probabile che
durante la fase di training abbia semplicemente
“memorizzato” (overfitting) la maggior parte dei dati
presenti nel campione utilizzato per il suo
addestramento, ma non abbia efficacemente imparato
dai dati ovvero estratto la conoscenza custodita nei dati
stessi. In questa situazione il modello non sarà in grado
Figura 4
56 scenari Information Security - n. 7 nov/dic 2011
Figura 5
5. di processare con successo i casi presenti nei campioni di
test e di validazione. Ciò supponendo che i dati presenti
nei campioni di test e validazione siano correttamente
separati e non sovrapponibili a quelli del campione di
training; si noti come sia preferibile usare un terzo set di
dati, in aggiunta al normale campione di test, con cui
validare ulteriormente la generalizzazione del modello
rispetto sia ai dati contenuti nel campione di
addestramento sia in quello di test.
Le tecniche di predictive analytics aiutano a prendere
decisioni una volta che sono stati classificati e
caratterizzati i dati di un certo fenomeno. Altre tecniche,
come l’OLAP (On-Line Analytical Processing), aiutano
comunque a prendere decisioni perché permettono di
vedere cosa sia successo. Tuttavia un modello predittivo
fornisce direttamente la previsione di un fenomeno, ne
stima la dimensione e quindi si presta ad azionare degli
automatismi.
Un’ulteriore possibilità resa disponibile dall’utilizzo delle
tecniche di predictive analytics è la separazione e la
classificazione degli elementi appartenenti ad un insieme
non omogeneo. L’esempio più comune per questo tipo di
applicazione è quello dei clienti da indirizzare in
un’azione di marketing per decidere a chi mandare una
proposta commerciale con la ragionevole probabilità di
ottenere una risposta positiva e, a ragione, in questi casi
si può parlare di business intelligence. Tale tecnica, nota
come “clustering”, è utile anche nel Fraud Management
perché permette di rendere più mirata l’azione dei
modelli predittivi; infatti è possibile, sin dalla fase di
addestramento del modello, suddividere la massa dei
dati in sottoinsiemi omogenei e rendere quindi il
comportamento attuato negli schemi di frode più
facilmente prevedibile. Peraltro, l’individuazione di
sottoinsiemi con parametri particolarmente distanti dai
valori medi, detti out-layer, porta direttamente
all’individuazione di casi che hanno una forte probabilità
di frode e che quindi richiedono un’investigazione più
approfondita.
IL DILEMMA DEL FRAUD MANAGER
Il desiderio di ogni organizzazione, che sia consapevole
delle perdite di ricavi dovute alle frodi, è ovviamente
quello di azzerare tali perdite. Purtroppo ciò non è
possibile a causa sia di problemi intrinsecamente
connessi con il fenomeno frodatorio, legati
principalmente alla rapida reazione delle organizzazioni
criminali che ne traggono profitto e che trovano
rapidamente nuovi schemi di attacco e nuove debolezze
nei sistemi di difesa, sia perché anche il contrasto delle
frodi ha un costo che cresce proporzionalmente al livello
di difesa messo in atto. La Figura 6 mostra graficamente
che, senza sistemi di contrasto, le perdite per frodi
possono raggiungere livelli molto elevati, dell’ordine di
oltre il 30% dei ricavi totali, e potrebbero anche mettere
a rischio la sopravvivenza stessa dell’azienda. Attivando
un’adeguata organizzazione di fraud management,
fornendosi cioè di un responsabile e di una squadra di
controllo dotata di un’opportuna infrastruttura
tecnologica, le perdite scendono immediatamente a livelli
accettabili dell’ordine di poche cifre percentuali. Tuttavia,
nel tentativo di azzerare completamente le frodi si
possono introdurre facilmente dei costi così elevati, in
termini di personale e di strumenti, da superare
l’ulteriore riduzione delle perdite.
La competenza del fraud manager deve permettere di
individuare il punto ottimale di compromesso tra i costi
della sua struttura e le perdite dovute alle frodi residue,
indicato con il colore rosso nella Figura 6. La maggiore
difficoltà però non sta nel riuscire a dimostrare alla
propria linea di management quanto valgano le frodi
residue, ma nello stimare le perdite già evitate con
l’attività precedentemente eseguita dalla propria squadra
di analisti. In altre parole non è assolutamente facile
valutare la dimensione e le conseguenze delle frodi che
“non” sono state messe in atto.
Per approfondire questo tema e capire come calcolare il
ROI di un FMS, si può far riferimento all’articolo “Ritorno
sull’Investimento di un FMS” pubblicato a marzo/aprile
Information Security - n. 7 nov/dic 2011 scenari 57
Figura 6
6. sul numero 3 di Information Security. Tecnicamente è
necessario scegliere degli adeguati KPI (Key
Performance Indicator) e misurare sia il valore delle frodi
individuate in un determinato periodo sia di quelle
residue nello stesso periodo.
Nella Figura 7 sono rappresentati gli andamenti dei KPI
noti come precision (percentuale delle frodi accertate sul
totale di frodi analizzate) e recall (percentuale di frodi
individuate sul totale di frodi esistenti). Desiderando
raggiungere il punto ideale per il quale si avrebbero
contemporaneamente una precision ed una recall del
100%, si possono fare vari tentativi per migliorare l’uno
o l’altro KPI. Ad esempio si può aumentare il numero di
casi di sospetta frode analizzati giornalmente (aumento
di recall), a cui però corrisponde un maggior numero di
ore di lavoro degli analisti. Viceversa, si può pensare di
configurare con maggiore precisione l’FMS per diminuire
il numero di casi da analizzare e allo stesso tempo
eliminare i falsi allarmi che consumano inutilmente il
tempo degli analisti.
Nella pratica si dimostra però che, se non si aumenta il
contenuto informativo in termini di regole per gli
strumenti di analisi, chiavi di ricerca, ecc., all’aumentare
della precision si riduce contemporaneamente la
percentuale di recall e viceversa.
La problematica sin qui esposta corrisponde al dilemma
che affligge ogni fraud manager, esprimibile nel fatto che
non si possono migliorare i risultati della lotta alle frodi
senza aumentare contemporaneamente i
costi della relativa struttura, oppure senza
aumentare le informazioni messe a
disposizione. È quindi necessario andare
incontro ad almeno una di queste due
esigenze, costi o informazioni, e
possibilmente migliorarle entrambe.
I modelli predittivi si prestano a migliorare
l’efficacia e l’efficienza del reparto di fraud
management. Infatti, con le tecniche
induttive proprie degli alberi decisionali è
possibile estrarre dai dati nuove regole per
l’individuazione dei casi di frode e ciò
migliora l’efficacia del FMS. Inoltre, con le
tecniche di scoring diventa più semplice
organizzare le risorse umane disponibili sulla
base della priorità, ovvero del rischio
associato a ciascun caso di sospetta frode;
in tal modo si può migliorare l’efficienza del
lavoro ed è anche possibile abilitare meccanismi
automatici da utilizzare durante le ore notturne e in
assenza di personale.
Nella Figura 8 è tracciata in blu la curva di guadagno
(gain chart) ottenuto grazie ad un modello predittivo che
ha fornito un’elevata qualità di scoring. Il punto
evidenziato nella figura mostra infatti che dopo aver
esaminato solo il 20% dei casi, sono già state individuate
il 90% dei casi di vera frode risparmiando in modo
significativo il tempo degli analisti. Ciò in
contrapposizione ad un’analisi dei casi che segua un
ordine casuale quale quello indicato dalla diagonale
principale.
La linea rossa indica invece il percorso ideale, che è
58 scenari Information Security - n. 7 nov/dic 2011
Figura 7
Figura 8
7. praticamente irraggiungibile ma a cui è giusto tendere,
secondo il quale tutti casi di vera frode sono esaminati
per primi senza aver perso tempo ad esaminare anche
un solo falso allarme. È interessante notare come questa
situazione ideale corrisponda ad avere entrambi i KPI
precision e recall uguali al 100% e quindi ad un modello
che abbia raggiunto il punto ideale evidenziato in Figura
7.
Per un’analisi completa sulla valutazione di un modello
predittivo si può fare riferimento all’articolo “Valutazione
delle capacità predittive di un FMS” pubblicato a
febbraio/marzo sul numero 2 di Information Security.
REALIZZAZIONE DI UN MODELLO PER LO
SCORING DEI CASI DI FRODE NELLE
TELECOMUNICAZIONI
Nella Figura 9 è rappresentato lo schema concettuale di
un modello predittivo per lo scoring dei casi di frode in
un’azienda di telecomunicazioni. In tale rappresentazione
l’algoritmo che costituisce il nucleo del modello è
rappresentato da una “rete neurale”, ma lo schema non
cambierebbe se si scegliesse un diverso algoritmo come,
ad esempio, un albero decisionale, una rete di Bayes, ecc.
Gli allarmi ed i casi generati dal FMS derivano da
aggregazioni o da altre elaborazioni delle informazioni
contenute nei dati provenienti dall’esterno ed in
particolare in quelli del traffico. Quindi, se la
configurazione del FMS e le sue regole sono ben curate,
si può supporre che le informazioni provenienti dal
traffico siano già rappresentate, nell’ambito del
fenomeno frodatori, dagli allarmi e dai casi. In generale,
tutti i dati di input possono essere trasformati e sostituiti
con altri parametri derivati.
Tutti i parametri di input, sia quelli originali sia quelli
derivati tramite FMS oppure derivati da trasformazioni
realizzate all’interno del modello predittivo, concorrono in
una sorta di gara per essere eletti a predittori del
modello, cioè ad input direttamente in ingresso al nucleo
algoritmico del modello previsionale che è evidenziato
nel riquadro in blu scuro della figura.
L’output del modello predittivo è semplicemente il valore
di score associato al caso in esame. Tale valore esprime
una percentuale e quindi varia tra zero e cento, ovvero
tra zero ed uno, ed esprime la probabilità che il caso sia
una vera frode, quando lo score è 100, oppure un falso
allarme se lo score è prossimo allo zero.
L’inserimento di un modello predittivo nel contesto
operativo dell’azienda ha un impatto significativo sulla
struttura esistente di IT e la sua integrazione può
richiedere molti mesi di lavoro per lo sviluppo di software
e di processi personalizzati. Tuttavia, recentemente lo
sviluppo di Internet e dei web services, ovvero gli
emergenti paradigmi del cloud computing e della vendita
di soluzioni in modalità SaaS, ha aperto la strada ad un
più facile passaggio in produzione dei modelli predittivo.
La comunità di data-mining, rappresentata nel Data
Mining Group (DMG), ha sviluppato recentemente un
nuovo linguaggio, il PMML (Predictive Model Markup
Language) che è destinato a diventare la “lingua franca”,
parlata da molti fornitori e sistemi concorrenti, per la
definizione ed utilizzo pratico di un modello predittivo.
Il PMML, che è basato sullo standard XML, fornisce tutti i
metodi e gli strumenti per definire, verificare e poi
mettere in pratica i modelli predittivi. Ciò senza che il
modello sia necessariamente sviluppato ed eseguito da
prodotti software dello stesso fornitore. Tutte le
definizioni e le descrizioni necessarie per comprendere il
PMML sono disponibili sul sito del DMG
http://www.dmg.org/.
In conclusione il PMML, essendo standard e open, se
combinato con un’offerta di cloud computing può
abbassare drasticamente il TCO (Total Cost of
Ownership) abbattendo le barriere di incompatibilità tra i
diversi sistemi dell’infrastruttura informatica già operativi
nell’azienda. Per di più, l’inserimento del modello nel
contesto operativo delle applicazioni può essere curato
direttamente dalle stesse persone che lo hanno
sviluppato, senza cioè coinvolgere pesantemente i tecnici
del reparto di IT.
Per un approfondimento sulla realizzazione dei modelli
predittivi si rimanda all’articolo “Come realizzare un
Modello Predittivo” pubblicato a maggio/giugno sul
numero 4 di Information Security.
Information Security - n. 7 nov/dic 2011 scenari 59
Figura 9