Upload
vudat
View
217
Download
0
Embed Size (px)
Citation preview
The Impending Complexity Apocalypse
El Apocalipsis de la Complejidad Inminente
Andy Ellis@csoandy
Tesis: Los humanos son ______ en la gestión del riesgo
Malos
Atroces
Terrible ConfundidoIncompetente
Incobrable
Horrible
Perplejo
Antithesis / Antítesis
Humans are awesome at risk management
Los humanos son excelentes en la gestión de riesgos
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
A Story about Hydra / Una historia sobre hydra
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
Decision Making: The OODA Loop : Tomando decisiones
Observe Orient
DecideAct
Why do people make “Bad” decisions?Stupid
Incomprehensible
Business Owner Security
Modal bias! / Sesgo modal!
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
The Power of Models / El Poder de los Modelos
Observe Orient
DecideAct
Models / Modelos
² Context² Framing
² Expectations
² Contexto² Formulación
² Esperanzas de heredar
Historical paranoia / Paranoia histórica
Prisoner’s Dilemma / El Dilema del Prisionero
9
Cooperar Engañar
Coop
erate
Cheat
-3
-10
-1
-5
-3
-1
-10
-5
13%!
40%!If we believe our “partner” will cheat on us, we’ll cheat first.
¡Si creemos que nuestro compañero nos engañará, primero engañamos!
Actual Prisoners in a Dilemma / Prisioneros reales en un dilema
Cooperar Engañar
Coop
erate
Cheat
-3
-10
-1
-5
-3
-1
-10
-5
30%!
19%!Different communities have different expectations!
¡Diferentes comunidades tienen diferentes expectativas!
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
Risky Business / Opciones Arriesgadas
Observe Orient
DecideAct
Models
² Costs² Fears² Expected
OutcomesRisks / Riesgos
² Confirmation bubbles
² Hindsight expectations
² Burbujas de confirmación
² Expectativasretrospectiva
² Costos² Miedos² Resultados
esperados
Cost Context Matters / El contexto personal es importante
Te dan una oportunidad para jugar un juego. Se lanzará un dado justo de 20 caras. Usted apuesta $X en un número; si su número se lanza, ustedmantiene su apuesta y vuelve 20 veces X; de lo contrario, pierdes tuapuesta. Su pago esperado es, por lo tanto, 1.05 veces su apuesta.¿Apostarías $ 10.000?¿Apostarías $ 100.000?¿Apostarías $ 1.000.000?¿Apostarías $ 10.000.000?¿Apostarías $ 100.000.000?¿Apostarías $ 1.000.000.000?Usted valora algo por lo que renuncia a obtenerlo (You value something by what you give up to get it).
Peltzman Effect / Efecto Peltzman / Compensación de Riesgo
R I
E S
G O
P
E R
C I
B I D
O
L A
R E
D U
C C
I Ó
N
D E
R
I E
S G
O S
Changing Risk Awareness / Cambiar la Conciencia del Riesgo
threat ignorance ignorancia de amenazas
known vulnerability riesgo conocido
“FUD” / “MID”
stealth improvements
mejoras secretasrisk reduction
reducción de riesgossecurity theater
teatro de seguridad
blind compliance cumplimientoobcecado
Awareness Conciencia
P E
R C
E I
V E
D /
P E
R C
I B
I D O
A C T U A L / R E A L
Para su comodidad y seguridad, antes de bañarse, asegúrese de que la alfombrade baño esté bien colocada y
que la cortina de la duchaesté dentro de la ducha.
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
The Spotlight / El Centro de Atención
Observe Orient
DecideAct
Models
² Proximity² Novelty² Urgency
Risks
Attention / Atención
² Obscure costs² Complex returns
² Confirmation bubbles
² Hindsight expectations
² Proximidad² Novedad² Urgencia
² Costos oscuros² Devoluciones
complejas
Attention Filtration / Atención Filtración
Cognitive Blindness / Ceguera Cognitiva
¡Ignoramos lo esperado!We ignore the expected!
Recency Bias / Parcialidad de Recencia
Tribal Bias / Parcialidad Tribal
Surprise / Sorpresa
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
The Response Playbook / Libro de Respuestas
Observe Orient
DecideAct
Models
² Practice² Repetitive² Low risk
Risks
Attention
Trained responsesRespuestas entrenadas
² Obscure costs² Complex returns
² Confirmation bubbles
² Hindsight expectations
² Distributed social networks
² Fast information flow
² Virtual proximity
² Vastas redessociales
² Flujo rápido de información
² Proximidadvirtual
² Preparación² Repetitivo² Riesgo bajo
System 1 vs System 2 / Sistema 1 vs Sistema 2
IZQUIERDADERECHAIZQUIERDADERECHAIZQUIERDA DERECHA
IZQUIERDA DERECHA
System 1 vs System 2 / Sistema 1 vs Sistema 2
IZQUIERDAIZQUIERDA IZQUIERDA
DERECHADERECHAIZQUIERDADERECHA
DERECHA
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
Doing What We Know / Haciendo lo que Sabemos
Observe Orient
DecideAct
Models
Risks
Attention
Trained responses
² Repurposed responses
² Dunning-Kruger
² Respuestasreutilizadas
² Dunning-Kruger
Synthesis / Síntesis
Humans are situationally awesome at risk management.
En la situación correcta, los humanos son genialesen la gestión de riesgos.
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
The End of the Right Situation / El Final de la Situación Correcta
Observe Orient
DecideAct
Models
² Vastas redessociales
² Flujo rápido de información
² Proximidadvirtual
Risks
Attention
Trained responses
² Burbujas de confirmación
² Expectativasretrospectiva
² Costos oscuros² Devoluciones
complejas
² Respuestasreutilizadas
² Dunning-Kruger
² Contexto² Formulación² Esperanzas de
heredar
² Preparación² Repetitivo² Riesgo bajo
² Proximidad² Novedad² Urgencia
² Costos² Miedos² Resultados
esperados