Un fenomen este aleatoriu dacă rezultatele individuale sunt incerte, dar există totuși o distribuţie regulată a rezultatelor într-un număr mare de repetiții.

Argumentez încă o dată de ce se folosesc incorect probabilităţile în modelele/exemplele din zona securităţii informaţiilor.

Şcolăreşte spus, probabilitatea oricărui rezultat al unui fenomen aleator este un număr între 0 și 1, număr ce descrie proporția în care rezultatul va apărea într-o serie foarte lungă de repetiții! Un rezultat imposibil are probabilitatea 0 iar un rezultat cert/sigur are probabilitatea 1.

Exemplele clasice din cărţi se referă la aruncarea unei monede sau la zaruri. În cazul monedei, posibilităţile sînt cap sau pajură. Probabilităţile vor fi 1/2. În cazul zarurilor, posibilităţile sînt cifrele de la 1 la 6. Prin urmare probabilitatea apariţiei unui anumit număr este 1/6.

Ce ne facem însă în practică? Cum judecăm în realitate cînd nu putem experimenta “un număr mare de repetiţii” sau nu avem date istorice de la care să pornim? Nu toate companiile au un SIEM instalat sau alte surse de date care să suporte o astfel de analiză. În acest caz apare probabilitatea personală a unui rezultat:

un număr între 0 și 1, care exprimă judecata individuală cu privire la probabilitatea unui rezultat.

Ghinion şi Noroc. 100% subiectivism. Comportamentul uman se ajustează în funcţie de experienţele proprii specifice mediului în care trăim.

Evaluarea riscurilor, aşa după cum este prezentată în literatura de specialitate, presupune predictibilitate. Predicţiile pornesc însă de la starea curentă a sistemului analizat. Dar nu toate sistemele sunt predictibile deoarece nu ne aflăm întotdeauna într-o poziţie care să ne permită observaţia. În acest caz nu putem să cunoaştem ceea ce ar trebui să cunoaştem astfel încât să facem afirmaţii predictive despre sistem. Chiar dacă vom încerca să folosim instrumentul matematic.

În The Open Universe (1982), Karl Popper are următoarea definiţie a determinismului ştiinţific:

„the doctrine that the structure of the world is such that any event can be rationally predicted, with any desired degree of precision, if we are given a sufficiently precise description of past events, together with all the laws of nature”

Din (ne)fericire nu se aflăm în astfel de situaţii pentru că nu sîntem maşini. De exemplu, prin asocierea unui eveniment legat de supravieţuire în cazul unui dezastru natural cu un eveniment mai puţin penetrabil de tipul defectării sursei de alimentare cu energie electrică, primul eveniment va fi mult mai uşor absorbit de creierul celui care realizează evaluarea riscurilor. Probabilităţi personale.

Fiind bazate pe formalisme matematice, modelele cantitative de evaluare a riscurilor consideră în mare parte că oamenii se comportă conform unor reguli bine definite, ca în fizică. Sunt omise interacţiunile dintre procesele pentru care se evaluează riscurile şi mai ales procesele mentale pe care le face omul. Fiecare dintre noi vede lumea diferit şi în această lume există lucruri care nu pot fi cuantificate numeric/valoric. Şi chiar dacă ar fi, rezultatele obţinute în urma evaluărilor cantitative ale riscurilor nu sunt reproductibile precum experimentele de laborator. Nu există “şansa de a arunca de mai multe ori zarurile”.

De cele mai multe ori riscul este definit simplu ca fiind combinaţia dintre probabilitatea unui eveniment şi consecinţele acestuia (unii iau în calcul doar consecinţele negative). Dacă nu poate fi identificată o consecinţă, nu putem deci discuta despre riscuri. Doar cunoaşterea omului şi inferenţele sale cognitive pot decide dacă un eveniment are consecinţe sau nu!