Восполняя пробелы: Неопределенность

Казалось бы, если мы говорим о «неопределенности», то, что еще обсуждать, какая уж тут конкретика? Как можно отличать то, что и так не определено?

На самом-то деле неопределенность неопределенности рознь.

Рассмотрим два примера связанные с необходимостью ввести контроли, снижающие наши риски до приемлемого уровня и для этого:
Задача №1: определить адекватность условий SLA для сервера электронного магазина
Задача №2: определить эффективность проведения (читай затрат) тренинга персонала по вопросам реагирования на инциденты ИБ.

При решении Задачи №1 не составит большого труда, провести моделирование при помощи того же Монте-Карло и с определенной точностью понять адекватность стоимости контракта, финансовых компенсаторов в него заложенных, а вот для решения Задачи №2 такой подход окажется не применим. В чем же причина?

В первой задачемы имеем дело с неопределенностью значения величины параметра, например стоимость контракта, что тесно увязан по известному нам закону с параметрами, которые мы можем определить как основные и свойства, которых нам заведомо известны, но точное значение их наперед не определено. В данном примере такими основными параметрами могут выступать: доходность транзакции, количество одновременных подключений, допустимое время недоступности сервиса с учетом времени покупательной активности,  скорость выдачи контента и т.п.

Данный тип неопределенности часто называют эпистемической неопределенностью– то есть неопределенностью относящуюся к знаниям.  Ключевым моментом является то, что мы знаем наверняка, что параметр имеет четко определенные свойства (например, единицы измерения, диапазон изменения, закономерность изменения ...), но мы не знаем какое значение он примет, что и порождает неопределенность. Такая неопределенность может быть определена количественно, с определенной точностью используя вероятностные методы.

Во второй задачемы имеем совсем иной тип неопределенности: неопределенности, когда мы не можем выделить основного параметра,  его свойства нам не известны в полном обьеме, мы не умеем эти свойства измерять, не работает « закон исключения третьего »…

И так нас интересует, как изменится ситуация с реагированием на инциденты ИБ персоналом после тренинга, где ему будет рассказано и показано на примерах, что такое инциденты ИБ, рассказано, что необходимо делать в случае обнаружения инцидента: кому сообщать, каким образом, в какие сроки и т.п.

А как мы можем измерить реакцию человека на инцидент? В частности, как определить почему он не отреагировал?

Недостаточно было примеров? – казалось бы измеряемо, но присутствует «парадокс кучи» (« sorites paradox »).

Плохо себя чувствовал? А что значит, чувствовал себя хорошо? Чувствовать себя хорошо для разных людей это одно и то же?  - Здесь мы имеем дело с «размытием границ», т е мы не можем выделить пограничный случай ("border-line cases")

А как предусмотреть компенсатор для «эфекта прохожего»? Одно дело, когда инцидент человек наблюдает в одиночестве, другое дело в группе.  В первом случае мы обязательно сами сообщим, во втором, мы чаще ничего не предпримем, так как будем думать, что сообщит наш товарищ…

---

Примеры, можно продолжать, но мне кажется, что и здесь приведенные уже дают понять, что реально неопределенность неопределенности рознь.

Или вы по прежнему сомневаетесь?