Resumen de Análisis y gestión de riesgos de la seguridad de los sistemas de la información: un enfoque borroso

Eloy Vicente Cestero

• Las metodologías oficiales de análisis y gestión de riesgos en sistemas de información (SI), reguladas por las normativas internacionales de la serie ISO/IEC 27000, sugieren definir relaciones entre los activos del sistema, de modo que el ataque sobre uno de ellos se puede transmitir con cierta probabilidad a lo largo de toda la red, llegando a alcanzar a los activos más valiosos para la organización. De este modo, los activos de un SI constituyen los nodos de un grafo dirigido y acíclico en el que cada arco está ponderado por la probabilidad de transmisión de fallos entre dos activos.

  Por otro lado, deben considerarse el valor de los activos, la probabilidad de materialización de una amenaza y la degradación que ésta puede provocar sobre los activos, y deben establecerse indicadores de impacto y riesgo a partir de estas variables.

  Sin embargo, los expertos encargados de asignar tales valores a menudo aportan únicamente información imprecisa, de modo que la Lógica Borrosa puede ser muy útil en este ámbito. Es necesario facilitar a los expertos un método con el que puedan expresar de forma imprecisa sus juicios probabilísticos o sus valoraciones sobre los activos, y una vez obtenidos tales valores, hemos de construir algoritmos que nos permitan establecer, bajo este tratamiento borroso, los indicadores de impacto y riesgo para las amenazas que se ciernen sobre los activos de información.

  Finalmente, debemos encontrar un conjunto óptimo de salvaguardas que evite la materialización de una amenaza o disminuya la degradación provocada sobre los activos, reduciendo así el riesgo asociado al sistema.

  En esta tesis doctoral proponemos un enfoque borroso del análisis y gestión de riesgos en los SI que toma como base la metodología MAGERIT, establecida para adoptar las normas ISO/IEC 27000 en nuestro país.