Hoy en día, poder proteger de una forma adecuada los activos de información se ha convertido en un factor crítico en el ámbito de la ciberseguridad. La aparición de conceptos como el internet de las cosas, los sistemas ciberfísicos, las ciudades inteligentes o de la llamada cuarta revolución industrial ha ocasionado la transformación de una sociedad tradicionalmente analógica en una sociedad digital y totalmente conectada. Esta transformación ha sido muy beneficiosa para todos los actores involucrados (gobierno, empresas, ciudadanos), pero con ella también han aparecido nuevos riesgos de gran impacto.
Ante este nuevo escenario, la sociedad está demandando soluciones que le permitan implantar medidas de seguridad adecuadas, pero hasta el momento todos los esfuerzos no han redundado en la obtención de soluciones realmente efectivas. La gestión de la seguridad de los sistemas de información ha permitido poner las primeras bases para resolver esta problemática, mediante la aparición de estándares como los de la familia de la ISO/IEC 27000. Esta familia de estándares ha supuesto un cambio de paradigma a la hora de afrontar la seguridad TIC en las empresas y ha posibilitado comenzar a resolver de forma eficiente, aunque aún incompleta, algunos de los problemas existentes.
Pero para poder aplicar de forma correcta la gestión de la seguridad, uno de los aspectos principales es la necesidad de analizar los riesgos a los que están sometidos los activos de valor de una compañía, con el objetivo de poder gestionar estos riesgos y tomar medidas adecuadas para su control. Sin embargo, los sistemas actuales de análisis y gestión de riesgos no han terminado de mostrarse útiles para las empresas.
Un análisis de las metodologías existentes en este campo ha permitido determinar que las metodologías de análisis y gestión de riesgos actuales tienen algunas carencias que deben ser subsanadas para que puedan ser realmente efectivos y puedan ser utilizadas por cualquier tipo de empresas, con independencia de su tamaño.
Para suplir estas carencias, en esta tesis doctoral se propone el desarrollo de una metodología de análisis y gestión de riesgos denominada MARISMA, cuyo objetivo es facilitar la realización de un análisis de riesgos dinámico y su posterior gestión, que supla las carencias detectadas en las metodologías actuales. Esta metodología incluirá un modelo de información que dará soporte a los diferentes esquemas normativos y a las técnicas que permitan su evolución dinámica. Además, se presenta el prototipo de una herramienta denominada eMarisma que da soporte automatizado para el desarrollo de los diferentes procesos de la metodología MARISMA. Por último, y con el objeto de validar y mejorar la metodología, se ofrece el resultado de su aplicación en un caso de estudio de un sistema real.
Este trabajo de investigación se ha desarrollado en el marco de diversos proyectos de investigación, usando los métodos de investigación denominados Revisión sistemática de la literatura e Investigación-Acción.
© 2008-2024 Fundación Dialnet · Todos los derechos reservados