Un enfoque borroso para el análisis y la gestión de riesgos en los sistemas de información.

Abstract

En los modelos promovidos por las normativas internacionales de análisis y gestión de riesgos en sistemas de información los activos están interrelacionados entre sí, de modo que un ataque sobre uno de ellos se puede transmitir a lo largo de toda la red, llegando a alcanzar a los activos más valiosos para la Organización. Es necesario entonces asignar el valor de todos los activos, así como las relaciones de dependencia directas e indirectas entre éstos, o la probabilidad de materialización de una amenaza y la degradación que ésta puede provocar sobre los activos. Sin embargo, los expertos encargados de asignar tales valores, a menudo aportan únicamente información imprecisa, de modo que las técnicas borrosas pueden ser muy útiles en este ámbito. Para poder dar un tratamiento computacional a esta información imprecisa es necesario proveer a los expertos de un método con el que puedan expresar sus juicios probabilísticos o sus valoraciones sobre los activos de información en forma de números difusos y evitando sesgos informativos. Una vez obtenidos tales valores, hemos de construir algoritmos que nos permitan establecer indicadores de impacto y riesgo para las amenazas que se ciernen sobre los activos de información, y finalmente debemos proponer conjuntos óptimos de salvaguardas y controles para reducir el riesgo a un nivel asumible. En este trabajo desarrollamos elementos que permiten realizar todo este proceso partiendo de los conceptos básicos de Lógica Borrosa y de las metodologías internacionales de análisis y gestión de riesgos en los sistemas de información.