Modelo para la evaluación del riesgo de seguridad de la información en los sistemas gestores de bases de datos

Abstract

En las auditorías de seguridad informática se realizan las evaluaciones de riesgo de seguridad de la información a sistemas de cómputo. En un estudio realizado se evidenció que existen diferentes niveles de experticia entre los auditores, lo que provoca posibles diferencias entre la evaluación real del riesgo y la calculada por el experto. La evaluación del riesgo se clasifica según su impacto en: Alto, Medio o Bajo por lo que se pueden generar ambigüedades en el resultado de la evaluación. Las listas de chequeo de seguridad, tienen una fuerte dependencia de la presencia del auditor en base de datos para el análisis del riesgo. En aras de facilitar el trabajo de los auditores, se propone un modelo basado en el conocimiento y la lógica difusa para la evaluación del riesgo de seguridad de la información en los sistemas gestores de bases de datos. El modelo se aplica en el Departamento de Seguridad Informática de la entidad ETECSA, la cual tiene entre sus principales responsabilidades, garantizar y mantener la integridad de los datos en los sistemas gestores de bases de datos y aplicaciones web que soportan el trabajo de las telecomunicaciones en Cuba. Los resultados obtenidos muestran que se aprovecha la experiencia acumulada en las auditorías anteriores de este tipo y se mejora la exactitud de los resultados en la evaluación del riesgo de seguridad de la información.