A Susana. AgradecimientosEn primer lugar, agradecer a los profesores Alfonso Mateos Caballero y Antonio Jimé-nez Martín las enseñanzas y ayudas recibidas y el compañerismo mostrado en los diferentes proyectos de investigación que hemos compartido.A toda mi familia, y en particular a mis padres, por la ayuda y la comprensión recibidas a lo largo de mi amplia etapa académica. No fue fácil pero tampoco desistimos.A Susana por compartir conmigo este esfuerzo y por hacerme feliz.A mi compañero de máster y doctorado Italo Farfán Vera con quien espero mantener siempre una buena relación de camaradería.El desarrollo de esta tesis ha sido posible gracias a la nanciación de los proyectos de investigación S2009/ESP-1685 de la Comunidad de Madrid, MTM2011-28983-C03-03 del Ministerio de Ciencia e Innovación y MTM2014-56949-C3-2R del Ministerio de Economía y Competitividad.i Resumen Las metodologías ociales de análisis y gestión de riesgos en sistemas de información (SI), reguladas por las normativas internacionales de la serie ISO/IEC 27000, sugieren denir relaciones entre los activos del sistema, de modo que el ataque sobre uno de ellos se puede transmitir con cierta probabilidad a lo largo de toda la red, llegando a alcanzar a los activos más valiosos para la organización. De este modo, los activos de un SI constituyen los nodos de un grafo dirigido y acíclico en el que cada arco está ponderado por la probabilidad de transmisión de fallos entre dos activos.Por otro lado, deben considerarse el valor de los activos, la probabilidad de materialización de una amenaza y la degradación que ésta puede provocar sobre los activos, y deben establecerse indicadores de impacto y riesgo a partir de estas variables.Sin embargo, los expertos encargados de asignar tales valores a menudo aportan úni-camente información imprecisa, de modo que la Lógica Borrosa puede ser muy útil en este ámbito. Es necesario facilitar a los expertos un método con el que puedan expresar de forma imprecisa sus juicios probabilísticos o sus valoraciones sobre los activos, y una vez obtenidos tales valores, hemos de construir algoritmos que nos permitan establecer, bajo este tratamiento borroso, los indicadores de impacto y riesgo para las amenazas que se ciernen sobre los activos de información.Finalmente, debemos encontrar un conjunto óptimo de salvaguardas que evite la materialización de una amenaza o disminuya la degradación provocada sobre los activos, reduciendo así el riesgo asociado al sistema.En esta tesis doctoral proponemos un enfoque borroso del análisis y gestión de riesgos en los SI que toma como base la metodología MAGERIT, establecida para adoptar las normas ISO/IEC 27000 en nuestro país.iii AbstractOcial information system (IS) risk analysis and management methodologies, regulated by the ISO/IEC family of international standards suggest dening relationships between system assets. Consequently, an attack on one asset has a certain probability of being propagated throughout the network and reaching the organization's most valuable assets. Thus, IS...
scite is a Brooklyn-based organization that helps researchers better discover and understand research articles through Smart Citations–citations that display the context of the citation and describe whether the article provides supporting or contrasting evidence. scite is used by students and researchers from around the world and is funded in part by the National Science Foundation and the National Institute on Drug Abuse of the National Institutes of Health.
customersupport@researchsolutions.com
10624 S. Eastern Ave., Ste. A-614
Henderson, NV 89052, USA
Copyright © 2024 scite LLC. All rights reserved.
Made with 💙 for researchers
Part of the Research Solutions Family.