Gestión de riesgos de seguridad de información, bajo el estándar ISO/IEC 27005:2022, aplicando ontologías de dominio
Acceso a Texto completo
Abstract
El proceso de gestión de riesgos, en el dominio específico de la seguridad de
información, es una labor compleja pero necesaria para prevenir eventos adversos
que perjudiquen a las organizaciones. Bien por obligaciones regulatorias o porque se
requiere propiciar el logro de los objetivos estratégicos, la gestión de riesgos de
seguridad de información (GRSI) se ha convertido en un proceso necesario y
recurrente.
El desarrollo de una GRSI se fundamenta en normas locales e internacionales que
establecen protocolos, actividades y criterios, que establecen diversos conceptos que
guardan relaciones complejas en sus términos y taxonomías. En consecuencia, se
requieren especialistas experimentados para ejecutar este proceso de manera
competente. Esto, a su vez, ocasiona que los resultados de este proceso estén
intrínsecamente expuestos a la subjetividad e influencia de las personas que lo
realizan.
En esta tesis se propone e implementa un proceso de gestión de riesgos de seguridad
de información, basado en una ontología de dominio, cuyo corpus está basado en los
términos establecidos en los estándares ISO de seguridad de información, las normas
técnicas peruanas afines y otras regulaciones internacionales relacionadas.
Como resultado de la investigación aplicada se ha comprobado que es posible
estructurar los conceptos y taxonomías sobre los dominios de gestión de riesgos y
seguridad de la información, en una ontología integrada. Esta ha sido implementada,
para guiar y automatizar, mediante una solución informática, la ejecución de una
GRSI, de manera que se han mitigado la subjetividad y los errores de consistencia en
los resultados de este proceso.