Ejemplo de marco teórico
Teoría Contenido Comentario
Seguridad de la información Definiciones básicas de
seguridad de la información
Gestión de riesgos de
seguridad de la información
1. Definición de riesgo
2. Etapas de la gestión de
riesgos
Lógica difusa 1. Definiciones básicas
2. Variables lingüísticas
3. Conjuntos difusos
4. Funciones de membresía
Matlab Fuzzy tools Comentario sobre su
funcionalidad
Seguridad de la información
Debido al aumento de la computación móvil, servicios basados en la nube y el
uso de redes sociales, la información está cada vez más en riesgo. La seguridad
de la información estudia la preservación de la integridad, confidencialidad y
disponibilidad de los activos de información (Papadaki y Polemi, 2007). Un
activo es todo aquello relacionado con la información, al cual se le asigna un
valor y se debe proteger (López et al., 2012) .La integridad es la propiedad de
salvaguardar la exactitud y completitud (IEEE, 2004), la confidencialidad
establece que la información debe estar solo para los autorizados (IEEE, 2004).
(IEEE, 2004). Un sistema de gestión de seguridad de la información (SGSI) se
implementa para gestionar la seguridad de la información (Leitner y
Schaumuller-Bichl, 2009), (Papadaki y Polemi, 2007) y comprende el desarrollo
de varios subsistemas, siendo el principal el de gestión de riesgos de seguridad
de la información (RSI) (Leitner y Schaumuller-Bichl, 2009), (Humphreys ,
2008) y (Lo and Chen, 2012).
Las amenazas son eventos o causas potenciales que pueden desencadenar un
incidente no deseado que podría causar daños a los activos de información
(Humphreys, 2008), (IEEE, 2004) y (López et al., 2012). Las salvaguardas
(contramedidas o controles) son las actividades, entes, procedimientos o
mecanismos tecnológicos orientados a controlar las amenazas (IEEE, 2004) y
(López et al., 2012). Las vulnerabilidades son ausencias o ineficiencias de las
salvaguardas, son defectos en los procedimientos, diseños, implementaciones,
son las debilidades que pueden ser aprovechadas por las amenazas (IEEE,
2004) y (López et al., 2012). Un ataque es la pretensión de destruir, exponer,
alterar o inhabilitar un activo (Leitner y Schaumuller-Bichl, 2009), (IEEE,
2004) y (López et al., 2012). El impacto es el resultado de que una amenaza se
materialice mediante un ataque, aprovechando una vulnerabilidad y
provocándole una determinada degradación o pérdida de valor a un activo
(IEEE, 2004) y (López et al., 2012). El Riesgo es la posibilidad de que se
produzca un impacto determinado en un activo de información (Leitner y
Schaumuller-Bichl, 2009), (Matalobos Veiga, 2009) y (Papadaki y Polemi,
2007),
Constituye la parte más importante de un SGSI y comprende generalmente las
siguientes etapas:
Identificación de RSI.- Se determinan de manera preliminar los eventos
internos y externos que podrían tener un impacto negativo sobre los activos de
la información, la posible interdependencia entre estos eventos así como los
factores influyentes que los determinan (Matalobos Veiga, 2009).
Análisis o evaluación de RSI. Contempla la catalogación, comprensión y
valoración de los aspectos relacionados con los RSI, de forma sistemática se
identifican fuentes de riesgo, se documenta y cuantifica las amenazas, se estima
y valora el impacto. Se establece la base para desarrollar políticas de
seguridad, se determina el grado de importancia para la eliminación de cada uno
de los riesgos, se evalúa el nivel de exposición en el que queda la institución
por cada riesgo asumido. (Spremic, 2012), (Weihua, 2011) y (Asosheh et al.,
2009) El análisis de riesgos debe ser riguroso y permitir ser contrastado y
comparado objetivamente, para no incluir un sesgo que condicione la toma de
decisiones, la fiabilidad y efectividad (Humphreys, 2008).
Tratamiento de RSI. Las fases anteriores conducen a la elaboración de un plan
de tratamiento de riesgos, donde se definen los criterios de gestión de RSI,
estableciendo los umbrales de riesgo a gestionar y los umbrales del riesgo que
la institución debe aceptar o asumir gestionar posteriormente. Una vez acordado
el nivel de riesgo, se deben definir los controles de seguridad a implantar
(Spremic, 2012), (Weihua, 2011) y (Asosheh et al., 2009).
Implementación de controles.- El resultado del plan de tratamiento de riesgos
organizativos y de gestión, como de implantación de medidas tecnológicas. Una
vez identificados los requerimientos de seguridad, se debe implementar los
controles para garantizar que los riesgos sean reducidos a un nivel aceptable.
(Asosheh et al., 2009).
Monitoreo y control de RSI. Consiste en la evaluación de la existencia y el
adecuado funcionamiento del sistema de gestión integral de riesgos, el
monitoreo puede llevarse a cabo en el curso normal de las actividades de la
organización, incluye el reporte de las deficiencias o desviaciones encontradas y
su corrección. (Spremic, 2012), (Weihua, 2011) y (Asosheh et al., 2009).
Los riesgos de la seguridad de la información tienen naturaleza incierta, es decir
no se sabe cuando van ha aprovechar las vulnerabilidad de los activos de
información para causar desastres, esta característica amerita que el tratamiento de
los riesgos de seguridad de la información se realice con técnicas que manejen la
incertidumbre.
Lógica Difusa
Desde hace 40 años aproximadamente Zadeh (Zadeh,1975) creó la teoría de la
Lógica Difusa , estableciendo las Variables Lingüísticas y los Conjuntos Difusos
para tratar precisamente la incertidumbre que se usa en el lenguaje natural y la
lógica humana y desde entonces se han realizado diversos proyectos de
investigación que resuelven problemas de toma de decisiones en ingeniería.
La Lógica Difusa o Borrosa sirve para afrontar la incertidumbre de la información
o del conocimiento. Proporciona un método formal para la expresión del
conocimiento en forma entendible y comprensible por los humanos. La teoría de
la Lógica Difusa está mucho más cerca de la manera de razonar de los humanos y
del lenguaje natural, que los sistemas lógicos tradicionales. Proporciona un
método efectivo para captar más fácilmente la naturaleza inexacta del mundo real.
Los usuarios aceptan con relativa facilidad e interés las aplicaciones basadas en la
Lógica Difusa por el paralelismo con su propio razonamiento. (Cerrada,2005) y
(Gourdasi et al, 2015).
La Lógica Difusa es una herramienta moderna y una de sus aplicaciones más
importantes es el control de procesos industriales. La Lógica Difusa es un
lenguaje que permite trasladar sentencias sofisticadas de lenguaje natural a un
formalismo matemático. (Goudarzi et al 2016), (Ishibuchi y Yamamoto , 2005 ) y
(Lin y Xu, 2006).
Razonamiento aproximado. El razonamiento con Lógica Difusa no es exacto
sino en cierta forma impreciso. De acuerdo con las premisas y las implicaciones
difusas, las conclusiones que se obtienen o se deducen son igualmente difusas
(Rutkowska, 2002).
Variable lingüística. Fue introducido por Zadeh (Zadeh, 1975) para proporcionar
una base para el razonamiento aproximado. Se trata de una variable cuyos valores
son palabras u oraciones en un lenguaje natural o artificial. La motivación para el
uso de palabras o de oraciones en lugar de números es que las características
lingüísticas son, en general, menos precisas que los valores numéricos
Conjuntos Difusos (Fuzzy Sets).- Es un conjunto sin un límite definido. La
transición entre “pertenecer a un conjunto” y “no pertenecer a un conjunto “es
gradual y esta transición suave es caracterizada por una función de pertenencia o
de menbresía. Los conjuntos difusos desempeñan un papel importante en el
pensamiento humano, particularmente en el dominio del reconocimiento de
patrones, de la comunicación y de la abstracción (Zadeh, 1975).
Las funciones de pertenencia, dan flexibilidad a la modelación utilizando
expresiones lingüísticas tales como; mucho, poco, leve, severo, escaso, suficiente,
caliente, frio, joven, viejo, etc. Surgen como una necesidad para solucionar
problemas complejos con información imprecisa, para los cuales la matemática y
la lógica tradicionales no son suficientes.. El conjunto difuso A en X puede
definirse como de los pares ordenados. A= {(x, μA(x))/ xeX} (Mendel et al,
1995) , (Brul , 2004), (Aliev et al, 2015) y (Zadeh,2008).
Sea A un conjunto, X el universo del discurso denotamos μA(x) como la función de
membresía deX enA, definida por: μA(x): X →
[
0,1]
tal que x→ μA(x), μA(x)representa el grado de potencia de X enA. (Bru, 2004) y (Hernandez, 2016). Por
ejemplo, Sea X={0, ±1, ±2, ±3,±4,±5, ±6} el universo del discurso,
A={−3,0,2,5,6} con función de membresía μA(−3)=0.2∈
[
0,1]
,μA(0)=0.5∈
[
0,1]
, μA(2)=1∈[
0,1]
, μA(5)=0.7∈[
0,1]
, μA(6)=0.3∈[
0,1]
,(Padhy,2015). En la figura 1 se muestra la gráfica de la función de menbresía del
Fig. 1 Función de membresía para el Conjunto Difuso A. Fuente (Padhy 2015)
Considerar el siguiente ejemplo: Sea X=
{
xxedad humana posible
}
X=
{
x∈N0≤ x ≤120
}
, X={0,1,2, … ,120}, Sea A={Años de juventud},μA=(x):X →
[
0,1]
, la función de membresía se muestra en la Fig 2.Fig 2. Función de membresíade Infancia, Juventud, Adulto joven
fuente : (Padhy, 2015).
Si μA(x)=0, significa que x no pertenece al conjunto A. μA(x)=0.5 , significa
que x pertenece al 50% al conjunto A. μA(x)=1, significa que x pertenece al
100% al conjunto A, μA(x)∈(0,1) Significa que x pertenece parcialmente a A
(Padhy, 2015).
Se define al Conjunto Difuso Vacío como:
∅={(x , μA(x))⁄ (μA(x)=0)∀x∈X} , un conjunto clásico (Crisp Sets)
A={(x , μA(x)) ⁄(μA(x)∈{0,1})∀x∈X}
Se definen las operaciones básicas con Conjuntos Difusos:
Sean A , B dos conjuntos difusos en X.
Igualdad de conjuntos difusos.
A=B⟺μA(x)=μB(x)∀x∈X
Inclusión de Conjuntos Difusos.
A⊆B⟺μA(x)≤ μB(x)∀x∈X
Complemento de un Conjunto Difuso.
¬ A={(x , μ(¬ A)(x))⁄(μ(¬ A)(x)∈[0,1]), x∈X}
Donde: μ¬ A(x):X →
[
0,1]
μ¬ A(x):1−μA(x),∀x∈X
Unión Conjuntos Difusos.
A∪B={(x , μ(A∪B)(x))⁄(μ(A∪B)(x)=máx{μA(x),〖μ〗B(x) }),∀x∈X} Intersección de conjuntos difusos.
A ∩ B={(x , μ(A∩ B)(x))⁄(μ(A ∩B)(x) }=m í x{μA(x),〖μ〗B(x) }),∀x∈X} (Mendel, 1995) y (Molaceeadeh,2013).
Función de Membresía (Función de Pertenencia)
Proporcionan para cada elemento x de X un grado de membresía o pertenencia
al conjunto A. El valor de esta función está en el intervalo entre 0 y 1. Siendo 1 el
valor para la máxima pertenencia. Si el valor de esta función se restringiera
solamente a 0 y 1 se tendría un conjunto clásico o no difuso, se presenta a
continuación algunas de las funciones de membresía más usuales. (Cabrera, 2004)
Función L (Función hombro derecho )
M(x)=
{
1, X ≤ B B−X
B−A,∧A<X<B
0,∧X ≥ B
Función Ganma (Función hombro izquierdo)
M(x)=
{
0, X ≤ B X−A
B−A ,∧A<X<B
Función Triangular
M(x)=
{
0,∧X ≤ A∪X ≥C X−A
B−A ,∧A<X ≤ B C−X
C−B ,∧B<X<C
Función Trapezoidal
M(x)=
{
0,∧X ≤ A∪X ≥ D X−A
B−A,∧A<X ≤ B
1,∧B≤ X ≤ C D−X
D−C ,∧C<X<D
Función Sigmoidal
M(x)=
{
2(
X−0A,∧X ≤ AC−A
)
2
,∧A ≤ X ≤ B
1−2
(
X−A C−A)
2
,∧B ≤ X ≤ C
Fig 3. Funciones de membresía mas usuales Fuente (Cabrera, 2004)
Se considera a continuación un ejemplo de involucra variables lingüística, conjuntos
difusos y sus respectivas funciones de membresía.
Sea la variable lingüística. “Estado físico del agua”
Estados físicos del agua={Vapor , Agua, Hielo}
Pertenencia al estado vapor
Pertenencia al estado hielo
Fig. 4 Funciones de membresía de los Conjuntos Difusos del estado del agua
Fig.5 Traslape de los conjuntos difusos de los estados físicos del agua
Un buen ejemplo de función de membresia de tipo trapezoidal es la iluminación
de un salón de clase. Existe un rango en el cual la iluminación es agradable para
las personas, pero por debajo de dicho rango la luz no es suficiente para leer el
pizarrón, y por encima de él es molesto para la vista de los estudiantes. El
cálculo de la función de pertenencia, se puede hacer por los métodos: Método
horizontal, Método vertical, Método de comparación de parejas, Método basado
en la especificación del problema, Método basado en la optimización de
parámetros, Método basado en la agrupación difusa (fuzzyClusting)
(Liang,2003) y (Rezaee, 2010).
La manera de asignar el grado de membresía depende fundamentalmente de
que los conjuntos difusos son establecidos de manera subjetiva, algunas veces se
utiliza métodos estadísticos para la construcción de las funciones de membresía
(Seing et al, 2015).
Para la información que circula por las organizaciones, es necesario definir
estrategias para garantizar la seguridad de ésta, distintas organizaciones de gran
reconocimiento internacional han creado modelos que definen una serie de pasos
para que las empresas implementen sistemas de seguridad de la información
basados en el análisis de riesgos (Asosheh, 2009).
La implementación de estos sistemas implica la asignación de pesos específicos
para las amenazas y las vulnerabilidades, siendo ésta una responsabilidad del
experto. Sin embargo, los expertos encargados de asignar tales valores a menudo
aportan únicamente información imprecisa, de modo que las técnicas difusas
pueden ser muy útiles en este ámbito (Angerita et al., 2015).
Con el fin de dar un tratamiento computacional a esta información imprecisa, es
necesario proveer a los expertos de un método con el que puedan expresar sus
juicios o sus valoraciones sobre los activos de información en forma de números
difusos, evitando sesgos informativos. (Angerita et al., 2015).
Una vez obtenidos tales valores, se construyen los algoritmos que permiten
establecer indicadores de impacto y riesgo para las amenazas que se ciernen sobre
los activos de información, y finalmente se proponen conjuntos óptimos de
salvaguardas y controles para reducir el nivel de riesgo aceptable por la
organización. (Mendez, 2015) y (Angerita et al., 2015).
El análisis de riesgos implica la asignación de pesos específicos para las
aportan los encargados o expertos de estas tareas. Se hace imprescindible un
tratamiento que maneje esta imprecisión, Es por eso que las técnicas de la Lógica
Difusa resultan ser útiles para este propósito (Tsihrintzis et al., 2016) y (Angerita
et al., 2015).
Se comienza expresando las valoraciones de los activos de información en forma
de números difusos, luego se construyen los algoritmos que permiten establecer
los indicadores de impato y riesgo para las amenazas que se ciernen sobre los
activos de la información, proponiendo un conjunto óptimo de salvaguardas y
controles para reducir el nivel de riesgo aceptable para las organizaciones
(Angerita et al., 2015), (Reznik, 2015) y (Tamir, 2015).
MATLAB.- Software de MATH WORKS INC. , fue escrito por la década de los
70 para usarse en cursos de teoría de Matrices, Álgebra lineal y Análisis
Numérico. Es un software interactivo diseñado especialmente para Ciencias e
Ingeniería. El entorno de trabajo integra ilustraciones gráficas y cálculo preciso
(Padhy et al, 2015).
MATLAB tiene una larga lista comandos y funciones, Simulink es una
herramienta que provee MATLAB para simulación de sistemas lineales y no
lineales, continuos y discretos. Además MATLAB provee paquetes de funciones
especializadas para: Sistemas de control, Comunicación, Procesamiento de
señales, Sistemas de identificación, Redes Neuronales, Lógica difusa,
Procesamiento de Imágenes, Optimización, Cálculo simbólico, Herramientas para
interfaces. MATLAB es útil para desarrollar aplicaciones básicas en Redes
Neuronales, Sistemas Difusos y Algoritmos Genéricos (Padhy et al, 2015) y