1 Abstract— In computer security audits, information security risk (ISR) assessments are performed to computer systems, within it to database management systems (DBMS), often using qualitative methodologies. In these methodologies, the evaluation of the ISR is classified according to its impact in linguistic terms such as: High, Medium or Low, so that ambiguities can be generated in the evaluation result. Security checklists are also used to review the configurations of the DBMS. They have a strong dependence on the presence of the expert auditor in DBMS for this analysis. In order to facilitate the work of the auditors, a model based on knowledge and fuzzy logic was developed for the evaluation of the ISR in the DBMS. In this way, the experience in previous audits of this type is useful and improves the results in the evaluation of the ISR. Keywords— Audits, artificial intelligence, computer security, risk 6. I. INTRODUCCIÓN os avances en los sistemas de información (SI) y las tecnologías originan grandes resultados para organizaciones, negocios y otras agencias en términos de productividad del trabajo, almacenamiento de la información, administración y oportunidad de ventajas competitivas. Mientras los SI ofrecen extraordinarios beneficios, también representan mayores niveles de riesgo de modo significativo y sin precedentes, para las operaciones organizacionales. Los negocios, hospitales, escuelas, universidades, agencias gubernamentales y bancos dependen fuertemente de los SI. Esto incrementa la necesidad de la seguridad de la información, según se asegura en [9]. Los gestores de bases de datos son uno de los SI con frecuentes ataques a las vulnerabilidades existentes en las mismas, como exponen en [11]. Se denomina vulnerabilidad a toda debilidad que puede ser aprovechada por una amenaza [5]. La cantidad de vulnerabilidades reportadas al aplicar la inyección de SQL ha ido en aumento en los últimos años según los datos publicados por el Instituto Nacional de Vulnerabilidades de Estados Unidos de América [2]. Este mismo instituto señala que muchos otros tipos de vulnerabilidades de bases de datos se han acrecentado en años recientes. Además se conoce que el 96% de los datos sustraídos durante 2012, provenían de bases de datos, según se publican en [10]. Y. A. Basallo, Universidad de las Ciencias Inofrmáticas, La Habana, Cuba, yazanenator@gmail.com V. E. Sentí, Universidad de las Ciencias Inofrmáticas, La Habana, Cuba, vivian@uci.cu N. M. Sánchez, Universidad de las Ciencias Inofrmáticas, La Habana, Cuba, natalia@uci.cu Corresponding author: Yasser Azán Basallo Los datos mencionados anteriormente, reflejan la importancia de proteger los datos ante las vulnerabilidades detectadas en los sistemas gestores de bases de datos, Uno de los pasos para garantizar la seguridad de los datos es la realización de auditorías de seguridad a los sistemas computacionales. En las auditorías de seguridad a los sistemas computacionales se realiza la evaluación del riesgo de seguridad de la información. La evaluación del riesgo es el proceso de identificación de las amenazas a los sistemas de información, la determinación de la probabilidad de ocurrencia de la amenaza y la identificación de las vulnerabilidades del sistema que podrían ser explotadas por la amenaza [7]. A partir de los estudios realizados, se ha identificado la existencia de dificultades o limitaciones relacionadas con la evaluación del riesgo de seguridad de la información tales como:  Existen diferentes niveles de experticia entre los auditores para evaluar los sistemas gestores de bases de datos (SGBD) con las listas de chequeo, lo que provoca diferencias entre la evaluación real del riesgo y la estimada por el auditor según encuesta diagnóstico.  Las listas de chequeo tienen una fuerte dependencia de la opinión del auditor en el resultado del análisis del RSI en los SGBD [8].  La evaluación del riesgo de seguridad de la informaicón (RSI) en los SGBD se expresa en los términos: Alto, Medio o Bajo, por lo que para cada auditor, constituye una medida ambigua, sin límites precisos.  Para proporcionar el resultado de la evaluación del RSI, los auditores afirman que se pueden tardar horas o días, por lo que existe demora en la auditoría de seguridad informática y por tanto también en la toma de decisiones. A partir de los problemas detectados se trazó como objetivo proponer una solución que permita contribuir a mejorar la exactitud en la evaluación del RSI en los SGBD. II. ESTRUCTURA DEL MODELO PROPUESTO La palabra modelo proviene del latín modulus que significa medida, ritmo, magnitud y está relacionada con la palabra modus que significa copia, imagen [4]. Se propone un modelo para la evaluación del RSI en los SGBD que pueda utilizar las auditorías pasadas como conocimiento o experiencia plasmada de los expertos que participaron. Se propone un modelo el cual tiene como entrada, las listas de chequeo de seguridad que emite el Centro para la Seguridad de Internet (CIS) [1], referente a los sistemas gestores de bases L Artificial Intelligence Techniques for Information Security Risk Assessment Y. A. Basallo, V. E. Sentí, N. M. Sánchez IEEE LATIN AMERICA TRANSACTIONS, VOL. 16, NO. 3, MARCH 2018 897