En las auditorías de seguridad informática se realizan las evaluaciones de riesgo de seguridad de la información a los sistemas gestores de bases de datos. Pero existen diferentes niveles de experticia entre los auditores, lo que provoca posibles diferencias entre la evaluación real del riesgo y la estimada por el auditor. Las imprecisiones pueden estar dada debido a la evaluación del riesgo, la cual se clasifica utilizando términos lingüísticos imprecisos como: Alto, Medio o Bajo, por lo que se pueden generar ambigüedades en el resultado de la evaluación. Con el propósito de facilitar el trabajo de los auditores, se propone un modelo basado en el conocimiento y la lógica difusa para la evaluación del riesgo de seguridad de la información en los sistemas gestores de bases de datos. Los resultados obtenidos muestran que se aprovecha la experiencia acumulada en las auditorías anteriores, se mejora la exactitud de los resultados y el tiempo de respuesta en la evaluación del riesgo de seguridad de la información.