Gestión del riesgo en la seguridad de la información con base en la norma ISO/IEC 27005:2011 adaptando la metodología MEHARI para el caso de estudio: Procedimiento de desarrollo y mantenimiento de aplicaciones de la división tic de la Universidad del Cauca

Abstract

Siempre que se va a implementar un SGSI en una organización, en la fase inicial, se debe seleccionar una metodología de gestión de los riesgos apropiada para la organización de acuerdo a su tamaño, propósito, alcance del SGSI, etc. En la actualidad, existen muchas metodologías de gestión del riesgo que se pueden seleccionar para llevar a cabo esta tarea, pero la institución con el objetivo de encontrar la metodología que mejor se adapte a sus propósitos, ha probado con diferentes metodologías de gestión de riesgo tales como Octave-S, NIST-SP-800-53 y Cobit-5. En este trabajo de grado se evaluará y adaptará la metodología MEHARI para la gestión del riesgo en el caso de estudio propuesto, con el fin de que Jefe de TIC’s de la Universidad del Cauca en compañía del Director de este trabajo de grado, analicen entre las metodologías ya probadas y la metodología MEHARI cual es más benéfica para la institución. Se parte del hecho de que se selecciona la metodología MEHARI, ya que el objetivo es ejecutarla y evaluarla en el procedimiento de estudio seleccionado.