Gestión del riesgo de SI con base en la norma ISO/IEC 27005:2011 adaptando la metodología MAGERIT V3 para el caso de estudio propuesto

Abstract

Para hacer frente a las diversas amenazas de SI a las que se expone la Universidad del Cauca, la administración ha decidido implantar un SGSI, siguiendo la norma ISO/IEC 27001, con el fin de proteger los activos de información pertenecientes a la institución, dando prioridad a los procedimientos que, como el caso de estudio, son denominados ‘críticos’.

Para atender las necesidades del caso de estudio en materia de la SI, el presente proyecto pretende adaptar la metodología MAGERIT V3 como un mecanismo que permita gestionar, adecuadamente, los riesgos de la SI en el caso de estudio, de acuerdo con los requerimientos de la norma ISO/IEC 27001. Para obtener su validación, dicha adaptación será evaluada y sometida a los ajustes necesarios para corregir las fallas identificadas. Además, por recomendación del estándar ISO/IEC 27003, este proyecto deberá desarrollar la planeación de un SGSI para el caso de estudio con el fin de garantizar la idoneidad de la gestión de los riesgos de la SI.

Para lograr los objetivos propuestos, el presente proyecto se estructura en cuatro etapas de desarrollo: en la primera de ellas se analizará el dominio del problema mediante la ejecución la primera fase de la planeación de un SGSI, en la segunda se identificaran los aspectos esenciales relacionados con la construcción de la adaptación de MAGERIT V3 mediante la ejecución de las fases 2 y 3 de la planeación de un SGSI, en la tercera se construye la adaptación y, finalmente, en la cuarta etapa se ejercita la adaptación propuesta y se corrigen las fallas identificadas mediante la ejecución de la cuarta fase de la planeación de un SGSI.

Como resultado, se logró desarrollar la planeación de un SGSI para el caso de estudio y se obtuvo la adaptación satisfactoria de MAGERIT V3, la cual permitió identificar que el caso de estudio se encuentra expuesto a un alto nivel de riesgo. Frente a ello, se desarrolló un Plan de Tratamiento de Riesgos y una Declaración de Aplicabilidad.

Para concluir, se resalta que los riesgos fueron valorados y tratados satisfactoriamente y que, para poder adaptar MAGERIT V3 al caso de estudio, fue necesario agregarle 8 nuevas actividades al enfoque ofrecido por dicha metodología y ajustar el orden de ejecución de sus tareas.