ADAPTACIÓN DE LA METODOLOGÍA MEHARI A LA FASE DE PLANEACIÓN DE UN SGSI PARA UN PROCEDIMIENTO DE ESTUDIO PROPUESTO / ADAPTATION OF THE MEHARI METHODOLOGY TO THE PLANNING PHASE OF AN ISMS FOR A PROPOSED STUDY PROCEDURE

Un Sistema de Gestion de Seguridad de la Informacion (SGSI) brinda proteccion a los datos almacenados fisicamente y digitalmente en una organizacion. Durante la implementacion de un SGSI, el buen desarrollo de la fase de planeacion determina en gran medida la efectividad que tendra el sistema de gestion para la reduccion del riesgo. Un paso importante dentro de la fase de planeacion es la valoracion del riesgo en la seguridad de la Informacion de la organizacion, esta valoracion debe hacerse segun los requisitos minimos establecidos por la norma ISO/IEC 27005 “Gestion del Riesgo en la Seguridad de la Informacion”; aunque existen numerosas metodologias con las cuales se puede realizar esta valoracion, en este trabajo se utilizo la metodologia MEHARI. El objetivo de este articulo es proponer un modelo adaptado de la metodologia MEHARI en la fase de planeacion de un SGSI; la propuesta es que este modelo pueda ser replicado en varios escenarios identicos al procedimiento que se trabaja aqui. La adaptacion se realiza tomando en cuenta las normas ISO/IEC 27001: requisitos para la implementacion de un SGSI, ISO/IEC 27003: guia para la implementacion de un SGSI, la estrategia de caso de estudio y la investigacion-accion, por lo que basado en la experiencia de la utilizacion de la metodologia MEHARI en la realizacion de la fase de planeacion de un SGSI dentro del procedimiento de estudio, surge el modelo adaptado de esta metodologia.