https://hdl.handle.net/20.500.12893/5579 Wed, 08 Apr 2026 17:06:45 GMT 2026-04-08T17:06:45Z https://hdl.handle.net/20.500.12893/16122 La gestión de riesgo bajo el enfoque de la metodología MAGERIT y su relación con la seguridad de la información Romero Mercedes, María del Carmen La presente investigación abordó el problema de la ausencia de un proceso estructurado para la gestión de riesgos de tecnologías de la información, lo cual limita la capacidad de las organizaciones para proteger la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de sus activos de información. Ante esta necesidad, el estudio tuvo como propósito analizar y demostrar la relación entre la gestión de riesgos basada en la metodología MAGERIT y los requerimientos de seguridad de la información establecidos por los marcos internacionales ISO/IEC 27001 e ISO/IEC 27005. El fundamento teórico se apoyó en los principios esenciales de la seguridad de la información y en los lineamientos de la gestión de riesgos propuestos por ISO 31000 y la familia ISO/IEC 27000. En el desarrollo del estudio también se tomó en cuenta la estructura metodológica de MAGERIT v3. Se trabajó sobre todo en sus etapas principales, aquellas que exigen identificar los activos, revisar las amenazas y las vulnerabilidades, y luego avanzar hacia la valoración del impacto y la probabilidad. Después de eso, tocó estimar el riesgo, tanto el inherente como el residual, y cerrar con la priorización de los tratamientos. Metodológicamente, la investigación siguió un enfoque descriptivo y aplicado. No se buscó complicar el diseño, sino construir un modelo basado en MAGERIT que permitiera mostrar con cierta claridad cómo se desarrolla cada etapa. En la práctica, esto significó usar escenarios técnicos y operativos que fueran reconocibles para quienes trabajan en el área; algunos de ellos los conocía ya por experiencias propias en proyectos anteriores y ayudaron bastante a organizar las actividades. Durante ese proceso se elaboraron distintos instrumentos para recolectar información. Entre ellos estaban las fichas de activos —que costó un poco estandarizar—, matrices de riesgo ajustadas al contexto, modelos de dependencia y esquemas de valoración adaptados a lo que indica la ISO/IEC 27005. Tuvieron que hacerse varias correcciones, ya que algunos datos llegaban incompletos o con inconsistencias, algo que suele pasar en levantamientos reales. Al final, los resultados mostraron que aplicar MAGERIT de manera sistemática permite ordenar mejor los activos críticos, describir con mayor claridad las amenazas y detectar vulnerabilidades que, en otras circunstancias, se habrían pasado por alto. El cálculo del riesgo también ganó detalle, lo que hizo posible obtener valores más coherentes y útiles para quienes 9 deben tomar decisiones. También se pudo ver que la metodología ayuda bastante a relacionar los riesgos identificados con los requisitos de seguridad que plantea la ISO/IEC 27001. Esto no fue algo menor, porque permitió confirmar —de manera práctica, no solo teórica— que MAGERIT funciona como un marco que integra bien ambos enfoques y facilita el diseño de políticas y controles. En la revisión de documentos internos, por ejemplo, hubo varios momentos en los que la correspondencia entre un riesgo concreto y un requisito de la norma resultó mucho más clara gracias al esquema de MAGERIT, algo que en experiencias pasadas, sin un método formal, costaba mucho más visualizar. Al cierre del análisis se pudieron plantear algunos lineamientos iniciales para el tratamiento de los riesgos. No son definitivos, pero sí suficientes para mostrar que integrar MAGERIT en los procesos de gestión de la seguridad tiene sentido y aporta una base ordenada para continuar con las siguientes etapas. Hay todavía trabajo por hacer, pero los resultados dejan claro que el uso de esta metodología encaja bien con las necesidades reales de la organización.; The present research addressed the issue of the absence of a structured process for managing information technology risks, a gap that limits an organization’s ability to protect the confidentiality, integrity, availability, authenticity, and traceability of its information assets. In response to this need, the study aimed to analyze and demonstrate the relationship between risk management based on the MAGERIT methodology and the information security requirements established by the international frameworks ISO/IEC 27001 and ISO/IEC 27005. The theoretical foundation relied on the essential principles of information security and the risk-management guidelines proposed by ISO 31000 and the ISO/IEC 27000 family. The study also considered the methodological structure of MAGERIT v3, focusing mainly on its core stages: identifying assets, reviewing threats and vulnerabilities, and then moving on to assessing impact and probability. After that, the process required estimating the risk—both inherent and residual—and concluding with the prioritization of treatments. Methodologically, the research followed a descriptive and applied approach. The goal was not to complicate the design but to build a model based on MAGERIT that would clearly show how each stage unfolds. In practice, this involved using technical and operational scenarios familiar to professionals working in the field; some of them were already known to the researcher from previous project experiences, which helped considerably in organizing the activities. During the process, different instruments were developed to gather information. These included asset worksheets—which took some effort to standardize— context-adjusted risk matrices, dependency models, and assessment schemes adapted to what ISO/IEC 27005 recommends. Several corrections had to be made, as some data arrived incomplete or inconsistent, something that often happens in real information- gathering processes. In the end, the results showed that applying MAGERIT systematically makes it easier to organize critical assets, describe threats more clearly, and detect vulnerabilities that might otherwise have gone unnoticed. The risk calculation also gained detail, making it possible to obtain more coherent and useful values for decision-makers. It also became evident that the methodology helps link the identified risks with the security requirements established in ISO/IEC 27001. This was particularly relevant because it confirmed—through practice, not just theory—that 11 MAGERIT works as a framework that integrates both approaches and supports the design of policies and controls. While reviewing internal documents, for example, there were several moments when the correspondence between a specific risk and a requirement of the standard became much clearer thanks to MAGERIT’s structure— something that, in past experiences without a formal method, was much harder to visualize. By the end of the analysis, it was possible to outline some initial guidelines for risk treatment. They are not final, but they are sufficient to show that integrating MAGERIT into security-management processes is logical and provides an organized foundation for the next stages. There is still work ahead, but the results clearly indicate that the use of this methodology fits well with the organization’s real needs. Sat, 20 Dec 2025 00:00:00 GMT https://hdl.handle.net/20.500.12893/16122 2025-12-20T00:00:00Z https://hdl.handle.net/20.500.12893/15569 Plan de gestión de incidentes bajo la norma ISO/IS 27002-2013 para el mejoramiento de la seguridad de información en el hospital Almanzor Aguinaga Asenjo - Chiclayo Cayle Angeles, Juan Fernando Este estudio examinó la problemática del Hospital Almanzor Aguinaga Asenjo, derivada del creciente número de pacientes asegurados que demandan más recursos tecnológicos de hardware y software. Esta necesidad busca optimizar la organización y la administración eficiente de las bases de datos. Se ha apreciado que en servicios públicos se prioriza evaluar la productividad más que la atención centrada en la experiencia del paciente o su grado de satisfacción con el servicio recibido. En consecuencia, no se han establecido directrices orientadas a elevar los estándares de atención y servicio al usuario. La forma en que se mide el trabajo del personal del hospital, tanto médicos como administrativos, se basa más en la cantidad de cosas que hacen y no en la calidad de la atención. Esto hace que la buena atención a los pacientes quede en segundo lugar. Por eso, esta investigación busca aplicar ideas de ciberseguridad y protección de datos para crear una estrategia que ayude a manejar mejor los problemas con la información. La meta es cuidar y proteger los datos importantes del hospital. Primero se describe cómo está la situación actual, que es mala porque no se administran ni se atienden bien los problemas de seguridad. Después, se propone una solución: un sistema para evaluar cómo se trabaja y así corregir esas fallas. Finalmente, se concluye que hacer un plan de gestión de incidentes, siguiendo la norma ISO/IEC 27002:2013, ayudará a evitar que se pierda, se filtre o quede sin acceso la información. También implementará acciones preventivas y correctivas que reduzcan consecuencias negativas y garantizarán el funcionamiento ininterrumpido de los servicios esenciales. Los aportes incluyen detección y gestión ágil ante fallos, cumplimiento normativo, mejora continua y fortalecimiento de la confianza del paciente.; This study examined the challenges faced by Almanzor Aguinaga Asenjo Hospital, stemming from the increasing number of insured patients demanding greater technological resources in hardware and software. This need aims to optimize organizational processes and ensure efficient database management. It has been observed that public services prioritize measuring productivity over patient-centered care or user satisfaction with the service received. Consequently, no guidelines have been established to raise standards of care and user service. The performance evaluation of both clinical and administrative staff is based on productivity criteria, requiring compliance with a specific number of tasks and patient attendances. This relegates the quality of care to a secondary level. In response to this issue, the research applies cybersecurity and data protection frameworks and conceptual models to develop a structured strategy for managing adverse events related to information. The goal is to enhance the protection and safeguarding of sensitive IT assets within the hospital. The study is grounded in a descriptive approach, outlining the current diagnosis of the critical situation regarding information security— specifically, the deficient administration and response to security events. Furthermore, it is proactive in nature, proposing a performance evaluation system designed to overcome existing shortcomings. It is concluded that designing an incident management plan under ISO/IEC 27002:2013 will effectively prevent breaches affecting the integrity, confidentiality, and availability of information. Additionally, it will implement preventive and corrective actions to mitigate negative consequences and ensure the uninterrupted operation of essential hospital services. The contributions of this work include agile detection and management of system failures, regulatory compliance, continuous improvement, and strengthened patient trust. Mon, 16 Dec 2024 00:00:00 GMT https://hdl.handle.net/20.500.12893/15569 2024-12-16T00:00:00Z https://hdl.handle.net/20.500.12893/13714 Gestión de procesos basado en CMMI para agilizar los proyectos de desarrollo de Software en la Universidad Señor de Sipán Delgado Caramutti, Jorge Gustavo Alonso La presente investigación propuso como objetivo general realizar un plan de mejora para el proceso de desarrollo de software en la Universidad Señor de Sipán utilizando el modelo CMMI. Empleando una metodología de tipo aplicada, de enfoque cuantitativa y diseño preexperimental, en una muestra conformada por 8 trabajadores de la Dirección de Tecnologías de la Información de la universidad mencionada, a quienes se les aplicó como técnica la encuesta y observación y como instrumento un formulario. Los resultados reflejaron los siguientes puntajes respecto a las diversas las áreas de proceso, donde la meta específica establecer estimaciones perteneciente al área Planificación del Proyecto (PP) destacó con un 75%, la meta específica gestionar acciones correctivas perteneciente al área Monitorear y Controlar el Proyecto (PMC) sobresalió con un 68%, la meta específica satisfacer los acuerdos con los proveedores perteneciente al área Administración de los acuerdos con los proveedores (SAM) destacó con un 38%, la meta específica gestionar los requerimientos perteneciente al área Administración de requerimientos (REQM) sobresalió con un 100%, la meta específica el monitoreo y el control de cambios perteneciente al área Administrar las configuraciones (CM) destacó con un 50%, la meta específica evaluación objetiva de los procesos y artefactos perteneciente al área Aseguramiento la calidad en los productos y los procesos (PPQA) sobresalió con un 38%, las metas específicas alineamiento de la medición y el análisis de actividades y proporcionar la información recopilada de la medición perteneciente al área de Medición y el análisis (MA) destacaron ambas con el mismo puntaje de 38%. Concluyendo que, la elaboración del plan de mejora para el proceso de desarrollo de software utilizando el modelo CMMI permitió agilizar los proyectos de desarrollo de Software en la Universidad Señor de Sipán. Tue, 03 Sep 2024 00:00:00 GMT https://hdl.handle.net/20.500.12893/13714 2024-09-03T00:00:00Z https://hdl.handle.net/20.500.12893/13283 ITIL4 y su impacto en la gestión de servicios de Tecnologías de Información en una institución pública de Chiclayo, 2023 Campos Hashimoto, Elsa Magaly La implementación efectiva de ITIL 4 en la gestión de servicios de Tecnologías de la Información (TI) en entidades públicas puede generar mejoras sustanciales en áreas críticas como la mesa de ayuda, la gestión de incidencias y la satisfacción del usuario. Estas mejoras no solo optimizan el rendimiento operativo, sino que también contribuyen al logro de los objetivos organizativos. En este contexto, el propósito central de esta investigación es evaluar el impacto de ITIL 4 en la gestión de servicios de TI en una institución pública de Chiclayo durante el año 2023. Para alcanzar este objetivo, se adoptó un enfoque metodológico cuantitativo, específicamente correlacional-causal, con un diseño no experimental. Se diseñó un cuestionario validado con 37 ítems correspondientes a cada variable y se aplicó a una muestra de 149 servidores públicos. Esta investigación se enmarca dentro de la categoría de investigación básica, también conocida como investigación teórica o pura, según la Ley del Sistema Nacional de Ciencia, Tecnologías e Innovación, el estudio se orienta a la adquisición de nuevos conocimientos profundos sin una aplicación práctica inmediata específica, con el objetivo principal de ampliar y profundizar el conocimiento científico en el campo de la gestión de servicios de TI. Con respecto al método utilizado fue el inductivo deductivo, comenzando con la recopilación de datos y la identificación de patrones (inducción), seguido por la formulación de teorías generales o hipótesis, y luego la verificación de estas teorías mediante la recopilación de datos específicos (deducción) , se empleó un enfoque cuantitativo, utilizando un cuestionario en escala tipo Likert para evaluar las variables numéricamente y finalmente los resultados obtenidos a través de un modelo de regresión logística revelaron un impacto significativo de ITIL 4 en la gestión de servicios de tecnología de información en la institución de estudio, con un impacto estimado del 28.4%, además, se evidenció que ITIL 4 también impacta de manera significativa en la mesa de ayuda, con un impacto del 24.9%, así como en lasincidencias, con un impacto del 20.3%. Incluso en la satisfacción del usuario, ITIL 4 mostró un impacto del 11.7%. Estos hallazgos respaldan la importancia de la implementación efectiva de ITIL 4 en una entidad pública, influyendo positivamente en la gestión de servicios de tecnologías de la información y aspectos específicos como la mesa de ayuda, las incidencias y la satisfacción del usuario. Estos resultados proporcionan una base sólida para la toma de decisiones y la implementación de estrategias que fortalezcan la adopción de ITIL 4 en el ámbito público, contribuyendo al éxito organizativo. Thu, 13 Jun 2024 00:00:00 GMT https://hdl.handle.net/20.500.12893/13283 2024-06-13T00:00:00Z