FRAMEWORK DE LA ISO/IEC 2700X Y SU EFECTIVIDAD EN LA GESTIÓN DE ESCENARIOS DE RIESGOS DE TECNOLOGÍAS DE LA INFORMACIÓN: UNA APLICACIÓN PRÁCTICA EN EMPRESAS DE DESARROLLO DE SOFTWARE DE CHICLAYO

Abstract

La investigación analiza la efectividad del framework ISO/IEC 2700X, específicamente ISO/IEC 27001 y 27005, en la gestión de riesgos de TI en empresas de desarrollo de software en Chiclayo, Perú. Se busca evaluar cómo la implementación de estos estándares puede mejorar la seguridad de la información y reducir la probabilidad e impacto de incidentes de seguridad. Para ello, se realizó un estudio de caso con empresas de desarrollo de software en Chiclayo, aplicando encuestas y entrevistas a los profesionales de TI para recopilar datos sobre la gestión de riesgos y la implementación de ISO 27001/27005. Así mismo, se analizó los incidentes de seguridad reportados, tomados de datos históricos y la información relacionada para evaluar la efectividad de la gestión de riesgos. Como resultados del estudio se identificó las principales amenazas y vulnerabilidades que enfrentan las empresas de desarrollo de software en Chiclayo, la comprensión de cómo la implementación de ISO 27001 y 27005 impacta en la seguridad de la información y la gestión de riesgos y cómo se evidencia la efectividad de estos estándares en la reducción de incidentes de seguridad y la minimización de pérdidas. Finalmente, se dieron recomendaciones prácticas para que las empresas mejoren su gestión de riesgos de TI, basándose en la experiencia de la investigación. Importancia.

This research analyzes the effectiveness of the ISO/IEC 2700X framework, specifically ISO/IEC 27001 and 27005, in IT risk management in software development companies in Chiclayo, Peru. The objective is to evaluate how the implementation of these standards can improve information security and reduce the likelihood and impact of security incidents. To this end, a case study was conducted with software development companies in Chiclayo, applying surveys and interviews to IT professionals to collect data on risk management and the implementation of ISO 27001/27005. Likewise, reported security incidents taken from historical data and related information were analyzed to evaluate the effectiveness of risk management. The study's results identified the main threats and vulnerabilities faced by software development companies in Chiclayo, helped understand how the implementation of ISO 27001 and 27005 impacts information security and risk management, and demonstrated the effectiveness of these standards in reducing security incidents and minimizing losses. Finally, practical recommendations were provided for companies to improve their IT risk management, based on the research experience.