"Metodología para la evaluación y tratamiento de riesgo de tecnologías de la información bajo el enfoque de la ISO/IEC 31000, en la Empresa GARZASOFT Chiclayo"

Abstract

El problema central de la investigación se centra en la deficiente gestión de riesgos de TI y de activos tecnológicos en las empresas de desarrollo de software en Perú, con un enfoque específico en la empresa Garzasoft Chiclayo. La investigación busca responder a la pregunta de cómo una metodología basada en la ISO/IEC 31000 puede mejorar la seguridad y los procesos de desarrollo en este contexto. El marco conceptual de la investigación se basa principalmente en la norma internacional ISO/IEC 31000:2018, que proporciona principios y directrices para la gestión de cualquier tipo de riesgo. En el estudio se utilizó un enfoque mixto, combinando métodos cualitativos y cuantitativos para lograr un análisis exhaustivo. El tipo de investigación fue aplicada y propositiva. La fase cualitativa fue dominante en las etapas de diagnóstico y diseño. Para el diagnóstico, se emplearon técnicas como el análisis documental, entrevistas semiestructuradas y observación de campo. Esto permitió identificar las deficiencias, las percepciones del personal y las vulnerabilidades que no estaban formalmente documentadas. Por otro lado, la fase cuantitativa se aplicó en la validación de la metodología. Un panel de expertos evaluó la propuesta utilizando una escala de valoración para determinar su suficiencia, claridad, coherencia y relevancia. Como resultado de la investigación se diseñó una metodología estructurada que adapta los principios de la ISO 31000 al contexto de la empresa. La metodología define un marco claro para establecer el contexto, clasificar activos críticos (como código fuente y datos de clientes), y crear criterios de riesgo sistemáticos que permiten una evaluación objetiva. Esto transforma la gestión de riesgos de un enfoque subjetivo a uno proactivo y documentado. Finalmente la metodología propuesta fue validada por dos expertos quienes la consideraron suficiente, clara, coherente y relevante.

The central problem of the research focuses on the deficient IT and technological asset risk management in software development companies in Peru, with a specific focus on Garzasoft Chiclayo. The research seeks to answer the question of how a methodology based on ISO/IEC 31000 can improve security and development processes in this context. The conceptual framework of the research is primarily based on the international standard ISO/IEC 31000:2018, which provides principles and guidelines for managing any type of risk. The study used a mixed approach, combining qualitative and quantitative methods to achieve a comprehensive analysis. The research was applied and proactive. The qualitative phase dominated the diagnosis and design stages. For the diagnosis, techniques such as document analysis, semi-structured interviews, and field observation were used. This allowed for the identification of deficiencies, staff perceptions, and vulnerabilities that were not formally documented. The quantitative phase was also used to validate the methodology. A panel of experts evaluated the proposal using a rating scale to determine its adequacy, clarity, coherence, and relevance. As a result of the research, a structured methodology was designed that adapts the principles of ISO 31000 to the company's context. The methodology defines a clear framework for establishing context, classifying critical assets (such as source code and customer data), and creating systematic risk criteria that allow for objective assessment. This transforms risk management from a subjective approach to a proactive and documented one. Finally, the proposed methodology was validated by two experts who considered it sufficient, clear, coherent, and relevant.