Propuesta de metodología para la Gestión de Riesgos de TI basada en las mejores prácticas internacionales para la Empresa Information Evolution Costa Rica

Abstract

Este Trabajo Final de Graduación tiene como objetivo proponer una metodología de gestión de riesgos de Tecnologías de Información para Information Evolution Costa Rica, alineada con las mejores prácticas de la industria, con el fin de definir una estrategia y un proceso operativo para la gestión de riesgos de TI. La propuesta se fundamenta en la evaluación de las mejores prácticas de gestión de riesgos de TI de la industria para garantizar una implementación eficaz y sostenible en la empresa. Para alcanzar este objetivo, se utilizó una metodología aplicada con un enfoque cualitativo y un diseño de investigación-acción, estructurada en tres fases. En la Fase 1, se evaluó la situación actual de la empresa y sus procesos de gestión de riesgos. En la Fase 2, se estudiaron las mejores prácticas de gestión de riesgos de TI de la industria y se evaluó su alineación con las necesidades de la empresa, seleccionando las más adecuadas. Finalmente, en la Fase 3, se desarrollaron los artefactos pertinentes para la metodología de gestión de riesgos de TI, tanto para el marco de gobierno de riesgos de TI como para el proceso de gestión de riesgos. A partir del análisis de los resultados, se determinó que la empresa no contaba con un proceso formal para la gestión de riesgos de TI, lo que generaba una gestión reactiva ante los incidentes. Con base en esta evaluación, se desarrolló una propuesta metodológica estructurada de acuerdo con ISO 31000 y COBIT 2019, que permite implementar un proceso formalizado de gestión de riesgos de TI, con el objetivo de garantizar la continuidad operativa y minimizar los impactos adversos.

This Final Graduation Project aims to propose an IT risk management methodology for Information Evolution Costa Rica, aligned with industry best practices, to define a strategy and operational process for IT risk management. The proposal is based on an evaluation of industry best practices in IT risk management to ensure effective and sustainable implementation within the company. To achieve this objective, an applied methodology with a qualitative approach and an action-research design was used, structured into three phases. In Phase 1, the company’s current situation and risk management processes were evaluated. Phase 2 involved studying IT risk management best practices and assessing their alignment with the company's needs to select the most suitable ones. Finally, in Phase 3, the relevant artifacts for the IT risk management methodology were developed, covering both the IT Risk Governance framework and the risk management process. The results analysis revealed that the company lacked a formal IT risk management process, leading to a reactive approach to incidents. Based on this evaluation, a structured methodological proposal was developed, aligned with ISO 31000 and COBIT 2019, enabling the implementation of a formalized IT risk management process aimed at ensuring operational continuity and minimizing adverse impacts.