Hola José Antonio, desde mi punto de vista aunque el método cualitativo parece suficiente y necesario, hablando desde mi experiencia profesional tratando con números, quiero aportar a tu propuesta el agregar el método cuantitativo al medir: porcentaje de cuentas con contraseñas que no cumplen con el estándar de complejidad, número de usuarios con privilegios de administrador innecesarios, frecuencia de rotación de credenciales y cantidad de accesos activos de ex-empleados, esto te puede permitir controlar mejor el riesgo y te proporcionan otras evidencias. Como mencionan Hernández-Sampieri y Mendoza (2018), la integración de enfoques no es solo una preferencia metodológica. Desde este punto de vista, tu análisis o investigación ganaría fuerza, sumado a la base solida que has presentado.
Saludos.