Gestión de riesgos en TI según ISO 27001:2022 en una unidad educativa fiscal de Ecuador
DOI:
https://doi.org/10.59602/cys.v4i2.57Palabras clave:
ISO 27001:2022, gestión de riesgos TI, seguridad de la información, institución educativa públicaResumen
La protección de la información en los colegios y unidades educativas fiscales del Ecuador sigue siendo, en la práctica, una deuda pendiente. Este trabajo partió de esa realidad concreta y propuso una respuesta metodológica estructurada: aplicar la norma ISO 27001:2022 para identificar, valorar y tratar los riesgos tecnológicos de una institución educativa de nivel medio ubicada en Quevedo, Ecuador. El estudio adoptó un diseño de investigación-acción con enfoque mixto y empleó tres instrumentos de campo: una ficha de observación del área de TI, una encuesta dirigida al personal docente y administrativo y la revisión sistemática de controles mediante el Anexo A de la norma. Los resultados identificaron seis activos tecnológicos con niveles de riesgo medio y alto; entre ellos: cámaras de vigilancia, almacenamiento en red, estaciones de trabajo y puntos de acceso inalámbrico, con puntajes que alcanzan hasta 18 sobre 27 en la escala de riesgo aplicada. Para cada uno de estos activos se elaboraron políticas de seguridad con objetivos claros, acciones operativas específicas e indicadores verificables, adaptadas a las condiciones reales de la institución.
Descargas
Citas
Amaya Díaz, H. F. (2022). Diseño de un SGSI basado en la ISO/IEC 27001 para el liceo Moderno José Celestino Mutis de San Sebastián de Mariquita [Tesis de Maestría, Universidad Nacional Abierta y a Distancia - UNAD]. https://repository.unad.edu.co/handle/10596/48382
Andrade Vintimilla, J. F. (2023). Plan de ciberseguridad para la educación básica ecuatoriana contra el ciberdelito por COVID-19. INNDEV - Innovation & Development Ciencias del Sur, 2(1), 34. https://www.itscs-cicc.com/ojs/index.php/inndev/article/view/52
Crespo-Martínez, E., y Cordero-Torres, G. (2019). Estudio comparativo entre las metodologías CRAMM y MAGERIT para la gestión de riesgo de TI en las Mipymes. UDA AKADEM, (1), 38-47. https://doi.org/10.33324/udaakadem.vi1.129
Estrada-Esponda, R. D., Unás-Gómez, J. L., y Flórez-Rincón, O. E. (2021). Prácticas de seguridad de la información en tiempos de pandemia. Caso Universidad del Valle, sede Tuluá. Revista Logos Ciencia & Tecnología, 13(3), 98-110. https://doi.org/10.22335/rlct.v13i3.1446
Hernández Sampieri, R., Fernández Collado, C., y Baptista Lucio, P. (2016). Metodología de la investigación (6.ª ed.). McGraw-Hill
Lara Guachamin, T. J. (2023). Implementación de un SGSI basado en la norma ISO 27001 en la unidad educativa "El Libertador" [Tesis, Universidad de Guayaquil]. http://repositorio.ug.edu.ec/handle/redug/67415
Ministerio de Telecomunicaciones y de la Sociedad de la Información del Ecuador [MINTEL]. (2020). Guía para la gestión de riesgos de seguridad de la información. Subsecretaría de Estado - Gobierno Electrónico. https://www.gobiernoelectronico.gob.ec/wp-content/uploads/2020/04/GUIA-PARA-LA-GESTION-DE-RIESGOS-DE-SEGURIDAD-DE-LA-INFORMACION-ABRIL-2020.pdf
International Organization for Standardization. (2022). ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements. https://www.iso.org/standard/27001
Ruiz Tapia, J. A., Estrada Gutiérrez, C. E., y Sánchez Paz, M. (2020). Propuesta de un modelo de un sistema de gestión de calidad en seguridad de la información basado en la norma ISO 27001 para instituciones educativas. Latinoamericana en Competitividad Organizacional RILCO, 2(5), 10. https://www.eumed.net/rev/rilco/05/gestion-instituciones.html
Descargas
Publicado
Cómo citar
Número
Sección
Licencia
Derechos de autor 2026 Esel Andrés Olvera Peña, Jon Arambarri, Saul Domingo Soriano
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-CompartirIgual 4.0.
