Resumen de Sistema Gestión de Seguridad de la Información y su impacto en el Gobierno y Gestión de las Tecnologías de la Información

Verónica De Las Mercedes Villarreal Morales, Katherine Estefania Coro Villarreal, Edwin Gustavo Fernández Sánchez, Jhon Paul Cueva Martinez

• español

  El presente documento examina cómo la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) ha influido significativamente en los procesos de gobernanza y gestión de Tecnologías de la Información (TI) en la Universidad Estatal Amazónica (UEA). El análisis se enfoca en la implementación de un SGSI basado en estándares internacionales, como la ISO/IEC 27001, y en cómo este sistema mejora la protección de los activos de información, reduce los riesgos relacionados con la seguridad y optimiza la toma de decisiones tecnológicas. El análisis incluye una evaluación detallada de dos procesos clave en el marco de la gobernanza y gestión de TI: EDM03: Asegurar la Optimización del Riesgo y DSS05: Gestionar los Servicios de Seguridad, antes y después de la implementación del SGSI. Antes de la implementación, el proceso EDM03 alcanzó un nivel de madurez de 1, lo que indicaba que estaba gestionado, pero con un nivel básico de control, mientras que el proceso DSS05 obtuvo un nivel de madurez de 2,6, sugiriendo una gestión más estructurada, pero con posibles desviaciones no controladas. Tras la adopción del SGSI, se evidenció una mejora significativa: el proceso EDM03 alcanzó un nivel de madurez de 2,1, mientras que DSS05 llegó a un nivel de 3,7. Estas mejoras fueron cuantificadas mediante métricas aplicadas en la gobernanza y gestión de TI, basadas en las normas ISO 38500 y COBIT 5, implementadas en la universidad desde 2018. En este contexto se concluye que la implementación del SGSI no solo ha mejorado la seguridad de la información en la UEA, sino que ha tenido un impacto positivo en la gestión y gobernanza de TI, optimizando la madurez de los procesos críticos y alineando mejor las estrategias tecnológicas con los objetivos institucionales.

• English

  This paper examines how the implementation of an Information Security Management System (ISMS) has significantly influenced Governance and Management of Information Technology at the Universidad Estatal Amazónica (UEA). The analysis focuses on the implementation of an ISMS based on international standards, such as ISO/IEC 27001, and how this system improves the protection of information assets, reduces security-related risks, and optimizes technological decision-making. The analysis includes a detailed assessment of two key processes within the IT governance and management: EDM03: Ensure Risk Optimization and DSS05: Manage Security Services, before and after the implementation of the ISMS. Before implementation, the EDM03 process reached a maturity level of 1, indicating that it was managed but with a basic level of control, while the DSS05 process obtained a maturity level of 2.6, suggesting a more structured management but with possible uncontrolled deviations. After the adoption of the ISMS, a significant improvement was evident: the EDM03 process reached a maturity level of 2.1, while DSS05 reached a level of 3.7. These improvements were quantified through metrics applied to IT governance and management, based on the ISO 38500 and COBIT 5 standards, implemented at the university since 2018. In this context, it is concluded that the implementation of the ISMS has not only improved information security at UEA but has had a positive impact on IT management and governance, optimizing the maturity of critical processes and better aligning technological strategies with institutional objectives.