Repositorio logo
  1. Repositorio de la Universidad Internacional SEK Ecuador
  2. UISEK BUSINESS Y DIGITAL SCHOOL
  3. Software
Please use this identifier to cite or link to this item: https://repositorio.uisek.edu.ec/handle/123456789/5814
Title: Propuesta De Un Sistema De Gestión De La Seguridad De La Información (SGSI) Para La Universidad Particular Internacional SEK
Authors: Morejón Hidalgo, Victor Patricio
Carrera Cedeño, Mateo Javier
Keywords: INGENIERÍA EN SOFTWARE
SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
ISO/IEC 27001:2022
MAGERIT v3
GESTIÓN DE RIESGOS
Issue Date: Jan-2026
Publisher: Universidad Internacional SEK
Citation: UISEK-T SOF C117p/2026
Abstract: This thesis proposes the design and implementation of an Information Security Management System (ISMS) for Universidad Particular Internacional SEK (UISEK), grounded in the ISO/IEC 27001:2022 standard, the NIST Cybersecurity Framework 2.0, and ITIL v4 best practices. The proposal addresses a critical challenge in the Ecuadorian context. Pilatuña and Ángeles (2025) indicate that Ecuador leads Latin America in ransomware infection rates (22%) and phishing-affected organizations (20.9%), positioning the country as one of the most cybersecurity-vulnerable in the region. Within this regulatory framework, the Personal Data Protection Superintendency (SPDP, 2025) has begun enforcing penalties for LOPDP violations exceeding USD 259,000, evidencing the concrete economic and reputational risk faced by higher education institutions lacking a formalized ISMS. The research adopted a mixed applied approach with a sequential explanatory design, integrating institutional document analysis, compliance checklists to assess ISO/IEC 27001:2022 control fulfillment, and direct participant observation given the researcher's role as a member of the institution's IT team. Risk assessment was conducted using the MAGERIT v3 methodology across five institutional asset categories: physical, digital, communication networks, cloud services, and personnel and internal processes. The system's main deliverables include: (1) a three-tier governance framework (Process Owner, Information Owner, and Custodian) aligned with the CIA principles of the standard; (2) a comprehensive set of eleven security policies referencing the 93 controls of ISO/IEC 27002:2022; (3) a three-level documentary architecture comprising a strategic tier (POL-SGSI), an operational tier (PRO-SGSI), and an evidence tier, with instruments POL-SGSI-001, POL-SGSI-002, POL-SGSI-003, PRO-SGSI-001, and PRO-SGSI-002; (4) a risk matrix with quantitative CIA valuation (scale 1–10) and full traceability between assets, threats, and controls; and (5) a five-phase contingency plan incorporating the six functions of NIST CSF 2.0. The technological support of the ISMS was built as a web system using Angular 19, Node.js, and PostgreSQL, implementing three user roles (IT Supervisor, Process Owner, Asset Owner), two-stage approval workflows, automated PDF certificate generation, and QR code asset labeling. The proposal ensures compliance with Ministerial Agreement MINTEL-2024-0003, the LOPDP, and the Budapest Convention ratified through Executive Decree No. 332 in 2024. The resulting model serves as a replicable framework for Ecuadorian higher education institutions seeking to strengthen their information security management maturity and align their processes with SENESCYT accreditation requirements.
Description: El presente trabajo de titulación propone el diseño e implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI) para la Universidad Particular Internacional SEK (UISEK), fundamentado en la norma ISO/IEC 27001:2022, el NIST Cybersecurity Framework 2.0 y las buenas prácticas de ITIL v4. La propuesta responde a una problemática del contexto ecuatoriano. Pilatuña y Ángeles (2025) señalan que Ecuador lidera la región latinoamericana en índices de ransomware con un 22% y en empresas afectadas por phishing con un 20,9%, lo que nos posiciona a nivel regional como uno de los países más vulnerables en materia de ciberseguridad. En ese marco normativo, la Superintendencia de Protección de Datos Personales (SPDP, 2025) ha comenzado a aplicar sanciones por incumplimientos a la LOPDP que superan los USD 259.000, evidenciando el riesgo económico y reputacional concreto al que se exponen las instituciones de educación superior que carecen de un SGSI formalizado. La investigación adoptó un enfoque mixto aplicado bajo un diseño secuencial explicativo, integrando revisión documental de procesos institucionales, listas de cotejo para medir el nivel de cumplimiento de controles ISO/IEC 27001:2022 y observación directa participante, dado el rol del investigador como parte del equipo de TI de la institución. La valoración de riesgos se ejecutó mediante la metodología MAGERIT v3, evaluando cinco categorías de activos institucionales: físicos, digitales, redes de comunicación, servicios en la nube y personal y procesos internos. Los principales entregables del sistema incluyen: (1) un marco de gobernanza en tres niveles (Dueño del Proceso, Propietario de la Información y Custodio), alineado con los principios CID de la norma; (2) un conjunto integral de once políticas de seguridad que a su vez hacen referencia a los 93 controles de la ISO/IEC 27002:2022; (3) una arquitectura documental de tres niveles: estratégico (POL-SGSI), operativo (PRO-SGSI) y de evidencia, con los instrumentos POL-SGSI-001, POL-SGSI-002, POL-SGSI-003, PRO-SGSI-001 y PRO-SGSI-002; (4) una matriz de riesgos con valoración cuantitativa CID (escala 1–10) y trazabilidad entre activos, amenazas y controles; y (5) un plan de contingencia estructurado en cinco fases que incorpora las seis funciones del NIST CSF 2.0. El soporte tecnológico del SGSI fue materializado en un sistema web desarrollado con Angular 19, Node.js y PostgreSQL, que implementa tres roles de usuario (Supervisor TI, Dueño del Proceso, Dueño del Activo), flujos de aprobación en dos etapas, generación automática de certificados PDF y etiquetado de activos con códigos QR. La propuesta garantiza el cumplimiento del Acuerdo Ministerial MINTEL-2024-0003, la LOPDP y el Convenio de Budapest, ratificado mediante Decreto Ejecutivo No. 332 en 2024. El modelo desarrollado constituye una referencia replicable para instituciones de educación superior ecuatorianas, que busquen elevar su madurez en gestión de la seguridad de la información y alinear sus procesos con los requisitos de acreditación del SENESCYT.
URI: https://repositorio.uisek.edu.ec/handle/123456789/5814
Appears in Collections:Software

Files in This Item:
File Description SizeFormat 
Carrera Cedeño Mateo Javier.pdf2,32 MBAdobe PDFView/Open
Show full item record Recommend this item


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.