Information Security Maturity Model for Integrated Irrigation and Drainage Management Systems
Abstract
In a global context of increasing digitalization, the protection of personal data and the secure management of information have become fundamental pillars to ensure public trust, institutional transparency, and regulatory compliance. In Ecuador, the implementation of the Organic Law on Personal Data Protection (LOPDP, 2021) still faces limitations in its practical application, particularly within Decentralized Autonomous Governments (GADs), where information systems lack comprehensive information security management frameworks. In response to this issue, the present research aimed to design a maturity model applied to information security management for the Integrated Irrigation and Drainage Management System of the Provincial GAD of El Oro, aligned with the LOPDP, ISO/IEC 27001:2022, and the Governmental Information Security Scheme (EGSI), version 3. The study integrated the Capability Maturity Model Integration (CMMI) framework and adopted a cross-sectional research design, allowing for the analysis of a geographically and systematically delimited sample of 12 participants over a defined period. A mixed-methods approach was employed using three instruments: first, a checklist based on the ISO/IEC 27001:2022 controls; second, a survey administered to technical and administrative personnel; and third, interviews conducted with professionals according to their profiles. The results revealed a low level of compliance and awareness of the LOPDP (corresponding to levels 1 and 2 of the CMMI reference model), characterized by an incipient initial stage in the implementation of an EGSI, a lack of methodological documentation, and a scarcity of institutional policies that comprehensively govern information security. Additionally, there was an absence of institutional training and awareness programs, as well as deficiencies in access control, risk management, incident response, and staff training. These findings reflect a limited articulation among the LOPDP, EGSI v3, CMMI, and internal institutional processes. In this regard, the study identifies key weaknesses within the irrigation system and highlights the institution’s recent adoption of the LOPDP framework. The proposed model is intended to serve as a strategic tool to enhance information security management within the institution, addressing technical, legal, and administrative aspects that promote data confidentiality, integrity, and availability. Moreover, it provides a methodological contribution that can be replicated in other institutional information systems. Finally, it opens avenues for future research aimed at assessing the maturity levels of information systems, promoting alternatives for EGSI implementation across GADs, and fostering the development of studies or audits related to public cybersecurity management.
Downloads
Metrics
References
Albornoz, M. M. (2022). Expansión del ámbito territorial de aplicación de la ley en materia de protección de datos personales: ¿Tendencia en América Latina? Latin American Law Review, 9, 139–160. https://doi.org/10.29263/lar09.2022.08
Almache, E. L. R., Bustamante, J. L. R., & Espinoza, J. J. S. (2024). Implementación y desafíos de los principios de la Ley Orgánica de Protección de Datos Personales en Ecuador, Un enfoque de revisión sistemática. Pro Sciences: Revista de Producción, Ciencias e Investigación, 8(54), 47-67.
Ávila-Coello, A. A. (2024). Seguridad de la información en instituciones públicas: desafíos y buenas prácticas en el contexto ecuatoriano. Journal of Economic and Social Science Research, 4(2), 140-156.
Barros, A., Flores, A., Jinez, M., & Zamora, D. (2025). La Protección de Datos Personales en el Gobierno Electrónico y Desafíos para la Gestión Pública. Revista Veritas de Difusão Científica, 6(1), 1029–1046. https://doi.org/10.61616/rvdc.v6i1.447
Bolaños Coto, S. (2025). Fortalecimiento de la seguridad de la información, con un enfoque en controles físicos en el área de infraestructura tecnológica a través de la ISO/IEC 27002: 2022, en el Banco Solidez en San José de Costa Rica en el año 2024 [Tesis de maestría, Universidad de Costa Rica].
Gallardo, M. (2018). Elaboración de una política de seguridad de la información para una institución pública basado en el esquema gubernamental de seguridad de la información [Tesis de pregrado, Universidad Internacional SEK].
Guamán, F. (2024). Desarrollo de un Sistema de Gestión de Seguridad de la Información (SGSI) utilizando la norma ISO/27001 para la protección de datos en la Unidad Educativa La Inmaculada de la ciudad de Ambato [Tesis de maestría, Universidad Técnica de Ambato].
Heredia, L., & Santacruz, M. (2023). Responsabilidad médica administrativa, Manejo de datos personales relativos a la salud, Ecuador, 2023. Revista Religación, 8(38). https://doi.org/10.46652/rgn.v8i38.1102
Jevelin, J., & Faza, A. (2023). Evaluation the information security management system: A path towards ISO 27001 certification. Journal of Information Systems and Informatics, 5(4), 1240-1256.
Ministerio de Telecomunicaciones y de la Sociedad de la Información. (2022). Avance de la implementación Esquema Gubernamental de Seguridad de la Información (EGSI Versión 2.0). Gobierno Electrónico Ecuador.
Ministerio de Telecomunicaciones y de la Sociedad de la Información. (2024). Esquema Gubernamental de Seguridad de la Información v3. Registro Oficial No. 509.
Muyón, C., Guarda, T., Vargas, G., & Ninahualpa Quiña, G. (2019). Esquema Gubernamental de Seguridad de la Información EGSI y su aplicación en las entidades públicas del Ecuador. Revista Ibérica de Sistemas e Tecnologias de Informação, (19), 258-271.
Verdugo, G. (2023). Propuesta de un modelo de madurez de ciberseguridad para Ecuador [Tesis de maestría, Universidad Católica de Cuenca].
Villacres, O. (2024). Falta de normativas y desafíos en la protección de datos personales y la ciberseguridad en el ordenamiento jurídico ecuatoriano [Tesis de pregrado, Universidad Regional Autónoma de los Andes].
Vinueza, N., Macías, M., & Maldonado, R. (2024). Implementación de medidas de seguridad y principio de conservación de datos según la ley orgánica de protección de datos personales en instituciones públicas de Babahoyo, Ecuador. Revista Científica Arbitrada de Investigación en Comunicación, Marketing y Empresa, 5(2), 112-130.
Copyright (c) 2025 Jennifer Jomaira Loayza Castro, Daniel Jacobo Andrade Pesántez
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
