Modelo de madurez de seguridad de información de Sistemas Integrales de Gestión de Riego y Drenaje
Resumen
En un contexto global de creciente digitalización, la protección de los datos personales y la gestión segura de la información se han convertido en ejes fundamentales para garantizar la confianza ciudadana, la transparencia institucional y el cumplimiento normativo. En Ecuador, la aplicación de la Ley Orgánica de Protección de Datos Personales (LOPDP, 2021) enfrenta aún limitaciones en su implementación práctica, especialmente en los Gobiernos Autónomos Descentralizados (GAD), donde los sistemas informáticos carecen de marcos integrales de gestión de seguridad. Ante esta problemática, la presente investigación tuvo como objetivo diseñar un modelo de madurez aplicado a la gestión de seguridad de la información para el Sistema Integral de Gestión de Riego y Drenaje del GAD Provincial de El Oro, alineado con la LOPDP, la norma ISO/IEC 27001:2022 y el Esquema Gubernamental de Seguridad de la Información (EGSI) en su versión 3, utilizando la integración del modelo de madurez de capacidades (CMMI por sus siglas en Inglés), con un diseño transversal de investigación se permitió durante un periodo de tiempo, estudiar una muestra delimitada geográfica y sistemática de 12 personas, bajo un enfoque mixto, que emplearon tres instrumentos: el primero, una lista de verificación sobre los controles de la ISO/IEC 27001:2022, el segundo, una encuesta aplicada al personal técnico y administrativo, y tercero, entrevistas a persona por perfiles profesionales. Los resultados indicaron un bajo nivel de cumplimiento y conocimiento de la LOPDP (niveles 1 y 2 del CMMI) del modelo guía, caracterizados por una incipiente etapa inicial de implementación de un EGSI, continuando, con una falta de documentación metodológica así como la escasez de políticas institucionales que integralmente rijan la seguridad de la información, terminando, con la ausencia de capacitación y formación al personal institucional, se detectaron también, deficiencias en control de accesos, gestión de riesgos, respuesta a incidentes y capacitación del personal. Estos hallazgos reflejan una limitada articulación entre la LOPDP, el EGSI v3, el CMMI y los procesos internos. En este sentido, se logra identificar las falencias que tiene el sistema de riego, la reciente inserción institucional en materia de la LOPDP. El modelo propuesto pretende ser una herramienta estratégica para mejorar la gestión de seguridad de la información en la institución cuidando aspectos técnicos, legales y administrativos que promuevan la confidencialidad, integridad y disponibilidad de los datos. Así mismo, plasma un aporte metodológico replicable en otros sistemas informáticos de la institución. Por último, abre caminos a futuras investigaciones orientadas a verificar los niveles de madurez de sistemas informáticos, así también, fomenta alternativas de implementación del EGSI para los GAD’s y posibilita el desarrollo de investigaciones o auditorías en la gestión de la ciberseguridad pública.
Descargas
##plugins.generic.paperbuzz.metrics##
Citas
Albornoz, M. M. (2022). Expansión del ámbito territorial de aplicación de la ley en materia de protección de datos personales: ¿Tendencia en América Latina? Latin American Law Review, 9, 139–160. https://doi.org/10.29263/lar09.2022.08
Almache, E. L. R., Bustamante, J. L. R., & Espinoza, J. J. S. (2024). Implementación y desafíos de los principios de la Ley Orgánica de Protección de Datos Personales en Ecuador, Un enfoque de revisión sistemática. Pro Sciences: Revista de Producción, Ciencias e Investigación, 8(54), 47-67.
Ávila-Coello, A. A. (2024). Seguridad de la información en instituciones públicas: desafíos y buenas prácticas en el contexto ecuatoriano. Journal of Economic and Social Science Research, 4(2), 140-156.
Barros, A., Flores, A., Jinez, M., & Zamora, D. (2025). La Protección de Datos Personales en el Gobierno Electrónico y Desafíos para la Gestión Pública. Revista Veritas de Difusão Científica, 6(1), 1029–1046. https://doi.org/10.61616/rvdc.v6i1.447
Bolaños Coto, S. (2025). Fortalecimiento de la seguridad de la información, con un enfoque en controles físicos en el área de infraestructura tecnológica a través de la ISO/IEC 27002: 2022, en el Banco Solidez en San José de Costa Rica en el año 2024 [Tesis de maestría, Universidad de Costa Rica].
Gallardo, M. (2018). Elaboración de una política de seguridad de la información para una institución pública basado en el esquema gubernamental de seguridad de la información [Tesis de pregrado, Universidad Internacional SEK].
Guamán, F. (2024). Desarrollo de un Sistema de Gestión de Seguridad de la Información (SGSI) utilizando la norma ISO/27001 para la protección de datos en la Unidad Educativa La Inmaculada de la ciudad de Ambato [Tesis de maestría, Universidad Técnica de Ambato].
Heredia, L., & Santacruz, M. (2023). Responsabilidad médica administrativa, Manejo de datos personales relativos a la salud, Ecuador, 2023. Revista Religación, 8(38). https://doi.org/10.46652/rgn.v8i38.1102
Jevelin, J., & Faza, A. (2023). Evaluation the information security management system: A path towards ISO 27001 certification. Journal of Information Systems and Informatics, 5(4), 1240-1256.
Ministerio de Telecomunicaciones y de la Sociedad de la Información. (2022). Avance de la implementación Esquema Gubernamental de Seguridad de la Información (EGSI Versión 2.0). Gobierno Electrónico Ecuador.
Ministerio de Telecomunicaciones y de la Sociedad de la Información. (2024). Esquema Gubernamental de Seguridad de la Información v3. Registro Oficial No. 509.
Muyón, C., Guarda, T., Vargas, G., & Ninahualpa Quiña, G. (2019). Esquema Gubernamental de Seguridad de la Información EGSI y su aplicación en las entidades públicas del Ecuador. Revista Ibérica de Sistemas e Tecnologias de Informação, (19), 258-271.
Verdugo, G. (2023). Propuesta de un modelo de madurez de ciberseguridad para Ecuador [Tesis de maestría, Universidad Católica de Cuenca].
Villacres, O. (2024). Falta de normativas y desafíos en la protección de datos personales y la ciberseguridad en el ordenamiento jurídico ecuatoriano [Tesis de pregrado, Universidad Regional Autónoma de los Andes].
Vinueza, N., Macías, M., & Maldonado, R. (2024). Implementación de medidas de seguridad y principio de conservación de datos según la ley orgánica de protección de datos personales en instituciones públicas de Babahoyo, Ecuador. Revista Científica Arbitrada de Investigación en Comunicación, Marketing y Empresa, 5(2), 112-130.
Derechos de autor 2025 Jennifer Jomaira Loayza Castro, Daniel Jacobo Andrade Pesántez
Esta obra está bajo licencia internacional Creative Commons Reconocimiento-NoComercial-SinObrasDerivadas 4.0.
