El sistema de gestión de seguridad de la información bajo la norma NTE ISO/IEC 27001 en instituciones de Educación Superior (Ecuador). (Original)

With the objective of describing a methodology for an Information Security Management System (ISMS) for higher education institutions in Ecuador, under the NTE INEN-ISO / IEC 27001 standard, which will be useful at the time of its application and will facilitate the development of the phases of the PHVA cycle (to Plan, to Do, to Verify and to Act) at the institutional level. It was taken as a reference to the State Technical University of Quevedo (STUQ), the key processes of the case study university were identified, the information assets and controls that allowed contextualizing the scope of the ISMS according to ISO 27001 and that will allow STUQ to organize, to design and to manage systematically its ISMS, propose strategies for change and improvement, value and insure its assets from possible risks and vulnerabilities. Finally, the contribution of this study is a proposal for the implementation of the Information Security Management System in the STUQ, which includes a series of policies and procedures taking into account the identified findings, such as the procedures for the organization of the structure, an awareness and training plan, specific policies of information of the security and a business continuity plan; which must be implemented in order to contribute to the improvement of the levels of confidentiality, integrity and availability of the STUQ information.Con el objetivo de describir una metodología para un Sistema de Gestión de Seguridad de la Información (SGSI) para instituciones de educación superior del Ecuador, bajo la norma NTE INEN-ISO/IEC 27001, la cual será de utilidad en el momento de su aplicación y facilitará el desarrollo de las fases del ciclo PHVA (Planear, Hacer, Verificar y Actuar) a nivel institucional. Se  tomó como referente a la Universidad Técnica Estatal de Quevedo (UTEQ),  se identificaron los procesos claves de la universidad estudio de caso, se identificaron y clasificaron los activos de información  y controles que permitieron contextualizar los alcances del SGSI según la norma ISO 27001 y que permitirán a la UTEQ organizar, diseñar y gestionar de manera sistemática su SGSI, plantear estrategias de cambio y mejora, valorar y asegurar sus activos de posibles riesgos y vulnerabilidades. Finalmente, la aportación de este estudio es una propuesta para la puesta en práctica del Sistema de Gestión de Seguridad de la Información (SGSI) en la UTEQ, que contempla una serie de políticas y procedimientos teniendo en cuenta los hallazgos identificados, tales como el procedimiento de la organización de la estructura, un plan de concienciación y capacitación, políticas específicas de seguridad de la información y un plan de continuidad del negocio; los cuales deben ser implementados a fin de que contribuyan al mejoramiento de los niveles de confidencialidad, integridad y disponibilidad de la información de la UTEQ