Resumen:
CONDITION FOR PUBLICATION OF PROJECT. This thesis addresses the complications in managing IT security risks in the technical support area of a public university in Guayaquil. High exposure to threats such as malware, unauthorized access, and human error was identified due to the absence of clear policies and specific controls.
As a solution, a set of policies and controls based on the ISO/IEC 27001 and ISO 31000 standards was designed. Through interviews and risk analysis, critical assets were identified, vulnerabilities were assessed, and corrective measures were established according to criticality. The result is a structured proposal for preventive, detective, and corrective controls that, if implemented, would strengthen the protection of institutional information and align the university with the Organic Law on Personal Data Protection and international best practices.
Keywords: IT security, Risk management, Security controls
Descripción:
CONDICIONAMIENTO DE PUBLICACION DE PROYECTO. Esta tesis aborda las complicaciones en la gestión de riesgos de seguridad informática en el área de soporte técnico de una universidad pública de Guayaquil. Se identificó una alta exposición a amenazas como malware, accesos no autorizados y errores humanos, debido a la ausencia de políticas claras y controles específicos.
Como solución, se diseñó un conjunto de políticas y controles basados en los estándares ISO/IEC 27001 e ISO 31000. A través de entrevistas y análisis de riesgos, se identificaron activos críticos, se evaluaron vulnerabilidades y se establecieron medidas correctivas según la criticidad. El resultado es una propuesta estructurada de controles preventivos, detectivos y correctivos que, de implementarse, fortalecería la protección de la información institucional y alinearía a la universidad con la Ley Orgánica de protección de datos personales y buenas prácticas internacionales.
