Desarrollo de un Plan Director de Seguridad para infraestructuras tecnológicas virtuales en instituciones educativas públicas: aplicación de COBIT® 2019
Barra lateral del artículo
Contenido principal del artículo
Resumen
Este artículo presenta el desarrollo de un Plan Director de Seguridad basado en COBIT® 2019, aplicado a la infraestructura tecnológica virtual de una institución educativa pública; la Universidad Estatal a Distancia (UNED) de Costa Rica. Se indaga el contexto de la plataforma tecnológica de la institución, además mediante el uso de normas acordes al campo de la seguridad informática, se identifican las principales falencias de la infraestructura virtual con el fin de establecer un caso de estudio. A partir del caso, se proponen soluciones basadas en las buenas prácticas de gobernanza y gestión de TI a través de las iniciativas incluidas en el Plan Director de Seguridad obtenido. El enfoque metodológico para lograr la meta de la investigación incluyó el análisis situacional de la UNED y la aplicación de la guía de diseño COBIT® 2019 para personalizar controles de gobernanza y gestión. Los resultados obtenidos permitieron seleccionar procesos críticos relacionados a la necesidad de trabajar en un Sistema de Gestión de Seguridad de la Información (SGSI) como prioridad organizacional a la luz de COBIT® 2019 y otros aspectos como cumplimiento, gestión de la continuidad del negocio y gestión de incidentes, entre otros. En consecuencia, este trabajo brinda una alternativa sólida para generar planes de seguridad en instituciones con infraestructuras virtuales, aun cuando el modelo de negocio de estas sea distinto al caso de estudio en la UNED.
Detalles del artículo
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0.
Los autores conservan los derechos de autor y ceden a la revista el derecho de la primera publicación y pueda editarlo, reproducirlo, distribuirlo, exhibirlo y comunicarlo en el país y en el extranjero mediante medios impresos y electrónicos. Asimismo, asumen el compromiso sobre cualquier litigio o reclamación relacionada con derechos de propiedad intelectual, exonerando de responsabilidad a la Editorial Tecnológica de Costa Rica. Además, se establece que los autores pueden realizar otros acuerdos contractuales independientes y adicionales para la distribución no exclusiva de la versión del artículo publicado en esta revista (p. ej., incluirlo en un repositorio institucional o publicarlo en un libro) siempre que indiquen claramente que el trabajo se publicó por primera vez en esta revista.
Citas
[1] P. R. Sandoval Barrantes, “Desarrollo de un plan para la gestión de la seguridad de la información de la infraestructura tecnológica virtual y sistemas convergentes en la universidad estatal a distancia de la República de Costa Rica”, Trabajo Final de Posgrado, Univ. de Buenos Aires, CABA, Argentina, 2021. [En línea]. Disponible en: http://bibliotecadigital.econ.uba.ar/download/tpos/1502-2127_SandovalBarrantesPR.pdf
[2] ISACA, COBIT® 2019 Framework: Governance and Management Objectives, Illinois, EE.UU.: ISACA, 2019.
[3] Incibe. “Plan director de seguridad”. https://www.incibe.es/sites/default/files/contenidos/dosieres/metad_plan-director-seguridad.pdf. Accedido el 4 de octubre de 2024. [En línea]. Disponible: https://www.incibe.es/sites/default/files/contenidos/dosieres/metad_plan-director-seguridad.pdf.
[4] ISACA, COBIT® 2019 Marco de Referencia: Introducción y metodología, Illinois, EE.UU.: ISACA, 2019.
[5] A. S. M. Arellano, P. R. J. Santana, M. de J. J. Santana, y J. C. F. Valverde, «Aplicación de COBIT® 2019 al gobierno y gestión de las tecnologías de información en instituciones educativas sin fines de lucro», South Florida Journal of Development, vol. 4, n.º 3, pp. 1388–1410, jun. 2023. [En línea]. DOI: https://doi.org/10.46932/sfjdv4n3-027
[6] H. A. Sacón-Klinger, S. Patiño, J. D. Rodríguez Vizuete, A. P. Mora-Olivero, N. Quiñonez Godoy, y R. A. Macías-Lara, “Planificación estratégica de tecnología de la información para la Universidad Técnica Luis Vargas Torres de Esmeraldas, basado en COBIT® 2019,” Sapienza International Journal of Interdisciplinary Studies, vol. 3, no. 1, pp. 1168–1186, 2022. [En línea]. DOI: https://doi.org/10.51798/sijis.v3i1.297
[7] B. D. Tiglla Tumbaico y E. F. Solís Acosta, «Procesos de gobierno basado en COBIT® 2019 para mitigar ataques informáticos», RECIMUNDO, vol. 6, n.º 4, pp. 671–680, nov. 2022. [En línea]. DOI: https://doi.org/10.26820/recimundo/6.(4).octubre.2022.671-680
[8] X. E. Orellana-Cabrera y M. D. Álvarez-Galarza, “Marco de trabajo de gobierno de TI orientado a la ciberseguridad para el sector bancario bajo COBIT® 2019,” Polo del Conocimiento, vol. 7, no. 3, pp. 706–723, marzo 2022. [En línea]. DOI: https://doi.org/10.23857/pc.v7i3.3758
[9] A. R. Cuervo Forero, Importancia del Gobierno TI, Ciberseguridad y Comunidades Digitales, Universidad Piloto de Colombia, ensayo, jul. 24, 2023. [En línea]. Disponible en: https://repository.unipiloto.edu.co/handle/20.500.12277/13076
[10] B. Y. Fitriyani and A. H. Muhammad, “ COBIT® 2019 for Enhanced ICT Governance: A Case Study at a Higher Education Institution,” Journal of Information Systems and Informatics, vol. 7, no. 1, pp. 45–48, Mar. 2025. [En línea]. DOI: 10.51519/journalisi.v7i1.972
[11] G. Wattimury and A. Faza, “ COBIT® 2019 Implementation for Enhancing IT Governance in Educational Institutions,” JISKA (Jurnal Informatika Sunan Kalijaga), vol. 8, no. 3, pp. 210–221, Sep. 2023. [En línea]. DOI: 10.14421/jiska.2023.8.3.210-221
[12] W. Mangoki, D. Manongga, and A. Iriani, “IT Governance Design in XY University using COBIT® 2019 Framework,” Jurnal Sistem Informasi Bisnis, vol. 2, pp. 111–122, 2024. [En línea]. DOI: 10.21456/vol14iss2pp111-122
[13] D. Utomo, M. Wijaya, Suzanna, Efendi, and N. T. M. Sagala, “Leveraging COBIT® 2019 to Implement IT Governance in SME Context: A Case Study of Higher Education in Campus A,” CommIT Journal, vol. 16, no. 2, pp. 129–141, 2022. [En línea]. DOI: 10.21512/commit.v16i2.8172
[14] R. S. Hidayat, R. E. Indrajit, and E. Dazki, “Evaluation of Information Technology Governance Maturity Using COBIT® 2019: A Case Study on the IT Security Industry,” Journal La Multiapp, vol. 5, issue 4, pp. 478–487, 2024. [En línea]. DOI: 10.37899/journallamultiapp.v5i4.1514
[15] A. Bagja, Z. Amri, K. Imtihan, M. Rodi, and S. Y. Rusniatun, “Enhancing Public Sector IT Governance through COBIT® 2019: A Case Study on Service Continuity and Data Management in the Central Lombok,” Journal of Information Systems and Informatics, vol. 6, no. 4, pp. 2761–2764, Dec. 2024. [En línea]. DOI: 10.51519/journalisi.v6i4.924
[16] G. Toaza, C. Montenegro, and C. Salazar, “Designing an I&T Governance System in the Context of Strategic Public Sector Based on COBIT 2019 Framework. Case Study in a Developing Country,” Proc. 5th Int. Conf. on Information Management and Management Science (IMMS 2022), Chengdu, China, pp. 401-406, Ago. 2022. [En línea]. DOI: 10.1145/3564858.3564920
[17] E. Amore, T. Dilger, M. Mezzenzana, C. Ploder, and R. Bernsteiner, “Leverage the COBIT® 2019 Design Toolkit in an SME Context: A Multiple Case Study,” Economies of the Balkan and Eastern European Countries (EBEEC), vol. 2023, pp. 73–101, Feb. 2023. [En línea]. DOI: 10.18502/kss.v8i1.12636.
[18] R. Hernández Sampieri, C. Fernández y Pilar Baptista, Metodología de la Investigación, Mexico DF: McGraw-Hill, 2006.
[19] ISACA, COBIT® 2019 Guía de diseño: Diseño de una solución de Gobierno de Información y Tecnología, Illinois, EE.UU.: ISACA, 2019.
[20] ISACA, COBIT® 2019 Guía de Implementación: Implementación y optimización de una solución de Gobierno de Información y Tecnología, Illinois, EE.UU.: ISACA, 2019.
[21] Sistemas de gestión de la seguridad de la información - Requisitos, INTE/ISO/IEC 27001:2014, Instituto de Normas Técnicas de Costa Rica, San José, Costa Rica, 2014.
[22] Código de buenas prácticas para controles de seguridad de la información, INTE/ISO/IEC 27002:2016, Instituto de Normas Técnicas de Costa Rica, San José, Costa Rica, 2016.
[23] Técnicas de seguridad – Gobernanza de seguridad de la información, INTE/ISO/IEC 27014:2016, Instituto de Normas Técnicas de Costa Rica, San José, Costa Rica, 2016.
[24] C. d. R. CONRE-UNED. “ORIENTACIONES GENERALES PARA LA IMPLEMENTACION DEL SISTEMA ESPECIFICO DE VALORACIÓN DE RIESGO INSTITUCIONAL (SEVRI) EN LA UNED”. https://www.uned.ac.cr/planificacion/proci/documentos-institucionales. Accedido el 20 de junio de 2025. [En línea]. Disponible: https://www.uned.ac.cr/planificacion/proci/images/VR/Orientaciones_SEVRI_UNED_2023.pdf
[25] ISACA, “CMMI Model Quick Reference Guide CMMI V3.0”, 24 de octubre de 2024, CMMI-Model-Quick-Reference-Guide_Digital-1024, Illinois, United States of America, An overview of the Capability Maturity Model Integration (CMMI)® Model. Accedido el 20 de junio de 2025. [En línea]. Disponible en: https://www.isaca.org/resources/reference-guide/cmmi-model-quick-reference-guide
[26] C. U. UNED. “Política de gestión del riesgo y continuidad de los servicios en la UNED”. https://www.uned.ac.cr/docencia/cidreb/cidi/normativa-universitaria/politicas-institucionales. Accedido el 20 de junio de 2025. [En línea]. Disponible: https://www.uned.ac.cr/docencia/images/Normativa/Política_gestión_riesgo_continuidad_servicios_UNED_200624.pdf
[27] Security and resilience – Business continuity management systems – Requirements, ISO 22301:2019, International Organization for Standardization, 2019.
[28] Information technology – Service management system requirements (Part 1) – especificación de requisitos para SMS, ISO/IEC 200001:2018, International Organization for Standardization (ISO) / International Electrotechnical Commission (IEC), 2018.
[29] Dirección de Tecnología de Información y Comunicaciones (DTIC), DTIC UIT F01 Plan para la gestión de la capacidad de la Infraestructura TI, Unidad de Infraestructura Tecnológica (UIT), Universidad Estatal a Distancia de Costa Rica (UNED), San José, Costa Rica, 13 de febrero de 2025. [Documento interno, no publicado].