Development of a Security Master Plan for Virtual Technological Infrastructures in Public Educational Institutions: Application of COBIT® 2019
Article Sidebar
Main Article Content
Abstract
This article presents the development of a Security Master Plan based on COBIT® 2019, applied to the virtual technological infrastructure of a public educational institution, the Universidad Estatal a Distancia (UNED) in Costa Rica. The study explores the context of the institution’s technological platform and using standards in accordance with the field of computer security, identifying the main weaknesses of the virtual infrastructure to establish a case study. Based on this case study, solutions are proposed following best practices in IT governance and management through the initiatives included in the resulting Security Master Plan. The methodological approach to achieve the research goal included a situational analysis of UNED and the application of the COBIT® 2019 design guide to customize governance and management controls. The results obtained allowed us to select critical processes pointing to the need to implement an Information Security Management System (ISMS) as an organizational priority in light of COBIT® 2019, along with other aspects such as compliance, business continuity management, and incident management, among others. Consequently, this work provides a solid alternative to generate security plans in institutions with virtual infrastructures, even when their business model is different from the UNED case study.
Article Details
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Los autores conservan los derechos de autor y ceden a la revista el derecho de la primera publicación y pueda editarlo, reproducirlo, distribuirlo, exhibirlo y comunicarlo en el país y en el extranjero mediante medios impresos y electrónicos. Asimismo, asumen el compromiso sobre cualquier litigio o reclamación relacionada con derechos de propiedad intelectual, exonerando de responsabilidad a la Editorial Tecnológica de Costa Rica. Además, se establece que los autores pueden realizar otros acuerdos contractuales independientes y adicionales para la distribución no exclusiva de la versión del artículo publicado en esta revista (p. ej., incluirlo en un repositorio institucional o publicarlo en un libro) siempre que indiquen claramente que el trabajo se publicó por primera vez en esta revista.
References
[1] P. R. Sandoval Barrantes, “Desarrollo de un plan para la gestión de la seguridad de la información de la infraestructura tecnológica virtual y sistemas convergentes en la universidad estatal a distancia de la República de Costa Rica”, Trabajo Final de Posgrado, Univ. de Buenos Aires, CABA, Argentina, 2021. [En línea]. Disponible en: http://bibliotecadigital.econ.uba.ar/download/tpos/1502-2127_SandovalBarrantesPR.pdf
[2] ISACA, COBIT® 2019 Framework: Governance and Management Objectives, Illinois, EE.UU.: ISACA, 2019.
[3] Incibe. “Plan director de seguridad”. https://www.incibe.es/sites/default/files/contenidos/dosieres/metad_plan-director-seguridad.pdf. Accedido el 4 de octubre de 2024. [En línea]. Disponible: https://www.incibe.es/sites/default/files/contenidos/dosieres/metad_plan-director-seguridad.pdf.
[4] ISACA, COBIT® 2019 Marco de Referencia: Introducción y metodología, Illinois, EE.UU.: ISACA, 2019.
[5] A. S. M. Arellano, P. R. J. Santana, M. de J. J. Santana, y J. C. F. Valverde, «Aplicación de COBIT® 2019 al gobierno y gestión de las tecnologías de información en instituciones educativas sin fines de lucro», South Florida Journal of Development, vol. 4, n.º 3, pp. 1388–1410, jun. 2023. [En línea]. DOI: https://doi.org/10.46932/sfjdv4n3-027
[6] H. A. Sacón-Klinger, S. Patiño, J. D. Rodríguez Vizuete, A. P. Mora-Olivero, N. Quiñonez Godoy, y R. A. Macías-Lara, “Planificación estratégica de tecnología de la información para la Universidad Técnica Luis Vargas Torres de Esmeraldas, basado en COBIT® 2019,” Sapienza International Journal of Interdisciplinary Studies, vol. 3, no. 1, pp. 1168–1186, 2022. [En línea]. DOI: https://doi.org/10.51798/sijis.v3i1.297
[7] B. D. Tiglla Tumbaico y E. F. Solís Acosta, «Procesos de gobierno basado en COBIT® 2019 para mitigar ataques informáticos», RECIMUNDO, vol. 6, n.º 4, pp. 671–680, nov. 2022. [En línea]. DOI: https://doi.org/10.26820/recimundo/6.(4).octubre.2022.671-680
[8] X. E. Orellana-Cabrera y M. D. Álvarez-Galarza, “Marco de trabajo de gobierno de TI orientado a la ciberseguridad para el sector bancario bajo COBIT® 2019,” Polo del Conocimiento, vol. 7, no. 3, pp. 706–723, marzo 2022. [En línea]. DOI: https://doi.org/10.23857/pc.v7i3.3758
[9] A. R. Cuervo Forero, Importancia del Gobierno TI, Ciberseguridad y Comunidades Digitales, Universidad Piloto de Colombia, ensayo, jul. 24, 2023. [En línea]. Disponible en: https://repository.unipiloto.edu.co/handle/20.500.12277/13076
[10] B. Y. Fitriyani and A. H. Muhammad, “ COBIT® 2019 for Enhanced ICT Governance: A Case Study at a Higher Education Institution,” Journal of Information Systems and Informatics, vol. 7, no. 1, pp. 45–48, Mar. 2025. [En línea]. DOI: 10.51519/journalisi.v7i1.972
[11] G. Wattimury and A. Faza, “ COBIT® 2019 Implementation for Enhancing IT Governance in Educational Institutions,” JISKA (Jurnal Informatika Sunan Kalijaga), vol. 8, no. 3, pp. 210–221, Sep. 2023. [En línea]. DOI: 10.14421/jiska.2023.8.3.210-221
[12] W. Mangoki, D. Manongga, and A. Iriani, “IT Governance Design in XY University using COBIT® 2019 Framework,” Jurnal Sistem Informasi Bisnis, vol. 2, pp. 111–122, 2024. [En línea]. DOI: 10.21456/vol14iss2pp111-122
[13] D. Utomo, M. Wijaya, Suzanna, Efendi, and N. T. M. Sagala, “Leveraging COBIT® 2019 to Implement IT Governance in SME Context: A Case Study of Higher Education in Campus A,” CommIT Journal, vol. 16, no. 2, pp. 129–141, 2022. [En línea]. DOI: 10.21512/commit.v16i2.8172
[14] R. S. Hidayat, R. E. Indrajit, and E. Dazki, “Evaluation of Information Technology Governance Maturity Using COBIT® 2019: A Case Study on the IT Security Industry,” Journal La Multiapp, vol. 5, issue 4, pp. 478–487, 2024. [En línea]. DOI: 10.37899/journallamultiapp.v5i4.1514
[15] A. Bagja, Z. Amri, K. Imtihan, M. Rodi, and S. Y. Rusniatun, “Enhancing Public Sector IT Governance through COBIT® 2019: A Case Study on Service Continuity and Data Management in the Central Lombok,” Journal of Information Systems and Informatics, vol. 6, no. 4, pp. 2761–2764, Dec. 2024. [En línea]. DOI: 10.51519/journalisi.v6i4.924
[16] G. Toaza, C. Montenegro, and C. Salazar, “Designing an I&T Governance System in the Context of Strategic Public Sector Based on COBIT 2019 Framework. Case Study in a Developing Country,” Proc. 5th Int. Conf. on Information Management and Management Science (IMMS 2022), Chengdu, China, pp. 401-406, Ago. 2022. [En línea]. DOI: 10.1145/3564858.3564920
[17] E. Amore, T. Dilger, M. Mezzenzana, C. Ploder, and R. Bernsteiner, “Leverage the COBIT® 2019 Design Toolkit in an SME Context: A Multiple Case Study,” Economies of the Balkan and Eastern European Countries (EBEEC), vol. 2023, pp. 73–101, Feb. 2023. [En línea]. DOI: 10.18502/kss.v8i1.12636.
[18] R. Hernández Sampieri, C. Fernández y Pilar Baptista, Metodología de la Investigación, Mexico DF: McGraw-Hill, 2006.
[19] ISACA, COBIT® 2019 Guía de diseño: Diseño de una solución de Gobierno de Información y Tecnología, Illinois, EE.UU.: ISACA, 2019.
[20] ISACA, COBIT® 2019 Guía de Implementación: Implementación y optimización de una solución de Gobierno de Información y Tecnología, Illinois, EE.UU.: ISACA, 2019.
[21] Sistemas de gestión de la seguridad de la información - Requisitos, INTE/ISO/IEC 27001:2014, Instituto de Normas Técnicas de Costa Rica, San José, Costa Rica, 2014.
[22] Código de buenas prácticas para controles de seguridad de la información, INTE/ISO/IEC 27002:2016, Instituto de Normas Técnicas de Costa Rica, San José, Costa Rica, 2016.
[23] Técnicas de seguridad – Gobernanza de seguridad de la información, INTE/ISO/IEC 27014:2016, Instituto de Normas Técnicas de Costa Rica, San José, Costa Rica, 2016.
[24] C. d. R. CONRE-UNED. “ORIENTACIONES GENERALES PARA LA IMPLEMENTACION DEL SISTEMA ESPECIFICO DE VALORACIÓN DE RIESGO INSTITUCIONAL (SEVRI) EN LA UNED”. https://www.uned.ac.cr/planificacion/proci/documentos-institucionales. Accedido el 20 de junio de 2025. [En línea]. Disponible: https://www.uned.ac.cr/planificacion/proci/images/VR/Orientaciones_SEVRI_UNED_2023.pdf
[25] ISACA, “CMMI Model Quick Reference Guide CMMI V3.0”, 24 de octubre de 2024, CMMI-Model-Quick-Reference-Guide_Digital-1024, Illinois, United States of America, An overview of the Capability Maturity Model Integration (CMMI)® Model. Accedido el 20 de junio de 2025. [En línea]. Disponible en: https://www.isaca.org/resources/reference-guide/cmmi-model-quick-reference-guide
[26] C. U. UNED. “Política de gestión del riesgo y continuidad de los servicios en la UNED”. https://www.uned.ac.cr/docencia/cidreb/cidi/normativa-universitaria/politicas-institucionales. Accedido el 20 de junio de 2025. [En línea]. Disponible: https://www.uned.ac.cr/docencia/images/Normativa/Política_gestión_riesgo_continuidad_servicios_UNED_200624.pdf
[27] Security and resilience – Business continuity management systems – Requirements, ISO 22301:2019, International Organization for Standardization, 2019.
[28] Information technology – Service management system requirements (Part 1) – especificación de requisitos para SMS, ISO/IEC 200001:2018, International Organization for Standardization (ISO) / International Electrotechnical Commission (IEC), 2018.
[29] Dirección de Tecnología de Información y Comunicaciones (DTIC), DTIC UIT F01 Plan para la gestión de la capacidad de la Infraestructura TI, Unidad de Infraestructura Tecnológica (UIT), Universidad Estatal a Distancia de Costa Rica (UNED), San José, Costa Rica, 13 de febrero de 2025. [Documento interno, no publicado].