Propuesta de elaboración de un manual de la Norma ISO 31000 para la Gestión de Riesgos en el Instituto Superior Universitario Campus Sur-Campus Matriz” Quito, abril del 2025

Abstract

El presente trabajo tiene como objetivo diseñar e implementar un modelo de gestión de riesgos basado en la norma ISO 31000:2018 en el Instituto Tecnológico Superior Compu Sur (ITECSUR) enfocado en la protección de datos personales y la seguridad de la información. En un contexto donde las instituciones educativas ecuatorianas enfrentan crecientes desafíos frente a amenazas cibernéticas y marcos legales más estrictos, como la Ley Orgánica de Protección de Datos Personales del Ecuador (2021), se identificó la necesidad de establecer un sistema estructurado de identificación, evaluación, tratamiento y monitoreo de riesgos. La investigación se desarrolló bajo un enfoque correctivo y preventivo, proponiendo la elaboración de un manual técnico que permita al Instituto cumplir con la normativa vigente, fortalecer la cultura institucional de seguridad de la información y reducir la exposición a brechas de seguridad. Se abordo como alcance del sistema de gestión el proceso crítico de gestión de información académica y la consideración de activos tecnológicos, análisis de riesgos y controles aplicables, estableciendo acciones correctivas y preventivas bajo los principios de la norma ISO 31000. El resultado final proporciona una hoja de ruta para que ITECSUR mejore su gobernanza de riesgos académicos, tecnológicos, legales-normativos, administrativos y reputacionales. This study aims to design and implement a risk management model based on the ISO 31000:2018 standard at the Instituto Tecnológico Superior Compu Sur (ITECSUR), focused on personal data protection and information security. In a context where Ecuadorian educational institutions face growing challenges from cyber threats and increasingly strict legal frameworks—such as the Organic Law on Personal Data Protection of Ecuador (2021)—the need was identified to establish a structured system for identifying, assessing, treating, and monitoring risks. The research was developed under a corrective and preventive approach, proposing the creation of a technical manual that enables the institution to comply with current regulations, strengthen its institutional culture of information security, and reduce its exposure to security breaches. The scope of the management system addressed the critical process of academic information management, including the consideration of technological assets, risk analysis, and applicable controls, establishing corrective and preventive actions aligned with the principles of ISO 31000. The outcome provides a roadmap for ITECSUR to enhance its governance of academic, technological, regulatory, administrative, and reputational risks.