Mendoza et al., Análisis de la gestión de riesgos en las unidades de tecnología  
ANÁLISIS DE LAGESTIÓN DE RIESGOS EN LAS UNIDADES DE  
TECNOLOGÍADE LAINFORMACIÓN DE LAS INSTITUCIONES  
PÚBLICAS DE MANABÍ-ECUADOR  
1
2
3
Jorge Luis Mendoza Loor , Junior Antonio Briones Mera , Henry Fabricio Mendoza Cedeño , Kenia Marilú  
4
Mendoza Vega  
1
2
3
4
{
jorgel.mendoza , junior.briones , henry.mendoza , kenia.mendoza }@uleam.edu.ec  
1
ORCID: https://orcid.org/0000-0002-0150-787X  
Universidad Laica Eloy Alfaro de Manabí Extensión Chone  
Recibido (27/09/19), Aceptado (16/10/19)  
Resumen: Se presenta un análisis de las condiciones de riesgo presentes en las unidades de Tecnología  
de la Información (TI), donde reposan los datos e información académica de las universidades. En este  
estudio se ha evaluado al personal de las unidades de TI de diferentes instituciones de la provincia  
de Manabí en Ecuador. Para ello se han considerado los perfiles académicos, y la participación de  
los mismos en la gestión de protección de la información. Para la ejecución de este trabajo se han  
realizado encuestas al personal de TI, con un total de 360 personas encuestadas que componen la  
muestra. El análisis realizado permitió comprobar los niveles de seguridad y calidad de los servicios  
de Tecnología de la Información que ofrecen los departamentos de las instituciones evaluadas, a  
su vez fue posible constatar la gestión de conocimiento presente en las 40 instituciones estudiadas.  
Palabras Claves: Tecnología de la Información, Gestión de Riesgo, Seguridad Informática, Protección  
de la Información.  
ANALYSIS OF RISK MANAGEMENT IN  
INFORMATION TECHNOLOGY UNITS  
Abstract:An analysis of the risk conditions present in the InformationTechnology (IT) units is presented,  
where the academic data and information of the universities rest. In this study the personnel of the IT units  
of different institutions of the province of Manabí in Ecuador have been evaluated. For this, the academic  
profiles and their participation in the management of information protection have been considered. For  
the execution of this work, surveys have been carried out on IT personnel, with a total of 360 people  
surveyed that make up the sample. The analysis made it possible to verify the levels of security and  
quality of the Information Technology services offered by the departments of the evaluated institutions,  
in turn it was possible to verify the knowledge management present in the 40 institutions studied  
Keywords: Information Technology, Risk Management, Computer Security, Information Protection.  
128  
ISS NI S 2S 5N 4 22 -5 34 42 0- 13 401/ 1316-4821  
UN I V ER S I DA D, C I ENCI AyT E C NOL O GÍ ANumeroEspecialNº 01 2019( pp.1 28- 1 3 3)
Mendoza et al., Análisis de la gestión de riesgos en las unidades de tecnología  
I.INTRODUCCIÓN  
proporcionar servicios de negocios y gubernamentales  
Las nuevas empresas y las nuevas tendencias de ne- [5]. Las organizaciones ofrecen servicios de tecnologías  
gocio hacen que cada vez sea más necesaria la utilidad de la información y comunicación, están en constantes  
de las tecnologías de la información (TI), entendiéndose presiones laborales para asegurar la calidad de los ser-  
estas como aquellas herramientas que nos conectan con vicios y ofrecer estabilidad en las herramientas que se  
el mundo y permiten la optimización de recursos infor- requiere para los usuarios. Algunos autores [6] asegu-  
máticos, recursos de procesamiento de información y ran que un importante número de empresas del Ecua-  
recursos publicitarios. Hay muchos esfuerzos hacia la dor no tienen un modelo de operación de los servicios  
creación de medios para una gestión exitosa de las TI. de tecnología basado en las mejores prácticas que esté  
Estos esfuerzos incluyen métodos para garantizar el va- orientado a los clientes, esto se refiere al liderazgo, los  
lor de la TI, la gestión de los riesgos relacionados con procesos, el impacto en la sociedad, resultados globales  
TI y mayores requisitos de control [1] . Las nuevas ten- del negocio y la mejora continua, lo cual conduce a un  
dencias empresariales son cada vez más dependientes distanciamiento de la mejora continua, de la búsqueda  
de las TI, y ello involucra un conjunto de elementos que de la excelencia y por ende conduce a las empresas a  
impulsan y permiten la gestión empresarial de forma ser poco competitivas. En el Ecuador no es muy común  
exitosa [2], haciéndose indispensable para el sustento que las empresas públicas utilicen marcos de trabajo  
del negocio. Así pues la gestión de TI debe tratarse de o modelos estandarizados de TI que sean reconocidos  
forma seria y con mucha responsabilidad, con el fin de internacionalmente. Algunas entidades lo han hecho  
garantizar que las TI apoyen totalmente a la gestión em- basadas en sus propias experiencias y en las ideas de  
presarial, y no se conviertan en un problema adicional los encargados de los departamentos de TI, lo cual hace  
dentro de la administración general de las organizacio- que sea de alto riesgo las fallas en el negocio, por no  
nes.  
poseer la información y documentación apropiadas. Un  
Uno de los aspectos considerados para una efectiva pequeño grupo de empresas relativamente grandes y es-  
gestión de TI es la orientación al cliente [3], de ahí que pecialmente las empresas del sector privado toman este  
destaque la relevancia de las TI para una apropiada ges- tipo de actividades con la responsabilidad del caso [7].  
tión empresarial, junto con los procesos inherentes al  
En el Ecuador existen varias iniciativas aisladas para  
negocio. Considerando las estructuras institucionales, solventar la gestión de TI, por ejemplo en las referen-  
es necesario tomar en cuenta la arquitectura empresa- cias [7], [8] han desarrollado propuestas para el sector  
rial, entendida así como la organización fundamental de público del Ecuador y han detectado importantes fac-  
una empresa, ya sea como un todo, o junto con socios, tores que deben ser mejorados para lograr una gestión  
proveedores y/o clientes o en parte, así como los princi- eficiente. Así mismo Villacís y William [9] que han pro-  
pios que rigen su diseño y evolución [4]. Considerando puesto guías de evaluación de la gestión de TI con apli-  
esta arquitectura es posible definir el tipo de gestión de cación de COBIT Y COSO en el sector público ecuato-  
TI que se debe implementar según el tipo de empresa a riano, sin embargo estas propuestas muchas veces no se  
desarrollar.  
masifican y terminan por quedar estériles en el tiempo,  
La arquitectura empresarial puede apoyar la alianza por lo tanto el problema de la gestión integral de TI se  
entre las TI y el negocio desde un análisis de dependen- agudiza. Otros autores como Viteri et al [7] han desa-  
cia, análisis de cobertura, análisis de interfaz, análisis rrollado estudios en las áreas de TI donde se han eva-  
de heterogeneidad, análisis de complejidad, análisis de luado los niveles de desarrollo y de proceso, logrando  
cumplimiento, análisis de costo y beneficio [4]. Para considerar los factores que destacarían una gestión más  
considerar una gestión integral de TI es necesario to- óptima. Por otro lado Oviedo et al [10] se ha evaluado la  
mar en cuenta los aspectos asociados a planificación de seguridad informática de una unidad de TI y se han pro-  
continuidad de negocio, gestión de seguridad, gestión puesto herramientas de software para mejorar la protec-  
de riesgos tecnológicos, planificación de portafolio de ción de la información en las instituciones estatales. En  
proyectos, rediseño de procesos de negocio, gestión de todos los casos descritos ha habido preocupación por  
calidad y cumplimiento, integración de post-fusión, in- la gestión de TI, pero no se ha considerado la inversión  
troducción de software comercial, decisiones de abaste- necesaria de tiempo, dinero y recursos humanos para la  
cimiento, administración de TI y de operaciones de TI, optimización de las unidades de TI en el Ecuador.  
así como consolidación de TI.  
Desde la educación superior, los estudiantes y pro-  
Las nuevas tecnologías de la información y la comu- fesionales de Ingeniería en Sistemas y carreras afines  
nicación (TIC), crean y respaldan los sistemas de infor- deben conocer de forma clara la realidad en cuanto a  
mación que se integran con personas y procesos para los niveles de madurez tecnológica, aplicación de nor-  
129  
 I S SN 2542-3 401/ 1316-4821  
UNIVERSIDAD, CIENCIA y TECNOLOGÍA Numero Especial Nº 01 2019 (pp. 128-133)  
Mendoza et al., Análisis de la gestión de riesgos en las unidades de tecnología  
mas y/o estándares, gestión de riesgos de TI, niveles de tión tecnológica.  
Outsourcing, niveles de seguridad, calidad del servicio B. Gestión de TI.  
y la gestión del conocimiento en torno a la gestión in-  
La arquitectura empresarial y la gestión de TI son  
tegral de TI desarrollada en la instituciones tanto pú- dos elementos de negocios que deben ir asociados entre  
blicas como privadas, priorizando su preparación en el sí. Las herramientas de TI ofrecen un apoyo indiscutible  
conocimiento de soluciones que permitan mejorar la a la gestión empresarial, más aun en los nuevos tiempos  
realidad de las instituciones, con la finalidad de aprove- donde el impacto de las empresas está asociado a la co-  
char de mejor manera los recursos técnicos, operativos, municación globalizada. Para esto es necesario que las  
financieros y de tiempo. El objetivo de este trabajo es compañías se enfoquen las prácticas de optimización de  
realizar una investigación in situ para evaluar la gestión recursos de TI para mantener la actualización de los sis-  
de TI y la seguridad informática en las instituciones de temas y la mejora continua en el personal responsable  
la provincia de Manabí, con el fin de conocer la actua- de estas unidades de tecnología [5].  
lización tecnológica de los departamentos de TI y pro-  
Las arquitecturas empresariales se llevan a cabo  
poner mejorar sustanciales en torno a la optimización para definir los lineamientos informáticos que estén en-  
de recursos, la actualización de tecnología y la gestión focados en las necesidades y puedan predecir o prever  
por procesos para la administración y manejo de datos las futuras necesidades de las organizaciones, en fun-  
informáticos.  
ción de una toma de decisión acertada enfocada en la  
Este trabajo está conformado por tres secciones adi- generación de bases de datos integrales, aportando en  
cionales a esta; la segunda sección trata sobre los con- la generación de estándares de desarrollo empresarial,  
ceptos fundamentales que sustentan esta investigación, con calidad de servicios internos, además de disponer  
en la sección tres está la metodología desarrollada y en del recurso humano necesario para las estrategias pro-  
la sección cuatro se presentan los resultados. Finalmen- puestas.  
te se expone la conclusión.  
C. Estándares internacionales para la efectiva ges-  
II. ELEMENTOS DE LA GESTIÓN DE TI  
tión de TI  
La norma ISO/IEC 38500 [11] ofrece un estándar  
internacional para las buenas prácticas del Gobierno de  
A. Arquitectura Empresarial.  
Las nuevas tendencias de negocio exigen una arqui- las Tecnologías de la Información (TI). Su característica  
tectura empresarial bien definida, que se entiende como principal es llevar el gobierno de TI en las instituciones  
el conjunto de elementos que fundamentan una organi- empresariales, considerando seis principios fundamen-  
zación, que comprende además los principios que rigen tales y tres procesos básicos.  
su diseño y evolución [4]. Por tanto la arquitectura  
Los principios que rigen la Norma ISO/IEC 38500  
empresarial es un conjunto de directrices que permite son los que se muestran en la figura 1, en ella se obser-  
garantizar el desempeño y desarrollo armónico de la van los elementos que hacen posible una óptima gestión  
empresa, enfocados en el negocio sin descuidar la ges- de TI.  
Figura 1. Principios asociados a la norma ISO 38500.  
130  
ISS NI S 2S 5N 4 22 -5 34 42 0- 13 401/ 1316-4821  
U N I V E R S I D A D , C I E N C I A y T E C N O L O G Í ANumeroEspecial012019(pp .128 -133)  
Mendoza et al., Análisis de la gestión de riesgos en las unidades de tecnología  
El propósito principal de la Norma ISO 38500 se den apreciar los factores que condicionan el objetivo de  
describe de forma concisa en la figura 2, en ella se pue- desarrollar y aplicar esta norma a la gestión empresarial.  
Figura 2. Propósito de la Norma ISO 38500 para las organizaciones.  
Un aspecto fundamental en la gestión de TI es ase-  
Jefes o coordinadores de TI, que corresponde a las  
gurar la calidad, la cual debe ser transversal en todas las personas responsables de los departamentos o áreas de  
actividades de la gestión de TI, por ejemplo, en cuanto TI dentro de las instituciones involucradas.  
a la provisión de servicios de TI, la calidad y el valor de  
Trabajadores de TI, que son los empleados que tra-  
una oferta de servicio pueden evaluarse desde al menos bajan en los departamentos de TI.  
dos perspectivas: la de un proveedor de servicios (la ca-  
Usuarios de TI, determinados por las personas que  
lidad intrínseca del diseño de lo que se ofrece y cómo utilizan las TI en las instituciones involucradas.  
se gestiona), y la del cliente (la calidad extrínseca de lo  
que el cliente proporciona y experimenta) [12].  
La población de este estudio estuvo determinada por  
4160 personas involucradas en las unidades de análi-  
Para evaluar la gestión de TI en las instituciones y sis mencionadas. Los jefes de TI fueron 40 en total, los  
organizaciones, es necesario tomar en cuenta el nivel de trabajadores de TI consistieron en 120 personas, mien-  
madurez, que va desde un nivel cero o inexistente has- tras que el restante (4000) corresponde a los usuarios.  
ta un nivel optimizado (5). Estos parámetros permiten En vista de que el número de usuarios es abundante, se  
caracterizar la gestión de TI de las unidades de tecno- consideró únicamente un total de 5 usuarios por cada  
logías, y permiten conocer sus debilidades y fortalezas. institución evaluada, arrojando un total de 150 personas  
encuestadas.  
III. METODOLOGÍA  
Para este estudio se realizó un método analítico-sin- IV. RESULTADOS  
tético, donde fue necesario analizar la información  
Los resultados mostraron que solo el 27% de las per-  
existente en la documentación científica para luego sonas conoce sobre la gestión de riesgos de tecnología  
plasmarlas en este documento y argumentar lo que aquí de la información y la importancia de la funcionalidad  
se expone.  
Además se realizó un método estadístico para el pro- los encuestados refleja tener muy bajos conocimientos  
cesamiento de datos y la validación de resultados. al respecto. Y un 27% manifiesta un conocimiento in-  
de esta estructura dentro de la organización. Un 32% de  
En cuanto a las técnicas realizadas en este trabajo se termedio. Estos resultados reflejan un factor importante  
consideró la evaluación del personal de las unidades de para las instituciones, lo cual debería ser considerado  
TI, a partir de un conjunto de interrogantes que compo- para una mejora continua en el proceso de formación  
nen una encuesta. Así mismo estos instrumentos fueron profesional, con el fin de asegurar la confiabilidad de  
aplicados a los usuarios de TI.  
los datos y la protección de los mismos. Así mismo es  
relevante el hecho de que en las instituciones evalua-  
das existen más personas con responsabilidades de je-  
A. Sujetos y Tamaño de la Muestra  
Este estudio se consideró la evaluación de la gestión fes que personas con otro tipo de funciones, por lo que  
de TI en 30 instituciones públicas de la provincia de es posible afirmar que un importante número de jefes,  
Manabí, específicamente se consideraron las siguientes aproximadamente 30, no tiene amplios conocimientos  
unidades de análisis:  
en relación a la seguridad informática. Y solo un apro  
131  
 I S SN 2542-3 401/ 1316-4821  
UNIVERSIDAD, CIENCIA y TECNOLOGÍA Numero Especial Nº 01 2019 (pp. 128-133)  
Mendoza et al., Análisis de la gestión de riesgos en las unidades de tecnología  
ximado de 10 jefes conoce ampliamente lo relacio- tancia para las instituciones, ya que esto puede asegurar  
nado con la seguridad de la información.  
una dirección apropiada de TI, así como la evaluación  
Así mismo, las encuestas revelaron que el 70% de continua en los procesos y el monitoreo de las activida-  
las personas no tiene el suficiente conocimiento con des, con el fin de implementar proyectos y operaciones  
relación a las buenas prácticas de gestión riesgo de TI que aporten a la mejora continua de la gestión de TI.  
que deben seguirse para garantizar un funcionamiento  
óptimo y el resguardo apropiado de la información que que asegure el cumplimiento de objetivos, que además  
se maneja. evalúe las necesidades de los usuarios y de los mismos  
Las instituciones deben contar con un gobierno de TI  
En cuanto al conocimiento relacionado con el por- trabajadores de TI, así como la evaluación de las con-  
tafolio de riesgos de tecnología de la información, el diciones de prioridades y de tiempos para los objetivos  
4
8% afirmó no tener conocimientos al respecto. Lo planteados.  
cual conduce a una necesidad importante de capacitar Las instituciones públicas de Manabí no cuentan con  
al personal en torno a estas teorías fundamentales para una adecuada gestión de riesgos que les permita asegu-  
mejorar el funcionamiento de las unidades de TI en las rar los datos en caso de desastres. Además las perso-  
instituciones públicas.  
nas asociadas a las unidades de TI requieren una ma-  
Por otra parte, el 56% de los encuestados reveló que yor capacitación para mejorar el aporte que brindan a  
no se le ha consultado e incluido en las mejoras de la la gestión de TI; para enriquecer las unidades donde se  
gestión de riesgo, y a su vez estos mismos han sido con- desempeñan y contribuir de manera óptima a las insti-  
siderados para participar en la recuperación de la fun- tuciones.  
cionalidad de la infraestructura tecnológica.  
El 76% de las personas afirmó que existen algunos REFERENCIAS  
mecanismos para implementar la recuperación funcio- [1]I. Velitchkov, «Integration of IT Strategy and Enter-  
nal de la infraestructura tecnológica, sin embargo esto prise Architecture Models,» de Proceedings of the 9th  
implica que no existen los mecanismos suficientes para International Conference on Computer Systems and Te-  
mantener la continuidad y la operatividad de las unida- chnologies and Workshop for PhD Students in Compu-  
des de TI. Estos mecanismos son de vital importancia ting, , New York, 2008.  
para las unidades de TI, ya que de ello dependerá la [2]E. Kozlova, U. Hasenkamp y E. Kopanakis, «Use of  
recuperación de la información en caso de desastres, así IT Best Practices for Non-IT Services,» de Annual SRII  
mismo son necesarios para llevar a cabo una correcta Global Conference, 2012.  
gestión de protección de datos.  
[3]A. Hochstein, R. Zarnekow y W. Brenner, «ITIL as  
Sin embargo, el 32% de las personas evaluadas con- common practice reference model for IT service mana-  
sideró que la gestión de riesgos realizada es bien defini- gement: formal assessment and implications for practi-  
da y se dan a conocer las estrategias, existiendo así una ce,» IEEE, pp. 704-710, 2005.  
estructura determinada y se evalúan los riesgos toman- [4]C. Braun y R. Winter, «Integration of IT Service Ma-  
do en cuenta los parámetros establecidos. También un nagement into Enterprise Architecture,» de Proceedings  
3
2% manifestó que no se hace una completa evaluación of the 2007 ACM Symposium on Applied Computing,  
de riesgos y que estas a su vez no son las más orga- New York, 2007.  
nizadas ni están completamente definidas. Esto refleja [5]S. Galup, J. J. Quan, R. Dattero y S. Conger, « Infor-  
cierta incoherencia en relación al 76% que manifestó no mation Technology Service Management: An Emerging  
conocer de ciertos mecanismos para el mantenimiento Area for Academic Research and Pedagogical Develo-  
de la información y la recuperación de datos. Estas in- pment,» de Conference on Computer Personnel Re-  
congruencias dejan en evidencia la ambigüedad de la search: The Global Information Technology Workforce,  
información existente en las unidades de TI, lo que re- New York, 2007 .  
presenta una situación de interés para las instituciones, [6]R. Bonilla, S. Carolina, Z. Rendón y A. Dolores,  
las cuales deben asegurar una correcta gestión de TI que «Propuesta de procesos para la fase de operación de los  
mantenga la seguridad de los datos.  
servicios de tecnología fundamentado en ITIL, para Bio  
Agencia de Comunicación,» 2014.  
V. CONCLUSIONES  
[7]Y. Viteri, M. Cano, A. Zambrano y C. Minaya, «Eva-  
La gestión de riesgos de TI es indispensable para la luación de las incidencias y riesgos presentes en la in-  
protección de datos, la continuidad de negocio y la pre- fraestructura tecnológica de la Universidad Layca Eloy  
vención de pérdida de la información.  
Alfaro de MAnabí-Ecuador,» Revista Universidad,  
El uso de la Norma ISO 38500 es de suma impor- Ciencia y Tecnología, vol. 23, nº 94, 2019.  
132  
ISS NI S 2S 5N 4 22 -5 34 42 0- 13 401/ 1316-4821  
U N I V E R S I D A D , C I E N C I A y T E C N O L O G Í ANumeroEspecial012019 ( p p. 128 - 1 3 3 )  
Mendoza et al., Análisis de la gestión de riesgos en las unidades de tecnología  
[8]N. Ávalos, H. Fabricio, E. Navia y J. Francisco, vedo,» Revista Universidad, Ciencia y Tecnología, vol.  
«
Propuesta de gestión tecnológica para la defensoría 23, nº 94, 2019.  
pública del Ecuador alineada al marco regulatorio del [11]coding, «coding or not,» 2018. [En línea]. Availa-  
sector público,» Ecuador, 2015. ble: https://codingornot.com/gobierno-de-ti-que-es-la-  
9]V. López y W. Napoléon, «Guía de evaluación de la isoiec-38500-y-para-que-sirve.  
gestión de TI con aplicación de COBIT Y COSO en el [12]M. Lepmets, A. Cater-Steel, F. Gacenga y E. Ras,  
sector público ecuatoriano,» Ecuador, 2014. «Extending the IT service quality measurement fra-  
10]B. Oviedo, E. Shuma y A. Gracia, «Análisis de he- mework through a systematic literature review,» J.  
[
[
rramientas de códigos abiertos que permitan la seguri- Serv. Sci. Res, vol. 4, nº 1, pp. 7-47, 2012.  
dad de la data en las universidad técnica estatal de Que-  
133  
 I S SN 2542-3 401/ 1316-4821  
UNIVERSIDAD, CIENCIA y TECNOLOGÍA Numero Especial Nº 01 2019 (pp. 128-133)