Plan de sistema de gestión de seguridad de la información para Mejorar la administración de riesgo

Abstract

La investigación Plan de Sistema de Gestión de Seguridad de la Información (SGSI) para mejorar la Administración de Riesgo tuvo como objetivo demostrar si la aplicación de un plan de SGSI contribuye significativamente a optimizar la gestión de riesgos en organizaciones. Se desarrolló un estudio aplicado, de nivel descriptivo, con un diseño pre test – post test, aplicado a 49 estudiantes de Ingeniería de Sistemas de la Universidad Nacional de Ucayali, organizados en 12 equipos distribuidos en Entidades/Procesos. La recolección de datos se realizó mediante encuestas validadas estadísticamente, considerando las dimensiones de confidencialidad, integridad, disponibilidad, identificación y tasación de activos, así como el análisis de riesgos, de acuerdo con las normas NTP-ISO/IEC 17799 y NTP-ISO/IEC 27001:2014. Los resultados evidencian una mejora significativa en la administración de riesgos tras la implementación del plan, con un promedio de diferencia 𝐷���̅ = 1.4967, confirmado mediante prueba t (Tc = 13.576 > Tt = 1.761; Sig. bilateral < 0.05) y un nivel de confianza del 95 %. En las dimensiones específicas se registraron mejoras en confidencialidad (𝐷���̅ = 1.6100), integridad (𝐷���̅ = 1.2860) y disponibilidad (𝐷���̅ = 1.5940). Asimismo, se identificaron 220 activos, de los cuales se gestionaron 204; en el análisis de riesgos se evaluaron 141 activos, 594 amenazas y 594 vulnerabilidades. Se concluye que la implementación de un plan de SGSI no solo produce mejoras estadísticamente significativas en la gestión de riesgos, sino que también fortalece la seguridad organizacional al proteger la confidencialidad, integridad y disponibilidad de la información. En consecuencia, constituye una estrategia esencial para garantizar la continuidad operativa, reducir vulnerabilidades y responder de manera efectiva a los desafíos de entornos digitales cada vez más complejos.

The research Information Security Management System (ISMS) Plan to Improve Risk Management aimed to demonstrate whether the implementation of an ISMS plan significantly contributes to optimizing risk management in organizations. An applied, descriptive-level study was conducted using a pretest– post-test design with 49 Systems Engineering students from the National University of Ucayali, organized into 12 teams distributed across Entities/Processes. Data collection was carried out through statistically validated surveys, assessing the dimensions of confidentiality, integrity, availability, asset identification and valuation, and risk analysis, in accordance with NTP-ISO/IEC 17799 and NTP-ISO/IEC 27001:2014 standards. The results show a significant improvement in risk management after the implementation of the plan, with an average difference of 𝐷��̅ = 1.4967, confirmed by a t-test (Tc = 13.576 > Tt = 1.761; Sig. bilateral < 0.05) and a 95% confidence level. Specific improvements were recorded in confidentiality (𝐷��̅ = 1.6100), integrity (𝐷��̅ = 1.2860), and availability (𝐷��̅ = 1.5940). A total of 220 assets were identified, of which 204 were managed; in the risk analysis, 141 assets, 594 threats, and 594 vulnerabilities were evaluated. It is concluded that implementing an ISMS plan not only leads to statistically significant improvements in risk management but also strengthens organizational security by protecting the confidentiality, integrity, and availability of information. Consequently, it constitutes an essential strategy to ensure operational continuity, reduce vulnerabilities, and effectively respond to the challenges of increasingly complex digital environments.