Diseño e implementación de un modelo de gestión en seguridad digital para el Grupo Cediamedical basándose en ISO/IEC 27001, ISO/IEC 27002

Abstract

La presente investigación tuvo como objetivo: determinar la mejora en la confiabilidad y seguridad de la información en el Grupo Cediamedical a partir del diseño e implementación de un modelo de gestión en seguridad digital basado en las normas ISO/IEC 27001 e ISO/IEC 27002. Tuvo un enfoque cuantitativo. El diseño adoptado fue pre-experimental con medición pretest y postest en un solo grupo; el instrumento utilizado fue un cuestionario estructurado tipo Likert (1–5) elaborado con base en el Anexo A de ISO/IEC 27001 y las buenas prácticas de ISO/IEC 27002. La población estuvo constituida por colaboradores que gestionan información crítica en Cediamedical; la muestra fue de 18 participantes. Como técnica se empleó la encuesta y, como instrumentos complementarios, reuniones de trabajo y revisión documental para verificar controles y generar evidencias (política de seguridad, SoA, plan de tratamiento de riesgos, actas de capacitación y registros de incidentes). Los principales resultados muestran incrementos estadísticamente y prácticamente relevantes en indicadores de cumplimiento alto (A menudo + Siempre) entre el pretest y el postest. Por ejemplo, en políticas documentadas el cumplimiento alto pasó de 16,7% a 77,8% (Tabla 1); en controles de acceso pasó de 16,7% a 77,8% (Tabla 7); y en capacitaciones periódicas se incrementó de 22,2% a 72,2% (Tabla 10). Estos cambios se corresponden con los desplazamientos observados en las distribuciones pre/post y con los incrementos de medias descritos en las Figuras respectivas, se llegó a las siguientes conclusiones: al inicio no existían políticas formalizadas ni manual de respuesta a incidentes, se observó bajo cierre de sesiones y gestión deficiente de contraseñas; tras la intervención, el SGSI formalizó procesos, mejoró prácticas del personal y redujo la exposición al riesgo. Se recomienda mantener el ciclo PDCA, realizar auditorías internas semestrales y capacitaciones periódicas para sostener las mejoras.