Acuerdo nº MINTEL-MINTEL-2024-0003 del Ministerio de Telecomunicaciones y de la Sociedad de la Información, de 8 de febrero de 2024

Acuerdo, Ecuador, , , , , , , , ,

Acuerdo nº MINTEL-MINTEL-2024-0003 del Ministerio de Telecomunicaciones y de la Sociedad de la Información, de 8 de febrero de 2024

ACUERDO Nro. MINTEL-MINTEL-2024-0003

SR. DR. CÉSAR ANTONIO MARTÍN MORENO

MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN

CONSIDERANDO:

Que el numeral 1 del artículo 154 de la Constitución de la República confiere a las ministras y ministros de Estado, además de las atribuciones establecidas en la ley, la rectoría de las políticas del área a su cargo, así como la facultad de expedir acuerdos y resoluciones administrativas;

Que el artículo 226 de la Constitución de la República dispone: “Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley. Tendrán el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución”;

Que el artículo 227 de la Constitución de la República del Ecuador establece que: “La Administración Pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación”;

Que el primer inciso del artículo 233 de la Constitución de la República del Ecuador dispone: “Ninguna servidora ni servidor público estará exento de responsabilidades por los actos realizados en el ejercicio de sus funciones, o por sus omisiones, y serán responsables administrativa, civil y penalmente por el manejo y administración de fondos, bienes o recursos públicos (…)”;

Que, el inciso segundo del artículo 314 de la Constitución de la República, dispone que el Estado garantizará que los servicios públicos, prestados bajo su control y regulación, respondan a principios de obligatoriedad, generalidad, uniformidad, eficiencia, responsabilidad, universalidad, accesibilidad, regularidad, continuidad y calidad;

Que, el artículo 140 de la Ley Orgánica de Telecomunicaciones, dispone: «Rectoría del sector. El Ministerio encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el órgano rector de las telecomunicaciones y de la sociedad de la información, informática, tecnologías de la información y las comunicaciones y de la seguridad de la información. A dicho órgano le corresponde el establecimiento de políticas, directrices y planes aplicables en tales áreas para el desarrollo de la sociedad de la información, de conformidad con lo dispuesto en la presente Ley, su Reglamento General y los planes de desarrollo que se establezcan a nivel nacional. Los planes y políticas que dicte dicho Ministerio deberán enmarcarse dentro de los objetivos del Plan Nacional de Desarrollo y serán de cumplimiento obligatorio tanto para el sector público como privado»;

Que el artículo 3 de la Ley Orgánica para la Transformación Digital y Audiovisual establece que “El ente rector en materia de telecomunicaciones será la entidad rectora en transformación digital y gobierno digital, para lo cual ejercerá atribuciones y responsabilidades, así como emitirá las políticas, directrices, acuerdos, normativa y lineamientos necesarios para su implementación”.

Que conforme establece el artículo 7 de la Ley Orgánica para la Transformación Digital y Audiovisual son atribuciones del ente rector de transformación digital “(…) b) Emitir políticas públicas, lineamientos, metodologías, regulaciones para la transformación digital, gobierno digital y evaluar su cumplimiento por parte de las entidades del sector público (…)”;

Que el artículo 19 de la Ley ibídem establece que: “Gestión del Marco de Seguridad Digital. – El Marco de Seguridad Digital del Estado se tienen que observar y cumplir con lo siguiente: (…) d. Institucional: Las entidades de la Administración Pública deberán establecer, mantener y documentar un Sistema de Gestión de la Seguridad de la Información”.

Que el artículo 20 de la Ley Orgánica para la Transformación Digital y Audiovisual señala: “El Marco de Seguridad Digital se articula y sustenta en las normas, procesos, roles, responsabilidades y mecanismos regulados e implementados a nivel nacional en materia de Seguridad de la Información. La Seguridad de la Información se enfoca en la información, de manera independiente de su formato y soporte. La seguridad digital se ocupa de las medidas de la seguridad de la información procesada, transmitida, almacenada o contenida en el entorno digital, procurando generar confianza, gestionando los riesgos que afecten la seguridad de las personas y la prosperidad económica y social en dicho entorno”;

Que artículo 38 de la Ley Orgánica de Protección de Datos Personales señala: “El mecanismo gubernamental de seguridad de la información deberá incluir las medidas que deban implementarse en el caso de tratamiento de datos personales para hacer frente a cualquier riesgo, amenaza, vulnerabilidad, accesos no autorizados, pérdidas, alteraciones, destrucción o comunicación accidental o ilícita en el tratamiento de los datos conforme al principio de seguridad de datos personales. El mecanismo gubernamental de seguridad de la información abarcará y aplicará a todas las instituciones del sector público, contenidas en el artículo 225 de la Constitución de la República de Ecuador, así como a terceros que presten servicios públicos mediante concesión, u otras figuras legalmente reconocidas. Estas, podrán incorporar medidas adicionales al mecanismo gubernamental de seguridad de la información”;

Que mediante Decreto Ejecutivo No. 8 de 13 de agosto de 2009, publicado en el Registro Oficial No. 10, de 24 de agosto de 2009, el Presidente de la República resolvió crear el Ministerio de Telecomunicaciones y de la Sociedad de la Información, como órgano rector del desarrollo de las Tecnologías de la Información y Comunicación, que incluye las telecomunicaciones y el espectro radioeléctrico;

Que mediante Decreto Ejecutivo Nro. 31 de 25 de noviembre de 2023 el Presidente de la República del Ecuador designó al señor César Antonio Martín Moreno como Ministro de Telecomunicaciones y de la Sociedad de la Información;

Que mediante el artículo 1 del Decreto Ejecutivo No. 981 de 28 de enero del 2020 se dispuso “La implementación del gobierno electrónico en la Función Ejecutiva, consiste en el uso de las tecnologías de la información y comunicación por parte de las entidades para transformar las relaciones con los ciudadanos, entre entidades de gobierno y empresas privadas a fin de mejorar la calidad de los servicios gubernamentales a los ciudadanos, promover la interacción con las empresas privadas, fortalecer la participación ciudadana a través del acceso a la información y servicios gubernamentales eficientes y eficaces y coadyuvar con la transparencia, participación y colaboración ciudadana”;

Que mediante Acuerdo Ministerial No. 020-2019 de 2 de septiembre de 2019, se expide la política de seguridad de la información para implementar medidas preventivas y reactivas que permitan resguardar y proteger la información que reposa en las entidades de la administración pública central, institucional y que dependen de la Función Ejecutiva.

Que mediante con Acuerdo Ministerial No. 15-2019, del 18 de julio del 2019, se expide la Política Ecuador Digital cuyo objeto es transformar al país hacia una economía basada en tecnologías digitales, mediante la disminución de la brecha digital, el desarrollo de la Sociedad de la Información y del Conocimiento, el Gobierno Digital, la eficiencia de la administración pública y la adopción digital en los sectores sociales y económicos.

Que mediante Acuerdo Ministerial No. 025-2019 de 20 de septiembre de 2019 se expidió el Esquema Gubernamental de Seguridad de la Información –EGSI-, el cual es de implementación obligatoria en las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva;

Que mediante Acuerdo Ministerial No. MINTEL-MINTEL2022-0031 de 2 de noviembre de 2022 se emitió la Política para la Transformación Digital del Ecuador 2022-2025, con el objetivo de “establecer los lineamientos para fomentar la Transformación Digital del Ecuador, considerando la investigación, desarrollo e innovación sobre infraestructuras y capacidades digitales, así como la digitalización de las empresas y servicios públicos, fomentando el uso de tecnologías emergentes, gestión de datos, seguridad de la información e interoperabilidad hacia todos los sectores sociales del país, considerando el desarrollo de un entorno normativo, regulatorio e institucional”;

Que el 02 de enero de 2024, el Director de Infraestructura, Interoperabilidad, Seguridad de la Información y Registro Civil elaboró el Informe Técnico de Motivación para Esquema Gubernamental de Seguridad de la Información –EGSI, en el que consta: “(…)En este contexto, el Ministerio de Telecomunicaciones y de la Sociedad de la Información a través de la Subsecretaría de Gobierno Electrónico y Registro Civil, inició un proceso de actualización del contenido del acuerdo ministerial No. 025-2019, con el fin de orientar adecuada y ordenadamente la implementación de un Sistema de Gestión de Seguridad de la Información en las Instituciones Públicas, ya no solo para las instituciones de las APC sino para el Sector Público de acuerdo a la normativa legal vigente (…) El EGSI contiene políticas, procedimientos y controles que están diseñados para mantener la seguridad de la información cumpliendo con los estándares de la confidencialidad que permite: acceso a los datos de usuarios autorizados; integridad que es mantener los datos completos y la disponibilidad nos garantiza que se pueda acceder a los datos cuando sea necesario o se tenga el acuerdo con quien provee el servicio. El Sistema de Gestión de Seguridad de la Información para el sector público es el EGSI. El avance tecnológico permite entregar servicios variados a través de la nube de internet en el ciberespacio (…) Permitir el acceso a la información en las instituciones del sector público bajo la confidencialidad, integridad y disponibilidad convenida. Implementar el EGSI, en las instituciones del sector público para cumplir con la normativa actual en el marco de seguridad de la información. Proteger los datos de los productos entregados a la ciudadanía por parte del sector público, a través de sus servicios web, en el ciberespacio”;

Que mediante memorando Nro. MINTEL-SGERC-2024-0002-M de 4 de enero de 2024, el Subsecretario de Gobierno Electrónico y Registro Civil, aprobó el Informe Técnico de Motivación para la emisión del Esquema Gubernamental de Seguridad de la Información –EGSI;

Que en el marco jurídico de ciberseguridad establecido en la Ley Orgánica de Protección de Datos, Ley Orgánica para la Transformación Digital y Audiovisual, y Norma de Control Interno de la Contraloría General del Estado, con el fin de orientar adecuada y ordenadamente la implementación de un Sistema de Gestión de Seguridad de la Información en el sector público, es necesario emitir un nuevo acuerdo Ministerial que abarque todo el sector público, y no exclusivamente en la Función Ejecutiva como se encuentra planteada en la normativa actual;

En ejercicio de las atribuciones que le confieren el numeral 1 del artículo 154 de la Constitución de la República del Ecuador; el Código Orgánico Administrativo; la Ley Orgánica para la Transformación Digital y Audiovisual, y el artículo 17 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva;

ACUERDA:

Artículo 1.- Expedir el Esquema Gubernamental de Seguridad de la Información – EGSI que se encuentra como Anexo al presente Acuerdo Ministerial, el cual es el mecanismo para implementar el Sistema de Gestión de Seguridad de la Información en el Sector Público.

Artículo 2.- El EGSI es de implementación obligatoria en las entidades, organismos e instituciones del sector público, de conformidad con lo establecido en el artículo 225 de la Constitución de la República del Ecuador y los artículos 7 literal o), y 20 de la Ley Orgánica para la Transformación Digital y Audiovisual; y, además, es de implementación obligatoria para terceros que presten servicios públicos mediante concesión, u otras figuras legalmente reconocidas, quienes podrán incorporar medidas adicionales de seguridad de la información.

Artículo 3.- Las Instituciones obligadas a implementar el EGSI realizarán la Evaluación de Riesgos sobre sus activos de información en los procesos esenciales y diseñarán el plan para el tratamiento de los riesgos de su Institución, utilizando como referencia la “GUÍA PARA LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN”, que es parte del Anexo del presente Acuerdo Ministerial, previo a la actualización o implementación de los controles de seguridad de la información.

Las instituciones deberán elaborar anualmente el “Informe de cumplimiento de la Gestión de Riesgos de seguridad de la información” debidamente suscrito por el presidente del Comité de Seguridad de la Información, el cual será puesto a conocimiento de la máxima autoridad, documento que servirá de insumo para el proceso de mejora  continua.

Artículo 4.- El Ministerio de Telecomunicaciones y de la Sociedad de la Información definirá los procedimientos o metodologías para su actualización, implementación, seguimiento y control del Esquema Gubernamental de Seguridad de la Información.

Artículo 5.- Es responsabilidad de la máxima autoridad de cada institución, en la implementación del Esquema Gubernamental de Seguridad de la Información, conformar la estructura de seguridad de la información institucional, con personal formado y experiencia en gestión de seguridad de la información, así como asignar los recursos necesarios.

Artículo 6. – La máxima autoridad designará al interior de la Institución, un Comité de Seguridad de la Información (CSI), que estará integrado por los responsables de las siguientes áreas o quienes hagan sus veces: Planificación quien lo presidirá, Talento Humano, Administrativa, Comunicación Social, Tecnologías de la Información, Jurídica y el Delegado de protección de datos.

El Oficial de Seguridad de la Información asistirá a las reuniones del comité de seguridad de la información con voz, pero sin voto.

Los representantes de los procesos Agregadores de Valor asistirán a las reuniones del comité, cuando se trate información propia de su gestión.

Las instituciones del sector público que no cumplan con estas características, deberán identificar el modelo que corresponda a la institución en la conformación del comité de seguridad de la información, con al menos tres integrantes garantizando su funcionalidad.

Artículo 7.- El Comité de Seguridad de la Información tiene como objetivo, garantizar y facilitar la implementación de las iniciativas de seguridad de la información en la institución; y ser el responsable del control y seguimiento en su aplicación, tendrá las siguientes responsabilidades:

1. Establecer los objetivos de la seguridad de la información, alineados a los objetivos institucionales.

2. Gestionar la implementación, control y seguimiento de las iniciativas relacionadas a seguridad de la información.

3. Gestionar la aprobación de la política de seguridad de la información institucional, por parte de la máxima autoridad de la Institución.

4. Aprobar las políticas específicas internas de seguridad de la información, que deberán ser puestas en conocimiento de la máxima autoridad.

5. Realizar el seguimiento del comportamiento de los riesgos que afectan a los activos y recursos de información frente a las amenazas identificadas.

6. Conocer y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad de la información, con nivel de impacto alto de acuerdo a la categorización interna de incidentes.

7. Coordinar la implementación de controles específicos de seguridad de la información para los sistemas o servicios, con base al EGSI.

8. Promover la difusión de la seguridad de la información dentro de la institución.

9. Coordinar el proceso de gestión de la continuidad de la operación de los servicios y sistemas de información de la institución frente a incidentes de seguridad de la información.

10. El comité deberá reunirse ordinariamente de forma bimestralmente y extraordinariamente en cualquier momento previa convocatoria

11. Informar semestralmente a la máxima autoridad los avances de la implementación y mejora continua del Esquema Gubernamental de Seguridad de la Información (EGSI).

Artículo 8. – La máxima autoridad designará al interior de su Institución a un funcionario como Oficial de Seguridad de la Información (OSI) y cuya designación deberá ser comunicada inmediatamente a la Subsecretaria de Gobierno Electrónico y Registro Civil del MINTEL, a través de las herramientas que para el efecto se utilicen.

El Oficial de Seguridad de la Información debe tener formación o especializado y con experiencia de al menos 2 años en áreas de seguridad de la información, ciberseguridad, funcionario de carrera (de preferencia del nivel jerárquico superior), podrá ser el responsable del área de Seguridad de la Información (en el caso de existir) y dicha área no debe pertenecer a las áreas de procesos, riesgos, administrativo, financiero y tecnologías de la información.

Artículo 9. – El Oficial de Seguridad de la Información tendrá las siguientes responsabilidades:

1. Identificar y conocer la estructura organizacional de la institución.

2. Identificar las personas o instituciones públicas o privadas, que de alguna forma influyen o impactan en la implementación del EGSI

3. Implementar y actualizar del Esquema Gubernamental de Seguridad de la Información EGSI en su institución.

4. Elaborar y coordinar con las áreas respectivas las propuestas para la elaboración de la documentación esencial del Esquema Gubernamental de Seguridad de la Información (EGSI).

5. Elaborar, asesorar y coordinar con los funcionarios, la ejecución del Estudio de Gestión de Riesgos de Seguridad de la Información en las diferentes áreas.

6. Elaborar y coordinar el Plan de concienciación en Seguridad de la Información basado en el Esquema Gubernamental de Seguridad de la Información (EGSI), con las áreas involucradas que intervienen y en coordinación con el área de comunicación institucional.

7. Fomentar la cultura de seguridad de la información en la institución, en coordinación con las áreas respectivas.

8. Elaborar el plan de seguimiento y control de la implementación de las medidas de mejora o acciones correctivas, y coordinar su ejecución con las áreas responsables.

9. Coordinar la elaboración de un Plan de Recuperación de Desastres (DRP), con el área de TI y las áreas clave involucradas, para garantizar la continuidad de las operaciones institucionales ante una interrupción.

10. Elaborar el procedimiento o plan de respuesta para el manejo de los incidentes de seguridad de la información presentados al interior de la institución.

11. Coordinar la gestión de incidentes de seguridad de la información con nivel de impacto alto y que no pudieran ser resueltos en la institución, a través del Centro de Respuestas a Incidentes Informáticos (CSIRT) sectorial y/o nacional.

12. Coordinar la realización periódica de revisiones internas al Esquema Gubernamental de Seguridad de la Información – (EGSI), así como, dar seguimiento en corto plazo a las recomendaciones que hayan resultado de cada revisión.

13. Mantener toda la documentación generada durante la implementación, seguimiento y mejora continua del EGSI, debidamente organizada y consolidada, tanto políticas, controles, registros y otros.

14. Coordinar con las diferentes áreas que forman parte de la implementación del Esquema Gubernamental de Seguridad de la Información, la verificación, monitoreo y el control del cumplimiento de las normas, procedimientos políticas y controles de seguridad institucionales establecidos de acuerdo a las responsabilidades de cada área.

15. Informar al Comité de Seguridad de la Información, el avance de la implementación del Esquema Gubernamental de Seguridad de la Información y mejora continua (EGSI), así como las alertas que impidan su implementación.

16. Previa la terminación de sus funciones el Oficial de Seguridad de la información realizará la entrega recepción de la documentación generada al nuevo Oficial de Seguridad de la información, y de la transferencia de conocimientos propios de la institución adquiridos durante su gestión, en caso de ausencia, al Comité de Seguridad de la Información; procedimiento que será constatado por la unidad de talento humano, previo el cambio y/o salida del oficial de seguridad de la información.

17. Administrar y mantener el EGSI mediante la definición de estrategias políticas normas y controles de seguridad, siendo responsable del cumplimiento el propietario de la información del proceso.

18. Actuar como punto de contacto del Ministerio de Telecomunicaciones y de la Sociedad de la Información.

Artículo 10. – Durante el proceso de implementación del EGSI, las instituciones reportarán al Ministerio de Telecomunicaciones y de la Sociedad de la Información, el avance de la implementación mediante las herramientas que se implemente para el efecto, la veracidad de dicho reporte será de responsabilidad de la institución, para lo cual se suscribirá una declaración de responsabilidad.

DISPOSICIONES GENERALES

PRIMERA. – Se delega al Subsecretario de Gobierno Electrónico y Registro Civil, para que en representación del Ministerio de Telecomunicaciones y de la Sociedad de la Información, emita directrices, oficios, comunicaciones y cualquier otro documento que permita la coordinación y seguimiento de la implementación del Esquema Gubernamental de Seguridad de la Información EGSI, en las entidades, organismos e instituciones sujetas al ámbito de gestión del presente acuerdo ministerial.

SEGUNDA. – El Ministerio de Telecomunicaciones y de la Sociedad de la Información, a través de la Subsecretaría de Gobierno Electrónico y Registro Civil, realizará el monitoreo, evaluación y control del cumplimiento en la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI), para lo cual utilizará las herramientas que sean necesarias.

TERCERA. – El Ministerio de Telecomunicaciones y de la Sociedad de la Información, a través de la Subsecretaría de Gobierno Electrónico y Registro Civil, una vez finalizado el plazo fijado para la implementación, realizará una planificación para ejecutar la evaluación del cumplimiento del EGSI basado en los criterios establecidos en el Plan de Evaluación que para el efecto se elabore, los evaluadores tendrán formación, experiencia e independencia con relación a las instituciones objeto de la evaluación.

CUARTA. – Las instituciones una vez finalizado el proceso de implementación del EGSI deberán mantenerse en ciclos de mejora continua, para lo cual deben iniciar un nuevo proyecto en el plazo doce (12) meses, en enero de cada año para mantener activo el sistema de gestión de seguridad de la información.

DISPOSICIONES TRANSITORIAS

PRIMERA. – La designación de Oficial de Seguridad de la Información deberá ser ejecutada dentro del plazo de treinta (30) días posteriores a la publicación del presente Acuerdo, y cuya designación y/o cambio deberá ser comunicada inmediatamente a la Subsecretaria de Gobierno Electrónico y Registro Civil del Ministerio de Telecomunicaciones y de la Sociedad de la Información, a través de las herramientas que para el efecto se utilicen.

SEGUNDA. – Las máximas autoridades de las Instituciones del Sector Público, actualizarán o implementarán el Esquema Gubernamental de Seguridad de la Información EGSI en un plazo de doce (12) meses contados a partir de la publicación del Presente Acuerdo Ministerial.

TERCERA. – El Subsecretario de Gobierno Electrónico y Registro Civil, del Ministerio de Telecomunicaciones y de la Sociedad de la Información, en un plazo de sesenta (60) días a partir de la publicación del presente Acuerdo, emitirá el formato en el cual las instituciones presentarán el “Informe de cumplimiento de la Gestión de Riesgos”.

CUARTA. – El Subsecretario de Gobierno Electrónico y Registro Civil, del Ministerio de Telecomunicaciones y de la Sociedad de la Información, en un plazo de noventa (90) días a partir de la publicación del presente Acuerdo Ministerial en el Registro Oficial, emitirá los lineamientos para efectivizar el seguimiento y control de la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI).

QUINTA. – La Subsecretaría de Gobierno Electrónico y Registro Civil, dispondrá los instrumentos necesarios para la implementación del EGSI, que estarán disponibles en el micrositio de seguridad de la información, de la página web oficial de gobierno electrónico https://www.gobiernoelectronico.gob.ec/

DISPOSICION DERROGATORIA

ÚNICA.- Deróguese los acuerdos ministeriales No. 025-2019, publicado en el registro oficial No. 228 de viernes 10 de enero del 2020 y No. MINTEL-MINTEL-2021-0012 publicado en el registro oficial No. 551 de 4 de octubre del 2021.

El presente acuerdo ministerial entrará en vigencia a partir de su publicación en el registro oficial

Dado en Quito, D.M. , a los 08 día(s) del mes de Febrero de dos mil veinticuatro.

Twittear
Compartir
Compartir
0 Compartir

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.