Acuerdo Ministerial nº 020-2019, de 2 de septiembre de 2019, que expide la Política de Seguridad de la Información.
MINISTERIO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN
ACUERDO MINISTERIAL nº 020-2019
EL MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN
CONSIDERANDO:
Que, el numeral 1 del artículo 154 de la Constitución de la República del Ecuador confiere a las Ministras y Ministros de Estado, además de las atribuciones establecidas en la ley, la rectoría de las políticas del área a su cargo, así como la facultad de expedir acuerdos y resoluciones administrativas;
Que, el artículo 226 de la Constitución de la República indica que: «Las instituciones del Estado. sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley. Tendrán el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución«;
Que, el artículo 227 ibídem dispone: «La administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación»;
Que, de conformidad a lo establecido en el artículo 313 de la Constitución de la República «El Estado se reserva el derecho de administrar, regular, controlar y gestionar los sectores estratégicos, de conformidad con los principios de sostenibilidad ambiental, precaución, prevención y eficiencia (…) Se consideran sectores estratégicos la energía en todas sus formas, las telecomunicaciones, los recursos naturales no renovables, el transporte y la refinación de hidrocarburos, la biodiversidad y el patrimonio genético, el espectro radioeléctrico, el agua, y los demás que determine la ley»;
Que, el inciso segundo del artículo 314 de la Constitución de la República, dispone que el Estado garantizará que los servicios públicos, prestados bajo su control y regulación, respondan a principios de obligatoriedad, generalidad, uniformidad, eficiencia, responsabilidad, universalidad, accesibilidad, regularidad, continuidad y calidad;
Que, el artículo 140 de la Ley Orgánica de Telecomunicaciones, dispone: «Rectoría del sector. El Ministerio encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el órgano rector de las telecomunicaciones y de la sociedad de la información, informática, tecnologías de la información y las comunicaciones y de la seguridad de la información. A dicho órgano le corresponde el establecimiento de políticas, directrices y planes aplicables en tales áreas para el desarrollo de la sociedad de la información, de conformidad con lo dispuesto en la presente Ley, su Reglamento General y los planes de desarrollo que se establezcan a nivel nacional. Los planes y políticas que dicte dicho Ministerio deberán enmarcarse dentro de los objetivos del Plan Nacional de Desarrollo y serán de cumplimiento obligatorio tanto para el sector público como privado»;
Que, el artículo 10 de la Ley Orgánica de Acceso a la Información Pública, establece: «Custodia de la Información.- Es responsabilidad de las instituciones públicas, personas jurídicas de derecho público y demás entes señalados en el artículo 1 de la presente Ley, crear y mantener registros públicos de manera profesional para que el derecho a la información se pueda ejercer a plenitud, por lo que, en ningún caso se justificará la ausencia de normas técnicas en el manejo y archivo de la información y documentación para impedir u obstaculizar el ejercicio de acceso a la información pública, peor aún su destrucción.
Quienes administren, manejen, archiven o conserven información pública, serán personalmente responsables, solidariamente con la autoridad de la dependencia a la que pertenece dicha información y/o documentación, por las consecuencias civiles, administrativas o penales a que pudiera haber lugar, por sus acciones u omisiones, en la ocultación, alteración, pérdida y/o desmembración de documentación e información pública. Los documentos originales deberán permanecer en las dependencias a las que pertenezcan, hasta que sean transferidas a los archivos generales o Archivo Nacional.
El tiempo de conservación de los doctm1entos públicos, lo determinará la Ley del Sistema de Archivo Nacional y las disposiciones que regulen la conservación de la información pública confidencial.
Los documentos de una institución que desapareciere, pasarán bajo inventario al Archivo Nacional y en caso de fusión interinstitucional, será responsable de aquello la nueva entidad. «
Que, el artículo 6 de la Ley Orgánica del Sistema Nacional de Registro de Datos Públicos, señala: «Accesibilidad y confidencialidad.- Son confidenciales los datos de carácter personal, tales como: ideología, afiliación política o sindical, etnia, estado de salud, orientación sexual, religión, condición migratoria y los demás atinentes a la intimidad personal y en especial aquella información cuyo uso público atente contra los derechos humanos consagrados en la Constitución e instrumentos internacionales. (…) La autoridad o funcionario que por naturaleza de sus funciones custodie datos de carácter personal, deberá adoptar las medidas de seguridad necesarias para proteger y garantizar la reserva de la información que reposa en sus archivos (…)»;
Que, mediante Decreto Ejecutivo nº 8 de 13 de agosto de 2009, publicado en el Registro Oficial nº 10, de 24 de agosto de 2009, el Presidente de la República creó el Ministerio de Telecomunicaciones y de la Sociedad de la Información, como órgano rector del desarrollo de las Tecnologías de la Información y Comunicación;
Que, con Decreto Ejecutivo nº 5 de 24 de mayo de 2017, se suprime la Secretaría Nacional de la Administración Pública y se transfieren al Ministerio de Telecomunicaciones y de la Sociedad de la Información entre otras atribuciones, la siguiente: «b. Desarrollar y coordinar planes, programas o proyectos sobre gobierno electrónico que sean necesarios para su implementación»;
Que, conforme lo establece la Disposición General Segunda del Decreto Ejecutivo nº 5, «El Ministerio de Telecomunicaciones y Sociedad de la Información gestionará y coordinará la implementación de políticas, planes, programas y proyectos de gobierno electrónico en las instituciones de la administración pública a través de las coordinaciones generales de gestión estratégica y las direcciones de tecnologías de la información, dependientes de estas o de quien haga sus veces»;
Que, mediante Decreto Ejecutivo nº 784 de 4 de junio de 2019, el Presidente de la República nombró al licenciado Andrés Michelena Ayala, como Ministro de Telecomunicaciones y de la Sociedad de la Información;
Que, con Informe Técnico de 2 de septiembre de 2019, aprobado por el Subsecretario de Estado – Gobierno Electrónico, se recomienda: «Expedir mediante Acuerdo Ministerial la Política de Seguridad de la Información, debido a la necesidad de gestionar de manera coordinada la seguridad de la información en las entidades del Ejecutivo, ya que cada vez surgen nuevas amenazas y se revelan vulnerabilidades e incidentes de seguridad que tienen efectos considerables en la sociedad»;
En ejercicio de las atribuciones que le confiere el numeral 1 del artículo 154 de la Constitución de la República, artículo 17 del Estatuto del Régimen Administrativo de la Función Ejecutiva;
ACUERDA
Artículo 1
Expedir la Política de Seguridad de la Información para implementar medidas preventivas y reactivas que permitan resguardar y proteger la información que reposa en las entidades de la administración pública central, institucional y que dependen de la Función Ejecutiva.
Articulo 2
Para efectos de aplicación de la presente política se definen los siguientes términos:
Activo de información. – conocimiento o datos que tienen valor para la Institución.
Confidencialidad.- evitar que la información sea utilizada o divulgada por personas o instituciones no autorizadas.
Disponibilidad. – información que debe ser accesible y utilizable cuando lo requiera una entidad autorizada.
Integridad. – relacionada a la exactitud y completitud de los sistemas de información.
Seguridad de la información. – contempla la protección de la información, bajo los principios de disponibilidad, confidencialidad e integridad.
Sistema de información. – Aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por estos últimos para su funcionamiento, utilización, protección y mantenimiento.
Articulo 3
El Ministerio de Telecomunicaciones y de la Sociedad de la Información desarrollará la actualización del Esquema Gubernamental de Seguridad de la información -EGSI- en un plazo de 30 días, en base a los siguientes lineamientos:
a) Proporcionar una guía para la gestión de riesgos en la seguridad de la información y la selección de controles para el tratamiento de los riesgos identificados.
b) Asignar responsabilidades para la gestión de la seguridad de la información en las instituciones.
c) Definir directrices para el seguimiento y control de la gestión de la seguridad de la información en las instituciones.
Artículo 4
Las Instituciones de la administración pública central y dependiente de la Función Ejecutiva cumplirán de manera obligatoria lo establecido en el EGSI en un plazo de 12 meses, a partir de su emisión, con el objetivo de preservar la confidencialidad, integridad y disponibilidad de la información, a través de los siguientes lineamientos:
a) Implementar acciones que protejan la información contra pérdidas y fugas que se procesan mediante sistemas de información.
b) Desarrollar y ejecutar un Plan de Acción de mejora continua, con el fin de asegurar una adecuada gestión de la seguridad de la información.
c) Identificar los activos de información institucionales que se requiere proteger.
Articulo 5
El Ministerio de Telecomunicaciones y de la Sociedad de la Información desarrollará en un plazo de 60 días, un Plan de Migración que permita el alojamiento de los sistemas de información de las Instituciones de la Administración Pública Central y Dependiente de la Función Ejecutiva en un centro de datos que garantice seguridad, disponibilidad y sostenibilidad, en base a los siguientes lineamientos:
a) Diseñar un modelo de migración basado en criterios de seguridad física y lógica, que garanticen la continuidad del servicio que brindan las instituciones públicas a la ciudadanía, así como la operación eficiente de los sistemas de información.
b) Establecer requerimientos previos técnicos y funcionales para priorizar la migración de los sistemas de información.
c) Contemplar criterios de seguridad que reduzcan los riesgos de pérdida o filtración de información durante y después de la migración
Artículo 6
Las Instituciones de la Administración Pública Central y Dependiente de la Función Ejecutiva cumplirán de manera obligatoria lo establecido en el Plan de Migración, una vez sea emitido por parte del Ministerio de Telecomunicaciones y Sociedad de la Información, con el objetivo de promover que las instituciones públicas reduzcan los riesgos de seguridad física y lógica de sus sistemas de información principal.
Artículo 7
Sin perjuicio de la implementación del Plan de Migración, las instituciones de la Administración Pública Central y Dependiente de la Función Ejecutiva, deberán cumplir con los siguientes lineamientos:
a) Elaborar y mantener actualizado un inventario de los sistemas de información, la interdependencia con sistemas internos y externos.
b) Mantener vigentes Jos sistemas de información con Jos respectivos soportes tecnológicos, a fin de permitir un adecuado proceso de migración, garantizando la continuidad de los servicios gubernamentales a la ciudadanía.
c) Utilizar para el intercambio de información entre instituciones, la red segura gubernamental que para el efecto determine el ente rector.
Articulo 8
El Ministerio de Telecomunicaciones y de la Sociedad de la Información desarrollará la Estrategia Nacional de Seguridad de la información digital -ENCS- en un plazo de 90 días, en base a los siguientes lineamientos:
a) Brindar un entorno de seguridad de la información digital para proteger las infraestructuras críticas y activos de información, con un enfoque en gestión de riesgos, de una forma integral y desde una visión nacional, en coordinación y cooperación con los sectores público, privado, academia y sociedad civil.
b) Promover la colaboración y coordinación entre instituciones para enfrentar las amenazas que atentan contra su seguridad de la información digital.
c) Difundir y sensibilizar a Jos ciudadanos en una cultura de seguridad de la información digital responsable, a través de educación y entrenamiento en seguridad de la información digital.
d) Fomentar la adhesión a los convenios internacionales de seguridad de la información digital para formar parte de cooperaciones regionales.
DISPOSICIÓN GENERAL
De la ejecución e implementación del presente Acuerdo Ministerial encárguese a la Subsecretaría de Estado – Gobierno Electrónico del Ministerio de Telecomunicaciones y de Sociedad de la Información.
El presente Acuerdo Ministerial entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.
Dado en el Distrito Metropolitano de Quito, a 2 de septiembre de 2019.
Lcdo. Andrés Michelena Ayala. Ministro de Telecomunicaciones y de la Sociedad de la Información