Archivos de la etiqueta: Acuerdo Ministerial nº 025-2019

06Mar/25

Acuerdo nº MINTEL-MINTEL-2024-0003 del Ministerio de Telecomunicaciones y de la Sociedad de la Información, de 8 de febrero de 2024

Acuerdo, Ecuador, , , , , , , , ,

Acuerdo nº MINTEL-MINTEL-2024-0003 del Ministerio de Telecomunicaciones y de la Sociedad de la Información, de 8 de febrero de 2024

ACUERDO Nro. MINTEL-MINTEL-2024-0003

SR. DR. CÉSAR ANTONIO MARTÍN MORENO

MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN

CONSIDERANDO:

Que el numeral 1 del artículo 154 de la Constitución de la República confiere a las ministras y ministros de Estado, además de las atribuciones establecidas en la ley, la rectoría de las políticas del área a su cargo, así como la facultad de expedir acuerdos y resoluciones administrativas;

Que el artículo 226 de la Constitución de la República dispone: “Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley. Tendrán el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución”;

Que el artículo 227 de la Constitución de la República del Ecuador establece que: “La Administración Pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación”;

Que el primer inciso del artículo 233 de la Constitución de la República del Ecuador dispone: “Ninguna servidora ni servidor público estará exento de responsabilidades por los actos realizados en el ejercicio de sus funciones, o por sus omisiones, y serán responsables administrativa, civil y penalmente por el manejo y administración de fondos, bienes o recursos públicos (…)”;

Que, el inciso segundo del artículo 314 de la Constitución de la República, dispone que el Estado garantizará que los servicios públicos, prestados bajo su control y regulación, respondan a principios de obligatoriedad, generalidad, uniformidad, eficiencia, responsabilidad, universalidad, accesibilidad, regularidad, continuidad y calidad;

Que, el artículo 140 de la Ley Orgánica de Telecomunicaciones, dispone: «Rectoría del sector. El Ministerio encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el órgano rector de las telecomunicaciones y de la sociedad de la información, informática, tecnologías de la información y las comunicaciones y de la seguridad de la información. A dicho órgano le corresponde el establecimiento de políticas, directrices y planes aplicables en tales áreas para el desarrollo de la sociedad de la información, de conformidad con lo dispuesto en la presente Ley, su Reglamento General y los planes de desarrollo que se establezcan a nivel nacional. Los planes y políticas que dicte dicho Ministerio deberán enmarcarse dentro de los objetivos del Plan Nacional de Desarrollo y serán de cumplimiento obligatorio tanto para el sector público como privado»;

Que el artículo 3 de la Ley Orgánica para la Transformación Digital y Audiovisual establece que “El ente rector en materia de telecomunicaciones será la entidad rectora en transformación digital y gobierno digital, para lo cual ejercerá atribuciones y responsabilidades, así como emitirá las políticas, directrices, acuerdos, normativa y lineamientos necesarios para su implementación”.

Que conforme establece el artículo 7 de la Ley Orgánica para la Transformación Digital y Audiovisual son atribuciones del ente rector de transformación digital “(…) b) Emitir políticas públicas, lineamientos, metodologías, regulaciones para la transformación digital, gobierno digital y evaluar su cumplimiento por parte de las entidades del sector público (…)”;

Que el artículo 19 de la Ley ibídem establece que: “Gestión del Marco de Seguridad Digital. – El Marco de Seguridad Digital del Estado se tienen que observar y cumplir con lo siguiente: (…) d. Institucional: Las entidades de la Administración Pública deberán establecer, mantener y documentar un Sistema de Gestión de la Seguridad de la Información”.

Que el artículo 20 de la Ley Orgánica para la Transformación Digital y Audiovisual señala: “El Marco de Seguridad Digital se articula y sustenta en las normas, procesos, roles, responsabilidades y mecanismos regulados e implementados a nivel nacional en materia de Seguridad de la Información. La Seguridad de la Información se enfoca en la información, de manera independiente de su formato y soporte. La seguridad digital se ocupa de las medidas de la seguridad de la información procesada, transmitida, almacenada o contenida en el entorno digital, procurando generar confianza, gestionando los riesgos que afecten la seguridad de las personas y la prosperidad económica y social en dicho entorno”;

Que artículo 38 de la Ley Orgánica de Protección de Datos Personales señala: “El mecanismo gubernamental de seguridad de la información deberá incluir las medidas que deban implementarse en el caso de tratamiento de datos personales para hacer frente a cualquier riesgo, amenaza, vulnerabilidad, accesos no autorizados, pérdidas, alteraciones, destrucción o comunicación accidental o ilícita en el tratamiento de los datos conforme al principio de seguridad de datos personales. El mecanismo gubernamental de seguridad de la información abarcará y aplicará a todas las instituciones del sector público, contenidas en el artículo 225 de la Constitución de la República de Ecuador, así como a terceros que presten servicios públicos mediante concesión, u otras figuras legalmente reconocidas. Estas, podrán incorporar medidas adicionales al mecanismo gubernamental de seguridad de la información”;

Que mediante Decreto Ejecutivo No. 8 de 13 de agosto de 2009, publicado en el Registro Oficial No. 10, de 24 de agosto de 2009, el Presidente de la República resolvió crear el Ministerio de Telecomunicaciones y de la Sociedad de la Información, como órgano rector del desarrollo de las Tecnologías de la Información y Comunicación, que incluye las telecomunicaciones y el espectro radioeléctrico;

Que mediante Decreto Ejecutivo Nro. 31 de 25 de noviembre de 2023 el Presidente de la República del Ecuador designó al señor César Antonio Martín Moreno como Ministro de Telecomunicaciones y de la Sociedad de la Información;

Que mediante el artículo 1 del Decreto Ejecutivo No. 981 de 28 de enero del 2020 se dispuso “La implementación del gobierno electrónico en la Función Ejecutiva, consiste en el uso de las tecnologías de la información y comunicación por parte de las entidades para transformar las relaciones con los ciudadanos, entre entidades de gobierno y empresas privadas a fin de mejorar la calidad de los servicios gubernamentales a los ciudadanos, promover la interacción con las empresas privadas, fortalecer la participación ciudadana a través del acceso a la información y servicios gubernamentales eficientes y eficaces y coadyuvar con la transparencia, participación y colaboración ciudadana”;

Que mediante Acuerdo Ministerial No. 020-2019 de 2 de septiembre de 2019, se expide la política de seguridad de la información para implementar medidas preventivas y reactivas que permitan resguardar y proteger la información que reposa en las entidades de la administración pública central, institucional y que dependen de la Función Ejecutiva.

Que mediante con Acuerdo Ministerial No. 15-2019, del 18 de julio del 2019, se expide la Política Ecuador Digital cuyo objeto es transformar al país hacia una economía basada en tecnologías digitales, mediante la disminución de la brecha digital, el desarrollo de la Sociedad de la Información y del Conocimiento, el Gobierno Digital, la eficiencia de la administración pública y la adopción digital en los sectores sociales y económicos.

Que mediante Acuerdo Ministerial No. 025-2019 de 20 de septiembre de 2019 se expidió el Esquema Gubernamental de Seguridad de la Información –EGSI-, el cual es de implementación obligatoria en las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva;

Que mediante Acuerdo Ministerial No. MINTEL-MINTEL2022-0031 de 2 de noviembre de 2022 se emitió la Política para la Transformación Digital del Ecuador 2022-2025, con el objetivo de “establecer los lineamientos para fomentar la Transformación Digital del Ecuador, considerando la investigación, desarrollo e innovación sobre infraestructuras y capacidades digitales, así como la digitalización de las empresas y servicios públicos, fomentando el uso de tecnologías emergentes, gestión de datos, seguridad de la información e interoperabilidad hacia todos los sectores sociales del país, considerando el desarrollo de un entorno normativo, regulatorio e institucional”;

Que el 02 de enero de 2024, el Director de Infraestructura, Interoperabilidad, Seguridad de la Información y Registro Civil elaboró el Informe Técnico de Motivación para Esquema Gubernamental de Seguridad de la Información –EGSI, en el que consta: “(…)En este contexto, el Ministerio de Telecomunicaciones y de la Sociedad de la Información a través de la Subsecretaría de Gobierno Electrónico y Registro Civil, inició un proceso de actualización del contenido del acuerdo ministerial No. 025-2019, con el fin de orientar adecuada y ordenadamente la implementación de un Sistema de Gestión de Seguridad de la Información en las Instituciones Públicas, ya no solo para las instituciones de las APC sino para el Sector Público de acuerdo a la normativa legal vigente (…) El EGSI contiene políticas, procedimientos y controles que están diseñados para mantener la seguridad de la información cumpliendo con los estándares de la confidencialidad que permite: acceso a los datos de usuarios autorizados; integridad que es mantener los datos completos y la disponibilidad nos garantiza que se pueda acceder a los datos cuando sea necesario o se tenga el acuerdo con quien provee el servicio. El Sistema de Gestión de Seguridad de la Información para el sector público es el EGSI. El avance tecnológico permite entregar servicios variados a través de la nube de internet en el ciberespacio (…) Permitir el acceso a la información en las instituciones del sector público bajo la confidencialidad, integridad y disponibilidad convenida. Implementar el EGSI, en las instituciones del sector público para cumplir con la normativa actual en el marco de seguridad de la información. Proteger los datos de los productos entregados a la ciudadanía por parte del sector público, a través de sus servicios web, en el ciberespacio”;

Que mediante memorando Nro. MINTEL-SGERC-2024-0002-M de 4 de enero de 2024, el Subsecretario de Gobierno Electrónico y Registro Civil, aprobó el Informe Técnico de Motivación para la emisión del Esquema Gubernamental de Seguridad de la Información –EGSI;

Que en el marco jurídico de ciberseguridad establecido en la Ley Orgánica de Protección de Datos, Ley Orgánica para la Transformación Digital y Audiovisual, y Norma de Control Interno de la Contraloría General del Estado, con el fin de orientar adecuada y ordenadamente la implementación de un Sistema de Gestión de Seguridad de la Información en el sector público, es necesario emitir un nuevo acuerdo Ministerial que abarque todo el sector público, y no exclusivamente en la Función Ejecutiva como se encuentra planteada en la normativa actual;

En ejercicio de las atribuciones que le confieren el numeral 1 del artículo 154 de la Constitución de la República del Ecuador; el Código Orgánico Administrativo; la Ley Orgánica para la Transformación Digital y Audiovisual, y el artículo 17 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva;

ACUERDA:

Artículo 1.- Expedir el Esquema Gubernamental de Seguridad de la Información – EGSI que se encuentra como Anexo al presente Acuerdo Ministerial, el cual es el mecanismo para implementar el Sistema de Gestión de Seguridad de la Información en el Sector Público.

Artículo 2.- El EGSI es de implementación obligatoria en las entidades, organismos e instituciones del sector público, de conformidad con lo establecido en el artículo 225 de la Constitución de la República del Ecuador y los artículos 7 literal o), y 20 de la Ley Orgánica para la Transformación Digital y Audiovisual; y, además, es de implementación obligatoria para terceros que presten servicios públicos mediante concesión, u otras figuras legalmente reconocidas, quienes podrán incorporar medidas adicionales de seguridad de la información.

Artículo 3.- Las Instituciones obligadas a implementar el EGSI realizarán la Evaluación de Riesgos sobre sus activos de información en los procesos esenciales y diseñarán el plan para el tratamiento de los riesgos de su Institución, utilizando como referencia la “GUÍA PARA LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN”, que es parte del Anexo del presente Acuerdo Ministerial, previo a la actualización o implementación de los controles de seguridad de la información.

Las instituciones deberán elaborar anualmente el “Informe de cumplimiento de la Gestión de Riesgos de seguridad de la información” debidamente suscrito por el presidente del Comité de Seguridad de la Información, el cual será puesto a conocimiento de la máxima autoridad, documento que servirá de insumo para el proceso de mejora  continua.

Artículo 4.- El Ministerio de Telecomunicaciones y de la Sociedad de la Información definirá los procedimientos o metodologías para su actualización, implementación, seguimiento y control del Esquema Gubernamental de Seguridad de la Información.

Artículo 5.- Es responsabilidad de la máxima autoridad de cada institución, en la implementación del Esquema Gubernamental de Seguridad de la Información, conformar la estructura de seguridad de la información institucional, con personal formado y experiencia en gestión de seguridad de la información, así como asignar los recursos necesarios.

Artículo 6. – La máxima autoridad designará al interior de la Institución, un Comité de Seguridad de la Información (CSI), que estará integrado por los responsables de las siguientes áreas o quienes hagan sus veces: Planificación quien lo presidirá, Talento Humano, Administrativa, Comunicación Social, Tecnologías de la Información, Jurídica y el Delegado de protección de datos.

El Oficial de Seguridad de la Información asistirá a las reuniones del comité de seguridad de la información con voz, pero sin voto.

Los representantes de los procesos Agregadores de Valor asistirán a las reuniones del comité, cuando se trate información propia de su gestión.

Las instituciones del sector público que no cumplan con estas características, deberán identificar el modelo que corresponda a la institución en la conformación del comité de seguridad de la información, con al menos tres integrantes garantizando su funcionalidad.

Artículo 7.- El Comité de Seguridad de la Información tiene como objetivo, garantizar y facilitar la implementación de las iniciativas de seguridad de la información en la institución; y ser el responsable del control y seguimiento en su aplicación, tendrá las siguientes responsabilidades:

1. Establecer los objetivos de la seguridad de la información, alineados a los objetivos institucionales.

2. Gestionar la implementación, control y seguimiento de las iniciativas relacionadas a seguridad de la información.

3. Gestionar la aprobación de la política de seguridad de la información institucional, por parte de la máxima autoridad de la Institución.

4. Aprobar las políticas específicas internas de seguridad de la información, que deberán ser puestas en conocimiento de la máxima autoridad.

5. Realizar el seguimiento del comportamiento de los riesgos que afectan a los activos y recursos de información frente a las amenazas identificadas.

6. Conocer y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad de la información, con nivel de impacto alto de acuerdo a la categorización interna de incidentes.

7. Coordinar la implementación de controles específicos de seguridad de la información para los sistemas o servicios, con base al EGSI.

8. Promover la difusión de la seguridad de la información dentro de la institución.

9. Coordinar el proceso de gestión de la continuidad de la operación de los servicios y sistemas de información de la institución frente a incidentes de seguridad de la información.

10. El comité deberá reunirse ordinariamente de forma bimestralmente y extraordinariamente en cualquier momento previa convocatoria

11. Informar semestralmente a la máxima autoridad los avances de la implementación y mejora continua del Esquema Gubernamental de Seguridad de la Información (EGSI).

Artículo 8. – La máxima autoridad designará al interior de su Institución a un funcionario como Oficial de Seguridad de la Información (OSI) y cuya designación deberá ser comunicada inmediatamente a la Subsecretaria de Gobierno Electrónico y Registro Civil del MINTEL, a través de las herramientas que para el efecto se utilicen.

El Oficial de Seguridad de la Información debe tener formación o especializado y con experiencia de al menos 2 años en áreas de seguridad de la información, ciberseguridad, funcionario de carrera (de preferencia del nivel jerárquico superior), podrá ser el responsable del área de Seguridad de la Información (en el caso de existir) y dicha área no debe pertenecer a las áreas de procesos, riesgos, administrativo, financiero y tecnologías de la información.

Artículo 9. – El Oficial de Seguridad de la Información tendrá las siguientes responsabilidades:

1. Identificar y conocer la estructura organizacional de la institución.

2. Identificar las personas o instituciones públicas o privadas, que de alguna forma influyen o impactan en la implementación del EGSI

3. Implementar y actualizar del Esquema Gubernamental de Seguridad de la Información EGSI en su institución.

4. Elaborar y coordinar con las áreas respectivas las propuestas para la elaboración de la documentación esencial del Esquema Gubernamental de Seguridad de la Información (EGSI).

5. Elaborar, asesorar y coordinar con los funcionarios, la ejecución del Estudio de Gestión de Riesgos de Seguridad de la Información en las diferentes áreas.

6. Elaborar y coordinar el Plan de concienciación en Seguridad de la Información basado en el Esquema Gubernamental de Seguridad de la Información (EGSI), con las áreas involucradas que intervienen y en coordinación con el área de comunicación institucional.

7. Fomentar la cultura de seguridad de la información en la institución, en coordinación con las áreas respectivas.

8. Elaborar el plan de seguimiento y control de la implementación de las medidas de mejora o acciones correctivas, y coordinar su ejecución con las áreas responsables.

9. Coordinar la elaboración de un Plan de Recuperación de Desastres (DRP), con el área de TI y las áreas clave involucradas, para garantizar la continuidad de las operaciones institucionales ante una interrupción.

10. Elaborar el procedimiento o plan de respuesta para el manejo de los incidentes de seguridad de la información presentados al interior de la institución.

11. Coordinar la gestión de incidentes de seguridad de la información con nivel de impacto alto y que no pudieran ser resueltos en la institución, a través del Centro de Respuestas a Incidentes Informáticos (CSIRT) sectorial y/o nacional.

12. Coordinar la realización periódica de revisiones internas al Esquema Gubernamental de Seguridad de la Información – (EGSI), así como, dar seguimiento en corto plazo a las recomendaciones que hayan resultado de cada revisión.

13. Mantener toda la documentación generada durante la implementación, seguimiento y mejora continua del EGSI, debidamente organizada y consolidada, tanto políticas, controles, registros y otros.

14. Coordinar con las diferentes áreas que forman parte de la implementación del Esquema Gubernamental de Seguridad de la Información, la verificación, monitoreo y el control del cumplimiento de las normas, procedimientos políticas y controles de seguridad institucionales establecidos de acuerdo a las responsabilidades de cada área.

15. Informar al Comité de Seguridad de la Información, el avance de la implementación del Esquema Gubernamental de Seguridad de la Información y mejora continua (EGSI), así como las alertas que impidan su implementación.

16. Previa la terminación de sus funciones el Oficial de Seguridad de la información realizará la entrega recepción de la documentación generada al nuevo Oficial de Seguridad de la información, y de la transferencia de conocimientos propios de la institución adquiridos durante su gestión, en caso de ausencia, al Comité de Seguridad de la Información; procedimiento que será constatado por la unidad de talento humano, previo el cambio y/o salida del oficial de seguridad de la información.

17. Administrar y mantener el EGSI mediante la definición de estrategias políticas normas y controles de seguridad, siendo responsable del cumplimiento el propietario de la información del proceso.

18. Actuar como punto de contacto del Ministerio de Telecomunicaciones y de la Sociedad de la Información.

Artículo 10. – Durante el proceso de implementación del EGSI, las instituciones reportarán al Ministerio de Telecomunicaciones y de la Sociedad de la Información, el avance de la implementación mediante las herramientas que se implemente para el efecto, la veracidad de dicho reporte será de responsabilidad de la institución, para lo cual se suscribirá una declaración de responsabilidad.

DISPOSICIONES GENERALES

PRIMERA. – Se delega al Subsecretario de Gobierno Electrónico y Registro Civil, para que en representación del Ministerio de Telecomunicaciones y de la Sociedad de la Información, emita directrices, oficios, comunicaciones y cualquier otro documento que permita la coordinación y seguimiento de la implementación del Esquema Gubernamental de Seguridad de la Información EGSI, en las entidades, organismos e instituciones sujetas al ámbito de gestión del presente acuerdo ministerial.

SEGUNDA. – El Ministerio de Telecomunicaciones y de la Sociedad de la Información, a través de la Subsecretaría de Gobierno Electrónico y Registro Civil, realizará el monitoreo, evaluación y control del cumplimiento en la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI), para lo cual utilizará las herramientas que sean necesarias.

TERCERA. – El Ministerio de Telecomunicaciones y de la Sociedad de la Información, a través de la Subsecretaría de Gobierno Electrónico y Registro Civil, una vez finalizado el plazo fijado para la implementación, realizará una planificación para ejecutar la evaluación del cumplimiento del EGSI basado en los criterios establecidos en el Plan de Evaluación que para el efecto se elabore, los evaluadores tendrán formación, experiencia e independencia con relación a las instituciones objeto de la evaluación.

CUARTA. – Las instituciones una vez finalizado el proceso de implementación del EGSI deberán mantenerse en ciclos de mejora continua, para lo cual deben iniciar un nuevo proyecto en el plazo doce (12) meses, en enero de cada año para mantener activo el sistema de gestión de seguridad de la información.

DISPOSICIONES TRANSITORIAS

PRIMERA. – La designación de Oficial de Seguridad de la Información deberá ser ejecutada dentro del plazo de treinta (30) días posteriores a la publicación del presente Acuerdo, y cuya designación y/o cambio deberá ser comunicada inmediatamente a la Subsecretaria de Gobierno Electrónico y Registro Civil del Ministerio de Telecomunicaciones y de la Sociedad de la Información, a través de las herramientas que para el efecto se utilicen.

SEGUNDA. – Las máximas autoridades de las Instituciones del Sector Público, actualizarán o implementarán el Esquema Gubernamental de Seguridad de la Información EGSI en un plazo de doce (12) meses contados a partir de la publicación del Presente Acuerdo Ministerial.

TERCERA. – El Subsecretario de Gobierno Electrónico y Registro Civil, del Ministerio de Telecomunicaciones y de la Sociedad de la Información, en un plazo de sesenta (60) días a partir de la publicación del presente Acuerdo, emitirá el formato en el cual las instituciones presentarán el “Informe de cumplimiento de la Gestión de Riesgos”.

CUARTA. – El Subsecretario de Gobierno Electrónico y Registro Civil, del Ministerio de Telecomunicaciones y de la Sociedad de la Información, en un plazo de noventa (90) días a partir de la publicación del presente Acuerdo Ministerial en el Registro Oficial, emitirá los lineamientos para efectivizar el seguimiento y control de la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI).

QUINTA. – La Subsecretaría de Gobierno Electrónico y Registro Civil, dispondrá los instrumentos necesarios para la implementación del EGSI, que estarán disponibles en el micrositio de seguridad de la información, de la página web oficial de gobierno electrónico https://www.gobiernoelectronico.gob.ec/

DISPOSICION DERROGATORIA

ÚNICA.- Deróguese los acuerdos ministeriales No. 025-2019, publicado en el registro oficial No. 228 de viernes 10 de enero del 2020 y No. MINTEL-MINTEL-2021-0012 publicado en el registro oficial No. 551 de 4 de octubre del 2021.

El presente acuerdo ministerial entrará en vigencia a partir de su publicación en el registro oficial

Dado en Quito, D.M. , a los 08 día(s) del mes de Febrero de dos mil veinticuatro.

21Feb/21

ACUERDO MINISTERIAL nº 025-2019, de 20 de septiembre de 2019

Acuerdo, Ecuador, , , ,

ACUERDO MINISTERIAL nº 025-2019

EL MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN

CONSIDERANDO:

Que, el numeral 1 del artículo 154 de la Constitución de la República del Ecuador confiere a las Ministras y Ministros de Estado, además de las atribuciones establecidas en la ley, la rectoría de las políticas del área a su cargo, así como la facultad de expedir acuerdos y resoluciones administrativas;

Que, el artículo 226 de la Constitución de la República indica que: «Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley. Tendrán el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución«;

Que, el artículo 227 ibídem dispone: «La administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación»;

Que, el inciso segundo del artículo 314 de la Constitución de la República, dispone que el Estado garantizará que los servicios públicos, prestados bajo su control y regulación, respondan a principios de obligatoriedad, generalidad, uniformidad, eficiencia, responsabilidad, universalidad, accesibilidad, regularidad, continuidad y calidad;

Que, el artículo 140 de la Ley Orgánica de Telecomunicaciones, dispone: «Rectoría del sector. El Ministerio encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el órgano rector de las telecomunicaciones y de la sociedad de la información, informática, tecnologías de la información y las comunicaciones y de la seguridad de la información. A dicho órgano le corresponde el establecimiento de políticas, directrices y planes aplicables en tales áreas para el desarrollo de la sociedad de la información. de conformidad con lo dispuesto en la presente Ley, su Reglamento General y los planes de desarrollo que se establezcan a nivel nacional. Los planes y políticas que dicte dicho Ministerio deberán enmarcarse dentro de los objetivos del Plan Nacional de Desarrollo y serán de cumplimiento obligatorio tanto para el sector público como privado»;

Que, mediante Decreto Ejecutivo nº 8 de 13 de agosto de 2009, publicado en el Registro Oficial nº 10, de 24 de agosto de 2009, el Presidente de la República resolvió crear el Ministerio de Telecomunicaciones y de la Sociedad de la Información, como órgano rector del desarrollo de las Tecnologías de la Información y Comunicación, que incluye las telecomunicaciones y el espectro radioeléctrico.

Que, con Decreto Ejecutivo nº 5 de 24 de mayo de 2017, se suprime la Secretaría Nacional de la Administración Pública y se transfieren al Ministerio de Telecomunicaciones y de la Sociedad de la Información entre otras la atribución: «b Desarrollar y coordinar planes, programas o proyectos sobre gobierno electrónico que sean necesarios para su implementación»;

Que, conforme lo establece la Disposición General Segunda del referido Decreto “El Ministerio de Telecomunicaciones y Sociedad de la Información gestionará coordinará la implementación de políticas, planes, programas y proyectos de gobierno electrónico en las instituciones de la administración pública a través de las coordinaciones generales de gestión estratégica y las direcciones de tecnologías de la información, dependientes de estas o de quien haga sus veces”;

Que, mediante Acuerdo Ministerial nº 011-2018, del 08 de agosto de 2018, se expide el Plan Nacional de Gobierno Electrónico 2018-2021; este instrumento muestra la situación actual del país en materia de gobierno electrónico, las acciones que serán ejecutadas en tres programas; Gobierno Abierto, Gobierno Cercano y Gobierno Eficaz y Eficiente. En el Capítulo l. Fundamentos Generales, literal 5. Diagnóstico; se enfatiza que: «Dentro de las iniciativas relevantes que ha implementado el gobierno entorno a la ciberseguridad se encuentra la implementación del Esquema Gubernamental de Seguridad de la Infórmación (EGSI) … «

Que, mediante Decreto Ejecutivo nº 784 de 4 de junio de 2019, el Presidente de la República nombró al licenciado Andrés Michelena Ayala, como Ministro de Telecomunicaciones y de la  Sociedad de la Información;

Que, en el Informe Técnico de 09 de septiembre de 2019, suscrito por el Subsecretario de Estado Gobierno  Electrónico, se recomienda: «Expedir  mediante  Acuerdo   Ministerial  el  Esquema Gubernamental  de Seguridad  de la Información  -EGSI-,  debido a la necesidad  de gestionar  la seguridad de la información acorde a la evolución normativa y tecnológica, ya que actualmente los riesgos  en seguridad  muestran continuos cambios, se desarrollan nuevas amenazas y se revelan vulnerabilidades e incidentes de seguridad que tienen efectos considerables en la sociedad «;

En ejercicio de las atribuciones que le confiere el numeral 1 del artículo 154 de la Constitución de la República, artículo 17 del Estatuto del Régimen Administrativo de la Función Ejecutiva;

ACUERDA

Artículo 1

Expedir el Esquema Gubernamental de Seguridad de la Información -EGSI-, el cual es de implementación obligatoria en las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, que se encuentra como Anexo al presente Acuerdo Ministerial.

Artículo 2

Las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, realizarán la Evaluación de Riesgos sobre sus activos de información críticos y diseñarán el plan para el tratamiento de los riesgos de su Institución, utilizando como referencia la «GUÍA PARA LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN» que es parte del Anexo del presente Acuerdo Ministerial, previo a la actualización o implementación de los controles de seguridad.

Artículo 3

Recomendar a las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, utilicen como guía las Normas Técnicas Ecuatorianas NTE INEN­ ISO/J EC 27000 para la Gestión de Seguridad de la Información.

Artículo 4

Las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, actualizarán o implementarán el Esquema Gubernamental de Seguridad de la Información EGSI en un plazo de doce (12) meses contados a partir de la publicación del presente Acuerdo Ministerial en el Registro Oficial.

 La Evaluación de Riesgos y el plan para el tratamiento de los riesgos de cada Institución se realizarán en un plazo de cinco (5) meses y la actualización o implementación de los controles del Esquema Gubernamental de Seguridad de la Información (EGSI) se realizarán en un plazo siete (7) meses.

La actualización o implementación, se realizará en cada institución de acuerdo al ámbito de acción, estructura orgánica, recursos y nivel de madurez en gestión de Seguridad de la Información.

Artículo 5

La máxima autoridad designará al interior de su Institución, un Comité de Seguridad de la Información (CSI), que estará integrado por los responsables de las siguientes áreas o quienes hagan sus veces: Talento Humano, Administrativa, Planificación y Gestión Estratégica, Comunicación Social, Tecnologías de la Información, Unidades Agregadores de Valor y el Área Jurídica participará como asesor.

El Comité de Seguridad de la Información tiene como objetivo, garantizar y facilitar la implementación de las iniciativas de seguridad de la información en la institución.

Los Comités en la primera convocatoria definirán su agenda y su reglamento interno.

Artículo 6

El Comité de Seguridad de la Información, tendrá las siguientes responsabilidades:

a) Gestionar la aprobación de la política y normas institucional es en materia de seguridad de la información, por parte de la máxima autoridad de la Institución.

b) Realizar el seguimiento de los cambios significativos de los riesgos que afectan a los recursos de información frente a las amenazas más importantes.

c) Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad de la información, con nivel de impacto alto.

d) Coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios, en base al EGSI.

e) Promover la difusión de la seguridad de la información dentro de la institución.

f) Coordinar el proceso de gestión de la continuidad de la operación de los servicios y sistemas de información de la institución frente a incidentes de seguridad imprevistos.

g) El comité deberá convocarse bimensualmente o cuando las circunstancias lo ameriten, se deberá llevar registros y actas de las reuniones.

h) Informar a la máxima autoridad los avances de la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI).

i) Reportar a la máxima autoridad las alertas que impidan la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI).

j) Recomendar a la máxima autoridad mecanismos que viabilicen la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI).

Artículo 7

El Comité de Seguridad de la Información (CSI) designará al interior de su Institución a un funcionario como Oficial de Seguridad de la Información (OSI).

El Oficial de Seguridad debe tener conocimiento en Seguridad de la Información y Gestión de Proyectos, podrá ser si existiere el responsable de la Unidad de Seguridad de la Información, se recomienda que no pertenezca al área de Tecnologías de la Información.

Articulo 8

El Oficial de Seguridad de la Información tendrá las siguientes responsabilidades:

a) Identificar todas las personas o instituciones públicas o privadas, que de alguna forma influyen o impactan en la implementación del EGSI.

b) Generar propuestas para la elaboración de la documentación esencial del Esquema Gubernamental de Seguridad de la Información (EGSI).

c) Asesorar a los funcionarios en la ejecución del Estudio de Gestión de Riesgos de Seguridad de la Información en las diferentes áreas.

d) Elaborar el Plan de concienciación en Seguridad de la Información basado en el Esquema Gubernamental de Seguridad de la Información (EGSI).

e) Elaborar un plan de seguimiento y control de la implementación de las medidas de mejora o acciones correctivas.

f) Coordinar la elaboración del Plan de Continuidad de Seguridad de Ja Información.

g) Orientar y generar un procedimiento adecuado para el manejo de los incidentes de seguridad de Ja información presentados al interior de la institución.

h) Coordinar la gestión de incidentes de seguridad con nivel de impacto alto a través de otras instituciones gubernamentales.

i) Mantener la documentación de la implementación del EGSI debidamente organizada.

j) Verificar el cumplimiento de las normas, procedimientos y controles de seguridad institucionales establecidos.

k) Informar al Comité de Seguridad de la Información. el avance de la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI), así como las alertas que impidan su implementación.

l) Previa la terminación de sus funciones el Oficial de Seguridad realizará la transferencia de la documentación e información de la que fue responsable al nuevo Oficial de Seguridad, en caso de ausencia, al Comité de Seguridad de la Información.

DISPOSICIONES GENERALES

PRIMERA

Se designa al Subsecretario de Estado – Gobierno Electrónico o su delegado, para que en representación del Ministro de Telecomunicaciones y de la Sociedad de Ja Información, pueda emitir oficios, comunicaciones y cualquier otro documento que permita la implementación, control y seguimiento del Esquema Gubernamental de Seguridad de Ja Información- EGSI.

SEGUNDA

El Ministerio de Telecomunicaciones y de la Sociedad de la Información, a través de la Subsecretaría de Estado – Gobierno Electrónico, una vez finalizado el plazo fijado para la implementación, realizará la evaluación del cumplimiento del EGSI basado en los criterios establecidos en el Plan de Evaluación que para el efecto se elabore.

Durante el proceso de implementación del EGSI, las instituciones reportarán el avance mediante el Sistema de Gestión por Resultados (GPR) u otras herramientas que se implemente para el efecto.

TERCERA

El Ministerio de Telecomunicaciones y de la Sociedad de la Información, a través de la Subsecretaría de Estado – Gobierno Electrónico, deberá elaborar hasta el 31 de enero de cada año un «Plan de Evaluación» una vez finalizado el plazo de implementación del EGSI, que será socializado a las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva.

CUARTA

En caso de no ser posible la implementación de controles establecidos en el EGSl, deberá ser justificado técnicamente y comunicado a la Subsecretaria de Estado – Gobierno Electrónico, del Ministerio de Telecomunicaciones y de la Sociedad de la Información, para su análisis y aprobación.

QUINTA

Los Oficiales de Seguridad de la Información de las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, actuarán como contrapartes del Ministerio de Telecomunicaciones y de la Sociedad de la Información en la actualización e implementación del EGSI, quienes reportarán a través del sistema Gobierno por Resultados (GPR).

SEXTA

Las instituciones deberán remitir hasta el 31 de enero de cada año un «informe de cumplimiento de la Gestión de Riesgos» debidamente suscrito por la máxima autoridad, a la Subsecretaria de Estado – Gobierno Electrónico del Ministerio de Telecomunicaciones y de la Sociedad de la Información.

SÉPTIMA

Es responsabilidad de la máxima autoridad de cada institución gestionar la implementación de esta normativa asignando los recursos necesarios.

DISPOSICIONES TRANSITORIAS

PRIMERA

La designación de Oficial de Seguridad de la Información deberá ser comunicada al Subsecretario de Estado Gobierno Electrónico o su delegado, del Ministerio de Telecomunicaciones y de la Sociedad de la Información dentro del plazo de treinta (30) días posteriores a la publicación del presente Acuerdo Ministerial en el Registro Oficial.

En el caso de cambio de Oficial de Seguridad de la Información, deberá comunicarse de forma inmediata a la misma autoridad.

SEGUNDA

Para efectivizar el control y seguimiento del EGSI el Subsecretario de Estado – Gobierno Electrónico o su delegado, del Ministerio de Telecomunicaciones y de la Sociedad de la Información en un plazo de sesenta (60) días desde la publicación del presente Acuerdo Ministerial en el Registro Oficial, creará indicadores de gestión e implementación del Esquema Gubernamental de Seguridad de la Información EGSI-, en el sistema Gobierno por Resultados (GPR).

TERCERA

El Subsecretario de Estado – Gobierno Electrónico o su delegado, del Ministerio de Telecomunicaciones y de la Sociedad de la Información, en un plazo de sesenta (60) días a partir de la publicación del presente Acuerdo Ministerial en el Registro Oficial, emitirá el formato en el cual las instituciones presentarán el «Informe de cumplimiento de la Gestión de Riesgos».

CUARTA

El Subsecretario de Estado – Gobierno Electrónico o su delegado, del Ministerio de Telecomunicaciones y de la Sociedad de la Información, en un plazo de noventa (90) días a partir de la publicación del presente Acuerdo Ministerial en el Registro Oficial, emitirá los lineamientos para el seguimiento y control de la implementación del Esquema Gubernamental de Seguridad de la Información -EGSI-.

DISPOSICIÓN DEROGATORIA ÚNICA

Deróguese el Acuerdo Ministerial nº 166, publicado en el Registro Oficial Suplemento nº 88 de 25 de septiembre de 2013 y los artículos 11, 12, 13 y 15 del Acuerdo Ministerial nº 1606 publicado en Registro Oficial 776 de 15 de junio del 201 6.

El presente Acuerdo Ministerial entrará en vigencia a partir de su publicación en el Registro Oficial.

Dado en el Distrito Metropolitano de Quito, a 20 de septiembre de 2019.

Lcdo.  Andrés Michelena Ayala. MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN.

ANEXO.- ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACION  (EGSI)

Versión 2.0

«El Sistema de Gestión de Seguridad de la Información de las Instituciones Públicas de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva -APCID-«

INTRODUCCIÓN

Los avances de las Tecnologías de la Información y Comunicación (TIC) han ocasionado que los gobiernos otorguen mayor atención a la protección de sus activos de información con el fin de generar confianza en la ciudadanía, en sus propias instituciones y minimizar riesgos derivados de vulnerabilidades y amenazas informáticas.

El presente documento, denominado Esquema Gubernamental de Seguridad de la Información (EGSI), está basado en las normas técnicas ecuatorianas «/NEN /SO/IEC 27000», para la Gestión de la Seguridad de la Información y está dirigido a las Instituciones de la Administración Pública Central e Institucional y que depende de la Función Ejecutiva – APCID -.

El EGSI establece un conjunto de recomendaciones para la Gestión de la Seguridad de la Información y ejecuta un proceso de mejora continua en las instituciones de la Administración Pública. El EGSI no reemplaza a las normas técnicas ecuatorianas INEN ISO/IEC 27000.

La implementación del EGSI procura incrementar la seguridad de la información en las instituciones públicas, así como alcanzar la confianza de los ciudadanos en la Administración Pública.

«El Esquema Gubernamental de Seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos de seguridad de la Información y la selección de controles para el tratamiento de los riesgos identificados»

GUÍA PARA LA IMPLEMENTACIÓN DEL ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN (NTE INEN ISO/IEC 27001 :2017)

INTRODUCCIÓN

Esta guía se ha preparado para proporcionar los requisitos para establecer, implementar y mantener el mejoramiento continuo del Esquema Gubernamental de Seguridad de la Información, que pretende ser el Sistema de Gestión de Seguridad en las instituciones Públicas de la APCID.

El establecimiento y la implementación del Esquema Gubernamental de Seguridad de la Información, están influenciados por las necesidades y objetivos de la institución, los requisitos de seguridad, los procesos utilizados, el tamaño y estructura de la institución.

El Esquema Gubernamental de Seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos de seguridad de la información y la selección de controles para el tratamiento de los riesgos identificados.

OBJETIVO

Brindar los primeros lineamientos para que las instituciones de la APCID inicien con la implementación del Esquema Gubernamental de Seguridad de la Información.

ESTRUCTURA ORGANIZACI0NAL DE SEGURIDAD DE LA INFORMACIÓN EN LAS INSTITUCIONES DE LA APCID

La asignación de responsabilidades se definió en los artículos 5, 6, 7 y 8 del acuerdo ministerial, sin embargo, en esta guía se esclarece la estructura organizacional en materia seguridad de la información en las instituciones públicas de la APCID. A continuación, se presenta las 2 figuras o roles que son base para el trabajo en seguridad de la información, estableciendo las responsabilidades que cada uno debería tener.

Queda abierto el realizar ampliaciones en cada institución, a las responsabilidades definidas, de manera que se adapte a cada realidad particular y se cumpla con la implementación del EGSI.

Oficial de Seguridad de la Información (OSI)

El Comité de Seguridad de la Información (CSI) designará al interior de su Institución a un funcionario como Oficial de Seguridad de la Información (OSI).

El Oficial de Seguridad debe tener conocimiento en Seguridad de la Información y Gestión de Proyectos, podrá ser si existiere el responsable de la Unidad de Seguridad de la Información, se recomienda que no pertenezca al área de Tecnologías de la Información.

El Oficial de Segundad de la Información, será el responsable de coordinar las acciones del Comité de Seguridad de la Información y de impulsar la implementación y cumplimiento del Esquema Gubernamental de Seguridad de la Información. Es recomendable que el oficial de Seguridad de la Información sea un miembro independiente de las áreas de tecnología o sistemas, puesto que deberá mantener su independencia para observar las necesidades de seguridad entre la estrategia de la institución y tecnología.

Es importante que este funcionario cuente con la aceptación y apoyo de todas las áreas de la institución, es por esto que a la hora de elegir al funcionario que lleve adelante este rol es necesario que sea elegido en consenso.

Cualidades como: liderazgo, capacidad para lograr acuerdos, aceptación de sus pares, poder de gestión: son fundamentales para llevar con éxito la tarea de Oficial de Seguridad de la Información -OSI-.

Dentro de sus principales responsabilidades se encuentra:

a) Identificar todas las personas o instituciones públicas o privadas, que de alguna forma influyen o impactan en la implementación del EGSI:

• Identificar convenientemente las partes interesadas relacionadas con el negocio y en especial con la seguridad de la información.

• Identificar los requisitos / necesidades de las partes interesadas.

• Identificar   los   canales   de   comunicación con las partes interesadas especialmente con las autoridades y grupos de interés especiales.

• Ejercer una labor de coordinación con las tareas y medios de protección de datos personales.

b) Generar propuestas para la elaboración de la documentación esencial del Esquema Gubernamental de Seguridad de la Información (EGSI):

• Política de Seguridad de la información

• Política de control de la Documentación

• Política de control de accesos

• Uso aceptable de /os activos

• Evaluación de riesgos

• Metodología de tratamiento de riesgos

• Declaración de aplicabilidad

• Plan de tratamiento de riesgos

• Política de revisión y actualización de la documentación

e) Asesorar a los funcionarios en la ejecución del Estudio de Gestión de Riesgos de Seguridad de la Información en las diferentes áreas:

• Formación interna a los funcionarios propietarios de los activos de información, para que colaboren en la realización de la evaluación de riesgos

• Coordinar el proceso de evaluación del riesgo.

• Proponer la selección de controles para el tratamiento del riesgo.

• Proponer plazos de aplicación para los controles.

d) Elaborar el Plan de concienciación en Seguridad de la Información basado en el Esquema Gubernamental de Seguridad de la Información (EGSI):

• Preparar el plan de formación y concienciación para la seguridad de la información y el cumplimiento del EGSI.

• Realizar actividades contínuas relacionadas con la concienciación.

• Planificar charlas de Seguridad de Información para nuevos funcionarios.

• Plan de medidas disciplinarias para violaciones a la seguridad de la Información.

e) Elaborar un plan de seguimiento y control de la implementación de las medidas de mejora o acciones correctivas:

• Plan de control de implementación de las medidas de me1ora o acciones correctivas.

• Control de la efectividad de las medidas adoptadas

f) Coordinar la elaboración del Plan de Continuidad de Seguridad de la Información:

• Coordinar la elaboración de un plan de continuidad de seguridad de la información.

• Coordinar la revisión del plan con ejercicios y pruebas.

• Verificar los planes de recuperación después de incidentes.

g) Orientar y generar un procedimiento adecuado para el manejo de los incidentes de seguridad de la información detectados o reportados.

h) Coordinar la gestión de incidentes de seguridad con nivel de criticidad alto a través de otras instituciones gubernamentales.

i) Mantener la documentación de la implementación del EGSI debidamente organizada.

j) Verificar el cumplimiento de las normas, procedimientos y controles de seguridad institucionales establecidos.

k) Informar al Comité de Seguridad de la Información, el avance de la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI), así como las alertas que impidan su implementación:

• Plan de comunicación de los beneficios de la Seguridad de la Información

• Proponer objetivos de Seguridad de la Información

• Informe de resultados sobre indicadores medibles

• Propuestas de mejoras en la Seguridad de la Información

• Evaluación de recursos necesarios para la Seguridad de la Información

l) Previa la terminación de sus funciones el Oficial de Seguridad realizará la transferencia de la documentación e información de la que fue responsable al nuevo Oficial de Seguridad, en caso de ausencia, al Comité de Seguridad de la Información.

Comité de Seguridad de la Información (CSI)

El Comité de Seguridad de la Información (CSI), estará integrado por los responsables de las siguientes áreas o quienes haga sus veces: Talento Humano, Administrativa, Planificación y Gestión Estratégica, Comunicación Social, Tecnologías de la Información, Unidades Agregadores de Valor y el Área Jurídica participará como asesor.

Este comité tendrá reuniones bimensualmente, de manera recomendada durante el transcurso del primer año de implementación, desde la emisión del acuerdo ministerial.

Es imprescindible que desde las primeras reuniones del comité, puedan estar presentes todos los lideres/responsables de las áreas, con el fin  de estimular la aprobación de políticas y normativas en relación a la Seguridad de la Información en cada institución: en las siguientes reuniones el enfoque puede orientarse a la planificación estratégica y gestión de aspectos vinculados a la seguridad de la información, por lo que se podría delegar la participación a los representantes de las respectivas áreas involucradas.

El Comité tendrá como principales responsabilidades:

a) Gestionar la aprobación de la política y normas institucionales en materia de seguridad de la información, por parte de la máxima autoridad de la Institución.

b) Realizar el seguimiento de los cambios significativos de los riesgos que afectan a los recursos de información frente a las amenazas más importantes.

c) Tomar conocimiento y supervisar la investigación y mon1toreo de los incidentes relativos a la seguridad de la información, con nivel de impacto alto.

d) Coordinar la implementación de controles específicas de seguridad de la información para nuevos sistemas o servicios, en base al EGSL

e) Promover la difusión de la seguridad de la información dentro de la institución.

f) Coordinar el proceso de gestión de la continuidad de la operación de los servicios y sistemas de información de la institución frente a incidentes de seguridad imprevistos.

g) El comité deberá convocarse trimestralmente o cuando las circunstancias lo ameriten. se deberá llevar registros y actas de las reuniones.

h) Informar a la máxima autoridad los avances de la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI).

i) Reportar a la máxima autoridad las alertas que impidan la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI).

J) Recomendar a la máxima autoridad mecanismos que viabilicen la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI).

Para lograr el objetivo planteado con la Implementación del Esquema Gubernamental de Seguridad de la Información – EGSI -, es decir que la implementación sea orientada como un Sistema de Gestión de Seguridad de la Información (SGSI), es primordial conocer los principios, beneficios, modelo, entre otros aspectos de un SGSI.

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

El Sistema de Gestión de Seguridad de la Información es el elemento más importante de la norma ISO 27001, que unifica los criterios para la evaluación de los riesgos asociados al manejo de la información institucional.

PRINCIPIOS

El Sistema de Gestión de Seguridad de la Información tiene como objetivo preservar la confidencialidad, integridad y disponibilidad de la información

[…]

Figura nº 1 PRINCIPIOS DE LA S.I , Fuente: https:lnfosegur.wordpress.comtag/disponibilidad/

• Confidencialidad: La información solo tiene que ser accesible o divulgada a aquellos que están autorizados.

• Integridad: La información debe permanecer correcta (integridad de datos) y como el emisor la originó (integridad de fuente) sin manipulaciones por terceros.

• Disponibilidad: La información debe estar siempre accesible para aquellos que estén autorizados.

BENEFICIOS

Entre los beneficios relevantes de un SGSI podemos citar los siguientes:

•             Establece una metodología de Gestión de la Seguridad estructurada y clara.

•             Reduce el riesgo de pérdida, robo o integridad de la información sensible.

•             Los riesgos y los controles son continuamente revisados.

•             Se garantiza la confianza de los usuarios en los servicios institucionales.

•             Facilita la integración con otros sistemas de gestión.

•             Se garantiza la continuidad de negocio tras un incidente grave.

•             Cumple con la legislación vigente sobre información personal, propiedad intelectual y otras.

•             La imagen de la institución mejora.

•             Aumenta la confianza y las reglas claras para los miembros de la institución.

•             Reduce los costes y la mejora de los procesos y el servicio.

•             Se incrementa la motivación y la satisfacción del personal.

•             Aumenta la seguridad en base la gestión de procesos en lugar de una compra sistemática de productos y tecnologías.

CICLO DE VIDA (modelo POCA)

Es recomendable que los sistemas de gestión sean desarrollados bajo la metodología de la «mejora continua» o ciclo de Deming, conocido como círculo POCA, del inglés Plan-Do-Check-Act.

[…]

Figura nº 2 MODELO POCA, Fuente:  https://www jacquelinebetancourt.com/single­ post/2019/03/04/Mejora-Continua-Excelencia-a-nuestro-alcance

La relación que existe entre el modelo POCA Y La ISO 27001 :2013 se presenta a continuación:

 […]

Figura nº 3, ESTRUCTURA PDCA·IS027001, Fuente: elaboración propia

PROCESO PDCA ASOCIADO AL ESTANDAR INTERNACIONAL ISO 27001

[…]

Figura nº 4, PROCESO PDCA-18027001, Fuente: http://www.iso27000.es/sgsi.html

«La adecuada Gestión de los Riesgos en Seguridad de la Información, conllevará a una efectiva implantación de un Sistema de Gestión de Seguridad de la Información.

Sólo una vez identificado los riesgos existentes, permitirá aplicar los controles necesarios para su tratamiento»

GUÍA PARA LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

(NTE-INEN ISO/EC 27005,2008 & MAGERIT)

INTRODUCCIÓN

La revolución digital ha generado que las organizaciones a nivel mundial tomen mayor atención a la información, actor principal de este proceso de cambio. Este proceso ha permitido establecer nuevas alianzas y acortar distancias entre naciones, donde el internet cumple un papel fundamental en la comunicación

En términos de gestión de riesgos de seguridad de la información, el activo a proteger es la información, tanto de información digital, contenida en los sistemas de información como aquella contenida en cualquier otro medio como por ejemplo el papel. Debemos tener presente que la gestión debe ocuparse de todo el ciclo de vida de la información.

Es necesario un enfoque sistemático para la gestión del riesgo en la seguridad de la información para identificar las necesidades de la organización con respecto a los requisitos de seguridad de la información y para crear un eficaz sistema de gestión de la seguridad de la información – SGSI -.

Este enfoque debe ser adecuado para el entorno de la institución y, en particular, debería cumplir los lineamientos de toda la gestión del riesgo de la institución.

Los esfuerzos de seguridad deben abordar los riesgos de una manera eficaz y oportuna donde y cuando sean necesarios. La gestión del riesgo de la seguridad de la información debe ser una parte integral de todas las actividades de la gestión de la seguridad de la información y se deben aplicar tanto a la implementación como al funcionamiento continuo de un SGSI.

La gestión del riesgo de la seguridad de la información debe ser un proceso continuo. Tal proceso debe establecer el contexto, evaluar los riesgos, tratar los riesgos utilizando un plan de tratamiento para implementar las recomendaciones y decisiones.

«La gestión del nesgo analiza lo que puede suceder y cuáles pueden ser las posibles consecuencias, antes de decidir lo que se debe hacer y cuando hacerlo, con el fin de reducir el riesgo hasta un nivel aceptable'».

CONCEPTOS  BÁSICOS

La información es el activo principal pero también debemos considerar: infraestructura informática, equipos auxiliares, redes de comunicaciones, instalaciones y personas.

Cuando hablamos de seguridad de la información hablamos de protegerla de riesgos que puedan afectar a una o varias de sus tres principales propiedades:

•             Confidencialidad: La información solo tiene que ser accesible o divulgada a aquellos que están autorizados.

•             Integridad La información debe permanecer correcta (integridad de datos) y como el emisor la originó (integridad de fuente) sin manipulaciones por terceros.

•             Disponibilidad:  La información debe estar siempre  accesible  para aquellos que estén autorizados.

[…]

Figura nº 1 PRINCIPIOS DE LA S.I., Fuente: ttps://infosegur.wordpress.com/tag/disponibilidad/

Para facilitar el proceso de análisis y valoración de los riesgos es importante entender algunos conceptos básicos:

Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias.

Amenaza. causa potencial de un incidente no deseado, que puede resultar en un daño a un sistema, persona u organización.

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas.

Impacto: es la consecuencia de la materialización de una amenaza sobre un activo. El costo para la institución de un incidente de la escala que sea, que puede o no ser medido en términos estrictamente financieros (ejem.: pérdida de reputación, implicaciones legales, entre otros).

Riesgo inherente: Es el riesgo existente y propio de cada actividad, sin la ejecución de ningún control.

Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.

PROCESO PARA LA GESTIÓN DEL RIESGO DE LA SEGURIDAD DELA INFORMACIÓN

El proceso de gestión del riesgo de la seguridad de la información puede ser iterativo para las actividades de valoración del riesgo y/o de tratamiento del riesgo. Un enfoque iterativo para realizar la valoración del riesgo puede incrementar la profundidad y el detalle de la valoración en cada iteración_ El enfoque iterativo suministra un buen equilibrio entre la reducción del tiempo y el esfuerzo requerido para identificar los controles, incluso garantizando que los riesgos de impacto alto se valoren de manera correcta.

Actividades para la gestión del riesgo de la seguridad de la información:

•             Establecimiento del contexto

•             Valoración del riesgo

•             Tratamiento del riesgo

•             Aceptación del riesgo

•             Comunicación del riesgo

•             Monitoreo y revisión del riesgo

Pasos de /as actividades del proceso de gestión del riesgo:

[…]

Figura nº 2 PROCESO DE GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN,

Fuente: IS027005

ESTABLECIMIENTO DEL CONTEXTO CONSIDERACIONES GENERALES

«Se debe establecer el contexto para la gestión del riesgo de la seguridad de la información, lo cual implica establecer los criterios básicos que son necesarios para la gestión del riesgo de la seguridad de la información: definir el alcance y los límites, establecer una organización adecuada que opere la gestión del riesgo de la seguridad de la información».

CRITERIOS BÁSICOS

Dependiendo del alcance y los objetivos de la gestión del riesgo, se pueden aplicar diferentes enfoques. El enfoque también podría ser diferente para cada iteración.

Es aconsejable seleccionar o desarrollar un enfoque adecuado para la gestión del riesgo que aborde los criterios básicos tales como: criterios de evaluación del riesgo, criterios de impacto, criterios de aceptación del riesgo, entre otros_

Criterios de identificación del riesgo

Es recomendable considerar los activos de información con el valor de impacto alto para el proceso de evaluación del riesgo.

Criterios de evaluación del riesgo

Es recomendable desarrollar criterios para la evaluación del riesgo con el fin de determinar el riesgo de la seguridad de la información de la institución.

Criterios de impacto

Es recomendable desarrollar criterios de impacto del riesgo y especificarlos en términos del grado de daño o de los costos para la organización, causados por un evento de seguridad de la información.

Criterios de la aceptación del riesgo

Es recomendable desarrollar y especificar criterios de aceptación del riesgo. Estos criterios dependen con frecuencia de las políticas, metas, objetivos de la institución y de las partes interesadas.

Las instituciones pueden definir sus propias escalas para \os niveles de aceptación del riesgo.

ALCANCE Y LÍMITES

Es necesario definir el alcance del proceso de gestión del riesgo de la seguridad de la información, con el fin de garantizar que todos los activos relevantes se toman en consideración en la valoración del riesgo. Además, es necesario identificar los límites para abordar aquellos riesgos que se pueden presentar al establecer estos límites.

Los ejemplos del alcance de la gestión del riesgo pueden ser una aplicación de tecnología de la información, infraestructura de tecnología de la información, un proceso del negocio o una parte definida de la institución

»El alcance y los límites de la gestión del riesgo de la seguridad de la información se relacionan con el alcance y Jos límites del Esquema Gubernamental de Seguridad de la información            – EGSI-“

ORGANIZACIÓN PARA LA GESTIÓN DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN

Se recomienda establecer y mantener la organización y las responsabilidades en el proceso de gestión del riesgo y la seguridad de la información definidas en el acuerdo ministerial.

Esta organización para la gestión del riesgo, debería ser aprobada por la máxima autoridad de cada institución.

VALORACIÓN DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN

«Los riesgos se deberían identificar, describir cuantitativa o cualitativamente y priorizar frente a los criterios de evaluación del riesgo y los objetivos relevantes para la institución»

Un riesgo es una combinación de las consecuencias que se presentarían después de la ocurrencia de un evento indeseado y de su probabilidad de ocurrencia. La valoración del riesgo cuantifica o describe cualitativamente el riesgo y permite a los propietarios de los activos priorizar los riesgos de acuerdo con su gravedad percibida u otros criterios establecidos.

«En este proceso se obtiene toda la información necesaria para conocer, valorar y priorizar los riesgos»

La valoración del riesgo consta de las siguientes actividades:

•             Análisis del riesgo

o             Identificación del riesgo

o             Estimación del riesgo

•             Evaluación del riesgo

ANÁLISIS DEL RIESGO

Identificación del riesgo

Consiste en determinar qué puede provocar pérdidas a la institución. La identificación del riesgo consta de las siguientes actividades:

•             Identificación de los activos

•             Identificación de las amenazas

•             Identificación de vulnerabilidades

•             Identificación de la existencia de controles.

Identificación de los activos

Un activo es todo aquello que tiene valor para la organización y que, por lo tanto, requiere de protección. Para la identificación de los activos se recomienda tener en cuenta que el sistema de información consta de más elementos que sólo hardware y software.

Se debería identificar al propietario de cada activo, para asignarle la responsabilidad y rendición de cuentas sobre éste. El propietario del activo puede no tener derechos de propiedad sobre el activo, pero tiene la responsabilidad de su producción, desarrollo, mantenimiento, uso y seguridad, según corresponda. El propietario  del  activo  con frecuencia es la persona más idónea para determinar el valor que el activo tiene  para la organización

» La identificación de los activos es un punto clave para la identificación de las amenazas, vulnerabilidades, y determinar el nivel de riesgo o exposición de los activos y la selección de controles para mitigarlos»

De este proceso se genera una lista de los activos que van a estar sometidos a gestión del riesgo, y una lista de los procesos del negocio relacionados con los activos y su importancia.

Para realizar la valoración de los activos, es necesario que la institución identifique primero sus activos (con un grado adecuado de detalles). De manera general se pueden diferenciar dos clases de activos:

Los activos primarios:

–              Actividades y procesos del negocio.

–              Información.

Los activos de soporte (de los cuales dependen los elementos primarios del alcance) delodos los tipos:

–              Hardware.

–              Software.

–              Redes.

–              Personal.

–              Ubicación.

–              Estructura de la organización

Ejemplo de identificación de activos

[…]