Acuerdo 000066: Confórmese el Comité de Gestión de la Seguridad de la Información (CSI) y emítese la política de seguridad de la información, de acuerdo al Esquema Gubernamental de Seguridad de la Información (EGSI)

Ministerio de Inclusión Económica y Social

Registro Oficial 475 (2015)
8 de Abril de 2015

Ing. Ana Beatriz Tola Bermeo

MINISTRA DE INCLUSIÓN ECONÓMICA Y SOCIAL

Considerando

Que, la Constitución de la República del Ecuador en su artículo 154 numeral 1, determina que les corresponde "a las Ministras y Ministros de Estado, además de las atribuciones establecidas en la ley, ejercer la rectoría de las políticas públicas del área a su cargo y expedir los acuerdos y resoluciones administrativas que requiera su gestión";

Que, el artículo 226 de la Constitución de la República del Ecuador, determina que: “las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley. Tendrán el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución”;

Que, el artículo 227 de la Constitución de la República del Ecuador, establece que: “la Administración Pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación”;

Que, el artículo 18 numerales 1 y 2 de la Constitución de la República del Ecuador, manifiesta: “Todas las personas, en forma individual o colectiva, tienen derecho a:

1. Buscar, recibir, intercambiar, producir y difundir información veraz, verificada, oportuna, contextualizada, plural, sin censura previa acerca de los hechos, acontecimientos y procesos de interés general, y con responsabilidad ulterior.

2. Acceder libremente a la información generada en entidades públicas, o en las privadas que manejen fondos del Estado o realicen funciones públicas. No existirá reserva de información excepto en los casos expresamente establecidos en la ley. En caso de violación a los derechos humanos,ninguna entidad pública negará la información”;

Que, el artículo 35 de la Ley de Modernización del Estado, establece que: “cuando la conveniencia institucional lo requiera, los máximos personeros de las instituciones del estado dictarán acuerdos, resoluciones u oficios que sean necesarios para delegar sus atribuciones”;

Que, el artículo 1 de la Ley Orgánica de Transparencia y Acceso a la Información, señala: “Principio de Publicidad de la Información Pública.- El acceso a la información pública es un derecho de las personas que garantiza el Estado.

Toda la información que emane o que esté en poder de las instituciones, organismos y entidades, personas jurídicas de derecho público o privado que, para el tema materia de la información tengan participación del Estado o sean concesionarios de éste, en cualquiera de sus modalidades, conforme lo dispone la Ley Orgánica de la Contraloría General del Estado; las organizaciones de trabajadores y servidores de las instituciones del Estado, instituciones de educación superior que perciban rentas del Estado, las denominadas organizaciones no gubernamentales (ONGs), están sometidas al principio de publicidad; por lo tanto, toda información que posean es pública, salvo las excepciones establecidas en esta Ley”;

Que, el artículo 5 de la Ley Orgánica de Trasparencia y Acceso a la Información, establece: “Información Pública.- Se considera información pública, todo documento en cualquier formato, que se encuentre en poder de las instituciones públicas y de las personas jurídicas a las que se refiere esta Ley, contenidos, creados u obtenidos por ellas, que se encuentren bajo su responsabilidad o se hayan producido con recursos del Estado”;

Que, el artículo 17 del Estatuto de Régimen Jurídico y Administrativo de la Función Ejecutiva, señala que: "los Ministros de Estado son competentes para el despacho de todos los asuntos inherentes a sus ministerios sin necesidad de autorización alguna del Presidente de la República, salvo a los casos expresamente señalados en leyes especiales. Los Ministros de Estado, dentro de la esfera de su competencia, podrán delegar sus atribuciones y deberes al funcionario inferior jerárquico de sus respectivos Ministerios, cuando se ausente en comisión de servicios al exterior o cuando lo estimen conveniente, siempre y cuando las delegaciones que concedan no afecten a la buena marcha del Despacho Ministerial...";

Que, el artículo 10-1 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva, señala: “FORMAS DE LAS ENTIDADES QUE INTEGRAN LA FUNCION EJECUTIVA: La Función Ejecutiva, además de los organismos definidos y desarrollados en los artículos posteriores, podrá contar de manera general con los siguientes tipos de entidades:(…)c) Comité.- Cuerpo colegiado interinstitucional, cuyas funciones son de coordinación estatal y gubernamental, sobre temas específicos;(…)”;

Que, mediante Acuerdo Ministerial No. 166 de 19 de septiembre de 2013, publicado en el Registro Oficial Segundo Suplemento No. 88 de fecha 25 de septiembre de 2013, la Secretaría Nacional de la Administración Pública, dispuso a las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva el uso obligatorio de las Normas Técnicas Ecuatorianas NTE INEN-ISO/lEC 27000 para la Gestión de Seguridad de la Información;

Que, el literal b) del subnumeral 1.1 del Esquema Gubernamental de Seguridad de la Información (EGSI), establece la obligatoriedad de la emisión de una Política de Seguridad;

Que, el literal c) del subnumeral 2.1 del Esquema Gubernamental de Seguridad de la Información (EGSI) determina que como compromiso de la máxima autoridad de la institución con la seguridad de la información debe: “conformar oficialmente el Comité de Gestión de la Seguridad de la Información de la institución (CSI) y designar a los integrantes.”;

Que, mediante Acuerdo Ministerial No. 154 de 08 de enero de 2013, publicado en el Registro Oficial No. 415 de fecha 21 de marzo de 2013, se expidió el Estatuto Orgánico por Procesos del Ministerio de Inclusión Económica y Social el cual en el numeral 3 del artículo 9 establece como atribución del Ministerio de Inclusión Económica y Social: “Expedir acuerdos, normas técnicas y demás normas secundarias necesarias para la organización institucional y cumplimiento de los objetivos ministeriales”;

Que, el Presidente Constitucional de la República del Ecuador, mediante Decreto Ejecutivo No. 317 de fecha 12 de mayo de 2014, designó a la Ingeniera Ana Beatriz Tola Bermeo, Ministra de Inclusión Económica y Social;

Que, se considera que la información es un recurso que, como el resto de los activos, tiene valor para el Ministerio de Inclusión Económica y Social y por consiguiente debe ser debidamente protegida. En este sentido, las Políticas de Seguridad de la Información protegen a la misma de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el eficiente cumplimiento de los objetivos del Ministerio de Inclusión Económica y Social;

En uso de las atribuciones conferidas en el artículo 154 numeral 1 de la Constitución de la República del Ecuador y el artículo 17 del Estatuto del Régimen Jurídico Administrativo de la Función Ejecutiva;

Acuerda:

CONFORMAR EL COMITÉ DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (CSI) Y EMITIR LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL MINISTERIO DE INCLUSIÓN ECONÓMICA Y SOCIAL DE ACUERDO AL ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN (EGSI)

CAPÍTULO I

DEL ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN (EGSI)

Artículo 1.- Disponer la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI) (constante en el anexo del Acuerdo Ministerial No. 166 de fecha 19 de septiembre de 2013, publicado en el Registro Oficial Segundo Suplemento No. 88 de fecha 25 de septiembre de 2013) en el Ministerio de Inclusión Económica y Social, que está basado en la norma técnica ecuatoriana INEN ISO/IEC 27002 para Gestión de la Seguridad de la Información y está dirigido a las instituciones de la Administración Pública Central, Dependiente e Institucional. El EGSI establece un conjunto de directrices prioritarias para Gestión de Seguridad de la Información e inicia un proceso de mejora continua en las instituciones de la Administración Pública.

CAPÍTULO II

DEL COMITÉ DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (CSI)

ARTÍCULO 2.- DEFINICIÓN DEL COMITÉ DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (CSI).-

Denomínese Comité de Gestión de la Seguridad de la Información (CSI) al cuerpo integrado por representantes de diferentes áreas del MIES, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad de la información dentro de la institución.

ARTÍCULO 3.- OBJETO DEL COMITÉ DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (CSI).-

El Comité de Seguridad de la Información (CSI) Involucra la participación y cooperación de los cargos directivos del MIES; es el responsable de la definición, revisión y aprobación de las políticas, normas y procedimientos relacionados con la seguridad de la información e igualmente velará por la implantación y cumplimiento de los mismos.

ARTÍCULO 4.- CONFORMACIÓN DEL COMITÉ DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (CSI).-

El Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y Social está conformado por los siguientes servidores:

a) Director/a de Administración de Procesos, o quien hiciera sus veces;

b) Director/a de Tecnologías de la Información, o quien hiciera sus veces;

c) Analista de Tecnologías designado por el/la Director/a de Tecnologías de la Información como Líder de Infraestructura Tecnológica;

d) Director/a Administrativo/a;

e) Director/a de Administración de Datos;

f) Director/a de Talento Humano;

g) Director/a de Cambio de Cultura Organizacional;

h) Director/a de Infraestructura;

i) Un delegado/a permanente de la Coordinación General de Gestión del Conocimiento;

j) Un delegado/a permanente de la Coordinación General de Asesoría Jurídica; y,

k) Un delegado/a permanente de la Dirección de Secretaría General.

ARTÍCULO 5.- ESTRUCTURA INTERNA DEL COMITÉ DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (CSI).-

El Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y Social está estructurado de la siguiente manera: el Oficial de Seguridad de la Información (OSI), el Responsable de Seguridad del Área de Tecnologías de la Información, Vocales y un Secretario, todos con derecho a voz y voto. Estará presidido por el Oficial de Seguridad de la Información (OSI), designado conforme al artículo 7 del presente Acuerdo; actuará como secretario/a el/la delegado/a permanente de la Dirección de Secretaría General; y actuarán como vocales los demás miembros que conforman el Comité.

ARTÍCULO 6.- DEFINICIÓN DEL OFICIAL DE SEGURIDAD DE LA INFORMACIÓN (OSI).-

El Oficial de Seguridad de la Información (OSI) del Ministerio de Inclusión Económica y Social es el responsable directo del mantenimiento de la Política de Seguridad de la Información Institucional, así como también de coordinar, planificar, promover y reportar el cumplimiento de la directrices priorizadas del Esquema Gubernamental de Seguridad de la Información (EGSI).

ARTÍCULO 7.- DESIGNACIÓN DEL OFICIAL DE SEGURIDAD DE LA INFORMACIÓN (OSI).-

El Oficial de Seguridad de la Información (OSI) del Ministerio de Inclusión Económica y Social será el/la Director/a de Administración de Procesos, o quien hiciera sus veces.

ARTÍCULO 8.- DEFINICIÓN DEL RESPONSABLE DE SEGURIDAD DEL ÁREA DE TECNOLOGÍAS DE LA INFORMACIÓN.-

El Responsable de Seguridad del Área de Tecnologías de la Información es el encargado de asegurar que los lineamientos para el uso de los recursos tecnológicos para la generación, procesamiento y administración de información consideren los requerimientos de seguridad establecidos en el Ministerio de Inclusión Económica y Social, tomando en cuenta la criticidad de la información a procesar y las directrices establecidas en el Esquema Gubernamental de Seguridad de la Información (EGSI).

ARTÍCULO 9.- DESIGNACIÓN DEL RESPON- SABLE DE SEGURIDAD DEL ÁREA DE TECNOLOGÍAS DE LA INFORMACIÓN.-

El Responsable de Seguridad del Área de Tecnologías de la Información del Ministerio de Inclusión Económica y Social será el/la Analista de Tecnologías designado por el Director/a de Tecnologías de la Información como Líder de Infraestructura Tecnológica.

ARTÍCULO 10.- ALCANCE DEL COMITÉ DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (CSI).-

El alcance de las resoluciones del Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y Social, será para todas las áreas involucradas en la gestión de la seguridad de la información, en todos los niveles de desconcentración.

CAPÍTULO III

DE LAS ATRIBUCIONES

ARTÍCULO 11.- ATRIBUCIONES DEL COMITÉ DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (CSI).-

Son atribuciones del Comité de Gestión de la Seguridad de la Información (CSI) aquellas que están determinadas en el subnumeral 2.2 del Esquema Gubernamental de Seguridad de la Información (EGSI), que se encuentra anexo al Acuerdo Ministerial No. 166 de fecha 19 de septiembre de 2013 de la Secretaría Nacional de la Administración Pública, publicado en el Registro Oficial Segundo Suplemento No. 88 de fecha 25 de septiembre de 2013. Además de las atribuciones expresamente señaladas en el Esquema Gubernamental de Seguridad de la Información (EGSI), deberá:

a) Presentar a la Máxima Autoridad del Ministerio de Inclusión Económica y Social informes trimestrales sobre la Gestión de la Seguridad de la Información en la institución, y particularmente sobre el seguimiento y la puesta en marcha del conjunto de directrices priorizadas del Esquema Gubernamental de Seguridad de la Información (EGSI). En los casos requeridos por la Máxima Autoridad o por entes reguladores, estos informes serán presentados en los plazos establecidos por los mismos.

b) Preparar y poner en consideración de la Máxima Autoridad del Ministerio de Inclusión Económica y Social las disposiciones relativas a la Seguridad de la Información para que sean oficializadas en la institución.

c) Implementar en coordinación con la Dirección de Cambio de Cultura Organizacional campañas perió- dicas de difusión del Esquema Gubernamental de Seguridad de la Información (EGSI), y de sensibilización respecto de la seguridad de la información en el MIES.

d) Todas las demás que le sean delegadas por la Máxima Autoridad o por entes reguladores.

ARTÍCULO 12.- ATRIBUCIONES DEL OFICIAL DE SEGURIDAD DE LA INFORMACIÓN (OSI).-

Las atribuciones del Oficial de Seguridad de la Información (OSI) son aquellas que están determinadas en el subnumeral 2.3 del Esquema Gubernamental de Seguridad de la Información (EGSI), que se encuentra anexo al Acuerdo Ministerial Nro. 166 de fecha 19 de septiembre de 2013 de la Secretaría Nacional de la Administración Pública, publicado en el Registro Oficial Segundo Suplemento Nro. 88 de fecha 25 de septiembre de 2013.Además de las atribuciones expresamente señaladas en el Esquema Gubernamental de Seguridad de la Información (EGSI), deberá:

a) Presidir el Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y Social (MIES).

b) Convocar a sesiones ordinarias y extraordinarias a través del Secretario del Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y Social.

c) Ser el voto dirimente cuando exista un empate en la votación.

d) Las demás que se deriven de la naturaleza de su cargo.

ARTÍCULO 13.- ATRIBUCIONES DEL RESPONSABLE DE SEGURIDAD DEL ÁREA DE TECNOLOGÍAS DE LA INFORMACIÓN.-

Las atribuciones del Responsable de Seguridad del Área de Tecnologías de la Información son aquellas que están determinadas en el subnumeral 2.3 del Esquema Gubernamental de Seguridad de la Información (EGSI), que se encuentra anexo al Acuerdo Ministerial Nro. 166 de fecha 19 de septiembre de 2013 de la Secretaría Nacional de la Administración Pública, publicado en el Registro Oficial Segundo Suplemento Nro. 88 de fecha 25 de septiembre de 2013.

ARTÍCULO 14.- ATRIBUCIONES DEL SECRE- TARIO DEL COMITÉ.-

El Secretario del Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y Social, tendrá las siguientes atribuciones:

a. Elaborar las actas del Pleno, dando fe de su veracidad y contenido, con el visto bueno del Oficial de Seguridad de la Información (OSI).

b. Mantener y custodiar el archivo del Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y Social, que contendrá las convocatorias, las órdenes del día, los listados de asistencia, los informes, las actas de sesiones, y otros documentos relacionados a la gestión del Comité.

c. Expedir certificaciones de las actas del Comité, cuando sea debidamente requerido.

d. En el caso de someter un tema a votación, computar y verificar los votos, y proclamar los resultados, por orden del Oficial de Seguridad de la Información (OSI).

e. Requerir de los miembros del Comité, las propuestas que tengan para la elaboración del orden del día.

f. Preparar el orden del día y presentarlo para la respectiva aprobación del Oficial de Seguridad de la Información (OSI).

g. Redactar y difundir las convocatorias a las sesiones previamente requeridas por el Oficial de Seguridad de la Información (OSI), las que se realizarán de manera formal y deberán contener el orden del día, el lugar y la documentación sobre los temas a tratar.

b) Las demás que se deriven de la naturaleza de su cargo, y de aquellas asignadas por el Oficial de Seguridad de la Información (OSI).

ARTÍCULO 15.- ATRIBUCIONES DE LOS VOCALES DEL COMITÉ.-

Corresponden a los Vocales del Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y Social las siguientes atribuciones:

a) Proponer al Secretario del Comité los temas a ser tratados por el Comité.

b) Analizar los temas que son materia del orden del día de las sesiones del Comité.

c) Participar activamente en el análisis y discusión de los temas tratados en las reuniones del Comité y cumplir con las comisiones que les sean encomendadas.

d) Proponer acciones de planificación, programación, capacitación, y de cualquier oportunidad de mejora en la gestión de la seguridad de la información institucional.

e) Respaldar de manera documentada y motivada las decisiones del Comité.

f) Asegurar el cumplimiento de las decisiones del

Comité, en el ámbito de su competencia.

g) Socializar a los servidores del /las área/s de trabajo involucrada/s en la ejecución de las decisiones del Comité.

h) Asistir a las sesiones que fueren convocados.

i) Las demás que determine el Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y Social.

CAPÍTULO IV

DE LAS CONVOCATORIAS, SESIONES, PROCEDIMIENTO, QUÓRUM Y OBLIGACIONES

ARTÍCULO 16.- DE LAS CONVOCATORIAS.- El Secretario del Comité, previo al cumplimiento de las formalidades establecidas en el presente reglamento y por disposición expresa del Oficial de Seguridad de la Información (OSI), convocará a las reuniones ordinarias o extraordinarias.

La convocatoria deberá realizarse de manera formal, con una antelación de al menos 48 horas para las reuniones ordinarias y de 24 horas para las reuniones extraordinarias, señalando el orden del día aprobado, la documentación de los asuntos a tratarse, la fecha, la hora y el lugar donde se efectuará la sesión.

ARTÍCULO 17.- DE LAS SESIONES.- El Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y Social, se reunirá en sesiones ordinarias y extraordinarias:

a) Sesiones Ordinarias: El Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y Social, se reunirá ordinaria- mente de manera trimestral. En dichas reuniones se abordarán los temas determinados en el orden del día que se adjuntará a la convocatoria.

b) Sesiones Extraordinarias: El Comité de Gestión de la Seguridad de la Información (CSI), podrá reunirse extraordinariamente por disposición de la Máxima Autoridad, por disposición del Oficial de Seguridad de la Información (OSI), por solicitud escrita dirigida al Oficial de Seguridad de la Información (OSI) por cualquiera de sus miembros, o por imposibilidad de instalar la sesión ordinaria. Y se tratará asuntos puntuales considerados emergentes o impostergables.

ARTÍCULO 18.- DEL PROCEDIMIENTO PARA LAS SESIONES.- Las sesiones del Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y Social, se llevarán a cabo tomando en cuenta las siguientes directrices:

a) Constatación del quórum presente, por parte del Secretario.

b) Instalación de la reunión por parte del Oficial de Seguridad de la Información (OSI).

c) Lectura del orden del día a cargo del Secretario, y aprobación de los miembros del Comité.

d) Lectura del acta de la reunión anterior, a cargo del Secretario, y aprobación por parte de los miembros del Comité.

e) Tratamiento, análisis y resolución de los temas definidos en el orden del día, con la participación y propuestas de todos los miembros del Comité.

f) Las propuestas serán puestas a consideración del pleno, y de ser necesario se tomará votación para la aprobación o negación. La aprobación se dará por mayoría simple.

g) Asuntos varios propuestos por los miembros del Comité, en sesiones ordinarias. h) Conclusión de la reunión.

ARTÍCULO 19.- QUÓRUM.-Para la instalación de las sesiones ordinarias o extraordinarias, se requerirá la presencia de al menos la mitad más uno de sus miembros integrantes. En el caso de no reunir el quórum necesario, la convocatoria tendrá un tratamiento de sesión extraordinaria, contemplado en el artículo 17 del presente Acuerdo.

Toda sesión iniciará a la hora determinada en la convocatoria, y de no agotarse el tratamiento del orden del día, el Oficial de Seguridad de la Información (OSI) podrá suspender la sesión y convocarla para nueva fecha no mayor a 5 días en el caso de una sesión ordinaria y no mayor a 2 días en el caso de una sesión extraordinaria, en la que se continuará el tratamiento del orden del día, con los miembros que asistan a la sesión sin que exista un quórum mínimo.

ARTÍCULO 20.- ACTAS DE LAS SESIONES.- Los resultados de cada sesión se registrarán en la denominada “Acta de Sesión”, que contendrá el lugar, fecha y hora de instalación, nómina de asistentes, orden del día, los temas tratados, intervenciones, resoluciones por cada punto, hora de conclusión y la firma de todos los asistentes.

ARTÍCULO 21.- AUSENCIAS Y SUPLENCIAS.- En caso de impedimento para asistir a una sesión por parte de los miembros del Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y Social, justificarán su ausencia por escrito al Oficial de Seguridad de la Información (OSI), pudiendo designar un suplente que lo represente con voz y voto, en esa ocasión.

ARTÍCULO 22.- INVITADOS A LAS SESIONES.- Previa autorización del Oficial de Seguridad de la Información (OSI) del Ministerio de Inclusión Económica y Social, podrán ser invitadas a participar de las reuniones personas ajenas al mismo, siempre y cuando su presencia sea relevante para los temas a tratar.

CAPÍTULO V

DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL MINISTERIO DE INCLUSIÓN ECONÓMICA Y SOCIAL

ARTÍCULO 23.- OBJETO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL MIES.-Proteger la información del Ministerio de Inclusión Económica y Social (MIES) y los recursos tecnológicos utilizados para su creación, procesamiento y adminis- tración, frente a amenazas internas o externas, intencionales o no, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información; implementando mecanismos que garanticen su autenticidad, que sea auditable, que no pueda ser duplicada para fines ajenos a los institucionales y que sus accesos no puedan ser repudiados.

ARTÍCULO 24.- ALCANCE DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL MIES.-

La Política de Seguridad de la Información debe ser conocida y cumplida por todos los funcionarios del Ministerio de Inclusión Económica y Social (MIES), sea cual fuere su nivel jerárquico. Por tanto, su aplicación es obligatoria, inclusive por proveedores externos vinculados a la institución a través de contratos, convenios o acuerdos; y, con apego a la definición de roles y perfiles relacionados con el Esquema Gubernamental de Seguridad de la Información (EGSI).

ARTÍCULO 25.- CONCEPTOS Y DEFINICIONES.-Para efectos del cumplimiento de la Política de Seguridad de la Información, se entenderá por:

a) Información: Se refiere a toda representación de conocimiento en forma de datos vinculados entre sí. Pudiendo ser textual, numérica, gráfica, cartográfica, narrativa o audiovisual; almacenada en cualquier medio, ya sea magnético, en papel, en pantallas de dispositivos electrónicos u otro.

b) Sistema de Información: Se refiere a un conjunto de recursos organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información; que cumplen con determinadas características propias de la institución, así como con procedimientos que pueden ser automatizados o manuales.

c) Tecnologías de la Información: Se refiere a equipos de cómputo, aplicativos con desarrollo propio o adquiridos, medios de almacenamiento y comunicaciones, que en conjunto son operados por el Ministerio de Inclusión Económica y Social, o por un tercero, con el objetivo de procesar, almacenar y/o transmitir información para llevar a cabo una función propia de la institución.

d) Seguridad de la información: Se entiende como la preservación de las siguientes características:

i. Confidencialidad: La información es accesible únicamente a quien esté autorizado a su uso.

ii. Integridad: Salvaguarda la exactitud y la totalidad de la información y los métodos para su creación, recuperación y procesamiento.

iii. Disponibilidad: Los usuarios autorizados tienen acceso a la información y a los recursos relacionados, toda vez que lo requieran.

iv. Autenticidad: Asegura la validez de la información en tiempo, forma y distribución. Asimismo, garantiza el origen de la información al validar el emisor de ésta, para evitar suplantación de identidades.

v. Auditabilidad: Asegura que todos los eventos de un sistema deben quedar registrados, permitiendo así su control posterior, ya sea en forma automática o manual.

vi Protección a la duplicación: Asegura que una transacción sea realizada por una única vez, a menos que se especifique lo contrario.

vii. No repudio: Evitar que una entidad que haya interactuado con alguna información alegue ante terceros que no lo ha hecho.

viii. Legalidad: Garantizar el cumplimiento de las leyes, normas, reglamentos o disposiciones.

ix. Confiabilidad: La información debe ser adecuada para sustentar la toma de decisiones y la ejecución de las actividades propias de la Institución.

e) Evaluación de Riesgos:Comprende las acciones realizadas para identificar y analizar las amenazas y vulnerabilidades relativas a la información y a los medios de procesamiento de la misma, así como la probabilidad de ocurrencia y el potencial impacto a las operaciones de la institución.

f) Administración de Riesgos:Comprende el proceso de control y minimización, o la completa eliminación, de los riesgos de seguridad que podrían afectar a la información de la institución.

g) Incidente de Seguridad Informática:Es un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizados de información; un impedimento en la operación normal de las redes, sistemas o recursos informáticos; o cualquier otro acto que implique una violación a la Política de Seguridad de la Información del Ministerio de Inclusión Económica y Social.

h) Sistema de Gestión de Seguridad de la Información:Es un conjunto de políticas de administración de la información, que requiere del diseño, implementación y mantenimiento de un conjunto de procesos y procedimientos que permitan la gestión eficiente de la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de ésta, minimizando los riesgos. Un Sistema de Gestión de Seguridad de la Información debe ser eficiente a través del tiempo, adaptándose a los cambios de la Institución así como a los de su entorno.

ARTÍCULO 26.- DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL MINISTERIO DE INCLUSIÓN ECONÓMICA Y SOCIAL.-

El Ministerio de Inclusión Económica y Social (MIES), a través de la siguiente Política da a conocer a las servidoras y servidores públicos, a las instituciones de la Función Ejecutiva, a los proveedores externos vinculados a la institución a través de contratos, convenios o acuerdos, y otras partes interesadas, su convencimiento de que la Seguridad de la Información es un factor clave para el correcto desarrollo institucional.

Así mismo, El Ministerio de Inclusión Económica y Social (MIES) considera que la Gestión de la Seguridad de la Información, es uno de los pilares en los que se fundamentan las actividades de la Institución, siendo éstas las definidas en el Estatuto Orgánico de Gestión Organizacional por Procesos de la misma.

Además, el Ministerio de Inclusión Económica y Social (MIES) se compromete a construir y desarrollar, implementar, mantener, mejorar y cumplir de manera continua un Sistema de Gestión de Seguridad de la Información (SGSI) propio, acorde a la realidad institucional y apegado a las directrices de las entidades rectoras en la materia. Por ello, es política del MIES:

• Cumplir con todas las leyes, reglamentos, disposiciones y mandatos; así como las obligaciones contractuales.

• Realizar actividades de formación y concientización en materia de los procesos de Seguridad de la Información para todas las servidoras y servidores públicos que prestan sus servicios en el ministerio.

• Establecer los medios necesarios para garantizar la continuidad de la operación de este ministerio.

• Monitorear cambios significativos de los riesgos que afecten a los recursos de información frente a las amenazas más importantes.

• Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad.

• Evaluar y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios.

• Designar a los custodios o responsables de la información de las diferentes áreas de la institución, que debe ser formalizada en un documento físico o electrónico.

• Velar por la aplicación de la familia de normas técnicas ecuatorianas INEN ISO/IEC 27000 en la institución según el ámbito de cada norma.

• Se establezcan los objetivos de control, y los controles correspondientes para mitigar los riesgos detectados.

• Establecer la responsabilidad, y las sanciones en los casos que correspondan, de los funcionarios en relación a:

- Reportar las violaciones a la seguridad.

- Preservar la confidencialidad, integridad y disponibilidad de la información en cumplimiento de esta política.

- Cumplir las políticas y procedimientos inherentes al Sistema de Gestión de la Seguridad de la Información.

El Oficial de Seguridad de la Información (OSI) es el responsable directo del mantenimiento de esta política, lo cual se lo realizará cuando las condiciones lo ameriten, o una vez al año, a través de una sesión ordinaria del Comité de Gestión de la Seguridad de la Información (CSI).

DISPOSICIONES FINALES

PRIMERA.- El Comité de Gestión de la Seguridad de la Información (CSI) elaborará en un plazo de 15 días a partir de la vigencia de este Acuerdo, un reglamento para su funcionamiento.

SEGUNDA.- La Coordinación General de Gestión del Conocimiento, la Coordinación General de Asesoría Jurídica y la Dirección de Secretaría General, delegarán formalmente a un/a delegado/a para integrar el Comité de Gestión de la Seguridad de la Información (CSI) en un plazo de 10 días a partir de la vigencia de este Acuerdo.

TERCERA.- El presente Acuerdo Ministerial entrará en vigencia a partir de la presente fecha, sin perjuicio de su publicación en el Registro Oficial.

Firmas

Dado en la ciudad de San Francisco de Quito, Distrito Metropolitano, a 21 de enero 2015.

f.) Ing. Ana Beatriz Tola Bermeo, Ministra de Inclusión Económica y Social.

MIES.- Ministerio de Inclusión Económica y Social.- f.) Ilegible, Secretaría General.- Es fiel copia del original.- Lo certifico.- 25 de marzo de 2015.

Miércoles 8 de Abril de 2015

Ana Tola Bermeo

Ministro de Inclusión Económica y Social

Inicie sesión o regístrese para comentar

Acuerdo 000066: Confórmese el Comité de Gestión de la Seguridad de la Información (CSI) y emítese la política de seguridad de la información, de acuerdo al Esquema Gubernamental de Seguridad de la Información (EGSI)

Registro Oficial 475 (2015) 8 de Abril de 2015

Registro Oficial 475 (2015)
8 de Abril de 2015