Acuerdo 2015-095 Expídese el Instructivo para la conformación del Comité de Gestión de la Seguridad de la Información

Acuerda:

Expedir el Instructivo para la conformación del Comité de Gestión de la Seguridad de la Información de la Secretaría de Educación Superior, Ciencia, Tecnología e Innovación.

TITULO I

DEL AMBITO Y OBJETO

Artículo 1.- Ámbito.- El ámbito del presente Instructivo es para la conformación del Comité de Gestión de la Seguridad de la Información de la Secretaría de Educación Superior, Ciencia, Tecnología e Innovación, de acuerdo al Esquema Gubernamental de la Información, expedido mediante Acuerdo No. 166 de la Secretaría Nacional de la Administración Pública, cuya aplicación será a nivel nacional.

Artículo 2.- Objeto.- El objeto del presente Instructivo es propender a minimizar o anular riesgos en la información, por medio de la adopción de políticas, normas, procesos, procedimientos y demás medios necesarios para mantener la seguridad en la información que se genera y custodia en esta Cartera de Estado.

TÍTULO II

DEL COMITÉ DE GESTIÓN DE

LA SEGURIDAD DE LA INFORMACIÓN

Artículo 3.- Conformación.- El Comité de Gestión de la Seguridad de la Información de la Secretaría de Educación Superior, Ciencia, Tecnología e Innovación, estará conformado por los siguientes miembros:

1. Oficial de Seguridad de la Información;
2. Subsecretario/a General de Educación Superior o su delegado;
3. Subsecretario/a General de Ciencia y Tecnología e Innovación o su delegado;
4. Coordinador/a General de Planificación o su delegado;
5. Coordinador/a General Administrativo Financiero o su delegado;
6. Director/a Administrativo o su delegado;
7. Director/a de Talento Humano o su delegado;
8. Director/a de Tecnologías de la Información o su delegado;
9. Auditor Interno o su delegado;
10. Responsable de Seguridad del área de Tecnologías de la información.

Los integrantes del Comité de Gestión de la Seguridad de la Información tendrán derecho a voto, dentro de las sesiones del Comité. Para organizar el trabajo del Comité de Gestión de la Seguridad de la Información de esta Secretaría de Estado, se designará al Oficial de Seguridad de la Información como Secretario/a del mencionado Comité.

El Comité podrá contar con invitados de las diferentes áreas de esta Secretaría, cuando se deba decidir sobre temas vinculados con la gestión de la o las áreas invitadas que participarán en el Comité, únicamente con derecho a voz.

Artículo 4.- Convocatoria a las sesiones.- Las convocatorias a las sesiones del Comité de Gestión de la Seguridad de la Información de la Secretaría de Educación Superior, Ciencia, Tecnología e Innovación, las realizará el Oficial de Seguridad de la Información. Las convocatorias deberán realizarse de forma escrita, con el señalamiento de los asuntos a tratarse, el día, hora y lugar en el que se realizará la sesión y se lo hará con por lo menos 24 horas de anticipación. Podrán utilizarse medios tecnológicos como correo electrónico, el sistema de gestión documental Quipux o cualquier otro similar para remitir las convocatorias, así como para confirmar su recepción.

Artículo 5.- De las sesiones ordinarias y extraordinarias.- El Comité de Gestión de la Seguridad de la Información de la Secretaría de Educación Superior, Ciencia, Tecnología e Innovación, sesionará de forma ordinaria una vez al mes y de forma extraordinaria cuando el Oficial de Seguridad de la Información lo convoque por iniciativa propia o por pedido de por lo menos dos (2) de sus miembros, cuando las circunstancias lo ameriten. Excepcionalmente, se podrá desarrollar una sesión extraordinaria sin que medie convocatoria previa, cuando todos los miembros se encuentren presentes y estén de acuerdo en la celebración de la sesión. En este caso, al inicio de la sesión se definirá el orden del día a tratarse.

Artículo 6.- Del quórum y votación.- El quórum de instalación para las sesiones del Comité se constituye con la mitad más uno de la totalidad de los miembros del Comité de Gestión de la Seguridad de la Información de la Secretaría. Las decisiones del Comité de Gestión de la Seguridad, se adoptarán por mayoría simple, esto es el voto favorable de la mitad más uno de las y los miembros presentes en la sesión del Comité. El Secretario elaborará las actas, que serán aprobadas por el Comité y firmadas por sus asistentes.

Artículo 7.- Funciones del Comité de Gestión de la Seguridad de la Información de la Secretaría de Educación Superior, Ciencia, Tecnología e Innovación.- Son funciones del Comité de Gestión de la Seguridad de la Información de la Secretaría de Educación Superior, Ciencia, Tecnología e Innovación, las siguientes:

1. Definir y mantener la política y normas institucionales particulares en materia de seguridad de la información y gestionar la aprobación y puesta en vigencia por parte de la máxima autoridad de la institución así como el cumplimiento por parte de los funcionarios de la institución;
2. Monitorear cambios significativos de los riesgos que afectan a los recursos de información frente a las amenazas más importantes;
3. Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad;
4. Aprobar las principales iniciativas para incrementar la seguridad de la información, de acuerdo a las competencias y responsabilidades asignadas a cada área;
5. Acordar y aprobar metodologías y procesos específicos, en base al EGSI relativos a la seguridad de la información;
6. Evaluar y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios, en base al EGSI;
7. Promover la difusión y apoyo a la seguridad de la información dentro de la institución;
8. Coordinar el proceso de gestión de la continuidad de la operación de los servicios y sistemas de información de la institución frente a incidentes de seguridad imprevistos;
9. Designar a los custodios o responsables de la información de las diferentes áreas de la entidad, que deberá ser formalizada en un documento físico o electrónico;
10. Gestionar la provisión permanente de recursos económicos, tecnológicos y humanos para la gestión de la seguridad de la información;
11. Velar por la aplicación de la familia de normas técnicas ecuatorianas INEN ISO/IEC 27000 en la institución;
12. Designar formalmente a un funcionario como Oficial de Seguridad de la Información quien actuará como coordinador del CSI. El Oficial de Seguridad no pertenecerá al área de Tecnologías de la Información y reportará a la máxima autoridad de la institución;
13. Designar formalmente al responsable de seguridad del área de Tecnologías de la Información en coordinación con el director o responsable del área de Tecnologías de la Información de la Institución;
14. Patrocinar un programa de sensibilización del personal con actualizaciones regulares;
15. Conocer y aprobar el proceso de gestión de incidentes de seguridad de la información;
16. Conocer, exigir y aprobar la evaluación institucional de riesgos y el diseño e implementación del plan de manejo de riesgos institucional, en base a la norma INEN ISO/IEC 27005;
17. Conocer los incidentes de seguridad de la información considerados como críticos que hayan sido reportados por parte del oficial de seguridad;
18. Informar a la máxima autoridad, a través del Secretario, las iniciativas del Comité para mejorar el sistema de gestión de seguridad, incluyendo cambios en las políticas, programas de sensibilización, etc.; y,
19. Otras que determine el Esquema Gubernamental de Seguridad de la Información (EGSI)

Artículo 8.- Funciones del Oficial de Seguridad de la Información.- Son funciones del Oficial de Seguridad de la Información de la Secretaría de Educación Superior, Ciencia, Tecnología e Innovación, las siguientes:

1. Definir procedimientos para el control de cambios a los procesos operativos, los sistemas e instalaciones, y verificar su cumplimiento, de manera que no afecten la seguridad de la información;
2. Establecer criterios de seguridad para nuevos sistemas de información, actualizaciones y nuevas versiones, contemplando la realización de las pruebas antes de su aprobación definitiva;
3. Definir procedimientos para el manejo de incidentes de seguridad y para la administración de los medios de almacenamiento;
4. Controlar los mecanismos de distribución y difusión de información dentro y fuera de la institución;
5. Definir y documentar controles para la detección y prevención del acceso no autorizado, la protección contra software malicioso, garantizar la seguridad de los datos y los servicios conectados a las redes de la institución;
6. Desarrollar procedimientos adecuados de concienciación de usuarios en materia de seguridad, controles de acceso a los sistemas y administración de cambios;
7. Verificar el cumplimiento de las normas, procedimientos y controles de seguridad institucionales establecidos;
8. Coordinar la gestión de eventos de seguridad con otras entidades gubernamentales;
9. Convocar regularmente o cuando la situación lo amerite al Comité de Seguridad de la Información así como llevar registros de asistencia y actas de las reuniones;
10. Reportar al Comité de las actividades realizadas en cumplimiento a las atribuciones designadas;
11. Coordinar las acciones del Comité de Gestión de la Seguridad de la Información;
12. Impulsar la implementación y cumplimiento del Esquema Gubernamental de Seguridad de la Información; y,
13. Otras que determine el Esquema Gubernamental de Seguridad de la Información (EGSI).

Artículo 9.- Funciones del Responsable de Seguridad del Área de Tecnologías de la Información.- Son funciones del Responsable de Seguridad del Área de Tecnologías de la Información de la Secretaría de Educación Superior, Ciencia, Tecnología e Innovación, las siguientes:

1. Controlar la existencia de documentación física o electrónica actualizada relacionada con los procedimientos de comunicaciones, operaciones y sistemas;
2. Evaluar el posible impacto operativo a nivel de seguridad de los cambios previstos a sistemas y equipamiento y verificar su correcta implementación, asignando responsabilidades;
3. Administrar los medios técnicos necesarios para permitir la segregación de los ambientes de procesamiento;
4. Monitorear las necesidades de capacidad de los sistemas en operación y proyectar las futuras demandas de capacidad para soportar potenciales amenazas a la seguridad de la información que procesan;
5. Controlar la obtención de copias de resguardo de información, así como la prueba periódica de su restauración;
6. Asegurar el registro de las actividades realizadas por el personal operativo de seguridad de la información, para su posterior revisión;
7. Desarrollar y verificar el cumplimiento de procedimientos para comunicar las fallas en el procesamiento de la información o los sistemas de comunicaciones, que permita tomar medidas correctivas;
8. Implementar los controles de seguridad definidos (ej., evitar software malicioso, accesos no autorizados, etc.);
9. Definir e implementar procedimientos para la administración de medios informáticos de almacenamiento (ej., cintas, discos, etc.) e informes impresos, y verificar la eliminación o destrucción segura de los mismos, cuando proceda;
10. Gestionar los incidentes de seguridad de la información de acuerdo a los procedimientos establecidos;
11. Otras que por naturaleza de las actividades de gestión de la seguridad de la información deban ser realizadas;
12. Las actividades que realice en virtud de las funciones designadas, serán coordinadas con el Oficial de Seguridad de la Información; y,
13. Las demás que determine el Esquema Gubernamental de Seguridad de la Información (EGSI).

Artículo 10.- Responsable del Área Legal.- El Coordinador General de Asesoría Jurídica designará a un Responsable del Área Legal, el cual verificará el cumplimiento del Esquema Gubernamental de Seguridad de la Información en la gestión de todos los contratos, acuerdos u otra documentación de la institución con sus funcionarios y con terceros. Asesorará en materia legal a la institución, en lo que se refiere a la Seguridad de la Información.

Artículo 11.- Responsable del Área de Recursos Humanos.- El Director de Administración de Talento Humano designará a un Responsable del Área de Recursos Humanos, el cual cumplirá la función de comunicar a todo el personal que ingresa a la Institución, de sus obligaciones respecto del cumplimiento del Esquema Gubernamental de Seguridad de la Información y de todas las normas, procedimientos y prácticas que de él surjan. Tendrá a su cargo, la difusión del Acuerdo No. 166 emitido por la Secretaría Nacional de la Administración Pública, a todo el personal, de los cambios que en ella se produzcan, de la implementación de la suscripción de los Compromisos de Confidencialidad (entre otros) y de las tareas de capacitación continua en materia de seguridad en coordinación con el Oficial de Seguridad de la Información.

Artículo 12.- Resoluciones.- Las resoluciones que adopte el Comité de Seguridad de la Información serán ejecutadas inmediatamente por las unidades administrativas inmersas en dichas resoluciones. El Oficial de Seguridad de la Información notificara a la máxima autoridad sobre su cumplimiento.

DISPOSICION GENERAL

ÚNICA.- Los responsables de la Gestión de la Seguridad de la Información de la Secretaría de Educación, Ciencia, Tecnología e Innovación, deberán cumplir con las atribuciones conferidas en el Acuerdo No. 166 emitido por la Secretaría Nacional de la Administración Pública, mediante el cual se dispone el uso obligatorio de las Normas Técnicas Ecuatorianas NTE INEN-ISO/IEC 27000.

DISPOSICIONES FINALES

PRIMERA.- Encárguese del seguimiento y ejecución del presente Instructivo a la Dirección de Tecnologías de la Información y Comunicaciones de la Secretaría de Educación Superior, Ciencia, Tecnología e Innovación.

SEGUNDA.- Deróguese las disposiciones que contravinieren al presente Acuerdo.

TERCERA.- El presente Acuerdo entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.