Este documento resume las normas y regulaciones de auditoría informática en Ecuador. Explica que actualmente hay 20 normas técnicas publicadas sobre seguridad de la información, pero que no existe un reconocimiento formal por cumplir con buenas prácticas. También describe algunos indicadores clave relacionados con la seguridad de la información y la ciberseguridad, como el desarrollo de una estrategia nacional de ciberseguridad.

1. Auditoría Informática
Tema: 2 Estándares de la Auditoría
Informática
Docente: Mg. Luis Fernando Aguas B

2. Si es bueno vivir, todavía es mejor soñar, y lo mejor
de todo, despertar
(Antonio Machado)

3. Objetivo
1. Adquirir los conceptos
básicos relacionados con
la Auditoría Informática
2. Reconocer las
características de la
Auditoría Informática
● 2.2 Normas y regulaciones de
Ecuador
Contenido

4. 2.2 Normas y regulaciones de
Ecuador

5. SITUACIÓN ACTUAL
Telefoníafija
Penetración Espectro Radioeléctrico
Evolución del Internet por hogares
22,5%
28,3%
32,4% 32,8% 36,0%
2012 2013 2014 2015 2016
Fuente: (INEC, 2016)
Servicio Móvil
Avanzado
Fuente: (ARCOTEL, 2018) Fuente: (GSMA, 2017)

6. SITUACIÓN ACTUAL
Normativa Técnica Ciberseguridad
• 20 normas técnicas publicadas
en INEN sobre Seguridad de la
Información.
• No hay reconocimiento por
buenas prácticas.
• Puesto 66 en el ranking global.
• 6to en Latinoamérica.
• No existe una Estrategia Nacional.
Código Orgánico PenalIntegral
• Revisión del COIP.
EcuCERT
• Creado en el 2014 por SUPTEL.
• Funciones limitadas.
Software e instituciones públicas
• 6.67% de las instituciones usa
antivirus de software libre.
• 3.33% de instituciones usa
seguridad perimetral con
softwarelibre.
Fuente: (INEN, 2018)
Fuente: (UIT, 2017)
Fuente: (MINTEL, 2018)

7. SITUACIÓN ACTUAL - Universidades
Uso de políticas de seguridad
32%
60%
8%
Noexiste
Parcial
Completa
Responsables
51%
6%
43% Es parte de TI
No es parte de TI
No existe
Plan de contingencia
16%
30%
54%
Si
Parcialmente
No
CSIRT
70%
8%
22%
CEDIA
Propio
Ninguno
Fuente: (CEDIA, 2017)

8. INDICADORES
SEGURIDAD DE LA INFORMACIÓN
Indicadores
Metas
Indicadores de Resultado y/o Impacto
Estándares:
• Número de auditorías exitosas a instituciones públicas
que cumplan con los estándares de Seguridad de la
Información.
• Número de instituciones con sellos de calidad por
cumplimiento de normas técnicas de Seguridad de la
Información.
Seguridad en las redes:
• Número Procedimientos y planes de acción en
instituciones públicas sobre ataques informáticos.
Ciberseguridad:
• Porcentaje de avance en elaboración de la Estrategia
Nacional de Ciberseguridad.
• Índice mundial de Ciberseguridad y perfiles de
ciberbienestar.
Capacitaciones:
• Porcentaje en el avance de construcción y difusión del
Manual de buenas prácticas sobre ciberseguridad
disponible a la ciudadanía.
• Número de capacitaciones a funcionarios públicos del
área de tecnología sobre seguridad de la información.
• Porcentaje de elaboración del diccionario de
Ciberseguridad
Estándares:
• 2 proyectos de normativa TIC referente a
Seguridad de la Información al año.
• Emitir XX sellos de calidad de seguridad de la
información al 2021.
Ciberseguridad:
• Emitir la “Estrategia Nacional de
hacia las entidades
y empresas a nivel
Ciberseguridad”
gubernamentales
nacional.

9. CIBERSEGURIDAD
Definición
Definición
La Ciberseguridad
“es el conjunto de
herramientas, políticas,
conceptos de seguridad,
salvaguardas de seguridad,
directrices, métodos de
gestión de riesgos, acciones,
formación, prácticas idóneas,
seguros y tecnologías que
pueden utilizarse para proteger
los activos de la organización
y los usuarios en el
ciberentorno”. (UIT, 2010)
Definición
Legislación
• Se realizaron reformas al
Código Penal, dando origen a
infracciones informáticas en
Ecuador como son : Acceso no
autorizado, falsificación
informática, fraude
informático, daños
informáticos, violaciones al
derecho a la intimidad.
• Posteriormente con la
aprobación del COIP en
agosto del 2014, aparecieron
otras conductas como el
• ciber-acoso a niños niñas y
adolescentes (grooming),
posesión de pornografía
infantil, ampliando el espectro
de los ciberdelitos en nuestro
país.

10. ESTRATEGIA NACIONAL DE CIBERSEGURIDAD
Objetivo General
Desarrollar la propuesta de la Estrategia Nacional de Ciberseguridad que incorpore
en procesos críticos niveles de seguridad en el ciberespacio según las normas
técnicas internacionales
Objetivos Específicos
• Resguardar la seguridad de las personas en elciberespacio.
• Proteger la seguridad del país, resguardando las redes y sistemas informáticos
del sector público.
• Promover la colaboración y coordinación entre instituciones tanto públicas
como privadas.
• Gestionar los riesgos del ciberespacio con la identificación de vulnerabilidades y
amenazas en el uso, procesamiento, almacenamiento y transmisión de la
información, junto a la generación de una capacidad para recuperarse en caso
ser afectado por un ciberataque.

11. Cooperación y relaciones internacionales
• Definir la gestión del riesgo,
• Identificación de estructuras críticas de la información,
• Medidas para enfrentar un incidente
• Planes de contingencia en ciberseguridad.
ÁREAS CLAVE
Prevención y sanción
• Definir las capacidades de levantamiento,
• Estandarización e integración de datos e información relacionados con el ciberdelito,
• Aumentar la capacidad de investigación y generación de evidencia referente a ciberdelito,
• Resguardo de derechos fundamentales en la prevención y sanción del cibercrimen.
Sensibilización, formación y difusión
• Promover la cultura de ciberseguridad a la ciudadanía, estudiantes y funcionarios públicos,
• Fomento de la investigación y desarrollo para la seguridad del ciberespacio para generar
capacidad tecnológica propia, de acuerdo a las necesidades nacionales,
• Promover programas de capacitación, educación y formación a nivel pre y posgrado en
ciberseguridad.

12. Infraestructura de la Información
• Participación en foros internacionales referentes a ciberseguridad.
• Impulso de medidas de cooperación en investigación y asistencia técnica en otros países
ÁREAS CLAVE
Institucionalidad de la ciberseguridad
Definición de roles, atribuciones y competencias de las partes involucradas.
• Conformación del Comité Nacional de Ciberseguridad.
• Creación de alianzas público-privadas para seguridad.
• Potenciar al EcuCERT.

13. Actualmente, el Ecuador cuenta con instituciones que permiten certificar productos o
empresas de acuerdo en cumplimiento de las normas técnicas, estas son el INEN y el SAE.
SELLO DE CALIDAD QSI - IKAY
Instituciones públicas ofrecen reconocimiento por la excelencia de buenas prácticas en la
emisión de productos y servicios.
Existe en la actualidad 20 normas técnicas de Seguridad de la Información de la familia de
las 27000, pero no se ha verificado el uso de las mismas. No es suficiente solamente
generar normas técnicas.
Las instituciones no cuentan con sellos que garanticen la calidad en sus productos o
servicios relacionados a la Seguridad de la Información.

14. El sello de calidad de la seguridad de la información (QSI-IKAY) será un
reconocimiento que el Ministerio de telecomunicaciones otorgará a las
instituciones público, privadas y academia, con el fin de incentivar el buen uso de
las normas técnicas ecuatorianas basadas en la Seguridad de la Información.
DESCRIPCIÓN
La idea de reconocer a las empresas con un sello de calidad es generar confianza,
credibilidad y demostrar que se puede depender de la organización certificada para
los intereses del cliente, usuario o consumidor, especialmente si hablamos en
Seguridad de la Información

15. Datos Abiertos
Datos Abiertos
Emergen como una estrategia que busca
proporcionar a la ciudadanía datos sobre las
actividades que realizan las instituciones de
la APCID de la Función Ejecutiva en formatos
abiertos para que puedan ser utilizados,
reutilizados y redistribuidos generando valor
y beneficios en todos los sectores de la
sociedad.
Es fundamental contar con acceso a la
información pública, en donde la
sociedad tiene un rol mucho más activo y
colaborador, capaz de interactuar
participativamente con el Gobierno. Rol
muy importante: la transparencia, la
colaboración y la participación
ODG: Datos abiertos de gobierno, es un gran recurso,
aunque todavía no ha sido explotado. Es importante por
la cantidad y centralidad de datos que reúne, y porque
la mayor parte de la información gubernamental es
pública por ley.
Leyes: LOTAIP,SINARDAP
Se necesita definir un Marco Regulatorio de protección
de datos para tecnologías emergentes
Interoperabilidad: Habilidad de diversos sistemas y
organizaciones para trabajar juntos. Es importante
porque permite que distintos componentes trabajen
juntos, esta habilidad de integrar componentes es
esencial para construir sistemas complejos y grandes.
GPP-DA: Noviembre 2014, la extinta SNAP publicó la
Guía de Política Pública de Datos Abiertos, junto con el
Plan Nacional de Gobierno Electrónico 2014-2017 son
los antecedentes oficiales del Gobierno Ecuatoriano
para la adopción de datos abiertos en las entidades de
la APCID.
Portal Open Data: 2015, se crea el portal de datos
abiertos actualmente a cargo de SENPLADES, SNI: más
de 100 datasets de 15 entidades de la APCID..

16. CONTENIDO EJE 5
PROTECCIÓN DE DATOS PERSONALES
o Estrategia comunicacional “Mis datos soy yo”
o Capacitación en materia de protección de datos personales.
o Herramienta tecnológica que permita el ejercicio de derechos de anulación,
acceso, cancelación, rectificación y oposición.
o Guías ciudadanas en materia de protección de datos personales.
o Sensibilización del derecho a la protección de datos personales desde la
perspectiva del responsable del tratamiento y de la base de dato.
o Capacitación en materia de protección de datos personales dirigida a las
entidades privadas (presencial y plataforma de e-learning).
o Asesoramiento en apertura de canales dirigidos a clientes, para el ejercicio de
derechos de anulación, acceso, cancelación, rectificación y oposición.
o Incentivo para instituciones que implementen los canales para el ejercicio de
derechos de de anulación, acceso, cancelación, rectificación y oposición.
o Sensibilización en materia de protección de datos personales dirigida a las
instituciones públicas (presencial y plataforma de e-learning).
o Desarrollo de marco regulatorio en materia de protección de datos personales
(guías, resoluciones y la Ley de Protección de Datos Personales).
o Acompañamiento en implementación de medidas que garanticen la
protección de datos personales y la elaboración de guías dirigidas a las
instituciones públicas
o Diseño, desarrollo e implementación de servicios a ser prestados por la
DINARDAP a personas naturales y jurídicas, públicas y privadas.
Enfoque para ciudadanos
Data Protection for Citizens (DP4C)
Enfoque para Negocios
Data Protection for Business (DP4B)
Enfoque para gobierno
Data Protection for Government (DP4G)

17. ENFOQUE PARA CIUDADANOS
Elevado riesgo para el ciudadano
Normativa: Falta de Ley de
Protección de Datos
Personales.
Socialización: Falta de
conocimiento, por parte de los
ciudadanos, respecto de la
existencia del derecho a la
protección de datos personales
Empoderamiento: Falta de
empoderamiento, por parte de
los ciudadanos, de la existencia
del derecho a la protección de
datos personales
2008: Constitución, los ciudadanos cuentan con el
derecho a la protección de datos de carácter
personal. 2009: Ley de Garantías Jurisdiccionales y
Control Constitucional Habeas Data, garantizar
judicialmente a toda persona el acceso a los
documentos, datos genéticos, bancos o archivos de
datos personales e informes que sobre sí misma, o
sobre sus bienes, estén en poder de entidades
públicas o de personas naturales o jurídicas
privadas.
Falta de legislación dedicada sobre el derecho a la
protección de datos personales y falta de
conocimiento ciudadanos causa acciones lesivas:
Captación indiscriminada y sin regulación de datos de
los ciudadanos.
Riesgos de perfilamiento, discriminación,
suplantación de identidad, estafa, extorsión, etc.
Tratamiento de datos sin aplicación de medidas de
protección para los ciudadanos.
Comercialización de bases de datos sin control.

18. ENFOQUE PARA NEGOCIOS
Falta de Regulación
causa que se incurra, por parte de quienes
actúan dolosamente, en delitos o se causen
perjuicios mayores a la ciudadanía en
general.
Frente a la falta de regulación, existen
empresas que, actuando de buena fe,
pueden estar lesionando seriamente los
derechos de los ecuatorianos
Elevado riesgo para
el sector
empresarial
Normativa: Falta de
Ley de Protección
de Datos Personales.
Tratamiento: Tratamiento de datos
personales sin control ni
regulación, por parte de negocios
privados, en uso de big data, data
analytics y otras tecnologías
emergentes
Ilegalidades: Cometimiento de
acciones lesivas o delitos por parte
del sector empresarial

19. ENFOQUE PARA GOBIERNO
Falta de un marco regulatorio
Causa que, en la operación diaria de
las instituciones del sector público
responsables del tratamiento de
datos, se coloque en posición de
riesgo a la ciudanía.
Se pueda llegar a violentar el derecho
constitucional de la ciudadanía a la
protección de sus datos personales.
Elevado riesgo para el Estado
Normativa: Falta de Ley de Protección de Datos
Personales.
Tratamiento: Tratamiento inadecuado de datos
personales sin control ni regulación, por parte
de entidades públicas en las 5 funciones
estatales
Constitucional: Incumplimiento de un deber
constitucional de garantizar los derechos
fundamentales
Ilegalidades: Cometimiento de acciones lesivas
o delitos por parte del sector empresarial
Seguridad Jurídica: Falta de incentivo para la
inversión extranjera por falta de marco jurídico
de protección de información.

20. Gracias
Responsabilidad con pensamiento positivo