Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ciberseguridad y Ciberdefensa
Machine Translated by Google
1. Introducción
El resto del documento está organizado de la siguiente manera: Secc. 1 presenta la metodología
sistemática y los procesos desarrollados. El apartado 2 se refiere a la información obtenida en la investigación
de campo, organizada según los aspectos establecidos. La sección 3 presenta el análisis de la información
obtenida y su proyección en el SNC. La Sección 4 explica los trabajos relacionados. Finalmente la Secta. 5
contiene las conclusiones y futuras líneas de trabajo.
El proceso comienza con la formación del grupo de partes interesadas en el estudio. Este estuvo conformado
por representantes gubernamentales, entidades académicas y grupos sociales o empresariales relacionados
con la ciberseguridad en el país, quien determina el criterio importante relacionado con el SNC. Además,
hemos considerado el desarrollo de políticas similares en la región y el mundo en función de su pertinencia,
alcance, oportunidad e impacto económico y social, así como aquellas que han servido para establecer niveles
de madurez, como el presentado por la OEA [1]. Su selección se basa en un diagrama de afinidad. Luego,
mediante un diagrama de contexto, se definen los principales actores en la elaboración de la política.
Posteriormente, fueron seleccionados de acuerdo a su conocimiento del tema, impacto en su organización,
pertinencia, capacidad de aporte y disponibilidad, los cuales serán los que brindarán la información pertinente.
Con estos elementos se elabora el Plan de Investigación de Campo en el que los criterios se convierten en
objetivos de investigación, los cuales se desglosan en temas importantes y preguntas básicas. Las preguntas
básicas se utilizan para desarrollar los instrumentos de la investigación de campo, que en este caso los
principales fueron: encuestas, cuestionarios, entrevistas, revisión documental y observación directa, las cuales
servirán para el análisis, obtención de conclusiones y aportes a la ENC.
Actualmente son varios los países que han declarado sus políticas de ciberseguridad en Sudamérica. Tienen
definidos aspectos de interés para el diagnóstico inicial y estrategias específicas en su ENC. Como se
mencionó anteriormente, la OEA también define criterios para establecer el modelo de nivel de madurez de
ciberseguridad en América Latina [1]. Por otro lado, la Unión Internacional de Telecomunicaciones (UIT) [2],
también establece criterios que orientan la búsqueda de información del diagnóstico inicial. Utilizando un
diagrama de afinidad,
Machine Translated by Google
estos elementos propuestos se agrupan para determinar el criterio que se tendrá en cuenta en la investigación
de campo, considerando el porcentaje de inclusión de estos criterios en los documentos analizados. El resultado
se presenta en la figura 1.
Los criterios a investigar se convirtieron en objetivos, de los cuales se derivaron los temas importantes y las
preguntas básicas. Desde la estructura del gobierno nacional y con la participación del sector privado [3], se
seleccionaron las entidades para brindar la información. Con esos y otros elementos se elaboró el Plan de
Investigación de Campo. Su diseño se presenta en la Fig. 2. Como ejemplo, se desarrolla uno de los objetivos.
Industria y Tecnología. Actualmente el 90% de los hogares tiene al menos un teléfono celular, el
52,0% de la población usa computadora, y el 58,3% usa Internet y el 58,5%. Con relación a 2012,
en 2017 el equipamiento de portátiles en el hogar aumentó 12,1 puntos y el acceso a Internet
aumentó 14,7 puntos, equivalente al 50%. Cabe mencionar que el 10,5% de las personas entre 15
y 49 años son analfabetos digitales y el uso de las redes sociales desde un teléfono inteligente
alcanza el 31,9% [5].
En cuanto al sector empresarial, el 98% tiene al menos una computadora. El 96,6% tiene
acceso a Internet y de estos el 96,8% utiliza banda ancha fija. El 13,9% realiza compras online y el
9,2% ventas a través de este canal [6]. Respecto al código abierto, de las empresas que tienen
conexión a Internet, el 98,1% utiliza navegadores de este tipo y del total de las empresas el 56,5%
utiliza aplicaciones ofimáticas, el 39% sistemas operativos y el 29,4% otro tipo de software de
código abierto. Hay un aumento en el uso de las redes sociales en 12 puntos desde el 2012. El
Índice Global de Innovación consigna a Ecuador en el lugar 96 entre 126 países, en cuanto a
Tecnologías de Información y Comunicación (TIC), se ubica en el puesto 77 con un índice de 52.3
[ 7].
Machine Translated by Google
Cooperación y Asistencia. Ecuador forma parte de organismos internacionales como la UIT, OEA,
ONU y otros, que cuentan con mesas de trabajo relacionadas con la ciberseguridad, las cuales deben
ser activadas. Se prevé la asistencia de la OEA para la elaboración de la NCS.
Prácticas de los Operadores. Los operadores han desarrollado algunas medidas de seguridad de
acuerdo con la norma ISO/IEC 27000 y otros estándares internacionales. La infraestructura tecnológica
nacional está a cargo del NTC, que actualmente se encuentra en un proceso de recertificación en ISO
27001. Los operadores de infraestructura crítica, a cargo de empresas públicas, aún no avanzan en
procesos consistentes de aseguramiento de los sistemas de información.
certificación profesional, hay espacio para filiales de las empresas e instituciones internacionales
del área como ISACA, EC-Council y otras, sin embargo los costos de certificación son limitantes
para su acceso. El número de instructores profesionales en ciberseguridad es escaso. No se
conocen programas de formación de formadores. La transferencia de conocimientos del personal
capacitado al personal nuevo es limitada.
3.3 Legislación
Marco legal y regulatorio. El Código Orgánico e Integral Penal (OIPC) [15] contempla delitos como
el acoso, la oferta de servicios sexuales a menores de edad, la estafa, la apropiación fraudulenta,
la revelación y la interceptación ilegal de datos. También incluye la transferencia electrónica ilegal
de activos, los ataques a la integridad de los Sistemas de Información (SI), el acceso no consentido
por medios electrónicos a los SI y los delitos contra la información pública.
Hay avances en la legislación penal, pero es importante fortalecer el marco legal, luego de un
análisis del impacto de la ley en la prevención del delito [17].
Existe legislación en materia de privacidad, protección de datos y libertad de expresión, esta
última está siendo modificada por la Asamblea Nacional, también se ha dictado la Ley de Comercio
Electrónico, la Ley de Telecomunicaciones, la Ley General de Correos. Ley Orgánica de Gestión
de Identidad y Datos Civiles. El derecho procesal penal se aplica ad-hoc a los delitos cibernéticos
y al uso de pruebas electrónicas en otros delitos. La evidencia digital es relativamente nueva en
este medio.
Normas y Criterios Técnicos. Existen 20 normas técnicas ecuatorianas adoptadas de la serie ISO
27000 en materia de seguridad de la información. Se ha implementado el Esquema de Seguridad
de la Información del Gobierno (GISS) en las entidades de la Administración Pública. Sin embargo,
su aplicación no ha sido completada. No hay evidencia del uso de estándares de ciberseguridad
en los procesos de compras y en el desarrollo del software aún no se aplican. En la investigación
realizada las empresas no son conscientes de la importancia de los estándares de seguridad y su
uso en la seguridad de la información, la implementación de políticas de ciberseguridad alcanza el
20,48% [3].
Machine Translated by Google
Lucha contra el Cibercrimen. Desde la aprobación de la OIPC (2014) se han registrado 6211
denuncias por ciberdelitos. Los delitos más comunes son: “apropiación fraudulenta por medios
electrónicos”, “acceso no consentido a un sistema informático, telemático o de telecomunicaciones” y
“contacto con fines sexuales con menores de 18 años por medios electrónicos”. No obstante, el ritmo
de crecimiento de los delitos financieros ha disminuido, lo que demuestra un mayor cuidado en la
gestión de los medios electrónicos. Esto ha sido corroborado por el Observatorio de Ciberseguridad
en América Latina y el Caribe [16, 17]. Sin embargo, la formación no es adecuada para perseguir los
delitos informáticos. Los operadores de justicia capacitados son limitados.
Promoción de los Derechos Civiles. Se han promulgado leyes y políticas que promueven el acceso a
los datos personales almacenados por las instituciones públicas. La transparencia de la información
para los ciudadanos es superior al 97% en las instituciones públicas. En cuanto a la liberación de
datos abiertos para uso de los ciudadanos, el Inventario de Datos Abiertos (ODIN) 2016, ubica a
Ecuador en el 2016 en el puesto 31 de 173 países, con un puntaje de 56 [8].
Infraestructuras Críticas. El COCIBER ha determinado las infraestructuras críticas del país según el
Catálogo Nacional de Infraestructuras Críticas, de carácter confidencial, pero no se han identificado
las vulnerabilidades ni existe un mecanismo formal de colaboración para la respuesta a un ataque.
Respuesta a Incidentes. El Centro de Respuesta a Incidentes Informáticos del Ecuador (Ecu CERT)
y CERT-CEDIA, actúan en la prevención y resolución de incidentes de seguridad informática. Sin
embargo su impacto no es significativo, debido a las limitaciones en sus competencias que establece
la Ley [8]. Los cibereventos o amenazas han sido registrados y clasificados a nivel nacional como
incidentes. A pesar de ello, la capacidad de respuesta es
Machine Translated by Google
Para evaluar el estado actual del criterio, se definen seis niveles de madurez, teniendo en
cuenta los que presenta el Modelo de Madurez publicado por la OEA [1].
Los definidos por ISACA en su modelo de capacidad de proceso y los contenidos en ISO/IEC
15504-2 [18], el primero tiene 5 niveles y los dos siguientes tienen 6 niveles, los niveles
definidos para este caso de estudio son: Nivel 0: Incompleto, proceso no completamente
implementado, no cumple su propósito; Nivel 1: Implementado, el proceso cumple su propósito;
Nivel 2: Gestionado, proceso planificado, supervisado y mantenido, así como sus productos;
Nivel 3: Formalizado, el proceso utiliza un conjunto de actividades documentadas y estándar;
Nivel 4: Consistente, el proceso se mide y se lleva a cabo de manera predecible; Nivel 5:
Innovado, el proceso tiene la capacidad de innovar, ser resiliente y reaccionar rápidamente a
los cambios del entorno.
Información de contexto
Industria y Tecnología 1 El 96,6% de las empresas cuentan con tecnología. GII = 96/126
Infraestructura de la información 1 Conectividad privilegiada, no cuentan con integrado nacional
sistema
Impacto económico 1 Gastos en servicios TI altos, inicia bancarización
Estrategia Nacional 0 No existe
Expresiones de gratitud. Los autores desean expresar un agradecimiento especial a todas las instituciones, empresas y
profesionales que participaron en la investigación de campo como lo hicieron antes en procesos similares para desarrollar
la NCS.
Referencias