Machine Translated by Google

Ciberseguridad y Ciberdefensa
Machine Translated by Google

Base de referencia de ciberseguridad, una exploración,

Que Permite Delinear Nacionales

Estrategia de Ciberseguridad en Ecuador

marioron1,2 (&) , Osvaldo Rivera1 , Walter Fuertes1 ,

Theofilos Toulkeridis1 , y Javier Díaz2
1
Universidad de las Fuerzas Armadas ESPE, Av.
General Ruminahui, Sangolquí, Ecuador
{mbron,lorivera1,wmfuertes,ttoulkeridis}@espe.edu.ec Universidad Nacional de la Plata,
2
Avenida 7 877, 1900 La Plata, Buenos Aires, Argentina
jdiaz@unlp.edu.ar

Resumen. Las Tecnologías de la Información y las Comunicaciones conllevan riesgos

inherentes a su uso, que deben ser tratados por las organizaciones para proteger a sus
usuarios de posibles daños a su integridad. Para determinar la forma de proteger a los
usuarios, es indispensable un conocimiento real de la situación actual. Este estudio permite
conocer el estado actual de la ciberseguridad en el Ecuador a través de un proceso
sistemático y organizado, basado en el criterio principal que se debe considerar en el
establecimiento de una Estrategia Nacional de Ciberseguridad (ECN), considerando su
nivel de madurez. Los resultados obtenidos como línea base son un aporte significativo
para la definición de la ENC en el Ecuador y el procedimiento podría ser aplicado por otros
países de la región tanto para la elaboración de sus políticas como para el seguimiento del impacto que han tenid

Palabras clave: Base de Ciberseguridad Política Organizaciones Ecuador

1. Introducción

El ciberespacio es un espacio totalmente inédito en el conocimiento humano [1], donde

múltiples actividades de interés social, político y económico interactúan en esta dimensión
al interconectar clientes, empresas y gobiernos. Este nuevo espacio ha creado nuevos
derechos civiles o modificado la forma de ejercerlos tanto para las personas físicas como jurídicas.
Entre ellos, el derecho a la intimidad, al buen nombre o reputación, a la protección de sus
bienes, a la comunicación segura y fehaciente, al uso de información veraz, entre otros. El
Estado ecuatoriano en su Constitución Política, como norma jurídica fundamental, tiene la
responsabilidad de desarrollar políticas que protejan los derechos de las personas, en este
caso para brindar protección al uso del ciberespacio.
Dentro de este escenario, este estudio realiza una investigación de campo realizada de
manera técnica y sistemática, utilizando procedimientos confiables y consistentes basados en
fuentes y organizaciones públicas y privadas relacionadas con la ciberseguridad en el país, así
como de fuentes internacionales o regionales que tienen, de alguna manera, realizó estudios
relacionados con la ciberseguridad en el Ecuador.

© Springer Nature Suiza AG 2019 Á.

Rocha et al. (Eds.): ICITS 2019, AISC 918, págs. 847–857, 2019.
https://doi.org/10.1007/978-3-030-11890-7_79
Machine Translated by Google

848 M.Ron et al.

La Organización de los Estados Americanos (OEA) ha desarrollado procesos sistemáticos de investigación

de campo y de apoyo para determinar el estado actual de la ciberseguridad en muchos países y mantiene una
importante base de conocimiento, que se utiliza en esta investigación, así como de organizaciones regionales
y de seguridad de la información. compañías.
Las preguntas que abordan esta investigación son: ¿Cuáles son los principales criterios que intervienen
en un SNC? ¿Cuáles son las organizaciones focales relacionadas con la ciberseguridad en el país? ¿Cuál es
el estado actual del criterio y las organizaciones relacionadas con la ciberseguridad? El supuesto de esta
investigación es que la definición de una línea base desarrollada de acuerdo a un proceso sistemático y
organizado con el criterio más relevante de un SNC, permita establecer un acuerdo inicial para su desarrollo.

El resto del documento está organizado de la siguiente manera: Secc. 1 presenta la metodología
sistemática y los procesos desarrollados. El apartado 2 se refiere a la información obtenida en la investigación
de campo, organizada según los aspectos establecidos. La sección 3 presenta el análisis de la información
obtenida y su proyección en el SNC. La Sección 4 explica los trabajos relacionados. Finalmente la Secta. 5
contiene las conclusiones y futuras líneas de trabajo.

2 Investigación de campo, métodos y procesos

2.1 Proceso de investigación de campo

El proceso comienza con la formación del grupo de partes interesadas en el estudio. Este estuvo conformado
por representantes gubernamentales, entidades académicas y grupos sociales o empresariales relacionados
con la ciberseguridad en el país, quien determina el criterio importante relacionado con el SNC. Además,
hemos considerado el desarrollo de políticas similares en la región y el mundo en función de su pertinencia,
alcance, oportunidad e impacto económico y social, así como aquellas que han servido para establecer niveles
de madurez, como el presentado por la OEA [1]. Su selección se basa en un diagrama de afinidad. Luego,
mediante un diagrama de contexto, se definen los principales actores en la elaboración de la política.
Posteriormente, fueron seleccionados de acuerdo a su conocimiento del tema, impacto en su organización,
pertinencia, capacidad de aporte y disponibilidad, los cuales serán los que brindarán la información pertinente.
Con estos elementos se elabora el Plan de Investigación de Campo en el que los criterios se convierten en
objetivos de investigación, los cuales se desglosan en temas importantes y preguntas básicas. Las preguntas
básicas se utilizan para desarrollar los instrumentos de la investigación de campo, que en este caso los
principales fueron: encuestas, cuestionarios, entrevistas, revisión documental y observación directa, las cuales
servirán para el análisis, obtención de conclusiones y aportes a la ENC.

2.2 Selección de criterios

Actualmente son varios los países que han declarado sus políticas de ciberseguridad en Sudamérica. Tienen
definidos aspectos de interés para el diagnóstico inicial y estrategias específicas en su ENC. Como se
mencionó anteriormente, la OEA también define criterios para establecer el modelo de nivel de madurez de
ciberseguridad en América Latina [1]. Por otro lado, la Unión Internacional de Telecomunicaciones (UIT) [2],
también establece criterios que orientan la búsqueda de información del diagnóstico inicial. Utilizando un
diagrama de afinidad,
Machine Translated by Google

Línea base de ciberseguridad 849

estos elementos propuestos se agrupan para determinar el criterio que se tendrá en cuenta en la investigación
de campo, considerando el porcentaje de inclusión de estos criterios en los documentos analizados. El resultado
se presenta en la figura 1.

Figura 1. Criterios de selección de criterios.

2.3 Plan de Investigación de Campo

Los criterios a investigar se convirtieron en objetivos, de los cuales se derivaron los temas importantes y las
preguntas básicas. Desde la estructura del gobierno nacional y con la participación del sector privado [3], se
seleccionaron las entidades para brindar la información. Con esos y otros elementos se elaboró el Plan de
Investigación de Campo. Su diseño se presenta en la Fig. 2. Como ejemplo, se desarrolla uno de los objetivos.

Fig. 2. Plan de investigación.

De donde: 1 * Participación de entidades públicas/Participación de empresas privadas/Eventos de

participación/Coordinación general/Resultados de participación; 2 * ¿Entidades participantes?/ ¿Eventos
realizados?/Responsabilidad y planes de la Coordinación; 3 * Encuesta Nro.01/Entrevista
Machine Translated by Google

850 M.Ron et al.

N° 01/Guía de investigación documental; 4 * Ministerio de Telecomunicaciones (MINTEL); 5 *

10/08/2018; 6*Oswaldo Rivera; 7 * Secretaría MINTEL; 8 * Evidencia ENC 01/Evidencia ENT-01/
Evidencia GID-01;
Las preguntas permiten elaborar los instrumentos de investigación que contienen básicamente
los datos identificativos, instrucciones de ejecución, cuerpo del documento y resultados. Estos
instrumentos se aplican de acuerdo al plan y se recolecta evidencia.

3 Hallazgos de investigación - Base de referencia de ciberseguridad

3.1 Información de contexto

Desarrollo Digital y Telecomunicaciones. El sector de las telecomunicaciones se ha desarrollado

constantemente. Ecuador ocupa el puesto 84 de 193 países con el índice EGDI [4]. El índice y sus
componentes que se presentan en la Fig. 3.

Fig. 3. Desarrollo del sector digital y de telecomunicaciones.

En cuanto al índice de E-Participación (EPI), también es significativo el aumento con respecto al

medido en 2016, como se presenta en la Fig. 3 [4].

Industria y Tecnología. Actualmente el 90% de los hogares tiene al menos un teléfono celular, el
52,0% de la población usa computadora, y el 58,3% usa Internet y el 58,5%. Con relación a 2012,
en 2017 el equipamiento de portátiles en el hogar aumentó 12,1 puntos y el acceso a Internet
aumentó 14,7 puntos, equivalente al 50%. Cabe mencionar que el 10,5% de las personas entre 15
y 49 años son analfabetos digitales y el uso de las redes sociales desde un teléfono inteligente
alcanza el 31,9% [5].
En cuanto al sector empresarial, el 98% tiene al menos una computadora. El 96,6% tiene
acceso a Internet y de estos el 96,8% utiliza banda ancha fija. El 13,9% realiza compras online y el
9,2% ventas a través de este canal [6]. Respecto al código abierto, de las empresas que tienen
conexión a Internet, el 98,1% utiliza navegadores de este tipo y del total de las empresas el 56,5%
utiliza aplicaciones ofimáticas, el 39% sistemas operativos y el 29,4% otro tipo de software de
código abierto. Hay un aumento en el uso de las redes sociales en 12 puntos desde el 2012. El
Índice Global de Innovación consigna a Ecuador en el lugar 96 entre 126 países, en cuanto a
Tecnologías de Información y Comunicación (TIC), se ubica en el puesto 77 con un índice de 52.3
[ 7].
Machine Translated by Google

Línea base de ciberseguridad 851

Infraestructura de la Información. No existe un Sistema Nacional de Información integrado,

sin embargo se ha creado el Sistema Nacional de Registro de Datos Públicos (SINARDAP)
que integra la información de varios organismos que procesan información pública, el Sistema
Nacional de Información para la planeación (SNI), el Sistema de Información para
Descentralizado Gobiernos Autónomos (SIGAD), Sistema de Gestión Documental Quipux,
SIGEF y otros sistemas nacionales y sectoriales [8].
La infraestructura de telecomunicaciones ha crecido cada año, como se puede apreciar
en la medición realizada por Naciones Unidas para el 2018 [9], que califica al país con un
índice de 0,37. A junio de 2017, el 92,46% de la cobertura de la población de SMA se logró
en tecnologías 3G y 4G. [10]. La conectividad está privilegiada por tres cables submarinos:
PANAM, SAM1 y PCSS, con una velocidad de navegación promedio de 6,2 Mbps por usuario
[11], por encima del promedio regional de 5,6 Mbps. Esta capacidad ha permitido la
construcción de megacentros de datos con certificaciones globales. También existe un Punto
de Intercambio de Tráfico (NAP.ec) que aloja la infraestructura de Internet y permite el
intercambio del 97% del tráfico local. A pesar de tener un nivel avanzado de despliegue de
infraestructura de backbone, hay un 6% de cantones que se conectan con esta tecnología que represent
MINTEL ha implementado 854 Infocentros, para apoyar a la población más vulnerable
que por su condición socioeconómica ha sido excluida del acceso a las TIC.
Los centros de información comunitarios también son utilizados por instituciones públicas para proporcionar servicios en línea.
El gobierno tiene el control de la infraestructura tecnológica, a través de la Corporación
Nacional de Telecomunicaciones (CNT). Sin embargo, las redes y sistemas son concesionados
a terceros. Hay dependencia de otros países de la tecnología de ciberseguridad [8]. La
mayoría de las empresas disponen de infraestructura informática propia (47,77%) y solo una
minoría (8,89%) ha sido subcontratada, el 36,3% utiliza Service Desk [3].

Impacto económico. Los gastos en servicios de telecomunicaciones son superiores al 7% de

los ingresos mensuales del hogar. Asimismo, el 14% de los hogares de menores ingresos
cuenta con computadora y el 11% tiene acceso a Internet. Una de las causas es la aplicación
de tarifas que alcanzan el 15% para móviles y el 10% para ordenadores o tabletas. Los
operadores de infraestructura han realizado inversiones e implementado medidas para
generar confianza en los servicios en línea, debido a la normativa de riesgo operacional de la
Superintendencia de Bancos y Seguros, lo que ha permitido el desarrollo de transacciones financieras.

Estrategia Nacional. No existe SNC, por lo que la ciberseguridad se maneja de forma

independiente en todos los sectores del país. Se ha iniciado un proyecto para definirlo por
iniciativa de varios organismos públicos, entre ellos el MINTEL, ARCOTEL, Comando de
Ciberdefensa del Comando Conjunto de las Fuerzas Armadas (COCIBER), Centro de
Respuesta a Incidentes Informáticos del Ecuador (EcuCERT), y asociaciones afines. a la
empresa privada, la academia y las organizaciones internacionales. La intención de participar
en la creación de políticas nacionales de ciberseguridad por parte de empresas privadas ha sido muy imp

Planificación y Marco. El Plan Nacional de Desarrollo 2017-2021, establece en su Objetivo 7,

“Mejorar el índice de gobierno electrónico al 2021”. En 2016, el MINTEL emitió el Plan
Nacional de Telecomunicaciones y Tecnologías de la Información [12]. Este establece como
uno de los programas “garantizar el uso de las TIC para el desarrollo económico y social del
país”. Se publicó el Plan Nacional de Gobierno Electrónico 2018-2021, que incluye su
implementación, gobernanza,
Machine Translated by Google

852 M.Ron et al.

monitoreo y evaluación. En 2018 se publicó el Libro Blanco de la Sociedad de la Información y el

Conocimiento, que es un plan de cinco ejes; el cuarto de ellos está relacionado con la Seguridad de la
Información y Protección de Datos Personales [10]. El 73,10% de las empresas (73,10%) se ha
preocupado por la elaboración de su planificación estratégica.
Sin embargo, su difusión y actualización ha sido inferior al 10% [3].

Institucional y Organización. Hay organizaciones interesadas en la ciberseguridad.

Sin embargo, aún no han coordinado sus acciones. No existe un centro nacional de mando y control
de ciberseguridad formalmente establecido. Se han determinado las siguientes instituciones con
responsabilidades específicas: MINTEL para regir las Telecomunicaciones y la Sociedad de la
Información, COCIBER para atender incidentes en infraestructura crítica digital estratégica de las
Fuerzas Armadas y el Estado. EcuCERT y CEDIA CERT brindan respuesta a los equipos de incidentes
de seguridad informática.

Coordinación y Colaboración. El MINTEL ha organizado mesas de trabajo en las principales ciudades

del Ecuador para involucrar a organizaciones, empresas y ciudadanos.
Asimismo, establece el compromiso de trabajar en conjunto en el desarrollo del Plan de la Sociedad
de la Información y el Conocimiento, el Programa de Seguridad de la Información y el uso responsable
de las TIC y el apoyo a la ciberseguridad en el país [8].

Cooperación y Asistencia. Ecuador forma parte de organismos internacionales como la UIT, OEA,
ONU y otros, que cuentan con mesas de trabajo relacionadas con la ciberseguridad, las cuales deben
ser activadas. Se prevé la asistencia de la OEA para la elaboración de la NCS.

3.2 Cultura y Formación

Cultura y Conciencia. Los planes de estudio de la educación primaria y secundaria no contienen

asignaturas de ciencias y computación, por lo que el desarrollo de competencias digitales, a través del
sistema educativo, es limitado.
MINTEL ha realizado varias campañas a través de las redes sociales, para prevenir delitos como
el grooming, robo e información, phishing, spam, estafa, sexting, vamping y cyberbulling [13]. En los
Infocentros comunitarios se cumple el Plan de Matrícula Digital, con el cual se capacita a la ciudadanía
sobre el uso seguro y saludable de Internet y las redes sociales [13]. Los sectores público y privado y
la sociedad en general, aún no son conscientes de las amenazas y aún no toman medidas proactivas
para mejorar su ciberseguridad. El sector financiero, por otro lado, se ha interesado mucho en la
seguridad, porque la ley los responsabiliza por pérdidas por fraude.

Prácticas de los Operadores. Los operadores han desarrollado algunas medidas de seguridad de
acuerdo con la norma ISO/IEC 27000 y otros estándares internacionales. La infraestructura tecnológica
nacional está a cargo del NTC, que actualmente se encuentra en un proceso de recertificación en ISO
27001. Los operadores de infraestructura crítica, a cargo de empresas públicas, aún no avanzan en
procesos consistentes de aseguramiento de los sistemas de información.

Entrenamiento y educación. Hay un mercado para la educación y la formación en seguridad de la

información. Sin embargo, no existe una oferta específica en carreras de pregrado. En el caso de los
programas de posgrado relacionados con la seguridad de la información se han incrementado. En términos de
Machine Translated by Google

Línea base de ciberseguridad 853

certificación profesional, hay espacio para filiales de las empresas e instituciones internacionales
del área como ISACA, EC-Council y otras, sin embargo los costos de certificación son limitantes
para su acceso. El número de instructores profesionales en ciberseguridad es escaso. No se
conocen programas de formación de formadores. La transferencia de conocimientos del personal
capacitado al personal nuevo es limitada.

Desarrollo de la capacidad. El tamaño de los equipos de seguridad de la información en la mayoría

de las empresas es pequeño (62,65%), hay un 10,84% que no cuenta con personal [3]. El Índice
Global de Ciberseguridad (GCI) señala que Ecuador se posiciona en un nivel maduro (66 del
ranking mundial) y sexto en los países de América Latina [14]. Sin embargo, presenta serias
limitaciones en relación a los países más avanzados en Ciberseguridad, con algunos avances en
los componentes de Desarrollo de Capacidades y Cooperación [8, 10, 13, 15].

Investigación e innovación. El Índice Global de Innovación ubica a Ecuador con el Índice de

Investigación y Desarrollo (I+D+i) de 6,2 en la posición 71 entre 126 países [7]. Ha tenido
constantemente una alta tasa de actividad emprendedora temprana (TEA), en 2017 fue del 29,62%
(inferior a la de 2016). Tanto la proporción de emprendedores nacientes como nuevos se ha
reducido en 2017 [16]. La investigación y desarrollo de herramientas y procedimientos de
ciberseguridad se encuentra en un estado inicial, aún no existe la infraestructura adecuada, ni la
producción de tecnología relacionada y el número de investigadores es realmente reducido.

3.3 Legislación

Marco legal y regulatorio. El Código Orgánico e Integral Penal (OIPC) [15] contempla delitos como
el acoso, la oferta de servicios sexuales a menores de edad, la estafa, la apropiación fraudulenta,
la revelación y la interceptación ilegal de datos. También incluye la transferencia electrónica ilegal
de activos, los ataques a la integridad de los Sistemas de Información (SI), el acceso no consentido
por medios electrónicos a los SI y los delitos contra la información pública.
Hay avances en la legislación penal, pero es importante fortalecer el marco legal, luego de un
análisis del impacto de la ley en la prevención del delito [17].
Existe legislación en materia de privacidad, protección de datos y libertad de expresión, esta
última está siendo modificada por la Asamblea Nacional, también se ha dictado la Ley de Comercio
Electrónico, la Ley de Telecomunicaciones, la Ley General de Correos. Ley Orgánica de Gestión
de Identidad y Datos Civiles. El derecho procesal penal se aplica ad-hoc a los delitos cibernéticos
y al uso de pruebas electrónicas en otros delitos. La evidencia digital es relativamente nueva en
este medio.

Normas y Criterios Técnicos. Existen 20 normas técnicas ecuatorianas adoptadas de la serie ISO
27000 en materia de seguridad de la información. Se ha implementado el Esquema de Seguridad
de la Información del Gobierno (GISS) en las entidades de la Administración Pública. Sin embargo,
su aplicación no ha sido completada. No hay evidencia del uso de estándares de ciberseguridad
en los procesos de compras y en el desarrollo del software aún no se aplican. En la investigación
realizada las empresas no son conscientes de la importancia de los estándares de seguridad y su
uso en la seguridad de la información, la implementación de políticas de ciberseguridad alcanza el
20,48% [3].
Machine Translated by Google

854 M.Ron et al.

Lucha contra el Cibercrimen. Desde la aprobación de la OIPC (2014) se han registrado 6211
denuncias por ciberdelitos. Los delitos más comunes son: “apropiación fraudulenta por medios
electrónicos”, “acceso no consentido a un sistema informático, telemático o de telecomunicaciones” y
“contacto con fines sexuales con menores de 18 años por medios electrónicos”. No obstante, el ritmo
de crecimiento de los delitos financieros ha disminuido, lo que demuestra un mayor cuidado en la
gestión de los medios electrónicos. Esto ha sido corroborado por el Observatorio de Ciberseguridad
en América Latina y el Caribe [16, 17]. Sin embargo, la formación no es adecuada para perseguir los
delitos informáticos. Los operadores de justicia capacitados son limitados.

Promoción de los Derechos Civiles. Se han promulgado leyes y políticas que promueven el acceso a
los datos personales almacenados por las instituciones públicas. La transparencia de la información
para los ciudadanos es superior al 97% en las instituciones públicas. En cuanto a la liberación de
datos abiertos para uso de los ciudadanos, el Inventario de Datos Abiertos (ODIN) 2016, ubica a
Ecuador en el 2016 en el puesto 31 de 173 países, con un puntaje de 56 [8].

3.4 Procesos Técnicos

Gobernancia. Los directorios de las empresas tienen un conocimiento limitado de ciberseguridad.

Por lo tanto no ejercen adecuadamente la tecnología y dejan a las unidades de gestión de TI esa
responsabilidad. La aplicación del SGSI en las entidades públicas ha permitido partir del conocimiento
de estos aspectos por parte de la alta dirección. Por otra parte, todavía no hay conciencia de las
acciones específicas que deben emprenderse [3].

Gestión de riesgos. La Secretaría Nacional de Riesgos se ha enfocado en los riesgos ambientales y

desastres naturales, no tanto en las computadoras. La GISS contempla un análisis de riesgo para su
implementación, sin embargo en la evaluación que maneja el MINTEL en el 2018, solo el 16.36%
obtuvo un buen resultado [8]. La formación de expertos en ciberriesgo aún es incipiente y hay pocos
profesionales certificados. La gestión de crisis en el área de ciberseguridad aún no está diseñada y
no cuenta con funcionarios nacionales.

Continuidad Operacional. A pesar de la iniciativa del gobierno de implementar el SGSI en las

instituciones públicas, los planes de continuidad operativa no son comunes. Las medidas de
redundancia digital son opcionales. Las entidades financieras y comerciales han iniciado una cultura
en este sentido para mantener los servicios a sus clientes y no causar pérdidas por lucro cesante.
Hay poca formación de profesionales certificados en esa área.

Infraestructuras Críticas. El COCIBER ha determinado las infraestructuras críticas del país según el
Catálogo Nacional de Infraestructuras Críticas, de carácter confidencial, pero no se han identificado
las vulnerabilidades ni existe un mecanismo formal de colaboración para la respuesta a un ataque.

Respuesta a Incidentes. El Centro de Respuesta a Incidentes Informáticos del Ecuador (Ecu CERT)
y CERT-CEDIA, actúan en la prevención y resolución de incidentes de seguridad informática. Sin
embargo su impacto no es significativo, debido a las limitaciones en sus competencias que establece
la Ley [8]. Los cibereventos o amenazas han sido registrados y clasificados a nivel nacional como
incidentes. A pesar de ello, la capacidad de respuesta es
Machine Translated by Google

Línea base de ciberseguridad 855

limitado y reactivo, no está coordinado y se hace ad-hoc. No se establece responsabilidad de

respuesta a incidentes a nivel nacional. Los activos de respuesta de emergencia no han sido
identificados y carecen de integración.

Monitoreo y evaluación. La Secretaría Nacional de Planeación (SENPLADES) mantiene el

Sistema Integrado de Planeación Pública y el Gobierno por Resultados (GBR) con el cual se
realiza el seguimiento y evaluación en general. La evaluación de la GISS realizada por MINTEL
[10] determina que solo el 16,36% de las entidades tienen un buen resultado. Nuevos
programas de posgrado han permitido incorporar auditores informáticos profesionales a
empresas e instituciones públicas y privadas para ayudar a la evaluación.

4 Análisis y Discusión de Resultados

4.1 Definición del Modelo de Nivel de Madurez

Para evaluar el estado actual del criterio, se definen seis niveles de madurez, teniendo en
cuenta los que presenta el Modelo de Madurez publicado por la OEA [1].
Los definidos por ISACA en su modelo de capacidad de proceso y los contenidos en ISO/IEC
15504-2 [18], el primero tiene 5 niveles y los dos siguientes tienen 6 niveles, los niveles
definidos para este caso de estudio son: Nivel 0: Incompleto, proceso no completamente
implementado, no cumple su propósito; Nivel 1: Implementado, el proceso cumple su propósito;
Nivel 2: Gestionado, proceso planificado, supervisado y mantenido, así como sus productos;
Nivel 3: Formalizado, el proceso utiliza un conjunto de actividades documentadas y estándar;
Nivel 4: Consistente, el proceso se mide y se lleva a cabo de manera predecible; Nivel 5:
Innovado, el proceso tiene la capacidad de innovar, ser resiliente y reaccionar rápidamente a
los cambios del entorno.

4.2 Aplicación del Modelo de Nivel de Madurez

La información obtenida en la investigación de campo se analiza de acuerdo con las

características establecidas en cada nivel del modelo de madurez definido y cada criterio se
califica y asigna un nivel. Este procedimiento permite establecer el nivel del estado actual y
posteriormente el nivel que el país quiere alcanzar luego de aplicar una política. A modo de
ejemplo, se podría establecer un convenio para brindar capacitación formal por parte de las
universidades a los operadores de justicia con un programa específico documentado y
planificado, de esta manera el criterio: Lucha contra el ciberdelito pasaría del nivel 0 al nivel 1.
La Tabla 1 muestra el resultado del análisis, incluye el criterio, el nivel y la observación
resumida de la condición del criterio, de tal manera que puede ser compatible con otros
modelos establecidos como el presentado por la OEA [1] .
Machine Translated by Google

856 M.Ron et al.

Tabla 1. Niveles de madurez de los factores.

Factor Observaciones de nivel

Información de contexto
Industria y Tecnología 1
Infraestructura de la información 1
Impacto económico
Estrategia Nacional
El 96,6% de las empresas cuentan con tecnología. GII = 96/126
Conectividad privilegiada, no cuentan con integrado nacional
sistema
1 Gastos en servicios TI altos, inicia bancarización
0 No existe

Planificación 2 Hay Planes Nacionales y Empresariales

Institucional y 1 Instituciones sin interrelación funcional

organización
Coordinación y 0 Se inician las mesas de trabajo
colaboración

Cooperación y asistencia 0 Cooperación internacional disponible

Cultura y formación
Cultura y conciencia
Prácticas del operador
Entrenamiento y educación
1 Sólo el sector financiero se ha interesado
0 No tienen procesos consistentes.
1 No hay carreras de grado, las de posgrado tienen
aumentó

Desarrollo de 1 ICG = 66/. No hay producción de tecnología.

capacidades
Investigación e Innovación 0 No hay infraestructura ni capital humano
Legislación
Legal y regulatorio 3 Legislación penal y marco de protección de derechos
marco de referencia

Estándares y técnicos 1 Normas ISO 27000, pero su uso no es consistente

criterios

Lucha contra el cibercrimen 0 Práctica limitada de los operadores de justicia

Promoción de derechos
Procesos técnicos
Gobernancia
Gestión de riesgos
Continuidad operativa
Infraestructura crítica
Respuesta a incidentes
Seguimiento y evaluación 1
1 Leyes y políticas promulgadas. ODÍN = 31/73
0 Conocimiento limitado de la alta dirección.
0 Solo ante desastres naturales y riesgos ambientales
0 Solo en empresas de alto riesgo financiero
0 Definición y protección no estructurada
0 Respuesta a incidentes integrada o no estructurada
GBR. Maestría en Auditoría Informática

5 Conclusiones y Trabajo Futuro

Se ha presentado una descripción del estado actual de la ciberseguridad en el Ecuador,

a través de un proceso metodológico que ha permitido la selección de las más
criterio utilizado a nivel mundial. Para llevar a cabo, una extensa investigación de campo con
diversidad de fuentes que han proporcionado información fidedigna que permite establecer una
línea de base con niveles de madurez. De estos partiría para determinar el estado deseado
Machine Translated by Google

Línea base de ciberseguridad 857

de ciberseguridad en el país, a través de la definición de un SNC, que contenga acciones

efectivas en la protección de la información crítica y consecuentemente de las operaciones
empresariales y los derechos de los ciudadanos. Como trabajo futuro, se planeó el desarrollo de
la metodología para la construcción de NCS en países en desarrollo.

Expresiones de gratitud. Los autores desean expresar un agradecimiento especial a todas las instituciones, empresas y
profesionales que participaron en la investigación de campo como lo hicieron antes en procesos similares para desarrollar
la NCS.

Referencias

1. OEA, Informe de Ciberseguridad 2016 (2016)

2. UIT, Guía de estrategia de ciberseguridad nacional de la UIT (2011)
3. Ron, M., Bonilla, M., Fuertes, W., Díaz, J., Toulkeridis, T.: Aplicabilidad de los estándares de ciberseguridad en
Ecuador - una exploración de campo. En: MICRADS 2018, vol. 94, págs. 27 a 40 (2011)
4. Departamento de Asuntos Económicos y Sociales de la ONU, Encuesta de gobierno electrónico 2016 (2016)
5. INEC, “ENEMDU-TIC 2017” (2017)
6. INEC, “Empresas y TIC”, Inec, pág. 54 (2015)
7. GII, C. University, INSEAD y OMPI, “Índice de innovación global” (2018)
8. MINTEL, Plan Nacional de Gobierno Electrónico, Quito - Ecuador (2017)
9. UNDESA, Encuesta de Gobierno Electrónico 2018 (2018)
10. MINTEL, Libro Blanco de la Sociedad de Ia Información. Ecuador (2018)
11. Akamai, “Informe sobre el estado de Internet del primer trimestre de 2017” (2017)
12. MINTEL, Plan Nacional De Telecomunicaciones Y Tecnologías De Información Del Ecuador 2016–2021. Secta.
Telecomunicaciones y Tecnol. la Inf., vol. 1, pág. 66 (2016)
13. MINTEL. Rendicion de Cuentas 2017, Quito - Ecuador (2018)
14. UIT. Índice de Ciberseguridad Global (GCI) 2017 (2017)
15. Rom, M., Bustamante, F., Fuertes, W., Tulkeredis, T.: Estado situacional de la ciberseguridad global y la ciberdefensa
según indicadores globales. Adaptación de un modelo para Ecuador. En: MICRADS 2018, vol. 94 (2018)

16. OFERTA-OEA. Observatorio de la Ciberseguridad en América Latina y el Caribe. http://observatoriociberseguridad.com/ .

Consultado el 12 de febrero de 2018 17. Ron, M., Fuertes, W., Bonilla, M., Toulkeridis, T., Diaz, J.: El cibercrimen en
Ecuador, una exploración que permite definir políticas nacionales de ciberseguridad. En: CISTI 2018, junio de 2018, págs.
1–7 (2018)

18. ISACA. Un marco empresarial para el gobierno y la gestión de la TI empresarial

(2013)