Estado Actual CIberseguridad Ecuador 2022

CON LA COLABORACIÓN
PRESENTACIÓN RESULTADOS
ENCUESTA
ESTADO ACTUAL DE LA CIBERSEGURIDAD
ECUADOR 2022
Auspician:
Con el apoyo y colaboración:
Ministerio de Telecomunicaciones
y de la Sociedad de la Información
Asociación Ecuatoriana de Ciberseguridad

INFORMES
3
Estado Actual de la
Ciberseguridad 2022
Sector Financiero
Popular y Solidario
39
Estado Actual de la
Ciberseguridad 2022
Sector PRIVADO
82
Estado Actual de la
Ciberseguridad 2022
SECTOR GOBIERNO
ENCUESTA

ECUADOR 2022
Sector Financiero Popular y Solidario - SFPS

CONTENIDO
Estado Actual de la Ciberseguridad

Ecuador 2022
Sector Financiero Popular y Solidario.
6
Panel: Brechas de seguridad: Aspectos
tecnológicos para cubrir la Ley de
Protección de Datos Personales. 8
INFORME 13
Control del cumplimiento de los
objetivos planteados. 14
Uso de herramientas para
gestionar los riesgos cyber. 16
Manejo de riesgos cyber con
terceros. 18
Estrategia para gestión de riesgos de
ciberseguridad de terceros.
20
Capacidades de vigilancia
cyberseguridad. 22
Estado Actual de la Ciberseguridad - Sector Financiero Popular y Solidario 2022
Capacidades de cyber resiliencia. 24

Incidentes Cibernéticos 27
Principales desafíos de
ciberseguridad en 2021. 28
Principales amenazas de
ciberseguridad en el 2021. 30
Impulso a la gestión de
cyberseguridad 32
Iniciativas cyber para el 2022 34
Presupuesto para seguridad y
ciberseguridad para 2022 36
Conclusiones Sector Financiero
Popular y Solidario 38
Conclusiones generales
Sector Financiero Popular y Solidario
y Sector Privado 81
5
Revive el evento
ESTADO ACTUAL DE LA
CIBERSEGURIDAD ECUADOR
SECTOR FINANCIERO 2022
POPULAR Y SOLIDARIO.
I
T ahora en colaboración con la consultora
Deloitte, y la Superintendencia de la
Economía Popular y Solidaria, SEPS, presentó
los resultados de la encuesta Estado Actual
de la Ciberseguridad Ecuador 2022, Sector
Financiero Popular y Solidario, SFPS, donde se
analizaron y revisaron aspectos de gobierno,
prevención, vigilancia y respuesta de seguridad
de la información. La presentación del evento
contó con el auspicio de Lumen y Mastercard.
6
Durante la presentación, Margarita Hernández,

Superintendenta de la SEPS, indicó que el organismo
técnico de supervisión y control de las entidades
que conforman el Sector Financiero de la Economía
Popular y Solidaria, como las organizaciones de
economía popular y solidaria han realizado alianzas
estratégicas efectivizando estudios y charlas
alrededor del tema de seguridad de la información
y ciberseguirdad, buscando generar conciencia y
formar a los involucrados en estos procesos.
El sector ha demostrado
su enorme capacidad
para innovar, adaptarse
y constituirse, desde
la perspectiva de
las instituciones
inancieras al desarrollo
y activación de la
economía del país.
Margarita Hernández
Superintendenta de la
SEPS
7
Panel: Brechas de seguridad: Aspectos tecnológicos

para cubrir la Ley de Protección de Datos Personales
Además, se llevó a cabo un panel sobre Brechas de

seguridad: Aspectos tecnológicos y organizativos
para cubrir la Ley de Protección de Datos Personales.
Participaron Álvaro Barrera, Jefe de Seguridad de la
Información de Cooperativa 29 de octubre; Marco
Real, Director de Seguridad de la Información de
Cooperativa Jardín Azuayo, Gabriel Llumiquinga,
presidente de la AECI y Ricardo Pulgarín Gómez,
Regional Security Solutions Architect de Lumen en
Latam.
Durante el panel se revisaron los mecanismos de

control para proteger el acceso no autorizado a la
exposición de datos; resguardo de información,
tratamiento y responsabilidad de los datos y la
participación de terceros, etc.
8
Álvaro Barrera, Jefe de Seguridad de la

Información de Cooperativa 29 de octubre, se
reirió a la necesidad de realizar un análisis de
impacto. Cuando se recolecta la información,
las personas o clientes deben estar conscientes
de dar autorización explícita sobre el uso de esa
información y a la vez, las entidades deben saber
donde están sus datos.
Debemos tener
identiicadas las
bases de datos donde
está la información
de las personas para
eliminarla en el caso
de que lo solicite, y
hacerlo en el tiempo
Álvaro Barrera
Jefe de Seguridad que señala la Ley
de la Información de
Cooperativa 29 de
octubre
9
Marco Real, Director de Seguridad de la

Información, Cooperativa Jardín Azuayo,
mencionó los controles que una empresa
debe implementar, por ejemplo, seguridades
perimetrales, certiicados digitales.
Tecnológicamente,
las instituciones
debemos apoyarnos
en análisis de brecha,
evaluación de riesgos
y establecer las
estrategias para
mejorar los servicios
Marco Real y brindar seguridad.
Director de Seguridad
de la Información,
Cooperativa Jardín
Azuayo
10
Por su parte Ricardo Pulgarín Gómez, Regional

Security Solutions Architect de Lumen en Latam,
enfatizó que en el GAP análisis, además de
tecnología, es preciso analizar también la parte
legal para saber cómo está el conocimiento de las
otras áreas.
La responsabilidad
de la seguridad
de los datos es de
las compañías,
aún si ésta
contrata servicio
de monitoreo o
herramientas de
terceros. Por lo
tanto, debe haber Ricardo Pulgarín Gómez
una gobernanza Regional Security
Solutions Architect de
interna Lumen en Latam
11
Al referirse al cumplimiento sobre la responsabilidad

de los datos, Gabriel Llumiquinga, presidente de
la AECI, señaló que la Ley establece un sistema de
protección de datos, donde está el ente regulador, el
responsable del tratamiento, el encargado, el titular
y destinatario. El responsable no se deslinda de la
responsabilidad del tratamiento de datos, aún si por
el giro de negocio los datos lo gestiona un tercero.
Hay que darle la

gobernanza de datos
a la organización,
la misma que
debe contar con la
concientización de la
alta gerencia.
Gabriel Llumiquinga
presidente de la
AECI
12
INFORME
L
a pandemia cambió para siempre el mundo en
aspectos sanitarios, sociales y laborales. El panorama
de la ciberseguridad también lo hizo en los últimos dos
años. Las amenazas cyber se incrementaron en número y
desarrollaron en soisticación. Hoy más que nunca, urge que
las organizaciones sean conscientes de la trascendencia
que tiene ciberseguridad para el cumplimiento de los
objetivos de negocio y tomen acciones efectivas para la
administración del riesgo cibernético.
¿Cómo se encuentran en esta materia las entidades del

Sector Financiero Popular y Solidario, SFPS?
Deloitte e IT ahora, elaboraron el sondeo del Estado Actual

de la Ciberseguridad Ecuador 2022 con la participación
de 209 entidades correspondientes al Sector Financiero
Popular y Solidario.
Samuel Ardila Oswaldo Bravo

Socio de Asesoría en Socio de Asesoría en
Riesgos en Deloitte Riesgos en Deloitte
13
Presentación de resultados
CONTROL DEL CUMPLIMIENTO DE

LOS OBJETIVOS PLANTEADOS
La deinición de la estrategia cyber

ija la gestión sobre los distintos tipos
de riesgos de mayor impacto. Sin
embargo, es necesario el monitoreo
apropiado a su cumplimiento, lo
que asegurará lograr los objetivos
planteados.
40%
37%
34%
Seguimiento al número / Control de cumplimiento Análisis de

criticidad de hallazgos de del presupuesto asignado riesgos.
las auditorías, evaluaciones a la gestión de seguridad
y/o diagnósticos de de la información.
seguridad de la información.
¿Cómo se puede realizar?
Las estrategias utilizadas para hacer el seguimiento a

la efectividad de la gestión cyber son variadas. Entre el
30 y 40% de los participantes de la encuesta airmaron
utilizar al menos una de estas cuatro estrategias:
seguimiento a hallazgos (40%), control presupuestal
(37%), análisis de riesgos (34%) y evaluación de las
iniciativas de seguridad (30%).
30%
24%
7%
Evaluación de Análisis del número /

cumplimiento de los criticidad de los incidentes Otra
resultados esperados de seguridad de la
para las iniciativas información.
de seguridad de la
información.
15

gestionar los riesgos cyber
Una buena gestión de riesgos

cyber requiere la implementación
y orquestación de un conjunto
de herramientas con funciones
complementarias.
Para la protección de las amenazas

cyber las entidades están utilizando:
copias de respaldo, la herramienta
más básica de resiliencia cyber,
éstas son utilizadas por casi la
totalidad de las entidades inancieras
encuestadas (un 96%). En segundo
lugar, tenemos la herramienta más
fundamental de vigilancia cyber por
software antimalware con un 75% y
el uso de irewall perimetral (53%).
Las otras herramientas de gestión

cyber son utilizadas por un número
bajo de las instituciones (menos
del 35%) por lo que de seguro hay
amenazas que no están siendo
gestionadas apropiadamente con el
apoyo de herramientas.
Copias de respaldo 96%

Protección antimalware: Antivirus y/o Antispam 75%
Perímetro de red: Firewall y/o SDWAN 53%
Control de accesos a la red: NAC 35%
Gestión de accesos de usuarios privilegiados: PAM 30%
Gestión de vulnerabilidades 29%
Perímetro del endpoint: EndPoint Protection (EPP) y/o EDR 28%
Protección de aplicaciones Web: WAF 28%
Protección de intrusos: IDS / IPS 26%
Detención de intrusos y accesos: IAM 25%
Cifrado de disco duro 25%
Cifrado de la base de datos 21%
Protección de denegación de servicios: Anti-D DoS 20%
Autenticación Multifactor: MFA 19%
protección de flujo de información: Security Email Gateway 16%
Herramientas para la gestión de ciberseguridad de terceros 14%
Protección de acceso a aplicaciones en la nube: CASB 11%
Gestión de dispositivos móviles: MDM 9%
Correlación de eventos: SIEM 7%
Gestión de configuración: CMDB 7%
Analítica de comportamiento de usuarios: UEBA / UBA 4%
17
Manejo de riesgos cyber

con terceros
Los servicios y productos

que prestan los proveedores
y socios de negocios a
nuestras compañías son
trascendentales para el
logro de sus objetivos.
La interacción con estos
terceros requiere compartir
información sensible y
brindar acceso a sistemas
core del negocio.
70%
No se realiza
gestión de
terceros.
De modo que la gestión de riesgos de la

seguridad de la información de los terceros ha
sido reconocida en los últimos años como un
aspecto clave.
Acorde con los resultados de la encuesta, muy

pocas organizaciones hacen gestión de riesgos
cyber de terceros. Sólo un 30% de las entidades
del SFPS, respectivamente, están ejecutando
actividades de gestión de riesgos cyber de
terceros.
30%
Sí se realiza
gestión de
terceros
19
Estrategia para gestión de riesgos

de ciberseguridad de terceros
Y la estrategia para gestión de riesgos

de ciberseguridad de terceros se
basa principalmente en informar la
política, enviar recomendaciones
de seguridad a terceros (32%). La
segunda estrategia más utilizada
es incluir obligaciones cyber
en los contratos. Estas, aunque
importantes son las medidas más
básicas que se pueden tomar con el
propósito de gestionar los riesgos
cyber de terceros.
32% 28% 24%
Se envían recomendaciones Se incluyen obligaciones Se mantiene un

de seguridad a los terceroAs en materia de gestión ciclo constante de
y se comparte la política de de seguridad de la optimización con
seguridad de la información información en el contrato evaluación, revisión y
de la compañía. que se irma con el tercero. mejora continua.
Con las estrategias señaladas anteriormente

es muy baja la seguridad que se alcanza sobre
la gestión de forma apropiada de los riesgos
cyber.
Acorde con lo visto, el nivel de exposición de

las entidades a ciberataques informáticos
basados en la explotación de vulnerabilidades
de la cadena de suministro y socios de negocio
es muy alto. Deinitivamente, es un área que
requiere mayor atención.
14% 6% 21%
Se realizan evaluaciones Se cuenta con Otros

periódicas a partir de tecnologías
entrevistas, revisión de automatizadas de
documentación y visitas (ya evaluación de riesgos de
sea ejecutado por personal terceros (por ejemplo,
interno o de un auditor herramientas de scoring
independiente). de ciberseguridad).
21
cyberSEGURIDAD
Debido a la alta dinámica

que presenta el escenario de
ciberamenazas es fundamental
realizar de forma proactiva
acciones de inteligencia para
identiicar oportunamente
riesgos cyber emergentes.
El monitoreo de eventos es la
capacidad de vigilancia que más
han desarrollado las entidades
del SFPS. Casi un 40% de las
entidades realizan actividades
de vigilancia cyber tales como
monitoreo de eventos (39%),
escaneo de vulnerabilidades
(37%) y monitoreo de incidentes
(34%).
En el SFPS existe un bajo nivel

de adopción de capacidades
de vigilancia, por lo que se
recomienda a las entidades
incrementar su desarrollo
y fortalecimiento de dichas
capacidades.
22
Monitoreo de eventos de seguridad 39%
Pruebas de penetración / escaneo de

vulnerabilidades 37%
Monitoreo de incidentes de seguridad 34%
Gestión de parches 26%
Monitoreo e inteligencia de
ciber-amenazas 18%
Monitoreo anti-fraude (suplantación de

idetidad, protección de marca, pharming) 15%
Otro 11%
23
CAPACIDADES DE CYBER resiliencia
Prepararse para responder a lo que

tarde o temprano podría ocurrir
es un mandamiento en materia
de gestión de riesgos cyber. Para
lograrlo, algunas compañías han
venido desarrollando estrategias y
planes de respuesta con el objetivo
de reducir su impacto en caso de
presentarte. ¿Cómo podemos
saber si los planes de respuesta
funcionaran adecuadamente?
La única forma posible es
probando dichos planes y ejecutar
simulaciones de incidentes.
Las pruebas a las estrategias

de respuesta a amenazas de
ciberseguridad establecidas en el
plan de continuidad del negocio
(BCP) y en el plan de recuperación
de desastres (DRP) son los
mecanismos principalmente
utilizados por las compañías para
probar sus capacidades de ciber
resiliencia.
Pruebas a las estrategias de

respuesta a amenazas de
ciberseguridad establecidas
en el plan de continuidad del
negocio (BCP).
Pruebas a las estrategias de

respuesta a amenazas de
ciberseguridad establecidas
en el plan de recuperación de
desastres (DRP).
Ejercicios de simulación de crisis

cibernética dirigida a equipos
estratégicos y tácticos.
Participación en simulaciones de
crisis originadas por incidentes
cibernéticos en compañías de
infraestructura crítica.
Ejercicios de Red Team

dirigidos a equipos técnicos.
Participación en ejercicios de
crisis cibernéticas gremiales.
25
Mientras que otras acciones para validar las

capacidades de resiliencia cyber son ejecutadas por
un número menor de compañías.
Es recomendable realizar
ejercicios de simulación de
crisis cibernética dirigida a
equipos estratégicos y tácticos,
ejecutar ejercicios de Red Team
para probar capacidades de
equipos técnicos y participar en
ejercicios de crisis cibernéticas
gremiales.
Con el uso de diferentes tipos

de pruebas, las entidades
podrán tener certeza de que
sus estrategias de resiliencia
funcionarán efectivamente.
El número de entidades
inancieras que prueba sus
capacidades de respuesta
ante un incidente cyber puede
mejorarse. Solo un 34% realiza
pruebas a su plan de continuidad
del negocio (BCP) y un 23%
prueba su Plan de Recuperación
de Desastres (DRP).
26
Incidentes cibernéticos
La cantidad de entidades
inancieras que airman no haber
sido víctima de un incidente cyber
es alto (74%). Es posible que
esto se deba a que las medidas
de seguridad y vigilancia que
se han tomado han funcionado
efectivamente o a que los
incidentes cyber han ocurrido en
algunas organizaciones sin ser
identiicados.
Por otro lado, solo un 10% de

las entidades inancieras han
contado con el apoyo de un
tercero para responder a los
mismos.
No tuvieron incidentes de
ciberseguridad en 2021
Contó con apoyo 74%

de terceros para
responder incidentes
10%
27
principales Desafíos de
Son muchos los desafíos que

enfrentan las compañías para
gestionar los riegos cyber. Estos se
relacionan con la transformación
digital, el esquema de trabajo remoto
y el fortalecimiento del eslabón más
débil: el factor humano.
Implementar controles de seguridad

sobre la tecnología vinculada con el
contexto de trabajo remoto (protección
de estaciones de trabajo, información
en la nube, accesos de endpoints no
corporativos, acceso VPN).
Acompañar adecuadamente Contar con los

al negocio y a TI frente a la colaboradores con
transformación digital forzada las capacidades y
por COVID. entrenamiento adecuados.
28
El principal desafío que enfrentan las entidades

inancieras se relaciona con apoyar de forma adecuada
la transformación digital de la compañía la cual fue
impulsada durante los 2 años de pandemia (65%).
El segundo desafío más importante también guarda

relación con implementar controles cyber en el nuevo
esquema de trabajo impulsado en pandemia: el trabajo
remoto (47%). En tercer lugar, tenemos el desafío de
fortalecer el eslabón más débil de la ciberseguridad:
el factor humano (38%).
Incrementar las
Lograr la sinergia
capacidades de
y coordinación del
detección y respuesta
equipo de trabajo en
ante incidentes más
el contexto remoto.
soisticados.
No poder utilizar la totalidad del

Brecha entre las presupuesto asignado por no
necesidades de poder llevar adelante las iniciativas
ciberseguridad (no es prioridad para IT/ Negocio,
y el presupuesto falta de recursos humanos,
disponible. complejidad de esquema remoto).
29
principales amenazas de
ciberseguridad en el 2021
Las amenazas que enfrentamos son

cada vez variadas y han evolucionado
de forma importante en su soisticación
en los últimos años. Es más común
escuchar de organizaciones cuya
continuidad de operaciones fue
impactada por un malware y de casos
de fuga de un volumen importante de
datos sensibles.
En consonancia con lo anterior, La

amenaza que más inquieta a los
CISO de las entidades del SFPS es la
iltración de datos. Dada la naturaleza
de información conidencial, privada
y/o sensible que maneja el sector y al
incremento en el volumen e impacto
de las iltraciones es natural que esta
sea la amenaza que más preocupa en
este momento.
También el ramsomware sigue siendo

preocupación para las entidades del
sector inanciero (47%).
30
Es necesario que cada entidad realice un análisis

concienzudo de los desafíos y amenazas que
particularmente enfrenta. Con los resultados del
análisis se deinirán estrategias para dar una
respuesta apropiada a la situación especíica de cada
organización.
Filtración de datos 53%
Ataques sofisticados y 47%

dirigidos de ransomware
Phishing / Spear Phishing / BEC 46%
Fraude a través de medios de pago digital 43%
Explotación de vulnerabilidades en
servicios expuestos a Internet 32%
Explotación de vulnerabilidades de seguridad de las
estaciones de trabajo de los colaboradores remotos 28%
Denegación de servicio 20%
Compromiso de credenciales 15%
Malware sobre dispositivos móviles 14%

Compromiso de la Seguridad de un tercero con
impacto en la propia organización 14%
Cloud Jacking 12%

31
cyberseguridad
En términos generales existen dos

tipos de situaciones que impulsan el
desarrollo de capacidades de gestión
de riesgos cibernéticos:
1) Una decisión que toman las

organizaciones tras entender y analizar
los riesgos a los que se exponen.
75%
47%
39% 38%
25%
Cumplimiento de Expansión de la Desarrollo de Alertamiento Alertamiento

regulaciones de digitalización de capacidades de por aumento de por aumento de
ciberseguridad. los servicios web los colaboradores ciberamenazas ciberamenazas
core del negocio. de ciberseguridad
32
internos.
2) Una imposición de un tercero que obliga a ejecutar

acciones de mitigación de riesgos.
En el mercado ecuatoriano, la segunda es la

predominante.
El principal factor que impulsa el desarrollo de las

funciones de gestión cyber es el cumplimiento
regulatorio: 75%
Además, la expansión de la digitalización de los

servicios web core del negocio (con el 47%) y el
desarrollo de capacidades cyber de los colaboradores
internos (con el 39%).
21% 17% 14% 13%

6%
Fortalecimiento Cambio de Profundizar en Implementación Seguridad

de la seguridad paradigmas en la adopción de de procesos de sobre
de la fuerza de la gestión de la Seguridad Cloud negocio Agile IoT y OT
trabajo remota seguridad por
COVID-19 33
Iniciativas cyber para el 2022
Las principales iniciativas de

ciberseguridad para el 2022
en las entidades inancieras
tienen que ver con esfuerzos
para mejorar y fortalecer las
capacidades cyber a través de
una estrategia de ciberseguridad
(65%).
La inquietud por el factor

humano, hace que la
concientización sea la segunda
iniciativa de mayor interés. Un
58% de las entidades inancieras
que participaron en la encuesta
tiene esta iniciativa en su
portafolio para el corto plazo.
Le sigue, la implementación
de mejora de los procesos de
gestión de vulnerabilidades con
43%.
34
Definición de la estrategia de
ciberseguridad
65%
Concienciación en ciberseguridad 58%
Implementación de mejoras sobre la

gestión de vulnerabilidades 43%
Mejora del proceso de gestión de riesgos,

métricas y reportes 43%
Evaluación de ciberriesgos 43%
Implementación/fortalecimiento del
monitoreo de ciberamenazas
39%
Aseguramiento de medios de pago digital 33%

identidad, protección de marca, pharming) 33%
Implementación/fortalecimiento de la
respuesta ante incidentes 31%
Inteligencia de ciberamenazas 22%
Implementación de un programa de
gobierno de seguridad en Cloud 13%
Aseguramiento de tecnologías
emergentes (IOT, RPA, IA, ML) 8%
Implementación de DevSecOps 7%
35
PRESUPUESTO PARA SEGURIDAD Y

CIBERSEGURIDAD PARA 2022
Un número importante de
entidades del sector financiero
no cuentan con un presupuesto
definido: un 43%. Y dentro de
los que sí tienen presupuesto,
un 43% es inferior a 100,000
dólares. Tan solo un 14% tiene
presupuesto cyber superior a
100,000 dólares.
Contar con un presupuesto

definido y acorde con la
tolerancia al riesgo cyber en
las organizaciones es un paso
fundamental para tener una
gestión cyber adecuada.
36
3%
Más de USD 1,000,000
2% 9%
Superior a 500,000 e inferior Superior a 100,000 e inferior
a USD 1,000,000 a USD 500,000
43%
Inferior a USD 100,000
43%
No tengo presupuesto
aprobado
37
Conclusiones
SECTOR FINANCIERO
POPULAR Y SOLIDARIO
Las entidades del Sector

Financiero Popular y Solidario,
SFPS deberán reforzar sus
estrategias de manejo de riesgos
cyber con terceros y elevar sus
niveles de seguridad.
Asimismo, es necesario fortalecer

las pruebas de las capacidades de
resiliencia cibernética mediante
diversos tipos de pruebas y
simulaciones para tener certeza
de su correcto funcionamiento.
Por último, la asignación de un

presupuesto de ciberseguridad
es necesario y deberá responder
al desarrollo de las capacidades
requeridas para la gestión
de riesgos cibernéticos y a la
ejecución de acciones acorde a la
tolerancia al riesgo cyber de las
organizaciones.
38
ENCUESTA

ECUADOR 2022
Sector Privado
39
CONTENIDO
Panel 1 : Brechas de seguridad: Aspectos
tecnológicos y organizativos para cubrir la
Ley de Protección de Datos Personales.
43
Panel 2: Cómo limar asperezas entre
Experiencia del usuario y el CISO 47
INFORME 51
Por número de usuarios conectados
a la infraestructura IT 54
objetivos planteados 56
gestionar los riesgos cyber 58
Manejo de riesgos cyber con terceros 60
de ciberseguridad de terceros 62
40
cyberseguridad 64
Capacidades de cyber resiliencia 66
Principales Desafíos de
ciberseguridad en 2021 70
Principales amenazas de
ciberseguridad en el 2021 72
cyberseguridad 74
Conclusiones Sector Privado 80
Conclusiones generales
Sector Financiero Popular y Solidario y
Sector Privado 81
41
Revive el evento
Como parte de la presentación de los resultados de

la encuesta “Estado Actual de la Ciberseguridad
Ecuador 2022”, sector privado, se realizó el panel
sobre Brechas de seguridad: Aspectos tecnológicos
y organizativos para cubrir la Ley de Protección de
Datos Personales donde se abordaron control de
acceso a datos, responsabilidad de terceros, etc.
Participaron ejecutivas de empresas del sector

de servicios inancieros y de alimentos. Nos
acompañaron Lizzie Noblecilla, Líder de Gestión de
Seguridades de Banred y Angélica Ávila, Gerente de
Auditoría de IT de Pronaca, junto a Ricardo Pulgarín
Gómez, Regional Security Solutions Architect de
Lumen en Latam, quién moderó la conversación.
42
PANEL 1
Brechas de seguridad:
Aspectos tecnológicos y organizativos
para cubrir la Ley de Protección de
Datos Personales.
Ricardo Pulgarín
Regional Security
Solutions Architect de
Lumen en Latam
Al iniciar, Ricardo Pulgarín Gómez, señaló que La

Ley de Protección de Datos Personales reconoce
el derecho de las personas sobre la información
que recopilan las empresas y al tratamiento que
dan a sus datos personales. Abrieron la charla,
señalando la diferencia que existe entre dato e
información.
43
Hay que cuidar

los datos, aún si
están aislados,
porque así lo
establece la ley.
Lizzie Noblecilla
Líder de Gestión de
Seguridades de Banred
Lizzie Noblecilla, señaló que el dato es considerado

a todo aquel que describe la identidad de un
individuo, según la Ley, es todo aquello que
deine las características de una persona. Y la
información es el conjunto de estos datos que
ya son procesados y ordenados.
“Si vemos el dato de manera individual no

signiica nada, sin embargo, en el momento en
que tenemos varios tipos de datos se identiica
a una persona como tal”.
44
Nuestro primer
insumo será un
análisis correcto del
riesgo para deinir
sobre los controles
que necesito y dónde
implementarlos. Angélica ávila
Gerente de Auditoría de
IT de Pronaca
Sobre el consentimiento de los usuarios para

el tratamiento de su información, Angélica
Ávila mencionó que todas las empresas deben
contar con la autorización de las personas,
sean clientes o colaboradores.
La notiicación a través del uso de mail permitirá

contar con la autorización si las personas
desean mantener o no su información en la
empresa.
45
Al hablar sobre los controles que las compañías,

señalaron que se debe hacer lo necesario para
proteger la información, aunque también las
empresas tienen implementado esquemas
de seguridad, el uso de estándares como las
NISCT, ISO 27000 para deinir cuáles son los
mejores controles.
Para Angélica Ávila, hay algunos recursos

como la encriptación para el almacenamiento
de datos. Sin embargo, uno de los controles
importantes, es el control de accesos sin
importar la fase en que esté el dato. “Hay que
tener claro quien tiene acceso a la información,
los respectivos accesos en todo momento,
inclusive cuando se borra la información”.
Mientras que Ricardo Pulgarín Gómez,

menciono que hay múltiples mecanismos de
control de seguridad: escritorios virtuales,
cifrado de tránsito o en reposo, etc; sin
embargo, hay que veriicar cuál es el modelo
de negocio y operación de cada compañía para
deinir los controles a implementar.
46
PANEL 2
Cómo limar asperezas entre

EXPERIENCIA DEL USUARIO Y EL
Durante la conversación,
se abordó el trabajo en
conjunto y ágil de las áreas
de proyectos de innovación
y ciberseguridad; la
experiencia de usuario
y las acciones y visión
de ciberseguridad,
Ley de Protección de Juan Camilo Reyes,
Datos Personales y Director de Ciber e
responsabilidad del Inteligencia de Mastercard
manejo de información en
la innovación.
Las organizaciones
Juan Camilo Reyes, Director ven la importancia
de Ciber e Inteligencia de de vincular la
Mastercard para la División ciberseguridad en todos
Andina moderó el panel: los procesos y hacerlo
Cómo limar asperezas entre desde el inicio, evitando
experiencia del usuario y el demoras y reprocesos.
CISO.
47
Se analizó la experiencia de Salud S.A., en la

conformación de un equipo de ciberseguridad
digital que garantiza que trabaja de la
mano con las iniciativas de la gerencia de
operaciones.
María Gabriela Sánchez, Gerente de

Operaciones de Salud S.A., comenta que al
inicio fue complejo entender la participación
de ciberseguridad, seguir los lineamientos
y aplicarlos en los proyectos, sin embargo,
Ciberseguridad es
parte del negocio,
aporta con ideas no
solo para resolver
vulnerabilidades
sino en pro de
los clientes y
colaboradores. María Gabriela Sánchez
Gerente de Operaciones
de Salud S.A.
48
se han acoplado perfectamente al

punto de que el área de ciberseguridad
participa en los procesos de licitación de
proveedores, levantamientos técnicos,
revisión de vulnerabilidades antes de
salir a producción.
De la experiencia, María Gabriela

Sánchez, señala que el secreto ha sido
involucrar al equipo de ciberseguridad
en todo el proceso.
Desde la perspectiva de Juan Carlos

Marca, Jefe de ciberseguridad digital,
señala que han adaptado los procesos a
la línea de tiempo de los proyectos de
innovación de la organización, logrando
que salgan sin mayores contratiempos.
49
Hay prioridades,
no queremos ser
ni muy permisivos
ni restrictivos,
siempre vamos
alineados con la
estrategia del
negocio.
Juan Carlos Marca
Jefe de ciberseguridad
digital de Salud S.A.
Para el ejecutivo, ciberseguridad no quita velocidad

al negocio, es un apoyo siempre y cuando se lo
involucre desde el inicio.
“Hemos establecido el tiempo que nos tomaría

realizar los análisis en los procesos, si no se
nos involucra existe la posibilidad de realizar
reprocesos, y eso es lo que genera retrasos”.
50
INFORME
L
a pandemia cambió para siempre el mundo en
aspectos sanitarios, sociales y laborales. El
panorama de la ciberseguridad también lo hizo en los
últimos dos años. Las amenazas cyber se incrementaron
en número y desarrollaron en soisticación. Hoy más que
nunca, urge que las organizaciones sean conscientes de
la trascendencia que tiene cyber para el cumplimiento
de los objetivos de negocio y tomen acciones efectivas
para la administración del riesgo cibernético.
¿Cómo se encuentra en esta materia las empresas

ecuatorianas del sector privado?.
Deloitte e IT ahora, elaboraron el sondeo del Estado Actual

de la Ciberseguridad Ecuador 2022 con la participación
de más de 80 encuestas correspondientes a empresas
de distinto sector y tamaño.
Samuel Ardila Oswaldo Bravo

Socio de Asesoría en Socio de Asesoría en
Riesgos en Deloitte Riesgos en Deloitte
51
El sondeo del Estado Actual de la Ciberseguridad Ecuador

2022 para el sector privado contó con 12 preguntas
distribuidas en aspectos de estrategia/gobierno;
prevención, vigilancia, respuesta.
POR INDUSTRIA
32%
15% 10%
Otro (Salud, Manufactura,
Consumo / Retail Educación
Alimentos)
18% 12%
Banca Servicios
52
Se obtuvieron alrededor de 80 respuestas

correspondientes a empresas de distinto tamaño y
actividad económica.
Presentamos los resultados inales de la encuesta

del sector privado:
5% 1%
Oil & Gas E-commerce
5% 1% 0%
Seguros Gobierno Turismo y
Entretenimiento
53
Por número de usuarios
Entre 250 y 1.000
Entre 100 y 250
54
conectados a la
infraestructura IT
Más de 1.000
Menos de 100
55

Las dos principales estrategias

de seguimiento a la efectividad
de la gestión cyber en empresas
del sector privado son el
seguimiento a los hallazgos
(56%) y análisis de los riesgos
cyber (55%).
56%
55%
45%
Seguimiento al número / Análisis de Análisis del número

criticidad de hallazgos de las riesgos. / criticidad de
auditorías, evaluaciones y/o
los incidentes de
diagnósticos de seguridad de
seguridad de la
la información.
información.
56
La combinación de estas prácticas resulta en una

buena estrategia de seguimiento a la efectividad de la
gestión cyber ya que permite monitorear diferentes
aspectos de la misma.
Otras posibles estrategias de seguimiento es el

Análisis del número y criticidad de los incidentes de
40%
32%
4%
Evaluación de Control de Otra

cumplimiento de los cumplimiento
resultados esperados del presupuesto
para las iniciativas asignado a la gestión
de seguridad de la de seguridad de la
información. información.
57

Una buena gestión de riesgos cyber

requiere de tener implementadas
y orquestadas un conjunto de
herramientas con funciones
complementarias. Para la protección
de las amenazas cyber las
empresas del sector privado utilizan
principalmente software antimalware,
copias de respaldo y protección del
perímetro. Estas son las herramientas
más básicas para la vigilancia, la
resiliencia y el aseguramiento cyber,
respectivamente.
Hay 3 tipos de herramientas que son

las más comunes en el sector según
la encuesta: software antimalware
(98%), copias de respaldo (96%)
y protección del perímetro (86%).
Estas son herramientas básicas
para la vigilancia, la resiliencia y el
aseguramiento cyber. El arsenal de
herramientas utilizado por entidades
de este sector es amplio, pero deberán
seguir fortaleciendo y orquestando
para dar respuestas adecuadas a las
nuevas amenazas cyber.
58

Copias de resplado 96%
Perímetro del endPoint Protection (EPP) y/o EDR 63%
Detección de instrusos: IDS / IPS 56%
Control de acceso a la red: NAC 47%
Protección de flujo de información: Security Email Gateway y/o DLP 40%
Protección de denegación de servicios: Anti-DDoS 36%
Gestión de dispositivos móviles: SIEM 32%
Correlación de eventos:SIEM 30%
Gestión de identidades y accesos:IAM 25%
Analíticas de comportamiento de usuarios:UEBA/UBA 14%
Herramientas de monitoreo de integridad de archivos: FIM 10%
59

con terceros
Los servicios y productos que

prestan los proveedores y socios
de negocios a nuestras compañías
son trascendentales para el logro
de sus objetivos. La interacción
con estos terceros claves requiere
compartir información sensible
y brindarles acceso a sistemas
core del negocio.
62%
No se realiza
gestión de
terceros.
60
De manera que la gestión de riesgos de la

seguridad de la información de los terceros ha
venido siendo reconocido en los últimos años
como un aspecto clave.
Acorde con los resultados de la encuesta, muy

pocas organizaciones hacen gestión de riesgos
cyber de terceros. Sólo un 38% de las compañías
del sector privado están ejecutando actividades
de gestión de riesgos cyber de terceros. Lo
anteriormente expuesto, aumenta el nivel de
exposición de las entidades de a ciberataques
informáticos.
38%
Sí se realiza
gestión de
terceros
61
Estrategia para gestión de

riesgos de ciberseguridad
de terceros
El 42% de las organizaciones

del sector privado basan su
estrategia en informar la política
y recomendaciones de seguridad
de la información a dichas
organizaciones. Una tercera
parte incluyen obligaciones cyber
en los contratos. Estas, aunque
importantes son las medidas más
básicas que se pueden tomar
con el propósito de gestionar los
riesgos cyber de terceros.
42% 33% 30%
Se envían Se incluyen obligaciones Se mantiene un

recomendaciones en materia de gestión ciclo constante de
de seguridad a los de seguridad de la optimización con
terceros y se comparte información en el evaluación, revisión y
la política de seguridad contrato que se irma con mejora continua.
de la información de la el tercero.
compañía.
62
Con este tipo de estrategias, es muy baja la

seguridad que se alcanza de que los terceros están
gestionando de forma apropiada los riesgos cyber.
Estas, aunque importantes son las medidas más
básicas que se pueden tomar con el propósito de
gestionar los riesgos cyber de terceros.
Las evaluaciones periódicas y la automatización de

la gestión de los riesgos cyber de los terceros son
muy bajas en el sector: 20% y 10%, respectivamente.
Sin este tipo de estrategias es muy baja la
seguridad que se alcanza de que los terceros están
gestionando de forma apropiada los riesgos cyber.
20% 10% 21%
Se realizan evaluaciones Se cuenta con Otros

periódicas a partir de tecnologías
entrevistas, revisión de automatizadas de
documentación y visitas (ya evaluación de riesgos de
sea ejecutado por personal terceros (por ejemplo,
63
cyberSEGURIDAD
Debido a la alta dinámica que presenta

el escenario de ciberamenazas
es fundamental realizar de forma
proactiva acciones de inteligencia
para identiicar oportunamente riesgos
cyber emergentes.
El monitoreo de eventos es la
capacidad de vigilancia que más han
desarrollado las compañías. Esta fue la
opción seleccionada por el 69% de las
compañías del sector privado.
Las capacidades de vigilancia

utilizadas para hacer el seguimiento a
la efectividad de la gestión cyber son
variadas en este sector. Se observa
además, que el sector privado tiene
mayor madurez en sus capacidades de
vigilancia. Entre el 65 y el 69% de los
participantes de la encuesta airmaron
utilizar al menos un de estas cuatro
capacidades: monitoreo de eventos e
incidentes, gestión de vulnerabilidades,
gestión de parches y pentest/escaneo
de vulnerabilidades.
64
La combinación de estas capacidades resultará

en una buena estrategia de vigilancia ya que
permite monitorear diferentes tipos de amenazas
emergentes y dar respuesta oportuna a las
mismas.
Monitoreo de eventos e
incidentes de seguridad 69%
Gestión de vulnerabilidades
68%
Pruebas de penetración / escaneo de

vulnerabilidades 65%
Programa de gestión de conciencia

de ciberseguridad 45%
ciber-amenazas 39%
Monitoreo de cumplimiento de
indicadores 35%

Otro 2%
65
CAPACIDADES DE CYBER
resiliencia
En materia de gestión riesgos

cyber un mandamiento es
prepararse para responder a lo
que tarde o temprano va a ocurrir:
un incidente de seguridad de la
información de alto impacto en
las operaciones, las inanzas y/o
la imagen de la organización.
Ejercicios de simulación de crisis cibernética

dirigida a equipos estratégicos y tácticos.
Pruebas a las estrategias de respuesta a

amenazas de ciberseguridad establecidas en
el plan de recuperación de desastres (DRP).

el plan de continuidad del negocio (BCP).
66
Para lograrlo, algunas compañías han venido

desarrollando estrategias y planes de respuesta
a ejecutar ante incidentes cyber con el objetivo
de reducir su impacto en caso de presentarte.
¿Cómo podemos saber si los planes de respuesta
funcionaran adecuadamente? La única forma
posible es mediante probar dichos planes y
ejecutar simulaciones de incidentes.
Ejercicios de Red Team dirigidos a

equipos técnicos.
Participación en simulaciones de crisis

originadas por incidentes cibernéticos en
compañías de infraestructura crítica.
Otras
Participación en ejercicios de crisis

cibernéticas gremiales.
67
Las pruebas a las estrategias de respuesta a

amenazas de ciberseguridad establecidas en el plan
de continuidad del negocio (BCP) y en el plan de
recuperación de desastres (DRP) son el mecanismo
principalmente utilizado por las compañías para
probar sus capacidades de ciber resiliencia. Las
demás acciones para validar nuestras capacidades de
resiliencia cyber son ejecutadas por un número menor
de compañías.
Es recomendable realizar ejercicios de simulación

de crisis cibernética dirigida a equipos estratégicos
y tácticos, ejecutar ejercicios de Red Team para
probar capacidades de equipos técnicos y participar
ejercicios de crisis cibernéticas gremiales.
Del 50% que han tenido

algún incidente cyber solo
la tercera parte de las
entidades privadas (un Se realizó un primer nivel
17%) han contado con el de respuesta basado en
apoyo de un tercero para recursos internos y se tuvo
un apoyo de segundo nivel
responder a los mismos. con un tercero.
Se realizó completamente
utilizando servicios de
respuesta de un tercero.
3% 14%
68
Solo mediante realizar diferentes tipos de

pruebas las entidades podrán tener certeza de
que sus estrategias de resiliencia funcionarán
efectivamente.
Este sector se destaca porque un buen número

de las entidades están realizando pruebas a sus
capacidades de resiliencia: un 47% realiza pruebas
a su plan de continuidad del negocio (BCP) y un
45% prueba su Plan de Recuperación de Desastres
(DRP). Solo mediante la realización de diferentes
tipos de pruebas las entidades del sector privado
podrán tener certeza de que sus estrategias de
resiliencia funcionarán efectivamente.
Se hizo solo con Evaluación de cumplimiento

recursos internos. de los resultados esperados
para las iniciativas de
50%
33%
69
Son muchos los desafíos que

enfrentan las compañías para
gestionar los riegos cyber. Estos se
relacionan con la transformación
digital, el esquema de trabajo remoto
y el fortalecimiento del eslabón más
débil: el factor humano.
Implementar controles de seguridad

sobre la tecnología vinculada con el Lograr la sinergia
contexto de trabajo remoto (protección y coordinación del
de estaciones de trabajo, información equipo de trabajo en
en la nube, accesos de endpoints no el contexto remoto.
corporativos, acceso VPN).
74% 62% 53% 43%
Acompañar Concientizar a los

adecuadamente al usuarios en el uso seguro
negocio y a TI frente a la de las herramientas de
transformación digital colaboración y resguardo
forzada por COVID. de información.
70
Acorde con los participantes del estudio, el principal

desafío que enfrentan las entidades se relaciona con
apoyar de forma adecuada la transformación digital
de la compañía la cual fue impulsada durante los 2
años de pandemia, el 74% en el sector privado.
El segundo desafío más importante que enfrentan

las organizaciones guarda relación con implementar
controles cyber en el nuevo esquema de trabajo
impulsado en pandemia: el trabajo remoto. Eso
respondieron el 62% de compañías.
No poder utilizar la totalidad

del presupuesto asignado por
Incrementar las no poder llevar adelante las
capacidades de iniciativas (no es prioridad para
detección y respuesta IT/ Negocio, falta de recursos
ante incidentes más humanos, complejidad de
soisticados. esquema remoto).
36% 32% 31% 16%
Brecha entre las Contar con los

necesidades de colaboradores con
ciberseguridad las capacidades
y el presupuesto y entrenamiento
disponible. adecuados.
71
Las amenazas que enfrentamos son cada

vez variadas y han venido evolucionando
de forma importante en su soisticación
en los últimos años. Cada vez es más
común escuchar de organizaciones cuya
continuidad de operaciones fue impactada
por un malware y de casos de fuga de un
volumen importante de datos sensibles.
En consonancia con lo anterior, el

ramsomware sigue siendo la principal
preocupación para las entidades del sector
privado (66%). Esto es algo natural dada
la trascendencia en los medios que ha
tenido este tipo de ataques cyber y al alto
impacto que generan en las operaciones
de las compañías.
La segunda amenaza de mayor atención

con el 57% es la iltración de datos. Dada la
naturaleza de información que se maneja
en el sector (conidencial, privada y/o
sensible) y al incremento en el volumen e
impacto de las iltraciones es natural que
esta sea la segunda amenaza que más
preocupa en este momento.
72
Es necesario que cada compañía realice un análisis

concienzudo de los desafíos y amenazas que
particularmente está enfrentando. Con base en
los resultados de dicho análisis se podrán deinir
estrategias que den respuesta apropiada a la
situación especíica de cada organización.
Ataques sofisticados y dirigidos

de ransomware 66%

servicios expuestos a Internet 35%

Explotación de vulnerabilidades dsobre Application
Programming Interface (API) 22%
Cloud Jacking 14%

73
cyberseguridad
En el sector privado el
principal factor que impulsa
el desarrollo de las funciones
de gestión cyber es el
cumplimiento regulatorio
(62%).
62%
55%
38%
34% 33%
Cumplimiento de Alertamiento Desarrollo de Fortalecimiento de Exoanción de la

regulaciones de por aumento de capacidades de la seguridad de la digitalización de los
ciberseguridad. ciberamenazas. los colaboradores fuerza de trabajo servicios web core
de ciberseguridad remota. del negocio.
internos.
74
El aumento de las amenazas cyber (con el 55%)

y la inquietud por las capacidades cyber de
los colaboradores internos (con el 38%) están
en segundo y tercer lugar como drivers de las
iniciativas cyber en los próximos dos años.
32% 31%
21% 20% 10%
Profundización Seguridad sobre Implementación Cambio de SecDevOps

s en la adopción IoT y OT. de procesos de paradigmas en
e de Seguridad negocio Agile. la gestión de la
Cloud. seguridad por
COVID-19
75
Iniciativas cyber para

el 2022
La inquietud por el factor

humano, que ha sido expuesta
por los participantes en otras
preguntas de la encuesta, hace
que la principal iniciativa para
el 2022 sea la concienciación
cyber:
Un 74% de las entidades del

sector privado que participaron
en la encuesta tiene esta
iniciativa en su portafolio para
el corto plazo.
En segundo lugar con un 55%

están las iniciativas de deinición
de estrategia cyber. Deinir
y/o actualizar una estrategia
es un pilar fundamental para
direccionar los esfuerzos de
mejora y fortalecimiento de
las capacidades cyber de las
organizaciones.
76
Definición de la estrategia de 55%

ciberseguridad

Implementación de mejoras sobre la
gestión de vulnerabilidades 49%
46%
respuesta ante incidentes
43%
Monitoreo anti-fraude (suplantación de 37%

identidad, protección de marca, pharming)
emergentes (IOT, RPA, IA, ML)
22%
gobierno de seguridad en Cloud
21%

77
PRESUPUESTO PARA SEGURIDAD Y

CIBERSEGURIDAD PARA 2022
Un número importante de
entidades del sector privado no
cuentan con un presupuesto
deinido: un 37%. Y dentro de
los que sí tienen presupuesto,
un 32% es inferior a 100,000
dólares.
Un 31% tiene presupuesto cyber

superior a 100,000 dólares.
Contar con un presupuesto
deinido y acorde con la
tolerancia al riesgo cyber en
las organizaciones es un paso
fundamental para tener una
gestión cyber adecuada.
78
10%
Más de USD 1,000,000
1% 20%
Superior a 500,000 e inferior Superior a 100,000 e inferior
a USD 1,000,000 a USD 500,000
32%
Inferior a USD 100,000
37%
No tengo presupuesto
aprobado
79
Conclusiones
SECTOR PRIVADO
El arsenal de herramientas
para gestionar los riesgos
cyber, utilizado por entidades
del sector privado es amplio.
La atención del sector será
orquestar el funcionamiento
de las herramientas para dar
una respuesta adecuada a las
nuevas amenazas.
El nivel de exposición de las

entidades a ciberataques
informáticos basados
en la explotación de
vulnerabilidades de la cadena
de suministro y socios de
negocio es muy alto y requiere
mayor atención.
Un análisis profundo sobre los

desafíos y amenazas actuales
que enfrentan las entidades
permitirá deinir la estrategia
necesaria y adecuada.
80
Conclusiones GENERALES
SECTOR FINANCIERO POPULAR Y
SOLIDARIO Y SECTOR PRIVADO
De cara al futuro, la gran mayoría de las entidades
del Sector Financiero Popular y Solidario, SFPS y las
empresas del Sector Privado del mercado ecuatoriano
tendran que desarrollar acciones que permitan
fortalecer su gestión cyber, especíicamente en
aspectos tales como:
Monitorear el cumplimiento y la efectividad

de la estrategia y las acciones que se deinan
para la gestión de riesgos cyber
Gestionar los riesgos de terceros con acciones

que den seguridad de que los proveedores y
socio de negocio clave están administrando
los riesgos cyber
Probar las capacidades de resiliencia

cibernética mediante diversos tipos de
pruebas y simulaciones para tener certeza de
su correcto funcionamiento
Ejecutar acciones de concientización a la

dirección y alta gerencia para que vean a
la gestión de riesgos cyber no como un
gasto obligatorio sino como una inversión
estratégica. 81
RESULTADOS ENCUESTA
ECUADOR 2022
SECTOR PRIVADO
SECTOR FINANCIERO POPULAR Y SOLIDARIO

SFPS
SECTOR GOBIERNO
Con el apoyo y colaboración: Auspician:
Asociación Ecuatoriana de Ciberseguridad
82
ENCUESTA

ECUADOR 2022
Sector Gobierno
83
CONTENIDO
Evento 86
Construyendo una estrategia de
ciberseguridad 86
INFORME 88
objetivos planteados 88
gestionar los riesgos cyber 90
Manejo de riesgos cyber con
terceros 92
de ciberseguridad de terceros 94
84
cyberseguridad 96
Incidentes cibernéticos 100
ciberseguridad en 2021 102
ciberseguridad en el 2021 104
cyberseguridad 106
85
Estado Actual de la Ciberseguridad - Sector Gobierno
Construyendo una estrategia

de ciberseguridad
S
obre la visión 2025
que promueve una
sociedad inclusiva y
competitiva en el futuro digital
con capacidades nacionales
para gestionar los riesgos de
ciberseguridad, el Gobierno
Nacional, a través del Ministerio
de Telecomunicaciones y de
la Sociedad de la Información
y el Comité Nacional de
Ciberseguridad construyó
la Estrategia Nacional de
Ciberseguridad (ENC), una
herramienta moderna para el
fortalecimiento de la cultura
y las capacidades para Fabián Íñiguez
identiicar y gestionar los Subsecretaría de
Gobierno Electrónico
riesgos de ciberseguridad de y Registro Civil
las actividades derivadas del
uso de la información digital,
maximizando los beneicios en
la seguridad de los servicios
para los ciudadanos.
86
La Estrategia Nacional de Ciberseguridad es parte

del Plan de Gobierno Electrónico, alineándose a la
propuesta macro de la Agenda de Transformación
Digital, aportando a la seguridad y conianza digital.
Está sustentada en seis ejes:
Gobernanza y Resiliencia Prevención y

coordinación cibernética. combate a la
nacional. ciberdelincuencia.
Ciberdefensa. Habilidades y Cooperación

capacidades de internacional.
ciberseguridad.
Esta primera encuesta denominada Estado de la

Ciberseguridad para el sector gobierno en alianza
con la Revista IT ahora y la consultora Deloitte se
suma al esfuerzo por contar con un diagnóstico
actualizado del sector que aporte a determinar las
oportunidades de mejora y crecimiento en nuestra
postura de ciberseguridad, tanto a nivel privado como
público. Además, abordar los desafíos relacionados
con presupuesto sostenidos, personal especializado
para la construcción sistemática de una cultura de
ciberseguridad.
87
INFORME

80%
48%
36%
Esquema Análisis Seguimiento al número /

Gubernamental de de criticidad de hallazgos de
Seguridad de la riesgos. las auditorías, evaluaciones
Información. y/o diagnósticos de
88
La mayoría de las organizaciones el 80% basan

el seguimiento a la gestión cyber en el esquema
gubernamental de Seguridad de Información lo
cual resulta natural para el sector.
Los análisis de riesgos son la técnica adicional

que casi la mitad (48%) de las organizaciones del
gobierno están empleando. Es interesante que
el control de presupuesto sea utilizado por tan
pocas organizaciones gubernamentales (13%)
para medir la efectividad de su gestión.
32%
22%
13%
5%
Análisis del número Evaluación de Control de Otra

/ criticidad de cumplimiento de los cumplimiento
los incidentes de resultados esperados del presupuesto
seguridad de la para las iniciativas asignado a la gestión
información. de seguridad de la de seguridad de la
información. información.
89

Hay 3 tipos de herramientas

que son las más comunes
en el sector: protección del
perímetro (91%), antimalware
(88%) y copias de respaldo
(86%). Estas son herramientas
básicas para la vigilancia, el
aseguramiento y la resiliencia
cyber, respectivamente.
Hay algunas herramientas que

son de amplio uso en el sector
privado pero no son tan usadas
en sector gobierno. Un ejemplo
de esto es que menos del 20%
usan SIEM y Autenticación
Multifactor.
El arsenal de herramientas
utilizado por entidades de
este sector es amplio pero
deberá seguirse fortaleciendo y
orquestando para dar respuesta
a las nuevas amenazas cyber.
90

Copias de resplado 86%
Detección de instrusos: IDS / IPS 67%
Perímetro del endPoint Protection (EPP) y/o EDR 48%
Control de acceso a la red: NAC 46%
Protección de denegación de servicios: Anti-DDoS 42%
Protección de flujo de información: Security Email Gateway y/o DLP 35%
Gestión de identidades y accesos:IAM 30%
Correlación de eventos:SIEM 15%
Herramientas de monitoreo de integridad de archivos: FIM 8%
Analíticas de comportamiento de usuarios:UEBA/UBA 7%
Gestión de dispositivos móviles: SIEM 6%
91

con terceros
A pesar de la importancia que

tienen los servicios y productos
que prestan los terceros a las
entidades gubernamentales, y
que existen normas deinidas
en el Esquema Gubernamental
de Seguridad de Información,
menos de la tercera parte de los
encuestados nos dicen que hacen
gestión de riesgos cyber de estas
organizaciones.
70%
No se realiza
gestión de
terceros.
92
Lo anterior aumenta el nivel de exposición

de las entidades del gobierno a ciberataques
informáticos basados en la explotación de
vulnerabilidades de la cadena de operativa de
negocios tercerizada.
30%
Sí se realiza
gestión de
terceros.
93
Estrategia para gestión de

riesgos de ciberseguridad
de terceros
El 46% de las entidades del

gobierno que realizan la
gestión de riesgos cyber de sus
terceros basan su estrategia
en esta materia en informar la
política y recomendaciones de
seguridad de la información
a dichas organizaciones.
Esta es la medida más básica
que se pueda tomar con este
propósito.
46% 37%
Se envían Se incluyen obligaciones

recomendaciones en materia de gestión
de seguridad a los de seguridad de la
terceros y se comparte información en el
la política de seguridad contrato que se irma con
de la información de la el tercero.
compañía.
94
Las evaluaciones periódicas y la automatización

de la gestión de los riesgos cyber de los
terceros son muy bajas en el sector: 11% y 3%,
respectivamente. Sin este tipo de estrategias es
muy baja la seguridad que se alcanza de que los
terceros están gestionando de forma apropiada
los riesgos cyber.
36% 11% 3%
Se mantiene un Se realizan evaluaciones Se cuenta con

ciclo constante de periódicas a partir de tecnologías
optimización con entrevistas, revisión de automatizadas de
evaluación, revisión y documentación y visitas (ya evaluación de riesgos de
mejora continua. sea ejecutado por personal terceros (por ejemplo,
95
cyberSEGURIDAD
Un número signiicativo
de entidades del gobierno
realizan actividades de
vigilancia cyber. Más de la
mitad realiza alguna de estas
entidades: monitoreo de
eventos (58%), monitoreo de
incidentes (56%) y escaneo
de vulnerabilidades (52%).
Con la orquestación de estas

capacidades de vigilancia
las entidades del gobierno
estarán en una excelente
posición para identiicar de
forma oportuna y proactiva
las amenazas cyber.
96
Monitoreo de eventos de
seguridad 58%
Monitoreo de incidentes
de seguridad 56%
Pruebas de penetración /
escaneo de vulnerabilidades 52%
Monitorero y gestión de conciencia

de ciberseguridad
42%
Gestión de vulnerabilidades
42%
ciber-amenazas 36%
Monitoreo de cumplimiento
27%

Otro 1%
97
CAPACIDADES DE CYBER
resiliencia
El porcentaje de entidades
del gobierno prueba sus
capacidades de respuesta
ante un incidente cyber es
muy bajo.
Por lo anterior, es muy baja

la certeza que pueden tener
de que sus estrategias de
resiliencia funcionarán
efectivamente.
98
18%
amenazas de ciberseguridad establecidas en el
plan de recuperación de desastres (DRP).
16%
Ejercicios de simulación de crisis cibernética
dirigida a equipos estratégicos y tácticos.
12%
el plan de continuidad del negocio (BCP).
9%
Ejercicios de Red Team dirigidos a
equipos técnicos.
4%
Participación en simulaciones de crisis
originadas por incidentes cibernéticos
en compañías de infraestructura crítica.
4%
Participación en ejercicios de
crisis cibernéticas gremiales.
99
Incidentes cibernéticos
La cantidad de entidades
gubernamentales que airman
no haber sido víctima de un
incidente cyber es alto (63%).
Es posible que esto se deba a
que las medidas de seguridad y
vigilancia que se han tomado han
funcionado efectivamente o a que
los incidentes cyber han ocurrido
en algunas organizaciones sin
ser identiicados.
Se realizó un primer nivel

de respuesta basado en
recursos internos y se tuvo
un apoyo de segundo nivel
con un tercero.
Se realizó completamente
utilizando servicios de
respuesta de un tercero.
4% 12%
100
Por otro lado, dentro del

37% que si han sido objeto
de un incidente cyber,
casi la mitad (un 16%) han
contado con el apoyo de un
tercero para responder a
los mismos.
No tuvimos incidentes de
Se hizo solo con ciberseguridad en 2021.
recursos internos.
63%
21%
101
El principal desafío que enfrentan

las entidades del gobierno se
relacionan con el fortalecimiento
del eslabón más débil de la
ciberseguridad: el factor humano.
Implementar controles de
seguridad sobre la tecnología
vinculada con el contexto de
Brecha entre las trabajo remoto (protección
necesidades de de estaciones de trabajo,
ciberseguridad información en la nube,
y el presupuesto accesos de endpoints no
disponible. corporativos, acceso VPN)
73% 64% 62% 58%
Concientizar a los Acompañar

usuarios en el uso seguro adecuadamente al
de las herramientas de negocio y a TI frente a la
colaboración y resguardo transformación digital
de información. forzada por COVID.
102
El segundo desafío más importante tiene que

ver con el factor económico: lograr fortalecer
la gestión de la ciberseguridad respetando el
presupuesto establecido. Y el tercer desafío es
apoyar de forma adecuada la transformación
digital de la compañía la cual fue impulsada
durante los 2 años de pandemia.
No poder utilizar la totalidad

del presupuesto asignado por
Contar con los no poder llevar adelante las
colaboradores con iniciativas (no es prioridad para
las capacidades IT/ Negocio, falta de recursos
y entrenamiento humanos, complejidad de
adecuados. esquema remoto).
51% 50% 37% 20%
Lograr la sinergia Incrementar las

y coordinación del capacidades de
equipo de trabajo en detección y respuesta
el contexto remoto. ante incidentes más
soisticados.
103
El ramsomware sigue siendo

la principal preocupación
para las entidades del sector
gobierno (76%). Esto es algo
natural dada la trascendencia
en los medios que ha tenido
este tipo de ataques cyber.
La segunda amenaza de mayor

atención con el 67%, explotación
de vulnerabilidades de
servicios expuestos a internet,
posiblemente está relacionada
con el aumento de la supericie
de ataque producto de los
procesos de digitalización
realizados en los últimos años.
104
Ataques sofisticados y dirigidos

de ransomware 76%
servicios expuestos a internet 67%


Explotación de vulnerabilidades dsobre Application
Programming Interface (API) 24%
Compromiso de la seguridad de un
tercero con impacto en la propia 18%
Explotación de vulnerabilidades de
seguridad sobre los dispositivos Iot 15%
Cryptojacking 12%
Cloud Jacking 10%

105
cyberseguridad
En el sector gobierno, como es

de esperarse, el principal factor
que impulsa el desarrollo de
las funciones de gestión cyber
es el cumplimiento regulatorio
(86%).
86%
67%
65%
43% 32%
Cumplimiento de Alertamiento Desarrollo de Expanción de la Cambio de

regulaciones de por aumento de capacidades de digitalización de los paradigmas en
ciberseguridad. ciberamenazas. los colaboradores servicios web core la gestión de la
de ciberseguridad del negocio.. seguridad por
internos. COVID-19
106
El aumento de las amenazas cyber (con el 67%)

y la inquietud por las capacidades cyber de
los colaboradores internos (con el 65%) están
en segundo y tercer lugar como drivers de las
iniciativas cyber en los próximos dos años.
28% 22%
21% 20% 12%
Profundización Fortalecimiento Seguridad sobre SecDevOps Implementación

en la adopción de la seguridad IoT y OT. de procesos de
de Seguridad de la fuerza de negocio Agile.
Cloud. trabajo remota
107
Iniciativas cyber para

el 2022
La inquietud por el factor humano, que

ha sido expuesta por los participantes
en otras preguntas de la encuesta,
hace que la principal iniciativa para
el 2022 sea la concienciación cyber:
Un 82% de las entidades del gobierno
que participaron en la encuesta tiene
esta iniciativa en su portafolio para
el corto plazo.
En segundo lugar con un 64%

están las iniciativas de deinición
de estrategia cyber. Deinir y/o
actualizar una estrategia es un pilar
fundamental para direccionar los
esfuerzos de mejora y fortalecimiento
de las capacidades cyber de las
organizaciones.
La mejora de los procesos de gestión

de vulnerabilidades, quedó en tercer
lugar de las iniciativas para el 2022.
Dado el alto número de incidentes
cyber que se basan en la explotación
de vulnerabilidades conocidas, este
tipo de iniciativas es fundamental.
108
Definición de la estrategia de 55%

ciberseguridad
Implementación de mejoras sobre la 53%

gestión de vulnerabilidades

46%
respuesta ante incidentes
43%
Monitoreo anti-fraude (suplantación de 37%

identidad, protección de marca, pharming)
emergentes (IOT, RPA, IA, ML)
22%
gobierno de seguridad en Cloud
21%

109
Capacitación y concientización
Un altísimo porcentaje (92%)

de los colaboradores de las
entidades del sector gobierno
han recibido capacitaciones en
materia de ciberseguridad.
92% 77%
Capacitaciones Boletines,
infografías,
pastillas
comunica-
cionales
110
La distribución de material de
concientización tales como boletines,
infografías, comunicaciones y “pastillas” es
la segunda estrategia de mayor preferencia
(76%) para incrementar la conciencia cyber
de los miembros de las organizaciones del
gobierno.
30% 21% 13% 11%

Talleres Cursos Seminarios Otro
virtuales Web
43%
111
Acerca de IT ahora
La Revista IT ahora, es una publicación ecuatoriana especializada
en la Gestión de las Tecnologías de la Información y Comunicación,
tiene por objetivo informar sobre buenas prácticas, tendencias e
implementación tecnológica en las empresas ecuatorianas.
Acerca de Deloitte
Con más de 50 años de presencia en el mercado ecuatoriano,
Deloitte es una firma de servicios profesionales orientada a ofrecer
soluciones en auditoría, impuestos, asesoramiento financiero y
outsourcing, bajo los más altos estándares de calidad y eficiencia
y con el propósito de generar un impacto significativo en los
clientes, la gente y la sociedad.
La Superintendencia de Economía Popular y Solidaria (SEPS)

Organismo técnico de supervisión y control de las entidades del
Sector Financiero Popular y Solidario, y de las organizaciones de
la Economía Popular y Solidaria del Ecuador, que en el ámbito
de su competencia, promueve su sostenibilidad y correcto
funcionamiento para proteger a sus socios.
Ministerio de Telecomunicaciones y de la Sociedad de la

información (MINTEL)
Es la institución rectora del desarrollo de políticas públicas
de telecomunicaciones y tecnologías de la información y
comunicación en el Ecuador.
www.itahora.com

Estado Actual CIberseguridad Ecuador 2022

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Estado Actual CIberseguridad Ecuador 2022

Cargado por

Copyright:

Formatos disponibles

CON LA COLABORACIÓN

Con el apoyo y colaboración:

Asociación Ecuatoriana de Ciberseguridad

ESTADO ACTUAL DE LA CIBERSEGURIDAD

Sector Financiero Popular y Solidario - SFPS

Estado Actual de la Ciberseguridad

Capacidades de cyber resiliencia. 24

Durante la presentación, Margarita Hernández,

Panel: Brechas de seguridad: Aspectos tecnológicos

Además, se llevó a cabo un panel sobre Brechas de

Durante el panel se revisaron los mecanismos de

Álvaro Barrera, Jefe de Seguridad de la

Marco Real, Director de Seguridad de la

Por su parte Ricardo Pulgarín Gómez, Regional

Al referirse al cumplimiento sobre la responsabilidad

Hay que darle la

¿Cómo se encuentran en esta materia las entidades del

Deloitte e IT ahora, elaboraron el sondeo del Estado Actual

Samuel Ardila Oswaldo Bravo

CONTROL DEL CUMPLIMIENTO DE

La deinición de la estrategia cyber

Seguimiento al número / Control de cumplimiento Análisis de

¿Cómo se puede realizar?

Las estrategias utilizadas para hacer el seguimiento a

Evaluación de Análisis del número /

Uso de herramientas para

Una buena gestión de riesgos

Para la protección de las amenazas

Las otras herramientas de gestión

Copias de respaldo 96%

Manejo de riesgos cyber

Los servicios y productos

De modo que la gestión de riesgos de la

Acorde con los resultados de la encuesta, muy

Estrategia para gestión de riesgos

Y la estrategia para gestión de riesgos

32% 28% 24%

Se envían recomendaciones Se incluyen obligaciones Se mantiene un

Con las estrategias señaladas anteriormente

Acorde con lo visto, el nivel de exposición de

Se realizan evaluaciones Se cuenta con Otros

Debido a la alta dinámica

En el SFPS existe un bajo nivel

Monitoreo de eventos de seguridad 39%

Pruebas de penetración / escaneo de

Monitoreo de incidentes de seguridad 34%

Gestión de vulnerabilidades 31%

Gestión de parches 26%

Monitoreo anti-fraude (suplantación de

CAPACIDADES DE CYBER resiliencia

Prepararse para responder a lo que

Las pruebas a las estrategias

Pruebas a las estrategias de

Pruebas a las estrategias de

Ejercicios de simulación de crisis

Ejercicios de Red Team

Mientras que otras acciones para validar las

Con el uso de diferentes tipos

Por otro lado, solo un 10% de

Contó con apoyo 74%

Son muchos los desafíos que

Implementar controles de seguridad

Acompañar adecuadamente Contar con los

El principal desafío que enfrentan las entidades