Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ENSAYO
ORIENTACIÓN BÁSICA
TNNV-IG ANDRÉS ALMEIDA
PROMOCIÓN: V
FREIRE
2017
ARMADA DEL ECUADOR
ACADEMIA DE GUERRA NAVAL
Guayaquil
ENSAYO
Tema:
Título:
Autor
2017
i
ÍNDICE
INTRODUCCIÓN ................................................................................................................... 1
ANÁLISIS .............................................................................................................................. 4
CONCLUSIONES ................................................................................................................ 20
RECOMENDACIONES ........................................................................................................ 21
LISTA DE ANEXOS
LISTA DE FIGURAS
Figura No. 3 Cronología de los ciberataques desde 1990 hasta 2014 ................................... 7
ii
INTRODUCCIÓN
1
extraños a los sistemas de información; redes de comunicaciones estatales; sistemas de
control y operación de la infraestructura estratégica civil y militar.
Es claro que las amenazas antes mencionadas generan riesgos según la forma en
que se las aplique y al escenario en el cual sea dirigido, pudiendo afectar a los
procedimientos y protocolos de ciberseguridad formalmente establecidos, la doctrina y la
cultura organizacional de Fuerzas Armadas específicamente de la Armada del Ecuador
objeto estudio, lo que lleva a la formulación del problema: ¿Se están cumpliendo los
procedimientos de ciberseguridad en la Armada del Ecuador?
2
En base hasta lo aquí descrito el objetivo del presente ensayo se centra en el análisis
del cumplimiento de los procedimientos de ciberseguridad en la Armada del Ecuador con la
finalidad de elaborar una propuesta de directiva al respecto, además que añade valor a la
literatura existente en dos direcciones, en primer lugar, sus hallazgos poseen interesantes
implicaciones tanto para la práctica como para la paulatina instauración de modelos más
pertinentes de ciberseguridad en la Armada del Ecuador. Por otro lado, las reflexiones
realizadas concernientes a la contrastación de la legislación a nivel de las fuerzas armadas
con aquella que rigen los sistemas relacionados con seguridad de la información a nivel
nacional pueden resultar de utilidad, al permitir que los generadores de políticas y
normativas ganen en comprensión en cuanto a la necesidad de que se inserte, en mayor
medida, la ciberseguridad en las mismas.
3
la información, un análisis deductivo de los procedimientos de ciberseguridad adaptándolos
a la realidad que vive la Armada del Ecuador a fin de verificar su cumplimiento para de esta
manera establecer el respectivo diagnóstico, finalmente se exponen las conclusiones y
recomendaciones del presente ensayo así como también y una propuesta de directiva la
misma que servirá como insumo para la elaboración de una directiva definitiva o
actualización de la Directiva General Permanente COGMAR-INF-002-2010-O; 12-JUL-2010,
que permita el cumplimiento de los procedimientos de ciberseguridad en la Armada del
Ecuador
ANÁLISIS
4
Figura No. 1: Evolución de los ciberatacantes.
Fuente: Capacidades especiales para una ciberdefensa. (López, 2013).
5
Figura No. 2: Aumento de la sofisticación de los ciberataques.
Fuente: Capacidades especiales para una ciberdefensa. (López, 2013).
6
redes comunes. A nivel operativo, está la importancia de las operaciones conjuntas
coordinadas por el Estado Mayor Conjunto de las Fuerzas Armadas.
Sin duda alguna, dichos enfoques muestran una directriz teórica común y a tomar en
cuenta: si bien las maniobras ofensivas de la guerra cibernética no tienen esencia cinética,
posibilitan potenciales afectaciones a grupos humanos, así como secuelas físicas
irremediables.
Jeffrey Carr (2010) relata ejemplos de ciberguerra ocurridos en los siglos XX y XXI, y
menciona los siguientes: China, Israel, Rusia (incluye en este acápite los casos de la
Segunda Guerra Rusia-Chechenia del periodo 1997-2001; la ciberguerra de Estonia (2007)
y la Guerra Rusia-Georgia (2008)), Irán y Corea del Norte. En la Figura 3 se muestra una
breve cronología de los ciberataques comprendidos entre 1990 y 2014.
7
potencial problemática producto de una ruptura del sistema de comunicaciones a nivel
planetario. Si se tiene en cuenta que dicha rotura resulta improbable que se lleve a cabo
gracias a las múltiples estrategias de trasmisión de datos a través del internet, se puede
aseverar que en algunos puntos la infraestructura digital global se puede quebrar. Más de
las nueve décimas partes del tráfico de internet utilizan la vía submarina mediante cables
compuestos por fibra óptica, que alcanzan su nivel más vulnerable en las zonas siguientes:
bordeando Nueva York, el Mar Rojo o el estrecho de Luzón en Filipinas. Otras dificultades
reales que alerta dicha publicación guardan relación con la inconsistencia de algunos
gobiernos en ciertas zonas africanas que pueden dar al traste con la creación de amparos
para los cibercriminales. (Joyanes, 2011)
En síntesis, a pesar de que contar con leyes adecuadas para los delitos informáticos,
las infraestructuras críticas y la protección de datos resultan cruciales para la
ciberseguridad, no se ha privilegiado el desarrollo de un marco jurídico adecuado, basado
en precedentes tomados de acuerdos internacionales y de la legislación de otros países.
Las amenazas cibernéticas que podrían afectar la seguridad interna y externa del
Estado ecuatoriano ganan cada vez más peso, y han ido interviniendo progresivamente en
las políticas de seguridad de la información. Seguidamente se ilustra la influencia creciente
de los accesos indebidos a la información y posibles brechas de seguridad; tanto físicas,
tecnológicas y humanas, en dichas políticas.
8
informáticos dosificados en cientos de instalaciones en varias naciones, para cuyo
funcionamiento mantienen más de 90.000 especialistas. En menos de una generación, las
TIC en el contexto militar han progresado desde un simple instrumento para optimizar la
productividad administrativa a un mecanismo de defensa estratégico. (Díaz del Río, 2011).
1
Organización de Naciones Unidas.
2
Organización del Tratado del Atlántico Norte.
3
Organización para la Cooperación y el Desarrollo Económicos
4
Unión Internacional de Telecomunicaciones.
5
Unión Europea.
9
Según Domínguez (2016) los modelos teóricos del campo científico de la
Criminalística deben redefinirse en el sentido de una nueva actuación que toma como base
mecanismos de pensamiento ante la posibilidad de agresiones, ataques y conflictos ya en el
amplio contexto de lo cibernético. Dicha postura con la cual se coincide, implica la búsqueda
de estrategias que permitan a los sistemas de ciberseguridad conocer y aplicar los enfoques
del aparato criminal, es decir, inspeccionar las posibles maniobras de operación de
supuestos atacantes, y estar dispuestos a adivinar los teatros de sus actuaciones. Si no se
da importancia a esta perspectiva, se estaría incurriendo en una dinámica de reacción, por
lo que se propone otras de tipo proactivo, o sea, de anticipación, de organizarse para no ser
afectado por los efectos de esta clase de ataques en la red.
Desde un enfoque jurídico, se toma partido por el criterio de Robles (2016), quien
afirma que el Derecho Internacional no ha tomado en cuenta realmente al ciberespacio
como el resto de componentes físicos, ni de su estructuración, ni de su régimen jurídico.
Teniendo en cuenta que su función persigue el ordenamiento de competencias al
constituirse como espacio genéticamente mundial, que se suma y transversaliza a los
anteriores porque además resulta estructural y funcionalmente global, no lo ha ejecutado.
No es simple problema de organización de las competencias, como en el resto de los
dominios, sino que se trata de ordenar la coexistencia social en un espacio diferente de sus
predecesores y con una extraordinaria capacidad de interacción y de afectación de los
mismos.
De igual modo se coincide con De Tomás (2014), quien aboga en otro ámbito, el
universitario, por la consolidación de una cultura de ciberseguridad, que necesita
consecuentemente de un reforzamiento de la cimentación de otra cultura de seguridad y
defensa que promueva una intervención de la totalidad de sectores mediante una importante
empresa de desarrollo y comunicación para que principios, valores y derechos
constitucionales (conciencia nacional) alcancen real valor.
10
monitorización de las redes, el uso legal de datos personales para investigaciones forense
de ciberataques, la determinación de las fronteras nacionales y la integridad territorial en el
ciberespacio, la atribución legal de ciberataques, las competencias policiales y militares”
(Ganuza, 2011, p. 172), establecen mecanismos paternalistas con posibles enemigos que
emplean las armas cibernéticas para agredir a sociedades de carácter democrático que, a
su vez, critican la implementación de las mismas armas para proteger su soberanía
informática.
6
NAT (Network Address Translation) es un mecanismo utilizado por routers IP para hacer que redes
de ordenadores utilicen un rango de direcciones especiales (IPs privadas) y se conecten a Internet
usando una única dirección IP (IP pública).
7
CIDR (Classless Inter-Domain Routing) enrutamiento entre dominios sin clases. Se introdujo en
1993 por Grupo de Trabajo de Ingeniería de Internet (IETF por sus siglas en inglés) y representa la
11
ecuatoriano cuenta con el acceso a internet público, no así Internet tiene
acceso a ese equipo, al menos no de tipo directo; contexto que compromete
el principio de extremo a extremo y la integridad de los sistemas de
información y comunicación (Kleiner, 2014).
c. Una investigación realizada en el año 2009 toma como objeto la red
inalámbrica del Laboratorio DELTA de la ESPOL8, y comprueba determinadas
brechas de seguridad mediante el programa NetStumbler9. La ausencia de
conciencia sobre la importancia de la información manejada por el personal
del laboratorio; así como la incomunicación del mismo con la directiva
gerencial, provocan la intrusión de agentes externos. (Castillo, Cabezas y
Escalante, 2009). Este ejemplo puede aplicarse a contextos macro e
inclusive, a nivel de país.
d. Otro estudio (Pérez, 2012) evalúa los sistemas de seguridad de las cuentas
nacionales del Banco Central del Ecuador y basándose en la norma ISO/IEC
2700110 analiza varias brechas en la seguridad de la entidad condicionadas
por:
1) Poca responsabilidad de la directiva con los sistemas de seguridad de
la información.
2) Poca capacitación al personal implicado en los sistemas de seguridad
de la información, en el orden de la actualización obligatoria sobre
manejo de tecnología asociada y de protocolos de seguridad
nacionales e internacionales.
3) Ausencia de un foro funcional transversal para la implementación de
políticas de seguridad.
4) La poca estructuración de las responsabilidades en torno a la
protección de activos.
e. Según Andrade y Fuertes (2013) se ha incrementado el número de ataques
informáticos en Ecuador que persiguen como objetivo extraer información
personal, ejecutar agresiones de denegación de servicio, ejecutar estafas con
última mejora en el modo de interpretar las direcciones IP. Su introducción permitió una mayor
flexibilidad al dividir rangos de direcciones IP en redes separadas. De esta manera permitió un uso
más eficiente de las cada vez más escasas direcciones IPv4.
8
Escuela Politécnica del Litoral.
9
NetStumbler es un programa para Windows que permite detectar redes de área local inalámbricas
(WLAN).
10
ISO/IEC 27001 es un estándar para la seguridad de la información aprobado y publicado como
estándar internacional en octubre de 2005 por Organización Internacional de Estandarización y por la
Comisión Internacional Electrotécnica. Especifica los requisitos necesarios para establecer, implantar,
mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el
conocido como “Ciclo de Deming”: PDCA acrónimo de Plan, Do, Check, Act (Planificar, Hacer,
Verificar, Actuar).
12
tarjetas de crédito o destruir la reputación de una institución o empresa. Bajo
este contexto las organizaciones se han visto abocadas al desarrollo de sus
sistemas de seguridad de la información, al percibir que la ejecución de
modos de seguridad como firewalls, herramientas antivirus y anti-spam,
pertenecen solo a un componente de la llamada arquitectura de seguridad,
que debe erigirse sobre políticas, estándares, normas, modelos de gestión de
tecnología y operaciones de seguridad, para minimizar el impacto ante un
ataque a las actividades de la organización.
f. Guagualango y Moscoso (2011) evaluaron la seguridad informática del Data
Center de la Escuela Politécnica del Ejército y descubren que en principio se
incumple con la Norma ISO 2700411; los implicados en el sistema de
seguridad desconocen en gran medida las políticas que lo regulan, ante la
ausencia de documentos, normativas y procedimientos, así como un
responsable de la creación, actualización y aplicación de dichas políticas; falta
de controles asiduos para constatar la efectividad de las políticas; ausencia
de roles que definan el accionar del personal de seguridad; ausencia de
condiciones contractuales de seguridad con terceros y outsourcing12.
13
aplicación de estas políticas se encargará a órganos especializados en los diferentes niveles
de gobierno.” (Asamblea Constituyente, 2008, p. 176)
El Artículo no. 2 de la Ley Orgánica de la Defensa Nacional (2007-74) postula que las
Fuerzas Armadas, como componente de la fuerza pública, persiguen los siguientes
objetivos:
a. Conservar la soberanía nacional;
b. Defender la integridad, la unidad e independencia del Estado; y,
c. Garantizar el ordenamiento jurídico y democrático del estado social de
derecho.
d. Colaborar con el desarrollo social y económico del país; podrán participar en
actividades económicas relacionadas únicamente con la defensa nacional e
intervenir en los demás aspectos concernientes a la seguridad nacional de
acuerdo con la ley. (p. 2)
En su capítulo IV “Del comando conjunto de las Fuerzas Armadas” se enumeran
varias atribuciones que tienen relación directa con el protagonismo de estas fuerzas en la
elaboración de políticas de seguridad de la información de las cuales se mencionan las
siguientes:
b. Planificar el empleo de las Fuerzas Armadas, para contribuir al mantenimiento
de la seguridad nacional;
14
c. Planificar el empleo militar de la Fuerza Auxiliar y de los órganos de apoyo a
la defensa;
g. Establecer y actualizar la doctrina militar conjunta y emitir las directrices que
permitan la interoperabilidad entre las Fuerzas;
k. Calificar los recursos estratégicos que tengan relación con la seguridad
nacional. (p. 5)
En el caso de las políticas implementadas por las estructuras del SCN de la Armada
del Ecuador, se incluyen seis directrices en el diseño de su proceso de comunicaciones e
informático, que a continuación se detallan por su pertinencia:
a. Disponibilidad: busca la permanencia de la calidad de los componentes de la
red; así como el acceso sostenido y fácil, aunque limitado, de las bases de
datos que constituyen puntos vitales de información clasificada.
15
b. Utilidad: la optimización de la totalidad de los recursos, tanto materiales
(equipos, material de oficina, impresoras, etc.), como digitales (disponibilidad
y rapidez de la red en torno a la conservación de su ancho de banda), permite
que dichos recursos estén disponibles para su utilización en casos de ataque
cibernético.
c. Integridad: la obligatoriedad del uso de certificados de seguridad por las
partes implicadas en el manejo de información clasificada o no; así como la
utilización de firmas de tipo electrónico y credenciales digitales, facilitan que
los datos tomen valor como centrales en la sustentabilidad del sistema de
seguridad; por lo que se establecen además estrategias viables para su
conservación y por tanto, se impide que sean adulterados por sujetos o
fuentes externas e internas que formen parte de un ciberataque.
d. Autenticidad: el sistema de seguridad de la información y de las
comunicaciones tiene la capacidad, como mecanismo de autoconservación,
de constatar la identidad de sus usuarios; así como de su propietario.
e. Confidencialidad: tanto el acceso como la utilización de determinada base de
datos es monitoreada por el sistema de seguridad, a tal punto de solo
permitirlo a sujetos autorizados y por ende, a su propietario.
f. Posesión: si solo el propietario tiene el total control sobre el sistema de
seguridad, entonces, ante la pérdida de ese control por causas de
penetración informática o de ataque de diverso tipo, se afecta el sistema en
su generalidad y, por consiguiente, el resto de usuarios autorizados a
acceder. (Fuerza Naval Ecuador, 2010, p. 13)
13
ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la
información publicado por la Organización Internacional de Normalización y la Comisión
Electrotécnica Internacional. La versión más reciente es la ISO/IEC 27002:2013.
16
b. Procesos organizativos: la gestión de la seguridad debe ejecutarse como
permanente.
c. Gestión de activos: la constante ejecución de inventarios de activos (tanto de
software como de hardware) complementa el diseño de instrumentos y vías
para el dominio de la información y de la comunicación, como también su
clasificación, jerarquización y etiquetado. (Fuerza Naval Ecuador, 2010)
17
Una ciberseguridad que garantice una protección eficiente y eficaz frente a las
amenazas debe sustentarse en un amplio conjunto de procedimientos que deben incluir
aspectos organizacionales, procedimentales y tecnológicos. Es por esa razón que la
ciberseguridad se basa en el concepto de un centro de ciberseguridad que brinde el apoyo
técnico y que además realice las coordinaciones con otras áreas afines, con el objetivo de
contrarrestar los ataques cibernéticos así como también poder desplegar acciones
defensivas u ofensivas de respuesta activa. Los planes fundamentales sobre los que se
deben desarrollar las acciones se concentran en los siguientes procedimientos:
a. Conciencia situacional.- Se debe adquirir una conciencia generalizada
correspondiente a la importancia que tiene el uso del ciberespacio como un
medio para alcanzar los objetivos de seguridad nacional además de la
implementación de los cambios de comportamiento y de cultura de trabajo
que requiere un ambiente seguro.
b. Infraestructura y equipamiento.- Radica en alertar de manera temprana los
posibles ataques a la infraestructura propia de información nacional, ya sea
pública o privada, por parte de criminales, terroristas u otros Estados así
como también repeler dichos ataques y de contra atacar al agresor.
c. Contar con sistemas seguros y resistentes.- Establecer estándares y
protocolos que permitan proteger de los ciberataques a todos los sectores
para lo cual se requiere de un buen entrenamiento acerca de las posibles
vulnerabilidades y sus correspondientes impactos.
d. Modelos organizacionales.- Definir las diferentes funciones y objetivos
específicos de fuerzas armadas, tomando en consideración la misión y las
capacidades. Es fundamental evitar duplicidad de funciones y gasto de
recursos.
e. Educación, investigación y desarrollo.- Fomentar la educación y la experticia
en temas de ciberseguridad y ciberdefensa (ámbito militar), lo cual implica
entrenamiento específico, acreditaciones y la eventual implementación de una
carrera profesional. Estar al tanto de las tendencias globales y asegurar que
los esfuerzos en investigación y desarrollo estén dirigidos y coordinados hacia
los objetivos trazados.
f. Doctrina.- Ajuste de los marcos jurídicos y reglamentarios, realizados
conjuntamente por instancias públicas y privadas. Generación de una doctrina
conjunta para el control del ciberespacio a nivel fuerzas armadas.
g. Compromiso Internacional.- Coherencia del trabajo nacional en materia de
ciberseguridad con otros Estados amigos y organizaciones internacionales.
Revisión de la evolución de los temas concernientes al ciberespacio,
18
recolectar lecciones aprendidas, compartir buenas prácticas con los aliados
estratégicos y proponer enmiendas en caso de que se requiera. (López, 2013)
Estrategia
Conciencia Formación y
Centro de situacional Tecnologías Modelos Doctrina
Ciberseguridad y sistemas organizativos
19
gestión de continuidad de negocio y cumplimiento pero no existen un vínculo fuerte con los
procedimientos de ciberseguridad detallados anteriormente por las siguientes razones:
a. No está implementado un Centro de Ciberseguridad de la Armada del
Ecuador, que emita políticas y directrices en temas de ciberseguridad,
únicamente se tiene un Centro de Respuestas a Incidentes.
b. En cuanto a infraestructura y equipamiento se dispone de limitación de
recursos para fortalecerlo.
c. Existen un entendimiento limitado de las posibles vulnerabilidades e impactos
de ataques a infraestructuras críticas del SCN.
d. Existe un limitado número de personal capacitado y con sólidos
conocimientos en temas de ciberseguridad, y que a la vez impulse la
investigación en dicho campo.
e. No existe una normativa jurídica guía en temas de ciberseguridad.
f. La Armada del Ecuador tiene una muy limitada participación en conferencias,
congresos talleres y cursos internacionales en temas de ciberseguridad.
CONCLUSIONES
20
dificulta la adopción de enfoques más integrales sobre seguridad y por consiguiente cumplir
con los procedimientos de ciberseguridad.
c. A pesar que el Código Orgánico Integral Penal tiene artículos que sancionan delitos
informáticos, no se cuenta con una normativa legal y/o Políticas de Estado en el ámbito de:
ciberseguridad, protección de datos, uso del internet y redes sociales, lo que limita el
accionar de la Armada en cuanto al cumplimiento de los procedimientos de ciberseguridad
ya que ni el Ministerio de Defensa nacional ni el Comando Conjunto pueden emitir
disposiciones bajo el principio de legalidad en este ámbito.
RECOMENDACIONES
21
REFERENCIAS BIBLIOGRÁFICAS
22
Delgado, J. A. (2014). Gobernanza de Internet en Ecuador: infraestructura y acceso.
Recuperado de:
http://repositorio.educacionsuperior.gob.ec/bitstream/28000/1579/1/Gobernanza%20
de%20Internet%20en%20Ecuador.pdf
Díaz del Río, J. J. (2011). La ciberseguridad en el ámbito militar. Recuperado de:
https://dialnet.unirioja.es/descarga/articulo/3837348.pdf
Domínguez, J. (2016). La ciberguerra como realidad posible contemplada desde la
prospectiva. Revista de Pensamiento Estratégico y Seguridad CISDE, 1(1), 18-32.
Estado Mayor de la Fuerza Naval. (2010). Seguridad de la información. Recuperado de:
http://directivas.armada.mil.ec/servicios/clientes/docusArmada/verDocus.php?docuAr
madaId=563
Ganuza, N. (2011). Situación de la ciberseguridad en el ámbito internacional y en la OTAN.
Cuadernos de Estrategia, (149), 165-214.
Gómez Luna, E., Fernando Navas, D., Aponte Mayor, G. y Betancourt Buitrago, L.A. (2014).
Metodología para la revisión bibliográfica y la gestión de información de temas
científicos, a través de su estructuración y sistematización. DYNA. 81(184),158-163.
Recuperado de: https://dx.doi.org/10.15446/dyna.v81n184.37066
Guagualango, R. N. y Moscoso, P. E. (2011). Evaluación técnica de la seguridad informática
del Data Center de la Escuela Politécnica del Ejército (tesis de grado). Escuela
Politécnica del Ejército, Sangolquí, Ecuador.
Joyanes, L. (2011). Ciberseguridad. Retos y amenazas a la seguridad nacional en el
ciberespacio. Cuadernos de estrategia, (149), 11-46.
Kleiner, D. (2014, julio 30). Querida #NETMundial, la Gobernanza es genial y todo, pero
necesitamos EXIGIR el IPv6 ¡AHORA! (J. A. Delgado, Trans.) Recuperado de:
http://www.aperturaradical.org/
Leiva, E. (2015). Estrategias Nacionales de Ciberseguridad: Estudio comparativo basado en
Enfoque Top-Down desde una visión global a una visión local. Revista
Latinoamericana de Ingeniería de Software, 3(4), 161-176.
López, J. (2013). Capacidades esenciales para una ciberdefensa. España: INDRA.
Pérez, A. F. (2012). Diseño y ensayo del Sistema de Gestión de la Seguridad de la
Información Estadística (SGSIE). Caso de aplicación: cuentas nacionales en el
Banco Central del Ecuador (tesis de maestría). Escuela Politécnica Nacional, Quito.
Queiroz, V. J. (2015). La estrategia de Argentina y Brasil para la Defensa Cibernética, un
análisis por los niveles de la conducción (tesis de especialidad), Instituto Universitario
del Ejército, Buenos Aires.
Ramos, M. (2014). Acerca de la soberanía del Ecuador en el ciberespacio. Quito: Centro
Andino de Estudios Estratégicos.
23
Riquelme, E, J. (2012). La influencia de la Guerra de la Información en un Teatro de
Operaciones (tesis de especialidad). Escuela Superior de Guerra Conjunta de las
Fuerzas Armadas, Argentina.
Robles, M. (2016). El ciberespacio: Presupuestos para su ordenación jurídico-internacional.
Revista Chilena de Derecho y Ciencia Política, 7(1), 1-43.
Sánchez, G. (2012). Cibercrimen, ciberterrorismo y ciberguerra: los nuevos desafíos del S.
XXI. Revista Cenipec, (31), 239-267.
Torres, J. A. (2014). Análisis de la influencia del fenómeno del Ciberterrorismo en las
dinámicas de seguridad de la Unión Europea (tesis de pregrado). Universidad
Colegio Mayor de Nuestra Señora del Rosario, Bogotá.
Vargas, E. M. (2014). Ciberseguridad y ciberdefensa: ¿qué implicaciones tienen para la
seguridad nacional? (tesis de especialidad). Universidad Militar Nueva Granada,
Bogotá.
Villalba, A. (2015). La ciberseguridad en España 2011 – 2015. Una propuesta de modelo de
organización (tesis doctoral). Universidad Nacional de Educación a Distancia, Madrid.
24
ANEXO A
A-1
ESTADO MAYOR DE LA ARMADA
QUITO
DGP-COGMAR-INF-XXX-2017-O; XX-XXX-2017
“PROCEDIMIENTOS DE CIBERSEGURIDAD”
2017
ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-
I.- ANTECEDENTES
1
ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-
II.- PROPÓSITO
2
ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-
III.- DISPOSICIONES
A. Generales
3
ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-
B. Específicas
4
ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-
5
ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-
C. De Control
6
ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-
IV.- VIGENCIA
AAF/Andrés.-
7
ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-
ANEXO “A”
PROCEDIMIENTOS DE CIBERSEGURIDAD
Una ciberseguridad que garantice una protección eficiente y eficaz frente a las amenazas
debe sustentarse en un amplio conjunto de procedimientos que deben incluir aspectos
organizacionales, procedimentales y tecnológicos. Es por esa razón que la Dirección de
Tecnologías de la Información y Comunicaciones (DIRTIC) brinde el apoyo requerido, con la
finalidad de contrarrestar los ataques cibernéticos y desplegar acciones defensivas u
ofensivas de respuesta activa. Los planes fundamentales sobre los que se deben desarrollar
las acciones se concentran en los siguientes procedimientos:
1. CONCIENCIA SITUACIONAL
2. INFRAESTRUCTURA Y EQUIPAMIENTO
8
A-1
ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-
4. MODELOS ORGANIZACIONALES
6. DOCTRINA
7. COMPROMISO INTERNACIONAL
9
A-2