MINISTERIO DE TRANSPORTE Y OBRAS PÚBLICAS

COMITÉ DE SEGURIDAD DE LA INFORMACION

COORDINACION GENERAL ADMINISTRATIVA FINANCIERA

DIRECCION DE ADMINISTRACIÓN DE TALENTO HUMANO

PLAN DE EVALUACIÓN INTERNA

ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE

LA INFORMACIÓN (EGSI versión 3.0)

GPGE-GTI-GSI-2024-03-008
Contenido
CONTENIDO ............................................................................................................................ 2

1. INTRODUCCIÓN ............................................................................................................. 3

2. ANTECEDENTE .............................................................................................................. 3

3. TIPO DE EVALUACIÓN ................................................................................................. 4

4. PROCESO ........................................................................................................................ 4

4.1 IDENTIFICACIÓN DE ÁREAS A EVALUAR ............................................................ 4

4.2 CONFORMAR UN EQUIPO EVALUADOR .............................................................. 5

4.3 CALENDARIZACIÓN DE FECHAS ........................................................................... 6

4.4 TRABAJO IN SITU ...................................................................................................... 6

4.5 REPORTE DE RESULTADOS ................................................................................... 6

4.6 NOTIFICACIÓN ........................................................................................................... 6

5. LÍDER Y/O EQUIPO PARA LA EVALUACIÓN INTERNA .......................................... 7

6. OBJETIVO DE LA EVALUACIÓN ................................................................................. 8

7. ALCANCE DE LA EVALUACIÓN.................................................................................. 9

8. CRITERIOS DE LA EVALUACIÓN ............................................................................... 9

9. METODOLOGÍA DE LA EVALUACIÓN ..................................................................... 10

10. RECURSOS NECESARIOS ..................................................................................... 11

10.1 CRONOGRAMA DE TRABAJO: ............................................................................. 11

10.2 NOTAS IMPORTANTES: ......................................................................................... 12

11. BASE LEGAL ............................................................................................................ 13

12. REFERENCIA ............................................................................................................ 13

13. ANEXOS .................................................................................................................... 14

14. APROBACIONES ..................................................................................................... 25

1. Introducción

La ejecución de la Evaluación Interna debe permitir conocer el estado real de la

implementación del Esquema Gubernamental de Seguridad de la Información -
EGSI y que a su vez permita tomar las medidas correctivas necesarias que
lleven al cumplimiento y calidad de los procesos y sistemas existentes.

La información generalmente es procesada, intercambiada y conservada en

redes de datos, equipos informáticos y soportes de almacenamiento o
repositorios físicos y digitales, que son parte de lo que se conoce como sistemas
informáticos.

Los sistemas informáticos están sometidos a potenciales amenazas de

seguridad de diversa índole, originadas tanto desde dentro de la propia
organización, como desde fuera, procedentes de una amplia variedad de
fuentes. A los riesgos físicos, entre ellos, accesos no autorizados a la
información, mala administración o manipulación, catástrofes naturales,
sabotajes, incendios, y accidentes; hay que sumarle los riesgos lógicos como
contaminación con programas malignos, ataques de denegación de servicio y
otros. Fuentes de daños como códigos maliciosos y ataques de intrusión o de
denegación de servicios se están volviendo cada vez más comunes, ambiciosas
y sofisticadas.

La elevación de los niveles de seguridad se consigue implantando un conjunto

de controles, que incluyan políticas, procesos, procedimientos, instrucciones,
estructuras organizativas y funciones de hardware y software, los que deben ser
establecidos, implementados, documentados, supervisados y mejorados.

Para lo cual es importante el apoyo de los dueños de procesos o responsables

de las Unidades administrativas involucradas.

2. Antecedente

 Ley Orgánica de Protección de Datos Personales, publicada en Registro

Oficial No. 459 Suplemento se promulgó, con fecha 26 de mayo de 2021.
La cual tiene por objeto garantizar el ejercicio del derecho a la protección
de datos personales, que incluye el acceso y decisión sobre información
y datos de este carácter, así como su correspondiente protección.
  Esquema Gubernamental de Seguridad de la Información (EGSI v3)
Normas Técnicas Ecuatorianas NTE INEN-ISO/IEC 27001, NTE INEN-
ISO/IEC 27002, NTE INEN- ISO/IEC 27005
 Acuerdo Ministerial MINTEL-MINTEL-2024-0003 de 04 de marzo del
2024, que expide el Expide el esquema gubernamental de seguridad de
la información – EGSI.
 Memorando Nro. MTOP-CGPGE-2024-207-ME de fecha 21 de febrero
2024, suscrito por el Coordinador General de Planificación y Gestión
Estratégica y quien preside el Comité de Seguridad de la Información
vigente, que emite varias disposiciones para cumplir las directrices del
MINTEL relacionados al Acuerdo Ministerial Nro. MINTEL-MINTEL-2024-
0003 para la implementación del Esquema Gubernamental de Seguridad
de la Información (EGSI) V3.0.

3. Tipo de Evaluación

 El tipo de evaluación que se realizará es de carácter interno y de

cumplimiento, posterior a la implementación, con el apoyo de los
responsables de las unidades administrativas involucradas.

4. Proceso

El proceso que se aplicará para la evaluación estará alineado de la siguiente

manera:

- Identificación de áreas a evaluar

- Conformar el equipo evaluador
- Calendarización de fechas
- Trabajo de campo
- Reporte de resultados
- Notificación

Acciones que participaran los delegados del equipo evaluador; en el mismo

sentido los delegados de la implementación de los controles.

4.1 Identificación de áreas a evaluar

Conforme la Norma ISO 27002: que es un estándar para la seguridad de la
información, es la referencia principal del Esquema Gubernamental de Seguridad
de la Información (EGSI) V3.0.

De acuerdo al ANEXO C de la Guía para la Implementación de Controles de

Seguridad de la Información, en su estructura de los controles contiene 4
categorías de controles de seguridad que en conjunto contienen un total de 93
controles.

a) Controles organizacionales (37) Controles diseñados para la gobernanza,

toma de decisiones como: políticas de seguridad, roles,
responsabilidades, segregación de tareas, cumplimiento legal, etc.
b) Controles de personas (8) Controles diseñados para la intervención del
talento humano como: concientización, acuerdos de confidencialidad,
proceso disciplinario, teletrabajo, reporte de eventos de SI, etc.
c) Controles físicos (14) Controles diseñados específicamente para el
monitoreo y acceso a las instalaciones físicas, protecciones ambientales.
d) Controles tecnológicos (34) Controles en los que intervienen la tecnología

Por lo tanto, bajo ese esquema las áreas involucradas en la evaluación

deberán ser, Dirección Administrativa, Dirección de Tecnologías de la
Información y la Dirección de Administración de Talento humano.

4.2 Conformar un equipo evaluador

Notificar a los responsables de las áreas involucradas, con el propósito de que

deleguen o ratifique 2 personas, que conozcan de los procesos que se manejan
en dicha área, de las cuales se detallan:

- Un integrante para entrega de información, es importante que haya

participado en la implementación para que se le facilite la ubicación de
los documentos.
- Otro integrante para que realice la verificación de las existencias que
evidencien el cumplimiento de los controles, recomendable que no haya
participado en la implementación.

Una vez delegados formalmente los miembros del equipo evaluador, se

realizarán reuniones de trabajo para emitir lineamientos, directrices, formatos y
establecer estrategias en función a un cronograma.
4.3 Calendarización de fechas

Conformado el equipo de trabajo con las herramientas de gestión del proyecto,

en base a las fechas del perfil del proyecto, específicamente en las de cierre del
proyecto.

El cronograma establecido para la evaluación deberá ser socializado a las áreas

involucradas.

4.4 Trabajo in situ

En este componente la evaluación, ha dado inicio y se revisan todos los

documentos y recursos solicitados por el equipo evaluador. Al mismo tiempo se
comienzan a detectar y evaluar los hallazgos.

Durante esta etapa de evaluación algunos de los procedimientos a realizar son

los siguientes:

 Revisión de documentación de respaldo.

 Entrevistas al delegado de las áreas administrativas.
 Identificación de hallazgos y recomendaciones de mejoramiento.
 Registro de los controles.

4.5 Reporte de resultados

Durante esta etapa el equipo evaluador prepara el informe correspondiente y

resume los resultados de su evaluación.

Complementario al informe se debe actualizar el reporte de los controles el

mismo que permite identificar la madurez del EGSI en la Institución.

4.6 Notificación

Una vez culminada la evaluación interna y evaluados los controles, se debe

presentar el informe suscrito por el equipo evaluador, dirigido al Presidente del
comité de Seguridad de la Información para la respectiva suscripción y
aprobación.

5. Líder y/o Equipo para la Evaluación Interna

Memorando Nro. MTOP-DATH-2023-1922-ME, de 18 de julio de 2023, suscrito

por la Directora de Administración de Talento Humano, en el que se menciona
que, “los delegados para el proceso de Implementación de Esquema
Gubernamental de Seguridad de la información EGSI, al respecto, y una vez que
el servidor Ing. Pedro Araujo Live ha sido reintegrado a la Institución,
estableciendo de parte de la suscrita la asignación de sus responsabilidades,
pongo en su conocimiento que a partir de la presente fecha, el referido servidor
actuará como "Líder Evaluador EGSI", ejecutando aquellas funciones y
actividades que así lo demanda el proceso”.

Mediante sumilla inserta en el Memorando Nro. MTOP-GIDI-2024-6-ME, de 28

de febrero 2024 la Directora de Administración de Talento Humano delega a
Byron Toscano para conformar el equipo evaluador.

Mediante memorando Nro. MTOP-DATH-2023-1984-ME, de 24 de julio de 2023

suscrito por la Directora de Administración de Talento Humano, menciona que; a
fin de realizar las actividades de verificación, evaluación y control de los hitos
establecidos por el Esquema Gubernamental de la información, los delegados
serían: Juan Manuel Hidalgo Correa.

Mediante MTOP-DTI-2023-0415-ME, de 08 de septiembre de 2023, Director de

Tecnologías de la Información comunica que los delegados de la Dirección de
Tecnologías de la Información son: Juana Beatriz Martínez Herrera y Francisco
Torres Bayas.

Mediante Memorando Nro. MTOP-DADM-2023-2160-ME 28 de diciembre de

2023, suscrito por el Director Administrativo, se dirige a la Srta. Tlga. Jessica
Viviana Aguas Freile, Analista de Coordinación de Transporte Aéreo 1, el cual
delega a la mencionada, como representante de la Dirección Administrativa, para
realizar las actividades de verificación, evaluación y control de los hitos
establecidos por el Esquema Gubernamental de la información y asista a las
reuniones de trabajo para este proceso”.

Mediante memorando Nro. MTOP-DADM-2022-1566-ME, de 09 de septiembre

de 2022, suscrito por el Director Administrativo actuante, menciona que, Silvio
Fabricio Márquez López, es el delegado que formará parte del equipo para la
ejecución del Plan de Evaluación Interna del EGSI.

Con Memorando Nro. MTOP-CGPGE-2024-207-ME de fecha 21 de febrero

2024, el Sr. Coordinador General de Planificación y Gestión Estratégica y quien
preside el Comité de Seguridad de la Información vigente, remite varias
disposiciones para cumplir las directrices del MINTEL relacionados al Acuerdo
Ministerial Nro. MINTEL-MINTEL-2024-0003 para la implementación del
Esquema Gubernamental de Seguridad de la Información (EGSI) V3.0; entre las
cuales se expone “Solicitar a todas las unidades, procesos y/o direcciones
responsables de la Ejecución de Hitos del EGSI V3.0 y que son parte del Comité
de Seguridad de la Información el cumplimiento de 108 hitos que están
inherentes a la EGSI versión 3.0 hasta el 31 de diciembre del presente año
fiscal; para lo cual deberá brindar toda la colaboración pertinente en la fases de
planificación, ejecución-control y cierre, conjuntamente con los delegados EGSI
de cada área que ha venido participando, quienes serán responsables de
acuerdo a sus competencias el coordinar acciones para la implementación en el
año 2024; se recomienda además que los delegados (ejecución-evaluación) del
EGSI V2.0 del año 2023 de cada área continúen en sus designaciones salvo
mejor criterio de las autoridades de turno y los delegados que ya no estén en la
Institución solicitar su delegación correspondiente. Empoderar a la Dirección de
Tecnologías de la Información (responsable del proyecto EGSI V3.0 en GPR), al
Oficial de Seguridad de la Información (líder del Proyecto EGSI V3.0) y al Líder
Evaluador (responsable de la evaluación del EGSI V3.0) coordinar acciones
alineadas a la normativa del MINTEL en su versión V3.0.”

Por lo tanto, el equipo evaluador estaría conformado de la siguiente manera:

Unidad Administrativa Rol de gestor de la Rol de Revisor de la

información información
Talento Humano Juan Hidalgo Byron Toscano
Tecnologías de la
Beatriz Martínez Francisco Torres
información
Administrativo Fabricio Márquez Jessica Aguas

6. Objetivo de la Evaluación
El objetivo principal de la evaluación al cumplimiento de la implementación del
Esquema Gubernamental de Seguridad de la Información – EGSI v3, es
identificar posibles debilidades y oportunidades de mejora en los controles y
recomendaciones; acorde a la normativa emitida por el Ministerio de
Telecomunicaciones y de la Sociedad de la Información: Acuerdo ministerial No.
003- 2024.

7. Alcance de la Evaluación

Conforme el Acuerdo ministerial No. 003- 2024. Corresponde 93 controles que

están relacionadas a los procesos de las unidades Administrativas: Dirección
Administrativa, Dirección de Tecnologías de la Información y la Dirección de
Administración de Talento humano.

Bajo la Estructura ISO 27002: 2022 – categorización de controles:

- Organizacionales:
Controles para la gobernanza, políticas de seguridad, roles,
responsabilidades, segregación de tareas, cumplimiento legal, otros.

- Talento humano:
Concienciación, investigación de antecedentes, acuerdos de
confidencialidad, proceso disciplinario, teletrabajo, reporte de
eventos de SI, otros

- Administrativos:
Controles referentes al acceso y monitoreo a las instalaciones físicas,
protecciones ambientales, seguridades.

- Tecnológicos:
Controles en los que intervienen componentes o
herramientas tecnológicas.

8. Criterios de la Evaluación

Los criterios definidos para la ejecución de la Evaluación Interna de la

implementación del Esquema Gubernamental de Seguridad de la Información –
EGSI v3, tanto para los requisitos y los controles de seguridad, se detalla a
continuación:
 VALORACIÓN DE CUMPLIMIENTO
REQUISITOS Y CONTROLES DE SEGURIDAD

EFECTIVIDA
D DESCRIPCIÓN DEL HALLAZGO VALORACIÓN
No cumple, no se hace: carencia completa de cualquier
0% proceso/control reconocible, no se ha reconocido que
existe un problema a resolver.
NO CONFORMIDAD
Se reconoce la importancia de esta práctica por lo que se MAYOR
desarrollan y documentan algunas actividades y/o
10%
procesos alrededor de la misma. No existen plantillas
definidas a nivel corporativo.
Se desarrollan actividades y/o procesos, sin embargo, no
han sido documentadas, ni hay entrenamiento, ni NO CONFORMIDAD
50%
comunicación formal de la misma. Se deja la MENOR
responsabilidad a cada funcionario.
Esta práctica se ha estandarizado, documentado y ha
90% sido difundida mediante entrenamiento: Toda la
institución participa en el proceso. OPORTUNIDAD DE
Esta práctica se monitorea y mide su cumplimiento. Se MEJORA
95% toman medidas cuando los procesos y/o actividades no
están logrando su objetivo, requiere mejoras.
Los procesos están bajo constante mejora (se han
100% redefinido al nivel de mejor práctica). Existe evidencia de CONFORME
la mejora continua.

Tabla de valoración de controles

Fuente: [Link]

9. Metodología de la Evaluación

La metodología que se utilizará en la evaluación de los controles del EGSI estará

basada en la confirmación de evidencias del cumplimiento a la implementación
de los controles en los procesos impactados por la norma, conforme se
evidencie la documentación e informes
Al inicio del proceso, y una vez definido el personal con quién se va a realizar la
Evaluación Interna, se conforma un equipo y sus contrapartes, con el fin de
garantizar su objetividad y evitar los conflictos de intereses.

Así mismo comprometidos los responsables, la metodología se ejecuta de

manera más efectiva siguiendo las siguientes etapas:

 Definición de las áreas que se someterán a la Evaluación

 Planificación de las actividades de Evaluación

 Ejecución o trabajo de campo

 Elaboración y entrega del informe

 Seguimiento

10. Recursos Necesarios

10.1 Cronograma de trabajo:

El Líder Evaluador y su equipo de trabajo debe continuar la evaluación interna

definida en el alcance, para lo cual se ha elaborado el siguiente cronograma:

CRONOGRAMA DE TRABAJO
Evaluación Interna de Cumplimiento EGSI
v3

Mes “OCTUBRE”
N. Actividades a ejecutar Semana1 Semana 2 Semana 3
D1
D1 D2 D3 D4 D5 D1 D2 D3 D4 D5 D1 D2 D3

Revisión y recopilación
de información básica,
1
política, normativa,
procedimientos, otros.
Reunión previa para
2 aprobación del Plan o
Cronograma de trabajo.
Reunión de Inicio y
3
presentación de
 actividades a realizar

Ejecución de encuestas
4 mediante entrevistas a
funcionarios
Inspección de
5
Instalaciones
Identificación de riesgos
6
potenciales
7 Controles a revisar

8 Pruebas a realizar
Procesamiento de los
9 resultados de las
encuestas.
10 Obtención de Resultados
Elaboración del Informe
11
Final

10.2 Notas importantes:

Levantamiento de la información: para levantar la información y determinar la

valoración de los hallazgos, se podrían realizar: verificaciones en sitio,
entrevistas, encuestas, preguntas y respuestas a los entrevistados. Checklist,
otros.
Revisión y recopilación de información básica: la recopilación de información se
lo puede realizar a través de cuestionarios, o encuestas dirigidos a los dueños
del proceso y funcionarios de las áreas a evaluar con el fin de conocer los
equipos que usan procesos, que realizan procedimiento elaborados,
conocimientos del EGSI, normativa interna, políticas, etc.
Reunión aprobación Plan o cronograma de trabajo: reuniones de trabajo entre
auditores y jefes de área para dar a conocer el cronograma de trabajo y
aprobación del mismo.
Reunión de inicio y presentación de actividades a realizar: reunión formal del
inicio de la evaluación y presentación de actividades que se van a desarrollar
durante el transcurso del proceso de Evaluación .
Controles a revisar: verificación de la existencia y aplicación correcta de Políticas
de seguridad de la información, controles de seguridad de acuerdo al resultado
de la evaluación de riesgos.
Pruebas a revisar: verificación de la implementación adecuada y alineada a los
procedimientos, manuales, políticas establecidas. La documentación debe estar
actualizada.
Elaboración del Informe de Evaluación : documento en la que se plasma los
resultados de la evaluación , hallazgos, no conformidades, mismas que serán
presentados y revisados por las autoridades para su cumplimiento.

10.3 Materiales:
Los materiales a ser usados en el proceso de evaluación interna son los equipos
informáticos (recurso tecnológico: computadores, impresoras, scanner, otros)
proporcionados por la institución.
LISTAS DE VERIFICACIÓN:
Para la ejecución de la evaluación interna se ha elaborado listas de verificación
para la revisión del cumplimiento de los requisitos y controles de seguridad del
Esquema Gubernamental de Seguridad de la Información V3.0 (ANEXOS).

11. Base Legal

 Acuerdo Ministerial Nro. MINTEL-MINTEL-2024-0003 emitido el 08 de

febrero de 2023, Artículo 1: donde se expide el Esquema Gubernamental
de Seguridad de la Información –EGSI V3.0-.

12. Referencia
 Ley Orgánica de Transparencia y Acceso a la Información Pública
(LOTAIP)

 Normas de Control Interno 410.

 Esquema Gubernamental de Seguridad de la Información (EGSI v3.0)

 Normas Técnicas Ecuatorianas NTE INEN-ISO/IEC 27001, NTE INEN-

ISO/IEC 27002, NTE INEN- ISO/IEC 27005.
13. Anexos
 Listas de verificación

LISTA DE VERIFICACIÓN CONTROLES DE SEGURIDAD

(ANEXO - EGSI V3.0)
Ref. NTE-ISO/IEC 27002

Porcenta
Íte Hallazg je de Valoraci
CONTROLES
m os Efectivid ón
ad
PREGUNTA RELACIONADA CON LA CONTROLES
VERSIÓN 2.0 ORGANIZACIONALES

¿La dirección ha publicado y aprobado 1.1 Políticas de seguridad

las políticas sobre la Seguridad de la de la información
1
Información acordar con los requisitos (específicas), documentado
del negocio? e implementado

1.2 Roles y
¿Se han asignado y definido las
Responsabilidades de
responsabilidades sobre la seguridad de
2 Seguridad de la
la Información en las distintas tareas o
Información, documentado
actividades de la organización?
e implementado

¿Se han segregado las diversas áreas de

1.3 Separación de
responsabilidad sobre la Seguridad de la
3 Funciones, documentado e
Información para evitar usos o accesos
implementado
indebidos?

¿El cumplimiento de las

1.4 Responsabilidades de la
responsabilidades sobre la Seguridad de
4 dirección, documentado e
la Información es exigida de forma
implementado
activa a empleados y contratistas?

¿Existe un proceso definido para

contactar con las autoridades 1.5 Contacto con las
5 competentes ante incidentes autoridades, documentado
relacionados con la Seguridad de la e implementado
Información?
¿Existen medios y se han establecido
contactos con grupos de interés y 1.6 Contacto con grupos de
asociaciones relacionadas con la interés especial,
6
seguridad de la información para documentado e
mantenerse actualizado en noticias e implementado
información sobre Seguridad?
 1.7 Inteligencia de
7 NUEVO amenazas, documentado e
implementado

¿Existen requisitos para afrontar 1.8 Seguridad de la

cuestiones sobre la seguridad de la información en la Gestión
8
información en la gestión de proyectos de proyectos, documentado
de la organización? e implementado

1.9 Inventario de
¿Se ha identificado al responsable de información y otros activos
9
cada activo en cuanto a su seguridad? asociados, documentado e
implementado

1.10 Uso aceptable de la

¿Se han establecido normas para el uso información y otros activos
10
de activos en relación a su seguridad? asociados, documentado e
implementado

¿Existe un procedimiento para la

1.11 Devolución de activos,
devolución de activos cedidos a
11 documentado e
terceras partes o a la finalización de un
implementado
puesto de trabajo o contrato?

¿Se clasifica la información según su

1.12 Clasificación de la
confidencialidad o su importancia en
12 información, documentado
orden a establecer medidas de
e implementado
seguridad especificas?

¿Los activos de información son

1.13 Etiquetado de la
fácilmente identificables en cuanto a su
13 información, documentado
grado de confidencialidad o su nivel de
e implementado
clasificación?

1.14 Transferencia de
¿Se establecen normas o criterios de
14 información, documentado
seguridad en mensajería electrónica?
e implementado

¿Existe una política para definir los

controles de acceso a la información
1.15 Control de Acceso,
que tengan en cuenta el acceso
15 documentado e
selectivo a la información según las
implementado
necesidades de cada actividad o puesto
de trabajo?
 1.16 Gestión de Identidad,
¿Existen procesos formales de registros
16 documentado e
de usuarios?
implementado

1.17 Información de
¿Se establecen normas para la creación
autenticacion,
17 y salvaguarda de contraseñas de
documentado e
acceso?
implementado

¿Existen un proceso definido para la

1.18 Derechos de acceso,
revocación de permisos cuando se
18 documentado e
finalice una actividad, puesto de trabajo
implementado
o cese de contratos?

1.19 Seguridad de la
¿Existe una política de Seguridad de la
información en las
información para proveedores que
19 relaciones con proveedores,
acceden a activos de la información de
documentado e
la empresa?
implementado

1.20 Seguridad de la
¿Se han establecido requisitos de información en los
20 seguridad de la información en acuerdos con proveedores,
contratos con terceros? documentado e
implementado

1.21 Gestión de la
¿Se fijan requisitos para extender la seguridad de la información
21 seguridad de la información a toda la en la cadena de suministro
cadena de suministro? de las TIC, documentado e
implementado

1.22 Monitoreo, revisión y

¿Se controla el cumplimiento de los gestión de cambios de
22 requisitos establecidos con proveedores servicios de proveedores,
externos? documentado e implemen
tado

1.23 Seguridad de la
información para el uso de
23 NUEVO servicios en la nube,
documentado e
implementado
1.24 Planificación y
¿Se definen responsabilidades y preparación de la gestión
procedimientos para responder a los de incidentes de seguridad
24
incidentes de la Seguridad de la de la información,
Información? documentado e
implementado
 1.25 Evaluación y decisión
¿Se ha establecido un proceso para sobre eventos de seguridad
25 gestionar los incidentes en la Seguridad de la información,
de la Información? documentado e
implementado

1.26 Respuesta a incidentes

¿Existen mecanismos para dar
de seguridad de la
26 respuesta a los eventos de la Seguridad
información, documentado
de la Información?
e implementado

1.27 Aprendiendo de los

¿La información que proporcionada por
incidentes de seguridad de
los eventos en la Seguridad de la
27 la información,
información son tratados para tomar
documentado e
medidas preventivas?
implementado

¿Existe un proceso para recopilar 1.28 Recopilación de

28 evidencias sobre los incidentes en la evidencias, documentado e
seguridad de la Información? implementado

¿Se ha elaborado un plan de

continuidad del negocio ante incidentes
de Seguridad de la Información?
1.29 Seguridad de la
¿Se ha implementado las medidas de
Información durante la
29 recuperación previstas en el plan de
interrupción, documentado
Continuidad del Negocio?
e implementado
¿Se han verificado o probado las
acciones previstas en el plan de
Continuidad del Negocio?

1.30 Preparación de las TIC

para la continuidad del
30 NUEVO
Negocio, documentado e
implementado

1.31 Requisitos legales,

estatutarios,
¿Se han identificado las legislaciones
reglamentarios y
31 aplicables sobre protección de datos
contractuales,
personales y su cumplimiento?
documentado e
implementado

1.32 Derechos de
¿Existen procedimientos
propiedad intelectual,
32 implementados sobre la propiedad
documentado e
intelectual?
implementado
 ¿Se establecen criterios para 1.33 Protección de los
33 clasificación de registros y medidas de registros, documentado e
protección según niveles? implementado

1.34 Privacidad y
¿Se establecen medidas para la
protección de PII,
34 protección de datos personales de
documentado e
acuerdo con la legislación vigente?
implementado

¿Se revisan los controles de la 1.35 Revisión

Seguridad de la Información por independiente de seguridad
35 personal independiente a los de la información,
responsables de implementar los documentado e
controles? implementado

1.36 Cumplimiento de
¿Se realizan evaluaciones sobre el
políticas, reglas y normas
correcto funcionamiento de las
36 de seguridad de la
medidas técnicas de protección para la
información, documentado
seguridad de la información?
e implementado

1.37 Procedimientos
¿Se documentan los procedimientos y
37 operativos, documentado e
se establecen responsabilidades?
implementado

PREGUNTA RELACIONADA CONTROL DE PERSONAS

¿Se investigan los antecedentes de los

candidatos?
2.1 Selección de personas,
-Formación
38 documentado e
-Experiencia
implementado
-Verificar Titulación
-Referencias
¿Se incluyen cláusulas relativas a la 2.2 Términos y condiciones
39 Seguridad de la Información en los de empleo, documentado e
contratos de trabajo? implementado

2.3 Concienciación,
¿Existen procesos de información,
educación y formación en
formación y sensibilización sobre las
40 seguridad de la
responsabilidades sobre la Seguridad de
información, documentado
la Información?
e implementado
 ¿Existe un plan disciplinario donde se
comunica a los empleados y 2.4 Proceso disciplinario,
41 contratistas las consecuencias de los documentado e
incumplimientos sobre las políticas de implementado
la Seguridad de la Información?
¿Existe un procedimiento para
garantizar la Seguridad de la
Información en los cambios de empleo,
puesto de trabajo o al finalizar un 2.5 Responsabilidades
contrato? después de la terminación o
42 ¿Se definen responsabilidades sobre la cambio de empleo,
Seguridad de la información que se documentado e
extiendan más allá de la finalización de implementado
un contrato como por ejemplo
cuestiones relativas a la
confidencialidad de la Información?

¿Se establecen acuerdos de 2.6 Acuerdo de

confidencialidad antes de realizar confidenciliadad o no
43
intercambios de información con otras divulgación, documentado
entidades? e implementado

2.7 Trabajo remoto,

¿Se aplican los criterios de Seguridad
44 documentado e
para los accesos de teletrabajo?
implementado

¿Se han implementado canales 2.8 Reporte de eventos de

adecuados para la comunicación de seguridad de la
45
incidentes en la seguridad de la información, documentado
Información? e implementado

PREGUNTA RELACIONADA CONTROLES FÍSICOS

¿Se establecen perímetros de seguridad 3.1 Perímetros de seguridad

46 física donde sea necesario con barreras física, documentado e
de acceso? implementado

3.2 Entrada física,

¿Existen controles de acceso a personas
47 documentado e
autorizadas en áreas restringidas?
implementado
 ¿Se establecen medidas de seguridad 3.3 Seguridad de oficinas,
para zonas de oficinas para proteger la despachos e instalaciones,
48
información de pantallas etc. en áreas documentado e
de accesibles a personal externo? implementado

3.4 Monitoreo de seguridad

49 NUEVO física, documentado e
implementado

3.5 Protección contra las

¿Existe protección contra las amenazas amenazas externas y
50
externas y ambientales? ambientales, documentado
e implementado

3.6 Trabajo en áreas

¿Se controla o supervisa la actividad de
51 seguras, documentado e
personal que accede a áreas seguras?
implementado

¿Se establecen reglas de 3.7 Puesto de trabajo

comportamiento para abandonos despejado y pantalla limpia,
52
momentáneos o temporales del puesto documentado e
de trabajo? implementado

¿Se protegen los equipos tanto del 3.8 Ubicación y protección

53 medioambiente como de accesos no de equipos, documentado e
autorizados? implementado

¿Se consideran medidas de protección 3.9 Seguridad de los activos

específicas para equipos que se utilicen fuera de las instalaciones,
54
fuera de las instalaciones de la propia documentado e
empresa? implementado

3.10 Medios de
¿Existen controles establecidos para almacenamiento,
55
aplicar a soportes extraíbles? documentado e
implementado

3.11 Servicios de Soporte,

¿Se protegen los equipos contra fallos
56 documentado e
de suministro de energía?
implementado

3.12 Seguridad del

¿Existen protecciones para los
57 cableado, documentado e
cableados de energía y de datos?
implementado
 3.13 Mantenimiento de
¿Se planifican y realizan tareas de
58 equipo, documentado e
mantenimiento sobre los equipos?
implementado

¿Se establecen protocolos para 3.14 Eliminación segura o

proteger o eliminar información de reutilización de equipos,
59
equipos que causan baja o van a ser documentado e
reutilizados? implementado

CONTROLES
PREGUNTA RELACIONADA
TECNOLÓGICOS

¿Se consideran requisitos especiales 4.1 Dispositivos de usuario

60 para la Seguridad de la Información en final, documentado e
la utilización de dispositivos móviles? implementado

¿Se define un proceso específico para la

4.2 Derechos de acceso
asignación y autorización de permisos
61 privilegiado, documentado
especiales de administración de
e implementado
accesos?

¿Se establecen niveles y perfiles

4.3 Restricción de acceso a
específicos de acceso para los sistemas
la información,
62 de Información de forma que se
documentado e
restringa la información a la actividad
implementado
específica a desarrollar?

¿Se restringe el acceso a códigos fuente 4.4 Acceso al código fuente,

63 de programas y se controla cualquier documentado e
tipo de cambio a realizar? implementado

¿Se han implementado procesos de

acceso seguro para el inicio de sesión 4.5 Autenticación Segura,
64 considerando limitaciones de intentos documentado e
de acceso, controlando la información implementado
en pantalla etc.?

¿Se controla el uso de los recursos en 4.6 Gestión de la capacidad,

65 cuanto al rendimiento y capacidad de documentado e
los sistemas? implementado
 4.7 Proteccion contra
¿Existen sistemas de detección para
66 malware, documentado e
Software malicioso o malware?
implementado

¿Se realizan evaluaciones sobre el 4.8 Gestión de

correcto funcionamiento de las vulnerabilidades técnicas,
67
medidas técnicas de protección para la documentado e
seguridad de la información? implementado

4.9 Gestión de la
Configuración,
68 NUEVO
documentado e
implementado

4.10 Eliminación de
69 NUEVO información, documentado
e implementado

4.11 Enmascaramiento de
70 NUEVO datos, documentado e
implementado

4.12 Prevención de fuga de

71 NUEVO datos, documentado e
implementado

¿Se ha establecido un sistema de copias 4.13 Copia de seguridad de

de seguridad acordes con las la información,
72
necesidades de la información y de los documentado e
sistemas? implementado

¿Se ha evaluado la necesidad de 4.14 Redundancia de las

73 redundar los activos críticos de la instalaciones de
Información? tratamiento de información

¿Se establecen accesos limitados a los 4.15 Registros de eventos,

74 recursos y necesidades de red según documentado e
perfiles determinados? implementado
 4.16 Actividades de
¿Existen procesos formales de registros
75 monitoreo, documentado e
de usuarios?
implementado

¿Se establecen medidas para controlar 4.17 Sincronización de reloj,

76 el establecimiento de contraseñas documentado e
seguras? implementado

¿Se controla la capacitación y perfil de 4.18 Uso de programas de

las personas que tienen permisos de utilidad privilegiados,
77
administración con perfiles bajos de documentado e
Seguridad? implementado

¿Las instalaciones de nuevas

aplicaciones SW o modificaciones son 4.19 Instalación de software
78 verificadas en entornos de prueba y en sistemas operativos,
existen protocolos de seguridad para su documentado e implement
instalación?

¿En el entorno de red se gestiona la

4.20 Seguridad de redes,
protección de los sistemas mediante
79 documentado e
controles de red y de elementos
implementado
conectados?

4.21 Seguridad de los

¿Se establecen condiciones de
servicios de red,
80 seguridad en los servicios de red tanto
documentado e
propios como subcontratados?
implementado

¿Existe separación o segregación de 4.22 Separación en las

81 redes tomando en cuenta condiciones redes, documentado e
de seguridad y clasificación de activos? implementado

4.23 Filtrado web,

82 NUEVO documentado e
implementado

¿Existe una política para el 4.24 Uso de criptografía,

83 establecimiento de controles documentado e
criptográficos? implementado
 4.25 Ciclo de vida de
¿Se establecen procedimientos que
desarrollo seguro,
84 garanticen el desarrollo seguro del
documentado e
Software?
implementado

¿Se consideran requisitos de seguridad

específicos para accesos externos o de 4.26 Requisitos de
redes públicas a los sistemas de seguridad de la aplicación,
85
información? documentado e
¿Se establecen medidas de protección implementado
para transacciones Online?

¿Se definen políticas de Seguridad de la 4.27 Arquitectura del

86 Información en procesos de ingeniería sistema seguro y principios
de Sistemas? de ingeniería, documentado

4.28 Codificación Segura,

87 NUEVO documentado e
implementado

4.29 Pruebas de seguridad

¿Se establecen protocolos y pruebas de
en el desarrollo y la
88 aceptación de sistemas para nuevos
aceptación, documentado e
sistemas y actualizaciones?
im

4.30 Desarrollo
¿Se acuerdan los requisitos de
subcontratado,
89 seguridad de la Información para
documentado e
Software desarrollado por terceros?
implementado

4.31 Separación de los

¿Se realiza una evaluación de riesgos
entornos de desarrollo,
90 para herramientas de desarrollo de
prueba y producción,
Software?
document

¿Se establecen procesos formales para

4.32 Gestión de cambios,
cambios en versiones o nuevas
91 documentado e
funcionalidades para Software de
implementado
terceros?

4.33 Información de
¿Se utilizan datos de prueba en los
92 pruebas, documentado e
ensayos o pruebas de los sistemas?
implementado
 ¿Existen mecanismos de auditorías de
medidas de seguridad de los sistemas? 4.34 Protección de los
¿Se establecen protocolos específicos sistemas de información
93
para desarrollo de auditorías Software durante las pruebas de
considerando su impacto en los audito
sistemas?

14. Aprobaciones

Versión: 1.0
Fecha de la 2024-AGO-08
versión:

Ing. Pedro Araujo Firmado electrónicamente por:

ELABORADO PEDRO XAVIER ARAUJO
LIVE
Delegado Líder Evaluador

REVISADO Ing. Édison Cóndor

POR:
Oficial de Seguridad de la
Firmado electrónicamente por:
EDISON MOISES
CONDOR MAIGUALCA
Información

Delegado Dirección de Tecnologías Firmado electrónicamente por:

JUANA BEATRIZ
MARTINEZ HERRERA
de la Información

AVALADO
DELEGADOS Delegado Dirección Nacional de Firmado electrónicamente por:
LIGIA VERONICA

DEL EGSI Riesgos RIVADENEIRA

ZAMBRANO

Delegado Dirección Administración Firmado electrónicamente por:

JUAN MANUEL HIDALGO
de Talento Humano CORREA
 Delegado Dirección de Firmado electrónicamente por:
CARLOS ANDRES
Comunicación Social ZURITA IBARRA

Delegado Dirección Administrativa Firmado electrónicamente por:

CRISTIAN FERNANDO
CARRANCO PERUGACHI

Coordinador/a General de
Planificación y Gestión Estratégica/
Firmado electrónicamente por:

Miembro de Comité de Seguridad CARLOS JAVIER

BECERRA ALBUJA
de la Información, quién lo preside.

Coordinador/a General
Firmado electrónicamente por:
Administrativa Financiera/Miembro MARIA KATHERINE
HIDALGO PINO
de Comité.

APROBADO
POR LOS Director/a Nacional de Firmado electrónicamente por:
CARLOS ANDREE
MIEMBROS DEL Riesgos/Miembro de Comité. GAMARRA MARGARY

COMITÉ DE
SEGURIDAD DE
LA
INFORMACIÓN Director/a de Tecnologías de la
Firmado electrónicamente por:

VIGENTE: DIRNEY JULIO

ESCOBAR COTO
Información/Miembro de Comité.

Director/a de Administración de
Talento Humano/Miembro de Firmado electrónicamente por:
LIDIA DE LOREN
DAYANA VERGARA MAYA
Comité.

Director/a Administrativo/Miembro Firmado electrónicamente por:

CARLOS ANTONIO LOOR
REYES
de Comité.
 Director/a de Comunicación
Social/Miembro de Comité. Firmado electrónicamente por:
ANDREA PAULINA
GUERRERO GONZALEZ

Nivel de
Medio
confidencialidad:

27001 ACADEMY, Implement ISO

Referencia: 27001 and ISO 22301 effortlessly,
[Link]