Loader

02-3948840   |     consultas@seps.gob.ec

 

Observatorio Especializado en Seguridad de la Información y Ciberseguridad – SEPS

El objetivo principal del Observatorio especializado en Seguridad de la Información y Ciberseguridad para la Economía Popular y Solidaria del Ecuador es fomentar una cultura de seguridad cibernética sólida y sostenible dentro de sus entidades y organizaciones, lo que se traducirá en una reducción significativa de los riesgos y pérdidas derivados de incidentes de seguridad, mediante la generación y difusión de conocimiento especializado, el impulso a la adopción de mejores prácticas y la articulación de esfuerzos entre los diferentes actores del sector.

Público objetivo

El público objetivo del Observatorio son las Organizaciones de la EPS, Entidades del SFPS, socios de las organizaciones, funcionarios y trabajadores de la SEPS, Observatorios similares, la Academia, etc.

La Seguridad de la Información en el Sector de la Economía Popular y Solidaria: Un Imperativo Legal y Estratégico

La Superintendencia de Economía Popular y Solidaria (SEPS) informa a todas las entidades bajo su control sobre la obligatoriedad y el marco de aplicación de las normativas vigentes en materia de Seguridad de la Información. Proteger los datos de los socios y clientes no es solo una buena práctica, sino un deber legal que asegura la confianza, la continuidad operacional y la estabilidad del sector.

La SEPS recomienda a todas las instituciones priorizar la implementación del EGSI y la capacitación de su personal como la mejor inversión para la seguridad de la información y la protección de los datos de nuestros ciudadanos.

Marco Normativo Obligatorio

Toda entidad del sector público financiero y de la economía popular y solidaria debe adherirse a los siguientes instrumentos legales y técnicos:

        1. Esquema Gubernamental de Seguridad de la Información (EGSI) v3.0: Expedido por el Ministerio de Telecomunicaciones, el EGSI es el mecanismo oficial y obligatorio para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) en el sector público. Este marco se alinea con estándares internacionales como la ISO/IEC 27001:2022 y la ISO/IEC 27005:2018.
        1. Ley Orgánica de Protección de Datos Personales (LOPDP): Las entidades deben implementar medidas de seguridad adecuadas, tal como lo exige la LOPDP, para hacer frente a cualquier riesgo, amenaza o vulnerabilidad en el tratamiento de los Datos Personales (PII), conforme al principio de seguridad de datos personales.
        1. Código Orgánico Integral Penal (COIP): El incumplimiento de los deberes de seguridad puede acarrear responsabilidades administrativas, civiles y penales a los servidores, especialmente en casos de ciberdelitos como el acceso no consentido a sistemas informáticos o la revelación ilegal de bases de datos.


La resiliencia cibernética de las entidades es un pilar de la Estrategia Nacional de Ciberseguridad. Al adoptar el marco del EGSI, su organización no solo cumple con la ley, sino que se posiciona para garantizar la confianza digital y maximizar los beneficios socioeconómicos del entorno digital

Eje Central: La Gestión Basada en Riesgos (Ciclo PDCA)

El SGSI se implementa bajo el modelo de Mejora Continua (PDCA), garantizando que la seguridad sea un proceso dinámico y no una acción puntual.

      1. Planificar: Identificación y Estrategia
          • Identificación de Activos: La gestión comienza con la identificación, clasificación y asignación de propietarios a todos los activos de información (sistemas, datos, personal, infraestructura).
          • Evaluación de Riesgos: Las entidades deben realizar una Evaluación de Riesgos sobre sus activos críticos para identificar amenazas, vulnerabilidades y el impacto potencial en la Confidencialidad, Integridad y Disponibilidad (C.I.D.) de la información.
          • Plan de Tratamiento: Formular un Plan de Tratamiento de Riesgos para mitigar los riesgos inaceptables, seleccionando controles de seguridad apropiados, referenciados en el EGSI (ISO/IEC 27002).
      2. Hacer: Implementación de Controles ClaveLa implementación de los controles debe ser liderada por el Oficial de Seguridad de la Información (OSI) y supervisada por el Comité de Seguridad de la Información (CSI).
          • Controles Tecnológicos: Aplicar medidas para la protección contra malware, la gestión de vulnerabilidades, la eliminación segura de información y la redundancia de sistemas.
          • Controles de Personas (Concientización): El OSI debe elaborar y coordinar un Plan de Concienciación para fomentar una cultura de seguridad, ya que el factor humano es un vector de riesgo principal.
          • Gestión de Incidentes: Establecer procedimientos claros y documentados para la respuesta, contención y recuperación ante cualquier evento o incidente cibernético.
      1. Verificar y Actuar: Monitoreo y Mejora
          • Auditoría y Monitoreo: Se deben realizar auditorías internas independientes y monitoreo continuo de las redes, sistemas y aplicaciones para detectar comportamientos anómalos y garantizar la eficacia de los controles.
          • Mejora Continua: Los resultados de las auditorías y la revisión por la dirección deben impulsar acciones correctivas para asegurar que el SGSI se adapte continuamente a las nuevas amenazas y a los cambios operativos y regulatorios.

Quieres colaborar con el Observatorio. (Contáctanos) seguridad.informacion@seps.gob.ec

Formulario – Seguridad de la Información

    Formación, capacitación y habilidades de seguridad cibernética

    CAPACITACIONES ANTERIORES Y DOCUMENTACIÓN RELACIONADA

    Este es un espacio donde se presentan cursos, capacitaciones de formación, webinars sobre seguridad de la información y ciberseguridad para las entidades y organizaciones de la Economía Popular y Solidaria.

    Compartir
    Agendamiento de citas
    Chat en linea SEPS
    Recepción documental
    Portal Interactivo DATASEPS
    Skip to content