ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR © Ministerio de Telecomunicaciones y Sociedad de la Información 2 Vianna Maino Ministra de Telecomunicaciones y de la Sociedad de la Información L a ciberseguridad es un tema de vital importancia para ción, Defensa Nacional, Gobierno, Interior, Relaciones el Gobierno del Presidente Guillermo Lasso, estamos Exteriores y Movilidad Humana, el Centro de Inteligencia conscientes que resguardar la seguridad ciudadana Estratégica y la Secretaría General de la Administración y de los Estados en el ciberespacio es una tendencia mun- Pública de la Presidencia. dial sin retorno, del que Ecuador no puede estar apartado. Esta Estrategia, que tendrá una aplicación de 3 años Solo aquellos países que cuenten con una protección sufi- (2022-2025), se basa en seis ejes de acción que abarcan ciente y constantemente actualizada son los que lograrán temas coyunturales y prioritarios para el país: Gobernanza realmente triunfar en la nueva era digital que vive el mundo. y coordinación nacional; Resiliencia cibernética; Preven- ción y combate a la ciberdelincuencia; Ciberdefensa; Ha- Pero, la construcción de las estrategias de protección no bilidades y capacidades de ciberseguridad; y Cooperación pueden estar apartadas del contexto mundial, la seguri- internacional. dad informática no entiende de fronteras físicas y un am- biente cyberseguro solo se consigue si aunamos esfuerzos La Estrategia Nacional de Ciberseguridad que se consti- y trabajamos de la mano con los países que mayor cono- tuye en una herramienta más para mantenernos alertas cimiento tienen en la materia. siempre en el mundo de la tecnología donde la evolución es muy dinámica y vertiginosa. Por ello, debo agradecer el apoyo que hemos recibido del Programa de Ciberseguridad del Comité Interamericano Con ciberseguridad podemos impulsar otros desarrollos contra el Terrorismo, de la Organización de los Estados digitales como el comercio electrónico, proteger nuestra Americanos (CICTE/OEA); y al Proyecto de Resiliencia Ciber- información y transacciones financieras, cuidar los datos nética para el Desarrollo, de la Unión Europa (CYBER4DEV). personales de los ciudadanos e información comercial a nivel local e internacional. Porque los datos son el nuevo Gracias a esta cooperación internacional el Ecuador oro del mundo y el centro de la reorganización de los go- cuenta con su Estrategia Nacional de Ciberseguridad, un biernos en este siglo y por eso su resguardo es de vital im- documento que fija los lineamientos para la seguridad portancia ahora más que nunca. En la actualidad un clic nacional en el ciberespacio y que contó con la participa- nos conecta con el mundo y por ello era de vital importan- ción de más de 170 actores de la sociedad civil, acadé- cia contar con esta Estrategia efectuada bajo las mejores micos, expertos en ciberseguridad, funciones del estado, prácticas mundiales. sector privado y todas las instituciones que conforman el Comité Nacional de Ciberseguridad, organismo crea- Bajo el liderazgo del Presidente Guillermo Lasso segui- do en el actual Gobierno y que aglutina los Ministerios remos trabajando por un Ecuador Ciberseguro y por ese de Telecomunicaciones y de la Sociedad de la Informa- Ecuador Digital de las Oportunidades. Con la asesoría de: 3 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Contenido PANORAMA NACIONAL DE CIBERSEGURIDAD, DESAFÍOS Y OPORTUNIDADES Pag 06 Retos y oportunidades para la ciberseguridad Pag 07 Políticas nacionales relacionadas Pag 09 VISIÓN, PRINCIPIOS Y OBJETIVOS ESTRATÉGICOS Pag 11 Visión de ciberseguridad de Ecuador 2025 y propósito general de la estrategia Pag 12 Principios rectores de la estrategia Pag 12 PILARES DE LA ESTRATEGIA Pag 13 Objetivos estratégicos Pag 14 PILAR 1. Gobernanza y coordinación nacional Pag 16 Objetivo 1.1: Establecer un marco integral de Pag 17 gobernanza de la ciberseguridad Objetivo 1.2: Fomentar una comunidad sólida y Pag 18 articulada con expertos en ciberseguridad de las múltiples partes interesadas Objetivo 1.3: Desarrollar un marco legal y regulatorio Pag 19 integral que permita la gobernanza nacional de la ciberseguridad y la ciberdefensa PILAR 2. Pag 20 Resiliencia cibernética Objetivo 2.1: Establecer un proceso integral para la Pag 21 gestión de riesgos de ciberseguridad y preparación para las crisis cibernéticas con el fin de fortalecer dichas capacidades a nivel nacional Objetivo 2.2: Adoptar un marco integral para la Pag 23 identificación, orientación y supervisión de los operadores de infraestructuras críticas digitales (ICD), 4 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Objetivo 2.3: Continuar desarrollando capacidades Pag 25 de respuesta y gestión de incidentes cibernéticos y del CERT nacional Objetivo 2.4: Maximizar el uso de tecnologías Pag 26 avanzadas y la innovación en el diseño de políticas y procesos ágiles para el desarrollo de capacidades de Ciberinteligencia PILAR 3. Pag 27 Prevención y combate a la ciberdelincuencia Objetivo 3.1: Actualizar el marco legal y regulatorio Pag 29 de Ecuador en materia de ciberdelincuencia para garantizar la seguridad ciudadana y la protección de los derechos y libertades en el ciberespacio Objetivo 3.2: Fortalecer la respuesta oportuna y Pag 29 las capacidades operacionales de investigación y judicialización de la cibercriminalidad. PILAR 4. Pag 30 Ciberdefensa Objetivo 4.1: Incrementar y fortalecer las capacidades Pag 32 de Ciberdefensa del Estado ecuatoriano para alcanzar la actitud estratégica defensiva definida en la Política de la Defensa Nacional , para la protección de la infraestructura crítica digital (ICD) y servicios Pag 32 esenciales en el ciberespacio. PILAR 5. Pag 33. Habilidades y capacidades de ciberseguridad Objetivo 5.1: Mejorar y ampliar la concientización Pag 35 sobre la ciberseguridad a todos los niveles de la sociedad Objetivo 5.2: Reforzar las habilidades en materia de Pag 35 ciberseguridad necesarias con las múltiples partes interesadas Objetivo 5.3: Asegurar que el sistema educativo Pag 36 imparta conocimientos y fortalezca habilidades en materia de ciberseguridad PILAR 6. Pag 38 Cooperación internacional Objetivo 6.1: Identificar las prioridades internacionales Pag 38 de Ecuador y desarrollar la capacidad de participar en la ciberdiplomacia regional e internacional Objetivo 6.2: Fortalecer la participación de Ecuador Pag 39 en la cooperación bilateral, regional e internacional en respuesta a las amenazas en el ciberespacio IMPLEMENTACIÓN, SEGUIMIENTO Y EVALUACIÓN Pag 40 Con la asesoría de: 5 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR PANORAMA NACIONAL DE CIBERSEGURIDAD, DESAFÍOS Y OPORTUNIDADES 6 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Retos y oportunidades para la ciberseguridad L as tecnologías digitales son indispensables para un cadas y complejas, con nuevas dificultades a la hora de Ecuador moderno, potenciando cada vez más nues- identificar, detectar, responder o recuperarse de inciden- tras empresas, nuestros servicios públicos y nuestra tes cibernéticos. Se espera que esta tendencia continúe administración pública, y ofrecen oportunidades para que con las nuevas tecnologías emergentes, como la inteligen- cada ciudadano se beneficie de la transformación digital. cia artificial, el creciente uso de diversos dispositivos inte- Como país hemos hecho esfuerzos en los últimos años ligentes (IoT), la computación en la nube, las herramientas para ampliar y mejorar el acceso a Internet de nuestra biométricas, entre otros. población, empresas y administración pública en todo el país y para acelerar el desarrollo económico y social en En el 2021, se aprobó nuestra primera Política de Cibersegu- toda la sociedad. ridad, publicada mediante Acuerdo Ministerial 006-2021, y se reconoció que los interesados deben fortalecer sus capa- Con la digitalización que ofrece beneficios económicos cidades para identificar, gestionar, tratar y mitigar los ries- y sociales evidentes, las vulnerabilidades tecnológicas y gos de ciberseguridad. Desde entonces, varios incidentes organizativas inherentes, junto con la creciente depen- cibernéticos nacionales nos han llevado a reconocer que es dencia digital de la sociedad, también ponen de relieve necesario reevaluar nuestros esfuerzos para cerrar las bre- la necesidad de mejorar la ciberseguridad y la resiliencia chas de capacidades para que todas las múltiples partes in- cibernética. La creciente sofisticación de la tecnología y su teresadas puedan aprovechar las oportunidades actuales y uso generalizado ha dado lugar a amenazas más sofisti- futuras en el marco de la Cuarta Revolución Industrial. Con la asesoría de: 7 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Por lo tanto, hemos decidido mejorar la resiliencia ciber- ha sido favorable, abriendo también la puerta a inversio- nética de la sociedad ecuatoriana lanzando la Estrategia nes en ciberseguridad. Desde una perspectiva jurídica, Nacional de Ciberseguridad. Teniendo en cuenta las ini- hemos adoptado medidas para ratificar y aplicar el Con- ciativas anteriores, las conclusiones de las amplias con- venio de Budapest sobre la Ciberdelincuencia y el país fue sultas con las múltiples partes interesadas y las mejores invitado el 30 de marzo de 2022 a adherirse al tratado, una prácticas internacionales, esta estrategia se elaboró en medida que ayudará significativamente a nuestra capaci- estrecha cooperación con actores nacionales e interna- dad de combatir la ciberdelincuencia transfronteriza. cionales y tiene por objeto establecer la dirección y un marco para alcanzar objetivos específicos y claros para los Las amenazas, por otro lado, han incluido ciberataques próximos tres años (2022-2025). contra nuestras infraestructuras críticas digitales (ICD), infraestructuras tecnológicas con problemas de obsoles- Nuestras partes interesadas a nivel nacional han sido un cencia, altos costos para la adquisición de tecnología y apoyo fundamental para los progresos que hemos logra- marcos legales y regulatorios desactualizados, los cuales do hasta la fecha. Al examinar nuestras necesidades para nos han dejado vulnerables. Además, es necesario que la estrategia, reconocemos la importancia de aprovechar abordemos los desafíos relacionados con la falta de pre- las ventajas existentes, incluida la existencia de una políti- supuesto sostenido y la escasez de personal especializado ca de ciberseguridad, y de órganos nacionales pertinentes, en ciberseguridad en las organizaciones, y necesitamos como el Comité Nacional de Ciberseguridad y el EcuCERT; construir sistemáticamente una cultura de ciberseguridad así como el compromiso de las instituciones públicas de para que las personas y las empresas conozcan cómo pro- mejorar la ciberseguridad y la resiliencia cibernética. tegerse en línea. Si bien sabemos que hay varios desafíos, también hay va- Con lo anterior en mente, planteamos las siguientes ini- rias oportunidades de crecimiento en nuestra postura de ciativas para llevar a nuestro país a un nuevo nivel en ci- ciberseguridad. Existe una colaboración prometedora tan- berseguridad y resiliencia cibernética: to a nivel internacional como entre las partes interesadas nacionales que desean mejorar las prácticas existentes y • Reforzar la capacidad institucional, reglamen- colaborar por conducto de diversos grupos de trabajo. taria, administrativa y de gestión para abordar El clima general de inversión tecnológica en nuestro país las cuestiones de ciberseguridad desde el más 8 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR alto nivel, sensibilizando y formando a todas las El proceso de construcción de la estrategia fue liderado múltiples partes interesadas; por el MINTEL con la coordinación de los integrantes del Comité Nacional de Ciberseguridad, celebrando varias • Aumentar la confianza digital y fomentar el uso mesas de discusión, presenciales y virtuales, con los inte- del entorno digital nacional, fortaleciendo el ni- resados nacionales en ciberseguridad, guiados por perso- vel de seguridad de la información, adoptando nal especializado de la OEA y de Cyber4Dev. medidas para gestionar los riesgos de cibersegu- ridad contra nuestras ICD nacionales y otros ac- Políticas nacionales conexas tivos, y desarrollando una cooperación eficiente en la que participen múltiples partes interesa- Varios documentos estratégicos nacionales y de política de das, con el objetivo de maximizar los beneficios alto nivel ya han reconocido objetivos estratégicos relacio- económicos y sociales en todos los sectores; nados con la ciberseguridad. Por consiguiente, esta estra- tegia garantiza la continuidad y la complementariedad con • Proteger los derechos digitales y demás dere- las iniciativas existentes y las mejora aún más de éstas. chos fundamentales de los ciudadanos y sus actividades económicas y sociales en el entor- El Plan Nacional de Desarrollo 2021-2025 establece una vi- no digital reforzando la lucha contra la ciberde- sión de un Ecuador próspero, con una democracia liberal lincuencia y aplicando mecanismos de asisten- plena, regido por el Estado de Derecho y con instituciones cia a las víctimas de este flagelo; eficientes, que respeten la individualidad personal al tiem- po que promuevan una economía de libre mercado abierta • La racionalización de las capacidades nacio- al mundo, fiscalmente responsable y generadora de em- nales de defensa frente a las amenazas y a los pleo. Las directrices y objetivos estratégicos establecidos actos hostiles en el ciberespacio que puedan por el Plan Nacional de Desarrollo incluyen el fortaleci- afectar a la soberanía nacional, la independen- miento de la conectividad y el acceso a las Tecnologías de cia, la integridad territorial, el orden constitu- Información y las Comunicaciones (TIC), el aumento de la cional, los intereses nacionales y la prosperidad cobertura y el acceso a los servicios móviles de alta veloci- económica y social; dad y la mejora de la posición internacional de Ecuador en materia de ciberseguridad. • Participar activamente a nivel nacional e inter- nacional en la promoción de un entorno digital abierto, estable y fiable, y en la cooperación, co- laboración y asistencia en relación con la ges- tión de riesgos de ciberseguridad. A la hora de establecer estas iniciativas de ciberseguridad, tendremos en cuenta componentes como la gobernanza, la educación, la cooperación, la regulación, la investiga- ción, la innovación, la diplomacia, el desarrollo, la protec- ción, la seguridad y defensa de las ICD nacionales, y los intereses nacionales del Estado, entre otros. Nuestros es- fuerzos estarán enfocados a los ciudadanos, a la sociedad en general, a las Fuerzas Armadas y a los sectores público y privado, para que nuestro país pueda tener una estructura social y económica que facilite el logro de nuestros obje- tivos nacionales. La ciberseguridad requiere una visión holística y una aten- ción multisectorial. Por ello, en el proceso de construcción de esta estrategia, el Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL) contó con el apoyo técnico especializado del Programa de Cibersegu- ridad de la Organización de los Estados Americanos (OEA) y Cyber4Dev, proyecto especial de la Unión Europea, brin- dando apoyo técnico internacional para involucrar a re- presentantes de los sectores interesados en contribuir al desarrollo de esta materia en el país. Con la asesoría de: 9 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Mediante Acuerdo Ministerial No. 006-2021, emitido en la ción activa de Ecuador en el control efectivo del territorio Edición Especial del Registro Oficial 479, del 23 de junio nacional (tierra, mar, aire y ciberespacio), promoviendo el de 2021, se publicó la Política Nacional de Ciberseguridad, desarrollo de políticas y estrategias relativas a la ciberse- cuyo objetivo es construir y fortalecer las capacidades na- guridad y Ciberdefensa para crear las mejores condiciones cionales que permitan garantizar el ejercicio de los dere- para enfrentar amenazas y riesgos que afecten la paz y la chos y libertades de la población y la protección de los bie- seguridad. El ejercicio de la defensa en el ciberespacio se nes jurídicos del Estado en el ciberespacio, encaminando vincula con la actitud estratégica defensiva y en el concepto acciones para garantizar un ciberespacio seguro. estratégico militar, orientado a contrarrestar las amenazas que pueden afectar la soberanía e integridad territorial en El Plan Específico de Seguridad Pública y Ciudadana 2019- el país. El Comando de Ciberdefensa tiene la misión de eje- 2030 fija objetivos para detener los delitos transnacionales, cutar operaciones de defensa, exploración y respuesta en el entre ellos el delito cibernético, y propone dotar de equi- ciberespacio, para proteger y defender las ICD nacionales y pamiento a una Unidad de Ciberinteligencia en la Policía servicios esenciales del Estado; así como la infraestructura Nacional. critica digital del sector defensa. Para el efecto, se emplea al Comando de Ciberdefensa y Unidades de Ciberdefensa de El Plan Específico de Relaciones Exteriores y Movilidad Hu- las Fuerzas Terrestre, Naval y Aérea, con el apoyo de otras mana 2019-2030 destaca el impacto de diversas amenazas instituciones y entidades del Estado con responsabilidades en la economía, la seguridad integral y la información, pide en el ámbito de la ciberseguridad. una cooperación efectiva entre los Estados y resalta la via- bilidad del país en el proceso de adhesión al Convenio de Finalmente, el Plan Estratégico de Defensa Institucional Budapest sobre la Ciberdelincuencia. 2017-2021 encomienda a las Fuerzas Armadas de Ecuador evaluar constantemente los escenarios de amenaza y ries- El Plan Específico de Defensa 2019-2030 prevé la participa- go y actualizar las capacidades de defensa. 10 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR VISIÓN, PRINCIPIOS Y OBJETIVOS ESTRATÉGICOS Con la asesoría de: 11 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Visión de ciberseguridad y propósito general de la Estrategia Nacional de Ciberseguridad del Ecuador L a declaración sobre la visión de la ciberseguridad ridad sean holísticas, coherentes y estén en concordancia para nuestro país se ha formulado conjuntamente con los valores fundamentales compartidos. con nuestras múltiples partes interesadas de ciber- seguridad durante el proceso de elaboración y consulta de Los siguientes principios rectores guían el desarrollo y la la estrategia. La declaración sobre la visión expresa nues- aplicación de esta Estrategia Nacional de Ciberseguridad: tro propósito común de promover capacidades naciona- les de resiliencia cibernética, y dirige nuestras aspiracio- 1. Liderazgo y responsabilidad compartida en- nes en este campo con una perspectiva para el período de tre todos los interesados, garantizando la máxi- vigencia de la estrategia (2022-2025). ma colaboración y cooperación en la gestión de riesgos de ciberseguridad y en la eficiente Visión 2025: Ecuador es una sociedad inclusiva y com- asignación de recursos. petitiva en el futuro digital con capacidades nacionales para gestionar los riesgos de ciberseguridad. 2. Salvaguardar los derechos digitales de las personas, incluida la libertad de expresión, la Esta visión sustenta el propósito general de la Estrategia libre circulación de la información, la protec- Nacional de Ciberseguridad para asegurar que todos los ción de datos personales y privacidad, la con- actores, incluyendo el Gobierno Nacional, las organiza- fidencialidad, integridad y disponibilidad de la ciones públicas y privadas, la academia y la sociedad información y las comunicaciones, entre otros. civil en Ecuador, hagan un uso responsable y seguro del entorno digital, a través del fortalecimiento de la cultura y 3. Gestión de riesgos de ciberseguridad y resi- sus capacidades para identificar y gestionar los riesgos de liencia cibernética, que permiten a las perso- ciberseguridad de las actividades derivadas del uso de la nas, empresas e instituciones desarrollar sus información digital, maximizando los beneficios en la se- actividades de forma libre, confiable y segura guridad de los servicios para los ciudadanos y generando en el entorno digital en evolución, así como el mayor prosperidad económica, política y social. uso continuo de los servicios institucionales crí- ticos provistos por las entidades gubernamen- Principios rectores de la tales mediante la adopción y el mantenimiento de la innovación tecnológica y herramientas, Estrategia Nacional de políticas y procesos de última generación. Ciberseguridad 4. Visión inclusiva y colaborativa que involu- Los principios rectores de la estrategia tienen por objetivo cre activamente a la sociedad civil, academia, dirigir y orientar las actividades de todos los actores nacio- entidades públicas y privadas, en el desarro- nales que trabajan en pro de la visión y el objetivo general llo de estrategias, políticas y soluciones para de la Estrategia Nacional de Ciberseguridad. Su objetivo establecer y mejorar las condiciones en el es proteger la soberanía del estado, la protección de la in- ciberespacio, y participar activamente en la formación de las instituciones y los ciudadanos, y garanti- cooperación nacional e internacional y otras zar que las acciones e iniciativas en materia de cibersegu- alianzas estratégicas. 12 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR PILARES DE LA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD Con la asesoría de: 13 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Objetivos estratégicos L a estrategia se articula en torno a seis pilares, de pacidades cibernéticas de la nación en todos los cuales se derivan y definen los Objetivos Es- los niveles tratégicos de la Estrategia Nacional de Cibersegu- ridad del Ecuador: 6. Cooperación internacional: maximizar los be- neficios de la cooperación internacional 1. Gobernanza y coordinación nacional: estable- cer un enfoque coordinado de la ciberseguri- En relación con cada pilar, se identifica un resumen de la dad nacional. importancia de la ciberseguridad, la situación actual y los problemas y desafíos prioritarios que hay que abordar, 2. Resiliencia cibernética: mejorar la resiliencia ci- con los objetivos estratégicos y las líneas de acción que bernética a nivel nacional y organizacional para acompañan a las medidas y tareas que hay que cumplir. prepararse, responder y recuperarse de los inci- dentes cibernéticos. Por último, se elaborará un Plan de Acción para identifi- car las acciones concretas que se van a llevar a cabo para 3. Prevención y lucha contra la cibercrimina- alcanzar los objetivos estratégicos marcados, indicando lidad: Fortalecimiento de las capacidades las entidades responsables de cada acción, los periodos para prevenir, investigar y perseguir los de- y fechas de cada objetivo, los indicadores clave de rendi- litos cibernéticos. miento, y los recursos necesarios que se van a comprome- ter para llevarlos a cabo. 4. Ciberdefensa nacional: reforzar las capacida- des de ciberdefensa para proteger las Infraes- Los objetivos y líneas de acción propuestos consideran tructuras de Información Crítica (IIC) nacionales las evaluaciones de ciberseguridad realizadas en colabo- y los servicios esenciales del Estado y desarro- ración de diversos actores de ciberseguridad de Ecuador, llar capacidades en ciber inteligencia que per- incluyendo el Gobierno nacional, el sector privado, la aca- mitan obtener información útil y oportuna de demia y la sociedad civil, con el apoyo y experiencia de las amenazas presentes en ciberespacio para la expertos internacionales en ciberseguridad. Se han per- toma de decisiones feccionado con el propósito de definir un conjunto nece- sario y alcanzable de actividades prioritarias para mejorar 5. Habilidades y capacidades de ciberseguri- fundamentalmente la resiliencia cibernética y la postura dad: mejorar y ampliar las habilidades y ca- de ciberseguridad de Ecuador. 14 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR PILAR 1: GOBERNANZA Y COORDINACIÓN NACIONAL Objetivo 1.1: Establecer un marco integral de gobernanza de la ciberseguridad Objetivo 1.2: Fomentar una comunidad sólida y articulada con expertos en ciberseguridad de las múltiples partes inte- resadas Objetivo 1.3: Desarrollar un marco legal y regulatorio integral que permita la gobernanza nacional de la ciberseguridad y la ciberdefensa PILAR 2: RESILIENCIA CIBERNÉTICA Objetivo 2.1: Establecer un proceso integral para la gestión de riesgos de ciberseguridad y preparación para PILAR 3: afrontar crisis cibernéticas con el fin PREVENCIÓN Y COMBATE A LA de fortalecer dichas capacidades a ni- CIBERDELINCUENCIA PILAR 4: vel nacional CIBERDEFENSA Objetivo 3.1: Actualizar el marco legal Objetivo 2.2: Adoptar un marco inte- y regulatorio de Ecuador en materia Objetivo 4.1: Incrementar y fortalecer gral para la identificación, orientación de ciberdelincuencia para garantizarlas capacidades de Ciberdefensa del y supervisión de los operadores de in- la seguridad ciudadana y la protec- Estado ecuatoriano para alcanzar la ac- fraestructuras de información crítica ción de los derechos y libertades en el titud estratégica defensiva definida en nacionales ciberespacio la Política de la Defensa Nacional, para la protección de la infraestructura críti- Objetivo 2.3: Continuar desarrollan- Objetivo 3.2: Fortalecer la respuesta ca digital (ICD) y servicios esenciales en do capacidades de respuesta y gestión oportuna y las capacidades operacio- el ciberespacio. de incidentes cibernéticos y del CERT nales de investigación y judicialización nacional de la cibercriminalidad. Objetivo 2.4: Maximizar el uso de tec- nologías avanzadas y la innovación en el diseño de políticas y procesos ágiles para el desarrollo de capacidades de Ciberinteligencia PILAR 5: HABILIDADES Y CAPACIDADES DE CIBERSEGURIDAD Objetivo 5.1: Mejorar y ampliar la concientización sobre la ciberseguridad a todos los niveles de la sociedad Objetivo 5.2: Reforzar las habilidades en materia de ciberseguridad necesarias con las múltiples partes interesadas Objetivo 5.3: Asegurar que el sistema educativo imparta conocimientos y fortalezca habilidades en materia de ciberse- guridad PILAR 6: COOPERACIÓN INTERNACIONAL Objetivo 6.1: Identificar las prioridades internacionales de Ecuador y desarrollar la capacidad de participar en la ciber- diplomacia regional e internacional Objetivo 6.2: Fortalecer la participación de Ecuador en la cooperación bilateral, regional e internacional en respuesta a las amenazas en el ciberespacio FIGURA: Pilares y objetivos de la Estrategia Nacional de Ciberseguridad del Ecuador Con la asesoría de: 15 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR PILAR 1 GOBERNANZA Y COORDINACIÓN NACIONAL 16 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Relevancia y estado actual L a sólida colaboración y gobernanza de la ciberseguri- responsabilidades claras y un plan de cooperación. Esto dad estratégica y operativa de Ecuador son esencia- plantea un desafío para la participación activa y efectiva les para construir un ecosistema donde los ciberata- de las múltiples partes interesadas y las alianzas entre ques no puedan paralizar la economía nacional, causen el sector público y el privado a nivel estratégico y opera- el menor impacto posible a las entidades y la sociedad cional. Es necesario revisar el marco legal y regulatorio de Ecuador y dejen todos los esfuerzos de digitalización general relacionado con el entorno digital y las medidas ineficientes y expuestos a un mayor riesgo de ciberseguri- de ciberseguridad en Ecuador, ya que este es un aspecto dad. Así, Ecuador aspira a integrar la ciberseguridad como crítico para garantizar la eficacia de la gobernanza general un elemento prioritario e integral del desarrollo digital del en todos los sectores relevantes. país que se implementa mediante un enfoque sólido y coordinado de la gobernanza nacional. OBJETIVOS ESTRATÉGICOS Si bien esta estrategia constituye la primera Estrategia Na- cional de Ciberseguridad del Ecuador, en los últimos años Para hacer frente a los retos planteados, se perseguirán en se han producido avances significativos en la gobernanza este pilar los tres siguientes objetivos estratégicos junto operacional y estratégica de la ciberseguridad. Sin embar- con las acciones respectivas. go, la ciberseguridad aún no tiene la prioridad suficiente y no se han adoptado medidas proactivas para introducir mejoras estratégicas y obtener mejores resultados. Objetivo 1.1: En la esfera de la gobernanza y la coordinación de la ciber- Establecer un marco integral seguridad, hemos identificado que existe la oportunidad de redefinir una visión estratégica nacional con objetivos de gobernanza de la estratégicos claros, junto con un plan de acción para ga- ciberseguridad rantizar que se realicen esfuerzos y progresos centrados en el desarrollo de la ciberseguridad nacional. Actualmente La Estrategia Nacional de Ciberseguridad y su plan de im- no existe un marco general de gobernanza de la ciber- plementación irán acompañados de un sólido marco de seguridad a nivel nacional, así como roles, funciones y gobernanza para entidades del sector público, privado y Con la asesoría de: 17 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR otros sectores relevantes del país, que incluye un examen periódico de implementación del plan, ajustes ágiles du- Objetivo 1.2: rante el período de la estrategia y un ciclo de vida com- pleto previsto con la experiencia adquirida en el nuevo Fomentar una comunidad sólida período de la estrategia. La planificación estratégica y el y articulada con expertos en seguimiento se apoyarán en la supervisión cuantitativa del panorama de riesgos de ciberseguridad y los progre- ciberseguridad de las múltiples sos mediante mediciones e indicadores clave, que luego partes interesadas se incorporarán a los procesos nacionales de adopción de decisiones estratégicas y permitirán una asignación optimizada de los recursos para garantizar los progresos La gobernanza de la ciberseguridad se establecerá me- con una perspectiva clara ponderada por el riesgo. Los ob- diante una coordinación inclusiva de las actividades del jetivos estratégicos se cubrirán mediante la planificación Comité Nacional de Ciberseguridad con todas las múlti- presupuestaria tanto en términos de gastos de funciona- ples partes interesadas pertinentes, incluidas las entida- miento como de inversiones específicas, incorporando el des gubernamentales, el sector privado, las Organiza- presupuesto nacional y los mecanismos de apoyo. ciones No Gubernamentales -ONG-, la sociedad civil y el mundo académico. Los roles, funciones y responsabili- Líneas de acción dades se definirán claramente y se combinarán con ins- trumentos y capacidades operacionales. Esa comunidad • Establecer un marco institucional con los roles, activa, comprometida y bien organizada garantizará el funciones y responsabilidades prescritas de to- intercambio de conocimientos y la cooperación para fo- dos los agentes gubernamentales pertinentes mentar la capacidad y propiciar el desarrollo estratégico. en materia de seguridad integral o seguridad Por otra parte, junto con los ejercicios prácticos conjuntos del Estado en la cual se encuentra inmersa la y las redes de intercambio, se crearían capacidades plenas ciberseguridad que abarque todos los objetivos y mejores expertos que podrían participar rápidamente en estratégicos de la estrategia nacional. la cooperación operacional durante una potencial grave • Establecer al Comité Nacional de Ciberseguri- crisis cibernética. dad como el órgano estratégico de coordina- ción y toma de decisiones junto con términos de referencia claros que describan su compo- sición, tareas principales y procedimientos de toma de decisiones, que incorpore los manda- tos individuales de los miembros del Comité. • Fortalecer el rol de coordinador nacional de políticas de ciberseguridad en el Comité Na- cional de Ciberseguridad. • Establecer una visión holística para la asigna- ción de recursos para el cumplimiento de los objetivos estratégicos de la estrategia nacional de acuerdo con el plan de implementación, que será supervisado por el Comité Nacional de Ciberseguridad. El presupuesto incluiría los gastos ordinarios, la incorporación en el presupuesto nacional y también la asignación específica de recursos para proyectos o inicia- tivas, financiados por programas especiales. Las fuentes de financiación podrían ser inter- nas o de donantes internacionales. • Establecer un mecanismo de seguimiento y control de indicadores clave de rendimiento y de gestión de riesgos de ciberseguridad a fin de identificar oportunidades de mejora de la ciberseguridad a nivel nacional. 18 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Líneas de acción Se establecerá una estructura legal y regulatoria inte- • Establecer un mecanismo eficaz de asociación gral, transparente y actualizada de normas y reglamen- entre el sector público y el privado en el que par- tos de ciberseguridad sobre la base de un análisis le- ticipen todas las múltiples partes interesadas gislativo integral. El establecimiento de disposiciones pertinentes de las instituciones gubernamen- jurídicas no debe considerarse un objetivo en sí mismo, tales, el sector privado, el mundo académico y sino más bien una comprensión óptima de las necesi- las ONG, a fin de proporcionar una plataforma dades que se abordan en todos los objetivos estraté- para la participación, en relación con la siguien- gicos de la estrategia nacional, al tiempo que se evita te aportación de valor práctico: la tendencia a una reglamentación excesiva para ga- rantizar el principio de proporcionalidad considerando • a. consulta y recopilación de información; criterios metodológicos mediante los cuales se esta- blezcan claramente los respectivos deberes y derechos. • b. intercambio de información; Un entorno jurídico que complemente el ecosistema de la ciberseguridad apoyará las opciones estratégicas y • c. coordinación de actividades; constituirá un instrumento para la aplicación de la Es- trategia Nacional de Ciberseguridad. • d. cooperación operativa. Las disposiciones jurídicas específicas que deben esta- Objetivo 1.3: blecerse se detallan en relación con cada objetivo es- tratégico. Las áreas prioritarias que necesitan claridad adicional en el marco legal y regulatorio han sido iden- Desarrollar un marco legal y tificadas como: regulatorio integral que permita la gobernanza nacional de la • Ciberseguridad Nacional ciberseguridad y la Ciberdefensa • Infraestructuras críticas digitales (ICD) (detalla- do en el Objetivo 2.2) • Gestión de incidentes cibernéticos (detallado en el Objetivo 2.3) • Ciberdelincuencia (detallado en el Objetivo 3.1) Líneas de acción • Efectuar un análisis exhaustivo del marco legal y regulatorio vigente en todo el ámbito de la ciberseguridad para evaluar la exhaustividad y la claridad, determinar las “lagunas legales” y aclarar cualquier necesidad adicional de adop- ción y armonización de la legislación y los re- glamentos. • Utilizar los resultados de este análisis para: • Establecer de manera integral los roles y responsabilidades de los ministerios y otras agencias en ciberseguridad nacio- nal dentro del marco legal y regulatorio de la seguridad integral del Estado. • Orientar los cambios legislativos necesa- rios para el cumplimiento de los objetivos estratégicos de la estrategia nacional. Con la asesoría de: 19 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR PILAR 2 RESILIENCIA CIBERNÉTICA 20 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR L a resiliencia cibernética nacional necesita estable- en el ciberespacio. Una imagen clara del perfil de riesgo cer las líneas de acción necesarias para desarrollar general permite tomar decisiones informadas y ponde- la capacidad de prepararse, responder y recuperar- radas por riesgo. se de crisis cibernéticas que podrían afectar a la presta- ción de los servicios. Esto significa realizar una identifica- En la actualidad, se considera que la capacidad de res- ción y gestión adecuadas de riesgos de ciberseguridad; puesta de las personas y las organizaciones en Ecuador suficiente preparación y capacidad de respuesta frente a tiene una oportunidad de mejora en lo que respecta a la los ciberataques para que su impacto permanezca con- capacidad para resistir a los agentes adversos, teniendo trolado; y, en particular, la protección de las infraestruc- en cuenta, por ejemplo, los ataques DDoS (ataques de turas críticas y los servicios esenciales. Así, la resiliencia denegación distribuida de servicios) que ha sufrido el cibernética está cubierta por tres objetivos estratégicos país. Por lo tanto, Ecuador necesita fortalecer su capaci- que abordan: dad para hacer frente a los nuevos tipos de ciberataques y ciberdelincuencia, a nivel nacional y transnacional, so- 1. Gestión de riesgos de ciberseguridad y prepara- bre la base de un enfoque de gestión de riesgos de ciber- ción ante crisis cibernéticas seguridad. 2. Protección de infraestructuras críticas En el ámbito de la gestión de riesgos de ciberseguri- dad y la preparación para las crisis cibernéticas, hemos 3. Gestión de incidentes cibernéticos identificado áreas de mejora, incluido el hecho de que actualmente se debe reforzar de manera práctica a nivel OBJETIVOS ESTRATÉGICOS nacional las evaluaciones de riesgos de ciberseguridad, supervisión, presentación de informes y auditoría del estado del riesgo. La adopción de un marco nacional Gestión de riesgos de amplio de gestión de riesgos de ciberseguridad brinda la ciberseguridad y preparación oportunidad de establecer un enfoque basado en estos riesgos para la planificación de la capacidad de ciberse- para crisis cibernéticas guridad a nivel nacional a fin de lograr una asignación óptima de los recursos. En la actualidad, existe la opor- Relevancia y estado actual tunidad de aumentar y reforzar la preparación para hacer frente a las crisis cibernéticas, incluidos los problemas La gestión de riesgos es una parte natural de cualquier de cooperación eficiente, intercambio de información actividad de desarrollo, incluida la transformación di- y rutinas de escalada. El establecimiento, la prueba y el gital, que aporta multitud de beneficios en innovación, ejercicio de escenarios de riesgo de ciberseguridad per- competitividad de la industria, desarrollo socioeconómi- tinentes pueden proporcionar una base para planes de co y calidad de los servicios gubernamentales, pero tam- contingencia eficaces y capacidad de ejecución. bién introduce nuevas y complejas amenazas y perfil de riesgo. Un mayor nivel de dependencia digital, junto con un panorama de amenazas externas cada vez más com- Objetivo 2.1: plejo, conduce a una mayor vulnerabilidad a los inciden- tes cibernéticos causados por criminales, hacktivistas y Establecer un proceso integral otros Estados, a menos que los riesgos de ciberseguridad se gestionen adecuadamente. Además de los riesgos de para la gestión de riesgos de ciberseguridad, también el daño físico a los activos de ciberseguridad y preparación información, por ejemplo, a través de desastres natu- para las crisis cibernéticas rales, puede llevar a la interrupción de los sistemas de información y servicios digitales que afectan a toda la con el fin de fortalecer dichas sociedad ecuatoriana. capacidades a nivel nacional Las amenazas y los riesgos de ciberseguridad son de ca- rácter mundial, y cada país se enfrenta a sus propias pe- Se establecerá la capacidad para identificar, analizar, culiaridades, derivadas del nivel de dependencia digital, evaluar y tratar los riesgos de ciberseguridad, así como la posición geopolítica, la estructura de las ICD naciona- para la evaluación continua, el seguimiento y la supervi- les, entre otras. A fin de identificar y gestionar eficazmen- sión de las medidas de gestión y mitigación. Se elaborará te los riesgos de ciberseguridad, es esencial establecer un enfoque basado en estos riesgos para la planificación un seguimiento continuo de las tendencias mundiales y el desarrollo de la ciberseguridad a nivel nacional, de y comprender la perspectiva nacional de las amenazas modo que la aplicación de las medidas e inversiones en Con la asesoría de: 21 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR ciberseguridad se basen en la priorización según el perfil • Establecer mecanismos independientes de de riesgo nacional. control que incluyan la evaluación de gobier- no, riesgo y pruebas periódicas de penetración Se establecerán planes de gestión de crisis cibernéticas en para las organizaciones del sector público y los las instituciones gubernamentales y se motivará la cola- operadores de las IC. boración del sector privado, apoyados en los formatos de asociación público-privada. Una crisis cibernética debe • Identificar los operadores de servicios de tele- entenderse como el resultado de un evento o una cade- comunicaciones para la respuesta y comunica- na de eventos que provocan la interrupción de una ope- ción de emergencia. ración crítica o de ICD nacionales que, a su vez, pone en riesgo la vida o la salud de muchas personas, provoca da- • Crear un programa de coordinación designado ños patrimoniales y ambientales importantes o interferen- para la adopción de normas de ciberseguridad cias severas y extensas en la continuidad de los servicios y mejores prácticas tanto para los organismos u operaciones viales, y cuya resolución requiere la pronta gubernamentales de manera obligatoria, como actuación coordinada. Se establecerán y adelantarán ru- para las contrapartes pertinentes del sector pri- tinas de ejercicio para practicar la gestión de situaciones vado de manera voluntaria. de incidentes cibernéticos y crisis cibernéticas mediante pruebas de recuperación en caso de fallo, a fin de garan- • Promover la creación de normas y la adap- tizar una comprensión clara de las capacidades técnicas, tación o adopción de mejores prácticas que las líneas de comunicaciones y las rutinas de escalada. hagan factible la cooperación entre las partes interesadas responsables de la ciberseguridad. Líneas de acción • Identificar escenarios de riesgo de ciberseguri- • Adoptar un marco para el gobierno de la ciber- dad para los cuales se deben desarrollar planes seguridad basado en la gestión del riesgo. nacionales de contingencia. • Establecer a nivel nacional el informe sobre el • Organizar ejercicios nacionales de ciberseguridad Panorama de Amenazas y Riesgos y monitoreo para probar las capacidades del personal involu- continuo, consolidando diversas fuentes de infor- crado en la ciberseguridad de las organizaciones. mación nacionales e internacionales, incluyendo tipos comunes de ciberataques dirigidos a las ICD • Realizar pruebas que involucren los escenarios de nacionales e instituciones gubernamentales. contingencia establecidos por las organizaciones. 22 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Protección de Infraestructuras Críticas Digitales (ICD) Relevancia y estado actual La protección de infraestructuras críticas y servicios esen- ciales no es en sí misma una tarea nueva. A nivel regional, el Comité Interamericano contra el Terrorismo (CICTE) de la OEA define la infraestructura de información crítica como instalaciones, sistemas y redes, así como servicios, equipo físico y tecnología de la información para los cua- les la falta de un funcionamiento continuo tiene un impac- to negativo significativo en la población, la salud pública, la seguridad nacional, la actividad económica o el funcio- namiento eficiente del Estado. En la actualidad, la mayoría de las infraestructuras críti- tes de apoyo, intercambio de información y supervisión. cas y servicios esenciales, tanto públicos como privados, Además, para garantizar la protección de las ICD nacio- dependen de la tecnología de la información y son vul- nales, el establecimiento y mantenimiento de un catálo- nerables a las violaciones o fallos de la ciberseguridad en go actualizado de todos los operadores de las ICD nacio- los sistemas de información. Las ICD se definen como una nales es la base para permitir otros esfuerzos de mejora parte de las infraestructuras nacionales pudiendo ser sis- que garanticen una resiliencia cibernética suficiente. La temas físicos o virtuales que facilitan funciones y servicios protección de las ICD nacionales no está actualmente cu- esenciales para apoyar a los sistemas más básicos a nivel bierta de forma exhaustiva por el marco jurídico, lo que social, económicos, medioambientales y políticos. plantea un desafío para la aplicación de los principios de seguridad y la supervisión normativa para garantizar el - Servicio esencial: “Es el servicio necesario para el man- cumplimiento. El examen y la finalización del marco legal tenimiento de la funciones sociales básicas, la salud, la y regulatorio de conformidad con las orientaciones del seguridad, el bienestar social y económico de los ciuda- análisis jurídico general y las mejores prácticas interna- danos, o el eficaz funcionamiento de las Instituciones del cionales permitirán establecer mecanismos eficaces de Estado y las Administraciones Públicas.” protección de las ICD nacionales en el marco de las aso- ciaciones entre los sectores público y privado y estable- - Infraestructura Crítica: “Son las infraestructuras cer una comunidad sólida entre los profesionales para estratégicas, que proporcionan servicios esenciales y cubrir asuntos tanto de ciberseguridad como de Ciber- cuyo funcionamiento es indispensable y no permite so- defensa, promoviendo el intercambio de conocimientos, luciones alternativas, por lo que su perturbación o des- mejores prácticas y una red de cooperación consolidada trucción tendría un grave impacto sobre los servicios de expertos. esenciales.” - Infraestructura Estratégica: “Infraestructura Estra- Objetivo 2.2: tégica: Son las instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que Adoptar un marco integral para descansa el funcionamiento de los servicios esenciales.” la identificación, orientación y La protección de la IC debe proveer los mecanismos ne- supervisión de los operadores cesarios para evitar que un fallo o evento inesperado en el uso de las TICs, pueda causar interrupciones, lo que ten- de Infraestructuras Críticas dría graves consecuencias para la sociedad y la economía. Digitales (ICD) En el ámbito de la protección de las ICD nacionales, he- mos identificado ámbitos de oportunidad que debemos Se identificarán los activos de las ICD tanto del sector públi- abordar, como la necesidad de elaborar una lista com- co como del privado, que son esenciales para mantener las pleta de todos los operadores de ICD nacionales y es- funciones vitales de la sociedad en el Ecuador y que se pre- tablecer normas nacionales, ya que la falta de esta lista pararán para enfrentar las amenazas actuales y emergentes plantea un desafío para establecer mecanismos eficien- dentro del entorno digital, minimizando su posible impacto. Con la asesoría de: 23 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Se establecerá y mantendrá un catálogo actualizado de todos los operadores de las ICD nacionales para garanti- • Establecer requisitos de ciberseguridad para los zar la recopilación y administración de datos relativos a operadores de ICD nacionales en el marco legal las ICD nacionales y mecanismos amplios de colaboración y regulatorio, cuando se considere pertinente. y cooperación. A fin de establecer un nivel suficiente de medidas de seguridad aplicadas, se seleccionarán nor- Gestión de incidentes mas de referencia, directrices de apoyo y mecanismos de supervisión. Un marco legal y regulatorio complementa- cibernéticos rio apoyará los mecanismos de identificación, gestión de riesgos de ciberseguridad, supervisión y comunicación de Relevancia y estado actual las ICD nacionales. En los últimos años, Ecuador ha dado pasos considerable- Líneas de acción mente notables para fortalecer sus capacidades de ges- tión de incidentes cibernéticos. El Equipo del Centro de Identificación e intercambio de información Respuesta a Incidentes de Seguridad Nacional (EcuCERT), que opera bajo la Agencia para la Regulación y Control • Documentar una metodología clara para la de las Telecomunicaciones (ARCOTEL) y se rige por la Ley identificación de las ICD nacionales basada en Orgánica de Telecomunicaciones, es reconocido como un consideraciones sociales, económicas y am- punto de contacto nacional e internacional en la coordi- bientales. nación de la respuesta de gestión de incidentes ciberné- ticos. Sin embargo, su circunscripción a nivel nacional se • Establecer y mantener una lista actualizada de limita a los operadores de redes de telecomunicaciones y, las ICD nacionales junto con la definición de por lo tanto, actualmente EcuCERT no tiene mandato ni sectores estratégicos que contempla el concep- competencias suficientes para operar íntegramente a ni- to de protección de servicios e infraestructura vel gubernamental. En el ámbito internacional, EcuCERT esenciales. es un socio activo de la comunidad de CSIRTAmericas de la OEA, FIRST (Forum of Incident Response and Security • Establecer un mecanismo de cooperación y Teams por sus siglas en inglés) y también tiene una rela- coordinación mediante asociaciones públi- ción de colaboración y dinámica con los CERT regionales. co-privadas entre todos los operadores de las ICD nacionales para apoyar el fomento de la confianza. Norma de referencia, directrices y supervisión • Establecer normas nacionales que consideren como referencia a estándares y mejores prác- ticas internacionales que se apliquen a todos los operadores de las ICD nacionales tanto en operadores de ICD del sector privado como en activos de ICD dentro de las instituciones gu- bernamentales. • Emitir directrices e instrucciones para apoyar la aplicación de medidas de seguridad y lograr el cumplimiento de la norma de referencia. • Establecer la configuración de la estrategia de auditoría de seguridad de la información. Marco jurídico y normativo • Definir los roles y responsabilidades a nivel na- cional para la coordinación de la identificación y el seguimiento de las ICD nacionales dentro del marco legal y regulatorio. 24 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Además de EcuCERT, las competencias de gestión de in- servicios gubernamentales. El marco nacional de gestión cidentes cibernéticos se complementan con numerosos de incidentes cibernéticos debe proporcionar disposicio- CERT o CSIRT operativos en los sectores académico, pri- nes de trabajo nacionales claramente definidas para el vado y financiero. En el ámbito de la defensa, la gestión intercambio de información y la respuesta a estos inci- de incidentes cibernéticos se encomienda al CERT militar, dentes, ya que la falta de un marco de apoyo plantea un dependiente del Comando de Ciberdefensa (COCIBER), riesgo para la protección adecuada de los activos de las cuyo objetivo es la protección de las ICD y la soberanía. ICD nacionales en el país. Se deben realizar esfuerzos para Los CERT sectoriales han establecido relaciones de coo- formalizar los mecanismos de coordinación y notificación peración con sus homólogos internacionales con la po- de incidentes cibernéticos a nivel nacional, ya que se trata sibilidad de colaborar en caso de incidentes cibernéticos de un elemento clave de una respuesta bien estructurada transfronterizos. y organizada a estos incidentes. A pesar de los esfuerzos realizados hasta ahora, EcuCERT no tiene un mandato claro para gestionar actualmente Objetivo 2.3: como un CERT nacional. Además, hay sectores económi- cos que no han establecido sus equipos de respuesta y, Continuar desarrollando por lo tanto, no tienen una instancia para reaccionar a los incidentes cibernéticos de manera centralizada y coordi- capacidades de respuesta nada. Además, no existe un enfoque unificado para la no- y gestión de incidentes tificación de estos incidentes y los mecanismos son varia- bles entre los CERT. cibernéticos y del CERT nacional Para fortalecer la estabilidad y seguridad del ecosistema En el ámbito de la gestión de incidentes cibernéticos, digital, seguiremos desarrollando resiliencia cibernética se ha identificado ámbitos de oportunidad. También se tanto a nivel nacional como organizacional para preparar- aprecia que la legislación actual limita las acciones de nos, responder y recuperarnos de los incidentes cibernéti- EcuCERT a estar fuera del ámbito de las telecomunicacio- cos, así como gestionar las crisis cibernéticas de manera nes y esto debe revisarse y actualizarse en consecuencia. oportuna, eficaz y coordinada. Además, tampoco existen controles para establecer una visibilidad de los eventos de ciberseguridad en la red de Líneas de acción • El ente rector en Seguridad de la Información debe adoptar una normativa que establezca un CERT nacional, sus funciones y responsabilida- des y mecanismos de supervisión para incluir la vigilancia de incidentes cibernéticos a nivel na- cional, proporcionando medidas preventivas y reactivas como alertas tempranas, anuncios y difundiendo información sobre amenazas a las partes interesadas pertinentes, proporcionan- do análisis periódicos de riesgos de cibersegu- ridad e incidentes cibernéticos y coordinando la respuesta a nivel nacional. • Habilitar procesos, herramientas y conocimien- tos para gestionar las amenazas e incidentes cibernéticos en la red gubernamental a fin de mejorar las capacidades. Con ese fin, Ecuador trabajará para establecer un Centro de Opera- ciones de Seguridad (gubernamental) nacio- nal (GSoC) con una misión clara basada en un mandato. • Revisar y establecer el marco jurídico necesario con competencias y tareas claras para cada una de las partes interesadas, además de estable- Con la asesoría de: 25 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR cer informes de incidentes cibernéticos obliga- torios para permitir modelos nacionales armo- nizados de gestión de incidentes cibernéticos. • Invertir en maximizar las asociaciones dentro de comunidades CERT más amplias, particu- larmente a entidades públicas y privadas, con ejercicios y programas de capacitación sobre prevención, respuesta y recuperación de inci- dentes cibernéticos. • Establecer un mecanismo para la emisión pe- riódica de alertas correspondientes a eventos de seguridad, vulnerabilidades y el intercambio de información entre los operadores de las ICD nacionales y el gobierno de Ecuador. Objetivo 2.4: Maximizar el uso de tecnologías avanzadas y la innovación en el diseño de políticas y procesos ágiles para el desarrollo de capacidades de Ciberinteligencia Líneas de acción • Establecer las capacidades del Centro de Ope- raciones de Seguridad (GSoC) nacional (guber- namental) a través de esquemas de detección, investigación y herramientas que permitan identificar amenazas y mitigar riesgo en el cibe- respacio, apoyando en la respuesta a incidentes para garantizar la resiliencia de las ICD naciona- les, los servicios estatales esenciales. • Desarrollar un sistema de alerta temprana para • Articular y coordinar acciones conjuntas con los compartir información de amenazas detectadas, responsables de la ciberseguridad y ciberdefen- ayudando a instituciones públicas y privadas en sa para el desarrollo de normativas y fortaleci- la prevención y anticipación de ciberataques. miento interinstitucional que permita proteger el ciberespacio. • Asesorar la toma de decisiones al más alto nivel del Estado sobre la situación de amenazas digi- • Desarrollar un observatorio del ciberespacio tales presentes en el ciberespacio que puedan para recopilar, analizar y clasificar la informa- comprometer la seguridad del Estado. ción sobre amenazas e incidentes cibernéticos que se utiliza para proporcionar a las empresas • Invertir en el desarrollo de capacidades de pla- una visión procesable para identificar, medir y nificación de ejecución de operaciones ciber- clasificar las vulnerabilidades y mitigar los ries- néticas a través de detección y respuesta avan- gos cibernéticos. zadas a nivel táctico, estratégico y operativo. 26 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR PILAR 3 PREVENCIÓN Y COMBATE A LA CIBERDELINCUENCIA Con la asesoría de: 27 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Relevancia y estado actual L a creciente popularidad y uso de soluciones digita- Budapest sobre la Ciberdelincuencia, que permitirá armo- les innovadoras lleva a grupos criminales a intentar nizar leyes nacionales, la mejora de las técnicas de investi- monetizar estos servicios y plataformas para obtener gación y el aumento de la cooperación con otras naciones ganancias ilícitas. La pandemia de COVID-19 ha acelerado firmantes. El proceso de adhesión requiere la aplicación de este proceso debido a que muchas más transacciones y las disposiciones del Convenio en la legislación nacional de actividades se realizan en línea. El número de delitos ci- Ecuador. Ecuador es miembro de AMERIPOL e INTERPOL, bernéticos está aumentando en Ecuador, lo que repre- con acceso a intercambio de información en tiempo real. senta una proporción cada vez mayor del total de delitos Adicionalmente, la Unidad Nacional de Ciberdelitos, que registrados. En los últimos tres años, el número de delitos se encuentra bajo la estructura orgánica de la Dirección cibernéticos denunciados se ha doblado. Esto sigue una General de Investigación de la Policía Nacional de Ecuador, tendencia común de otros países de la región y a nivel tiene más de una década de existencia y ha adquirido una mundial, ya que la ciberdelincuencia es intrínsecamente notable especialización en el campo de la investigación de naturaleza transnacional. El delito cibernético también digital, pero carece de logística y recursos humanos que le está aumentando en sofisticación técnica, complejidad y permitan evolucionar de forma sostenible. De igual manera grado de organización. Ecuador es miembro de AMERIPOL e INTERPOL, con acceso a intercambio de información en tiempo real. De acuerdo con la evaluación de la Policía Nacional de Ecuador, la escasa alfabetización digital y la escasa con- En la esfera de la lucha contra la ciberdelincuencia, hemos ciencia de la población en materia de ciberseguridad in- identificado esferas que es posible abordar. Por ejemplo, ducen a la población a ser víctima de la ciberdelincuencia. el marco sustantivo y procesal puede actualizarse para Además, las víctimas de delitos cibernéticos no siempre prevenir, investigar y enjuiciar eficazmente el delito ciber- son conscientes de que sus activos se han visto compro- nético como amenaza creciente. La aplicación de la ley no metidos; y aunque lo hagan, existe un desconocimiento puede actuar sin una base jurídica clara, por lo que deben generalizado sobre cómo denunciar este tipo de delitos. A definirse claramente las funciones y los mandatos esta- menudo, no se confía en que la aplicación de la ley pueda blecidos de los diversos agentes encargados de combatir ayudar, ya que la investigación y el enjuiciamiento pueden la ciberdelincuencia (la policía, la fiscalía y el sistema ju- demorar debido a las capacidades limitadas de las autori- dicial). Además, dado el creciente volumen y el impacto dades encargadas. Consecuentemente, todos estos facto- de la ciberdelincuencia, la capacidad de los organismos res conducen a que a menudo el delito cibernético no se encargados de hacer cumplir la ley no se ha mantenido denuncie. Así mismo, los datos del Ministerio de Gobierno al mismo nivel, con escasez de personal cualificado en muestran que el fraude informático, el robo de identidad el sistema policial y judicial y falta de un presupuesto es- y la violación de datos personales son los delitos ciber- pecífico. Para hacer un uso más eficiente de los recursos, néticos más comunes que afectan a los ecuatorianos. De también tendremos que trabajar de forma más inteligente los delitos relacionados con el contenido, la pornografía racionalizando los procesos y mejorando las herramientas infantil es la principal preocupación. Las definiciones le- forenses digitales de las fuerzas del orden. gales de delito cibernético del marco legal actual pueden considerarse como desactualizadas, lo cual muestra el OBJETIVOS ESTRATÉGICOS área de oportunidad que existe para su mejora. Para fortalecer la resiliencia cibernética de Ecuador con- No obstante, Ecuador está haciendo esfuerzos para me- tra los actores criminales que abusan del ciberespacio se jorar su capacidad para hacer frente al delito cibernético implementarán acciones en dos áreas: i) actualización de mediante la cooperación internacional, ya que se encuen- la legislación sobre ciberdelincuencia en lo que respecta a tra actualmente en proceso de adhesión al Convenio de la legislación sustantiva y procesal, y ii) fortalecimiento de la capacidad policial y judicial para prevenir, investigar y perseguir la ciberdelincuencia. Las medidas para mejorar la sensibilización sobre la denuncia de incidentes ciberné- ticos y delitos cibernéticos se abordan en el pilar 5 de esta estrategia nacional; las acciones relativas a la cooperación internacional de las fuerzas del orden se tratan en el mar- co del pilar 6. 28 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Líneas de acción Objetivo 3.1: • Fortalecer la unidad o unidades especializadas Actualizar el marco legal y en ciberdelitos de la Policía Nacional de Ecua- regulatorio de Ecuador en dor con las capacidades logísticas, humanas y forenses digitales adecuadas, asegurando pro- materia de ciberdelincuencia cedimientos investigativos regulados a nivel para garantizar la seguridad nacional. ciudadana y la protección de • Fomentar la creación de programas de apoyo los derechos y libertades en el a la persecución penal y prevención de los de- ciberespacio litos cibernéticos, mediante la colaboración y participación ciudadana, promoviendo canales Líneas de acción oficiales de denuncia y el desarrollo de campa- ñas de prevención de la ciberdelincuencia. • Revisar el derecho penal existente y armonizar la normativa legal relacionada con los delitos • Facilitar la creación de Direcciones o Unidades cibernéticos y los delitos conexos (delitos con- de Prevención de Delitos Cibernéticos especia- tra o por medio de los sistemas informáticos o lizadas, con personal profesional especializado datos informáticos), considerando la armoniza- en el campo de la informática y el derecho, así ción con los instrumentos jurídicos internacio- como con procedimientos preventivos estándar nales y regionales existentes. y mecanismos de denuncia de delitos cibernéti- • Revisar y ajustar la normativa legal relacionada cos, eficientes para la sociedad ecuatoriana. con el mandato legal y la autoridad de las fuer- zas del orden, las autoridades ejecutivas y los • Determinar y desarrollar oportunidades de ca- proveedores de servicios digitales a los efectos pacitación y proporcionar formación a los fun- de la prevención del delito cibernético. cionarios encargados de hacer cumplir la ley y a los especialistas forenses sobre el derecho • Revisar y ajustar la normativa legal relacionada con relativo al delito cibernético y su aplicación, in- las facultades y procedimientos adecuados para la cluida la salvaguarda de los derechos humanos aplicación de la ley, el enjuiciamiento y la judicia- y la colaboración con los órganos internaciona- lización para la investigación de delitos cibernéti- les encargados de hacer cumplir la ley. cos, incluida la recopilación y el procesamiento de pruebas electrónicas y de instrumentos. • Motivar la creación y fortalecimiento de unida- des especializadas en delito cibernético a nivel • Establecer y aplicar instrumentos para una coo- nacional, en la Fiscalía General del Estado y peración internacional rápida y eficaz en casos Consejo Nacional de la Judicatura con perso- de delitos cibernéticos. nal profesional especializado en el campo de la informática y el derecho, contribuyendo a la • Unirse a los mecanismos internacionales y re- adecuada administración de justicia. gionales de coordinación y cooperación para combatir el delito cibernético a través del inter- • Identificar y proporcionar oportunidades de cambio de información, investigaciones trans- capacitación a los profesionales de la justicia fronterizas, operaciones, y fortalecimiento de penal (fiscales, jueces, abogados y otros espe- habilidades y capacidades técnicas. cialistas pertinentes) sobre el delito ciberné- tico, herramientas tecnológicas y manejo de Objetivo 3.2: evidencia electrónica. Fortalecer la respuesta oportuna • Impartir formación a los agentes del orden y a los especialistas forenses sobre la legislación en y las capacidades operacionales materia de ciberdelincuencia y su aplicación, in- de investigación y judicialización cluida la protección de los derechos digitales y la de la cibercriminalidad. colaboración con los organismos internaciona- les encargados de hacer cumplir la ley. Con la asesoría de: 29 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR PILAR 4 CIBERDEFENSA 30 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR La Ciberdefensa LA CIBERDEFENSA COMO PARTE DE LA CIBERSEGURIDAD NACIONAL Y SU ARTICULACIÓN CON LAS INSTITUCIONES QUE CONFORMAN EL COMITÉ NACIONAL DE nación, estructuró la Estrategia de Ciberdefensa como un CIBERSEGURIDAD. modelo de gestión para enfrentar las ciberamenazas que afecten a las infraestructuras críticas del Estado y servicios E esenciales, así como la protección de los derechos de los l ciberespacio constituye un nuevo dominio para la ciudadanos en el ciberespacio. defensa de la soberanía, integridad territorial y la seguridad del Estado, junto a los dominios tradicio- El Ministerio de Defensa Nacional, como uno de sus obje- nales: tierra, mar, aire y espacio. En este entorno virtual, tivos tiene el fortalecimiento de las capacidades estraté- las naciones modernas, desarrollan actividades económi- gicas conjuntas de Fuerzas Armadas; por lo que, a través cas, productivas y sociales, promovidas por el acelerado del Comando Conjunto, planifica y conduce operaciones desarrollo tecnológico generando vulnerabilidades que militares, entre otras, ciberoperaciones, para enfrentar las pueden ser explotadas por amenazas, que pueden causar ciberamenazas de cualquier naturaleza en al marco de sus efectos estratégicos sobre la estructura, estabilidad, insti- competencias; razón por lo cual, emitió la Estrategia de Ci- tucionalidad, gobernabilidad, así como, alterando la paz berdefensa 2021. Esta estrategia se fundamenta en los ob- colectiva y la soberanía del Estado. (Estrategia de Ciber- jetivos establecidos en la Política de la Defensa, orientada defensa 2021). a la protección efectiva de la infraestructura crítica digital y servicios esenciales de las áreas estratégicas, además de El plan específico de la Defensa Nacional (PED) 2019-2030, fortalecer las capacidades de Ciberdefensa, cooperación reconoce al ciberespacio como un componente más del internacional y contribución al desarrollo nacional. territorio ecuatoriano, considerado como un nuevo domi- nio en el cual se desarrollan actividades de Ciberdefensa El control de los espacios de influencia en el combate, para la protección de la infraestructura crítica digital y ser- tanto en tierra como mar y aire, es una necesidad funda- vicios esenciales del Estado, aportando con ello a la segu- mental que tiene un Estado a través de sus Fuerzas Arma- ridad digital nacional. das, para cumplir la misión y ejercer el control sobre un oponente, con el fin de lograr los efectos deseados; en el La guía política estratégica de Ciberdefensa 2021, mencio- ciberespacio como nuevo ámbito operacional, el control na que la defensa comprende las medidas que permiten de su entorno de influencia también es necesario. resguardarnos de riesgos, amenazas, peligros y daños; por lo que, estar o sentirse seguro implica no solo la protec- Las fuerzas armadas de un país para cumplir la misión de ción y conservación, sino también unas capacidades de proteger los intereses nacionales, deben tener la capacidad respuesta. En este sentido, la Ciberdefensa se conceptua- de enfrentar a la amenaza allá donde se produzca, en tierra, liza como la capacidad militar, intelectual y tecnológica mar, aire, espacio o ciberespacio. Para ello deben disponer que poseen las Fuerzas Armadas, para ejecutar operacio- de capacidades militares idóneas, que permitan combatir nes en o través del ciberespacio, que permitan defender en el ciberespacio, con fuerzas formadas, preparadas y or- y responder a los ciberataques a la infraestructura crítica ganizadas bajo un mando único responsable del planea- e información estratégica del Estado, así como apoyar el miento y la conducción de las operaciones militares. cumplimiento de operaciones en los otros dominios. El Ministerio de Defensa Nacional, constituye la herra- El Ministerio de Defensa Nacional, consciente de la ne- mienta principal a través del cual el gobierno nacional im- cesidad de establecer objetivos y líneas de acción para plementa la Ciberdefensa como parte de la política de de- avanzar en el desarrollo de capacidades de una Ciberde- fensa que, en coordinación con el resto de instrumentos fensa capaz de cumplir con los objetivos estratégicos de la del poder nacional, contribuye a la seguridad integral del Con la asesoría de: 31 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Estado ecuatoriano; en ese sentido, el Ministerio de De- El Gobierno Nacional consciente de la importancia de fensa ejercerá la rectoría de la Ciberdefensa, a través del defender y proteger el ciberespacio, mediante Acuerdo Comando Conjunto de las Fuerzas Armadas, ente respon- Ministerial No. 281, del 12 de septiembre de 2014, crea el sable de la defensa de la soberanía e integridad territorial. Comando de Ciberdefensa, como un comando operacio- nal del Comando Conjunto de las Fuerzas Armadas, con RELEVANCIA Y ESTADO ACTUAL la misión de ejecutar operaciones de defensa, exploración y respuesta en el ciberespacio, para proteger la infraes- El ciberespacio es un ámbito conceptual en donde se tructura crítica digital y servicios esenciales del Estado e desarrollan actividades de Ciberdefensa; en ese sentido, infraestructura crítica digital del sector defensa. la Organización de Estados Americanos (OEA), de la cual Ecuador es miembro, a través de la Junta Interamericana OBJETIVOS ESTRATÉGICOS de Defensa (JID), emitió la Guía de Ciberdefensa, con el ob- jetivo de orientar el diseño, planeamiento, implantación y desarrollo de la Ciberdefensa donde, entre otros aspectos, Objetivo 4.1: manifiesta lo siguiente: Incrementar y fortalecer las “Reconocer al ciberespacio como otro ámbito de opera- ciones, enmarcado en lo establecido en la cumbre de la capacidades de Ciberdefensa OTAN de Varsovia de 2016, en el punto 70 del comunicado del Estado ecuatoriano para declara: “ahora, en Varsovia, reafirmamos el mandato de- fensivo de la OTAN y reconocemos el ciberespacio como alcanzar la actitud estratégica un dominio de operaciones en el que la OTAN debe defen- defensiva definida en la Política derse tan efectivamente como lo hace en el aire, en tierra y en el mar”. (Guía de Ciberdefensa de la Junta Interameri- de la Defensa Nacional, para la cana de Defensa). protección de la Infraestructura Crítica Digital (ICD) y servicios El ciberespacio ya no es un dominio emergente para nuestro país, este se ha constituido en el quinto dominio donde se esenciales en el ciberespacio. ejecutan operaciones militares, tal como establece el Plan Específico de la Defensa. Considerar al ciberespacio como Líneas de acción un ámbito operacional, mejorará la capacidad del Estado ecuatoriano para proteger a la sociedad de ciberamenazas • Fortalecer la Ciberdefensa a fin de cumplir la y ciberataques a través de la ejecución de ciberoperaciones; misión constitucional de defensa en el cibe- por lo que, es indispensable el desarrollo de políticas con- respacio, y contribuir a la protección de la in- juntamente con otros organismos públicos y privados. fraestructura crítica digital y servicios esencia- les del Estado e infraestructura crítica digital La Ciberdefensa es parte de la ciberseguridad del Estado, del sector defensa. su fin es aportar a la seguridad y defensa del Ecuador, ga- rantizando los derechos de los ciudadanos en este domi- • Incrementar las capacidades de defensa activa nio, como una capacidad de Fuerzas Armadas, organizada y respuesta para contrarrestar a las amenazas y preparada para mantener la vigilancia, control y dominio que puedan afectar a la soberanía e integridad del ciberespacio, a través de actividades defensivas, de territorial en el ciberespacio, y lograr un impac- explotación (Ciberinteligencia) y ofensivas, que permitan to estratégico prevenir amenazas y contrarrestar incidentes que vulne- ren la infraestructura critica digital y los servicios esencia- • Articular y coordinar acciones conjuntas para les del Estado. (Estrategia de Ciberdefensa 2021). el desarrollo de normativas y fortalecimiento La cooperación y coordinación nacional e internacional en interinstitucional que permita proteger el cibe- el ámbito de Ciberdefensa permitirá afrontar los desafíos respacio. que se presenten en el entorno ciberespacial y neutralizar las ciberamenazas que atenten contra la seguridad de la • Intensificar la cooperación internacional con el región, mediante la colaboración mutua, el intercambio de fin de generar un espacio de intercambio y apo- información y buenas prácticas; así como, la investigación, yo en el ámbito de la Ciberdefensa. desarrollo e innovación (I+D+i) en materia de Ciberdefensa por medio de ofertas académicas y ciberejercicios. • Fortalecer la cultura de Ciberdefensa para redu- cir los incidentes de los sistemas institucionales. 32 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR PILAR 5 HABILIDADES Y CAPACIDADES DE CIBERSEGURIDAD Con la asesoría de: 33 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Relevancia y estado actual U n creciente número de usuarios de internet trae seguridad y debaten sobre la necesidad de seguir desarro- consigo un aumento de la vulnerabilidad de los llando programas de estudios e investigaciones específi- ciudadanos, que utilizan los canales digitales tanto cos sobre ciberseguridad. de manera profesional como en la vida diaria. Sin una con- ciencia proporcional, los criminales pueden aprovecharse En el ámbito de las competencias y capacidades en mate- de los usuarios de internet como blancos fáciles y enlaces ria de ciberseguridad, hemos identificado áreas de opor- más débiles en los sistemas de información. tunidad, por ejemplo, hay un déficit de especialistas en ciberseguridad y una necesidad identificada de mejorar Garantizar la ciberseguridad en Ecuador, enfrenta el de- en general los conocimientos y habilidades en cibersegu- safío global de la deficiencia de profesionales calificados ridad entre una amplia variedad de profesionales, inclui- en ciberseguridad que surge de una intensidad sin prece- dos desarrolladores de tecnologías de la información (TI), dentes de desarrollo digital y un panorama de amenazas expertos en gestión y asuntos jurídicos y legales. Además, y riesgos de ciberseguridad cada vez más desafiante. Si se ha determinado la necesidad de mejorar la concientiza- bien es posible contratar especialistas extranjeros y sub- ción sobre la ciberseguridad a todos los niveles. Se espera contratar operaciones, ese enfoque entraña riesgos rela- que los programas sistemáticos de sensibilización dirigi- cionados con la seguridad nacional y la inestabilidad de la dos a diversos grupos específicos tengan un efecto signifi- cadena de suministro. cativo en el aumento de la resiliencia cibernética general de la sociedad. Los planes de estudio escolar y universi- Ecuador no cuenta actualmente con un plan nacional tario no proporcionan actualmente apoyo suficiente para coordinado para fomentar las inversiones y los recursos desarrollar profesionales calificados, ni proporcionan una para la educación y la sensibilización en materia de ci- sensibilización de manera sistemática. La creación siste- berseguridad, así como los planes de estudio escolares mática de planes de estudios en todos los niveles de la no abordan el tema de manera sistemática. La Educación educación puede contribuir a la creación de una sociedad Superior ofrece algunos cursos relacionados con la ciber- digital más competente y consciente. La entrega de valor 34 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR de las actividades de concientización y capacitación se puede optimizar al garantizar el uso de plataformas y ser- Objetivo 5.2: vicios digitales de última generación, así como las mejores prácticas, lo que garantiza el alcance, la disponibilidad, la participación y la inclusión necesarios. Reforzar las habilidades en materia de ciberseguridad OBJETIVOS ESTRATÉGICOS necesarias con las múltiples partes interesadas Objetivo 5.1: Se impartirá formación y educación en materia de ciber- Mejorar y ampliar la seguridad de alta calidad para garantizar que las personas tengan las aptitudes adecuadas para satisfacer la creciente concientización sobre la demanda de conocimientos en materia de ciberseguridad ciberseguridad a todos los en un número cada vez mayor de profesiones, y que haya niveles de la sociedad profesionales especializados en ciberseguridad en los di- versos sectores que desempeñen funciones específicas en la tarea de garantizar la ciberseguridad nacional tanto en las instituciones gubernamentales, los operadores de las Se fomentarán los conocimientos sobre ciberseguridad ICD nacionales, la industria y la investigación académica. con el objetivo de fortalecer la cultura de ciberseguridad El éxito de la ciberseguridad nacional se basa en una fuer- que abarca desde los ciudadanos hasta las organizacio- za de trabajo calificada y cibercultura y, por tanto, en un nes públicas y privadas y genera una conciencia compar- sistema educativo capaz de desarrollar esas capacidades. tida de los riesgos de ciberseguridad y las amenazas en el El enfoque de asociación público-privada se aplicará para ciberespacio junto con las aptitudes necesarias para un apoyar la planificación e implementación del desarrollo comportamiento seguro y consciente en el ciberespacio. de habilidades y capacidades en ciberseguridad, que in- La conciencia pública del comportamiento responsable corpora agencias gubernamentales, partes interesadas en el ciberespacio se incrementará a través de diversas ac- del sector privado, actores de la sociedad civil, academia tividades para diferentes grupos destinatarios, incluyendo y apoyo de organizaciones internacionales. aquellos, que no son sujetos del sistema educativo para asegurar que la gente en Ecuador sepa cómo comportarse Líneas de acción de manera segura en el ciberespacio. • Crear un programa de actualización continua Líneas de acción sobre identificación, prevención, detección, respuesta y recuperación de incidentes ciber- • Crear un programa nacional coordinado de néticos para el personal de TI y Oficiales de sensibilización y cultura en materia de ciberse- Seguridad de la Información de las institucio- guridad, que incluya un órgano de coordinación nes gubernamentales a fin de prepararlos para para la aplicación y gestión. Asignar recursos responder a estos incidentes a medida que se para la implementación a largo plazo del pro- producen. grama. El programa abordará específicamente: • Fortalecer la cultura de uso del ciberespacio a. preparación y ejecución de un programa mejorando las habilidades y la conciencia de de sensibilización para grupos específicos de ciberseguridad de las múltiples partes interesa- ciudadanos, das a través de capacitaciones técnicas especia- lizadas de acuerdo con el desarrollo tecnológico b. desarrollo de capacidades y sensibiliza- acelerado y el panorama de riesgos y amenazas. ción de los diferentes grupos destinatarios, incluido un enfoque que tenga en cuenta la • Preparar un programa de desarrollo de compe- equidad de género. tencias para profesionales de organizaciones públicas. • Fomentar la creación de programas de apoyo a la persecución penal y prevención del delito • Diseñar un programa de desarrollo de habilida- cibernético, a través de la colaboración y par- des para profesionales de organizaciones priva- ticipación ciudadana, fomentando los canales das, haciendo énfasis en las pequeñas y media- oficiales de denuncia y el desarrollo de campa- nas empresas (PYMES). ñas de prevención del delito cibernético. Con la asesoría de: 35 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR de ciberseguridad en Ecuador, nuestras acciones ponen Objetivo 5.3: especial énfasis en ampliar y profundizar la educación en ciberseguridad para estimular la oferta de profesionales y Asegurar que el sistema emprendedores. educativo imparta Líneas de acción conocimientos y fortalezca habilidades en materia de • Establecer una red de puntos de contacto na- cionales para la educación en ciberseguridad ciberseguridad en diferentes sectores, instituciones educativas y agencias gubernamentales. Con el fin de garantizar tanto la necesaria concientización • Elaborar un plan nacional de educación en sobre ciberseguridad como la higiene de la sociedad en ciberseguridad definiendo las funciones y res- general y crear una oferta de profesionales de la ciberse- ponsabilidades para la aplicación del plan en guridad, se establecerá un enfoque nacional coherente todos los niveles del sistema educativo. sobre la educación en ciberseguridad. • Incluir conocimientos y habilidades en ciberse- Se desarrollarán recursos y herramientas para currículos guridad en los planes de estudio de todos los de ciberseguridad innovadores y dinámicos que presen- niveles de educación para garantizar la oferta ten los conceptos básicos y la higiene cibernética, prio- general de especialistas en ciberseguridad a rizando a la comunidad estudiantil, pero que también largo plazo y establecer los requisitos previos ofrezcan conceptos más complejos para estudiantes con para crear una industria nacional competitiva un interés más profundo o en niveles educativos más al- de productos y servicios de ciberseguridad, tos. Dicho ciclo educativo comprende tanto la incorpora- desarrollar la capacidad para proporcionar ción de contenidos y conocimientos sobre ciberseguridad productos y servicios de ciberseguridad a nivel en el sistema educativo. Un enfoque integral garantizará nacional para limitar los riesgos relacionados que los estudiantes estén equipados para manejar ame- con dependencias de la cadena de suministro, nazas en entornos digitales y también ayudará a preparar y mejorar la investigación y la innovación en el a la próxima generación de fuerza laboral en el sector de área de Ciberdefensa. ciberseguridad, pero también tendrá efectos positivos en todos los sectores laborales. Dado que el éxito de la es- • Crear contenidos educativos complementarios trategia dependerá en gran medida de contar con sufi- dirigidos a docentes y estudiantes de educa- cientes proveedores nacionales de productos y servicios ción primaria, secundaria y superior. 36 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR PILAR 6 COOPERACIÓN INTERNACIONAL Con la asesoría de: 37 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Relevancia y estado actual E l ciberespacio es fundamentalmente transnacional y ticos y en los formatos de lucha contra las amenazas en requiere un diálogo, marcos y cooperación interna- el ciberespacio, ya sea en el marco de respuesta a estos cional eficaces para aprovechar las oportunidades incidentes por parte del gobierno, aplicación de la ley o y gestionar los riesgos de ciberseguridad. Dado que la di- defensa nacional. gitalización afecta a todos los ámbitos de las relaciones internacionales pertinentes para un Estado moderno, la OBJETIVOS ESTRATÉGICOS ciberseguridad es, por lo tanto, integralmente pertinente para la política exterior de cualquier país, incluido el nues- PARA LA COOPERACIÓN tro. Ecuador está interesado en que su voz e intereses na- INTERNACIONAL cionales sean escuchados en la agenda digital regional y mundial, y ha priorizado especialmente la seguridad inter- nacional, los derechos humanos y la democracia en línea, así como el uso de las oportunidades que brinda el cibe- Objetivo 6.1: respacio para el desarrollo sostenible, que siguen siendo temas importantes para avanzar en los foros internacio- Identificar las prioridades nales. Un mejor enfoque y desarrollo de capacidades en esta área también tiene como objetivo crear un entorno internacionales de Ecuador y en el que se fortalezcan la industria, la sociedad civil y la desarrollar la capacidad de cooperación académica. participar en la ciberdiplomacia En la esfera de la cooperación cibernética internacional, regional e internacional hemos identificado esferas de oportunidades, ya que los esfuerzos son insuficientes y desarticulados, las priorida- Líneas de acción des reconocidas no van acompañadas de capacidad y re- cursos humanos y organizativos, y tenemos que concluir • Identificar y participar en foros/iniciativas in- la armonización de nuestra legislación y procesos nacio- ternacionales y regionales sobre normas rela- nales de acuerdo con el Convenio de Budapest sobre la cionadas, derecho internacional, medidas de Ciberdelincuencia y otros instrumentos internacionales fomento de la confianza y creación de capaci- para combatir el delito cibernético. Además, debemos for- dades que configuran las reglas del ciberespa- talecer y racionalizar nuestra participación en la respuesta cio y que son importantes para que Ecuador bilateral, regional e internacional a incidentes ciberné- haga oír su voz. 38 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR • Desarrollar conocimientos y capacidad en ci- berdiplomacia para estar mejor representados en discusiones que afectan a nuestros ciudada- nos y organizaciones, y ser un socio confiable y contribuyente a nivel regional y global. • Insertar al Ecuador en la Agenda digital global y regional mediante el posicionamiento de asuntos digitales nacionales como un tema transversal de la Agenda 2030 para el Desarro- llo Sostenible. • Nombrar responsabilidades organizativas para asuntos exteriores cibernéticos (embajador ci- bernético u otra oficina dedicada) e informar re- gularmente sobre la cooperación internacional a nivel político/estratégico. • Garantizar una participación significativa y de- cidida en los formatos de creación de capaci- dad existentes mediante la definición de áreas y objetivos prioritarios para la creación de ca- pacidad en materia de ciberseguridad (inclui- dos el fomento de la resiliencia cibernética, la gestión de incidentes cibernéticos y la lucha contra la ciberdelincuencia), y promover nue- vos intercambios de conocimientos y sesiones de transferencia con otros países y organizacio- nes regionales e internacionales en esas áreas. Objetivo 6.2: Fortalecer la participación de Ecuador en la cooperación • Intensificar la cooperación internacional para bilateral, regional e internacional generar un espacio de intercambio y apoyo en el campo de la Ciberdefensa a través de alian- en respuesta a las amenazas en zas estratégicas, la participación en organismos el ciberespacio internacionales para contrarrestar amenazas de carácter común y la gestión de oportunida- des para compartir información, conocimien- Líneas de acción tos, buenas prácticas y realizar entrenamientos y ejercicios. • Procurar ampliar y formalizar la cooperación con otros organismos nacionales e internacio- • Apoyar a las partes interesadas para que se nales de respuesta a incidentes cibernéticos adhieran a los mecanismos internacionales de activos en la región. cooperación, colaboración y asistencia (inclui- da la capacitación, ejercicios internacionales, • Profundizar y formalizar la participación en entre otros). mecanismos de coordinación y cooperación internacionales y regionales para combatir el • Participar en esfuerzos internacionales de crea- delito cibernético a través del intercambio de ción de capacidades que ayuden a los organis- información, investigaciones transfronterizas, mos de aplicación de la ley a mejorar sus habi- operaciones y arrestos. lidades, conocimientos y capacidades técnicas. Con la asesoría de: 39 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR PERSPECTIVAS FRENTE A LA IMPLEMENTACIÓN, SEGUIMIENTO Y EVALUACIÓN 40 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR L a implementación de la Estrategia Nacional de Ci- ción de la implementación de la Estrategia Nacional de Ci- berseguridad del Ecuador estará a cargo del Comité berseguridad y se presenten informes anuales. El Plan de Nacional de Ciberseguridad, órgano estratégico de Acción estará sujeto a las modificaciones que apruebe el coordinación y toma de decisiones, con el apoyo de las Comité Nacional de Ciberseguridad a medida que avance instituciones con competencias en la seguridad integral la implementación de la estrategia nacional. del Estado. La responsabilidad de la efectiva implementa- ción de las iniciativas y acciones recae en cada una de las Ecuador adelantará el monitoreo del nivel de madurez en múltiples partes interesadas en el ecosistema de ciberse- ciberseguridad y evaluación de las capacidades de las múl- guridad de Ecuador. tiples partes interesadas con el fin de asegurar una mejo- ra continua, haciendo énfasis en el corto y mediano plazo. El seguimiento a la ejecución física y presupuestal de las Además, se soportará en el desarrollo de auditorías sobre acciones propuestas para el cumplimiento de los objeti- los procesos que llevan a cabo las entidades gubernamen- vos específicos se realizará a través de un Plan de Acción tales y el desarrollo de ejercicios de eficiencia comparativa que se desarrollará en mayor detalle a partir de un ejerci- basados en la recopilación y análisis de información esta- cio de priorización y basado en este capítulo una vez apro- dística relevante a nivel nacional, así como la preparación bada la Estrategia Nacional de Ciberseguridad indicando de informes de situación sobre el estado de la cibersegu- las entidades responsables de cada acción, los periodos ridad. Se prevé la revisión y actualización de la Estrategia de ejecución de estas, los recursos necesarios y dispo- cada tres (3) años o según se considere necesario. nibles para llevarlas a cabo, así como la importancia de cada acción para el cumplimiento del propósito general y Finalmente, se creará y ejecutará un plan estratégico de de los objetivos específicos bajo cada pilar de la estrategia comunicación del cumplimento de los objetivos de la Es- nacional. Los responsables de la ejecución de las líneas de trategia Nacional de Ciberseguridad en donde se estable- acción deberán presentar informes trimestrales al Comité cen tareas y acciones específicas que se realizarán en el Nacional de Ciberseguridad, de las actividades realizadas, marco de los procesos de implementación, seguimiento de tal manera que el Comité haga el seguimiento y evalua- y monitoreo. Con la asesoría de: 41 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Pilar 1. Gobernanza y coordinación nacional Objetivo 1.1: Establecer un marco integral de gobernanza de la ciberseguridad Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Establecer un marco institucional con los roles, funciones y responsabilidades Instituciones Marco prescritas de todos los agentes que conforman institucional gubernamentales pertinentes MINTEL el Comité X con roles y en materia de ciberseguridad Nacional de responsabilidades que abarque todos los objetivos Ciberseguridad estratégicos de la estrategia nacional Fortalecer la instancia de Instituciones coordinación nacional para dirigir la Definición de que conforman Comité implementación de la política nacional roles funciones y el Comité Nacional de X X X y llevar a cabo un seguimiento responsabilidades Nacional de Ciberseguridad continuo. Ciberseguridad Instituciones Adaptar y fortalecer la instancia de que conforman máximo nivel intergubernamental Comité el Comité Comité Nacional e intersectorial para orientar Nacional de Nacional de X de Ciberseguridad estratégicamente la gestión de la Ciberseguridad Ciberseguridad ciberseguridad. Entidades del Gobierno Implementar una herramienta de seguimiento y evaluación del Instituciones Comité cumplimiento de los objetivos que conforman Nacional de Herramienta de estratégicos y la asignación de el Comité Ciberseguridad X seguimiento recursos de la Estrategia Nacional de Nacional de Entidades del Ciberseguridad de acuerdo con el plan Ciberseguridad Estado de implementación. Establecer un mecanismo regulador de supervisión y presentación de Instituciones Comité informes con indicadores clave que conforman Nacional de de desempeño en materia de Informes e el Comité Ciberseguridad X X ciberseguridad e indicadores clave de indicadores Nacional de Entidades del riesgo para investigar la situación y Ciberseguridad Estado las tendencias de la ciberseguridad a nivel nacional. 42 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Objetivo 1.2: Fomentar una comunidad sólida y articulada con expertos en ciberseguridad de las múltiples partes interesadas Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Establecer un mecanismo eficaz de asociación entre el sector público y Instituciones del el privado en el que participen todas sector privado, las múltiples partes interesadas Comité organismos no pertinentes de las instituciones Mecanismo Nacional de X X gubernamentales, gubernamentales, el sector privado, el Ciberseguridad y Asociaciones a mundo académico y las ONG, a fin de fines proporcionar una plataforma para la participación. Objetivo 1.3: Desarrollar un marco legal y regulatorio integral que permita la gobernanza nacional de la ciberseguridad y la Ciberdefensa Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Asamblea Efectuar un análisis exhaustivo del Nacional marco legal y regulatorio vigente en del Ecuador, todo el ámbito de la ciberseguridad Comité Función Judicial, Análisis del marco para evaluar, determinar las “lagunas Nacional de Fiscalía General X X legal y regulatorio legales” y aclarar cualquier necesidad Ciberseguridad del Estado, adicional de adopción y armonización Procuraduría de la legislación y los reglamentos General del Estado ARCOTEL Superintendencia de Bancos Establecer de manera integral los roles Autoridad de y responsabilidades de los principales Comité Roles y Protección de ministerios y otras agencias en Nacional de X responsabilidades Datos Personales ciberseguridad nacional dentro del Ciberseguridad SEPS marco legal y regulatorio. Cámaras de Comercio, Industrias y afines Asamblea Nacional del Ecuador Función Judicial Instituciones Fiscalía General Orientar los cambios legislativos en que conforman Propuesta de Ley del Estado todos los objetivos estratégicos de la el Comité X X de Ciberseguridad Procuraduría estrategia nacional. Nacional de General del Ciberseguridad Estado Asociaciones a fines Con la asesoría de: 43 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Pilar 2. Resiliencia cibernética Objetivo 2.1: Establecer un proceso integral para la gestión de riesgos de ciberseguridad y preparación para las crisis cibernéticas con el fin de fortalecer dichas capacidades a nivel nacional Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Servicio Nacional de Acreditación ASOBANCA Instituciones Superintendencia Adoptar un marco nacional de Marco nacional de que conforman de Bancos gestión del riesgo de seguridad gestión del riesgo de el Comité SEPS X X digital seguridad digital Nacional de Cámaras de Ciberseguridad Comercio, Industrias y afines Asociaciones a fines ASOBANCA Superintendencia Instituciones de Bancos Elaborar un informe sobre el Informe sobre que conforman SEPS panorama de amenazas y riesgos el panorama de el Comité Cámaras de X a nivel nacional y un seguimiento amenazas y riesgos Nacional de Comercio, continuo. Ciberseguridad Industrias y afines Asociaciones a fines Instituciones Identificar tipos comunes de Informes periódicos que conforman Instituciones ciberataques dirigidos a las con tipos comunes el Comité públicas del X X ICD nacionales e instituciones de ciberataques Nacional de Estado gubernamentales. Ciberseguridad Establecer mecanismos Los organismos independientes de control que operativos de Organismo incluyan la evaluación de riesgo las instituciones Mecanismos de Nacional de de ciberseguridad y pruebas que conforman X control Acreditación periódicas de penetración para las el Comité (INEN) organizaciones del sector público y Nacional de los operadores de las ICD nacionales. Ciberseguridad Instituciones Identificar los operadores de Regulación para que conforman servicios de telecomunicaciones proveedores MINTEL el Comité X para la respuesta y comunicación de de redes de Nacional de emergencia telecomunicaciones Ciberseguridad Crear un programa de coordinación Los organismos designado para la adopción de operativos de Organismo normas de ciberseguridad y mejores Programa de las instituciones Nacional de prácticas tanto para los organismos coordinación y que conforman X Acreditación gubernamentales como para las adopción de normas el Comité (INEN) contrapartes pertinentes del sector Nacional de privado. Ciberseguridad 44 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Los organismos operativos de Identificar escenarios de riesgo de Informes periódicos las instituciones ciberseguridad para los cuales se con escenarios Entidades del que conforman X deben desarrollar planes nacionales de riesgo de Estado el Comité de contingencia. ciberseguridad Nacional de Ciberseguridad Organizar ejercicios nacionales Instituciones de ciberseguridad para probar las que conforman Ejercicios nacionales Entidades del capacidades del personal involucrado el Comité X X de ciberseguridad Estado en la ciberseguridad de las Nacional de organizaciones. Ciberseguridad Los organismos operativos de Realizar pruebas que involucren las instituciones Escenarios de Entidades del los escenarios de contingencia que conforman X X contingencia Estado establecidos por las organizaciones el Comité Nacional de Ciberseguridad Objetivo 2.2: Adoptar un marco integral para la identificación, orientación y supervisión de los operadores de Infraestructuras Críticas Digitales (ICD) Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Los organismos Documentar una metodología clara operativos de las Metodología de Organismos para la identificación de las ICD instituciones que identificación de internacionales X nacionales basada en consideraciones conforman el ICD nacionales afines sociales, económicas y ambientales Comité Nacional de Ciberseguridad Establecer y mantener una lista Instituciones actualizada de las ICD nacionales Registro Coordinador que conforman junto con la definición de sectores actualizado de las Nacional de el Comité X estratégicos que contempla el ICD nacionales Ciberseguridad Nacional de concepto de protección de servicios e Ciberseguridad infraestructura esenciales. Establecer un mecanismo de Instituciones que cooperación y coordinación mediante Mecanismo de Instituciones que conforman el asociaciones público-privadas entre cooperación y conforman el catálogo de ICD X X todos los operadores de las ICD coordinación para Comité Nacional Organismos nacionales para apoyar el fomento de las ICD nacionales de Ciberseguridad internacionales la confianza. afines Con la asesoría de: 45 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Establecer normas nacionales de referencia con base a estándares y mejores prácticas internacionales, que Instituciones que Organismos se apliquen a todos los operadores Marco normativo conforman el internacionales X X de las ICD nacionales tanto en de referencia Comité Nacional afines operadores de IC del sector privado de Ciberseguridad como en activos de ICD dentro de las instituciones gubernamentales Instituciones Emitir directrices e instrucciones para que conforman apoyar la aplicación de medidas de Comité Nacional Directrices el Comité X seguridad y lograr el cumplimiento de de Ciberseguridad Nacional de la norma de referencia Ciberseguridad Definir los roles y responsabilidades a Marco de Instituciones nivel nacional para la coordinación de coordinación para que conforman la identificación y el seguimiento de Comité Nacional la identificación y el Comité X las ICD nacionales dentro del marco de Ciberseguridad el seguimiento de Nacional de legal y regulatorio, considerando tanto las ICD nacionales Ciberseguridad la dimensión civil como la militar. Establecer requisitos de Instituciones Requisitos de ciberseguridad para los operadores que conforman ciberseguridad Comité Nacional de ICD nacionales en el marco legal el Comité X X para las ICD de Ciberseguridad y regulatorio, cuando se considere Nacional de nacionales pertinente Ciberseguridad Objetivo 2.3: Continuar desarrollando capacidades de respuesta y gestión de incidentes cibernéticos y del CERT nacional Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Instituciones que conforman Crear y poner en funcionamiento un el Comité Centro de Operaciones de Seguridad GSoC del Gobierno MINTEL Nacional de X X (SOC) nacional (gubernamental). Ciberseguridad Instituciones del Gobierno Instituciones que conforman Establecer y ejecutar un plan para el Comité generar un marco jurídico para contar Nacional de con: i) un equipo de respuesta a Plan para generar MINTEL Ciberseguridad X x incidentes cibernéticos de alcance un marco jurídico Ministerio de nacional y, ii) un sistema nacional de Defensa gestión y respuesta a estos incidentes. Ministerio del Interior Plan para crear y Comité PRESIDENCIA Crear un CERT a nivel nacional. fortalecer el CERT a Nacional de X X / MINTEL nivel nacional Ciberseguridad 46 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Mecanismo para Instituciones Establecer un mecanismo para la divulgación Instituciones que conforman la divulgación periódica de periódica de la que conforman el Comité vulnerabilidades y el intercambio de vulnerabilidad y el Comité Nacional de X información entre los operadores de el intercambio de Nacional de Ciberseguridad las ICD nacionales y el gobierno de información para Ciberseguridad , ASOBANCA, Ecuador las ICD nacionales SEPS Objetivo 2.4: Maximizar el uso de tecnologías avanzadas y la innovación en el diseño de políticas y procesos ágiles para el desarrollo de capacidades de Ciberinteligencia Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Desarrollar un observatorio del ciberespacio con roles y funciones para recopilar, analizar y clasificar Instituciones la información sobre amenazas e que conforman Observatorio del incidentes cibernéticos que se utiliza CIES el Comité X X Ciberespacio para proporcionar a las empresas una Nacional de visión procesable para identificar, Ciberseguridad medir y clasificar las vulnerabilidades y mitigar los riesgos cibernéticos Sistema de alerta Desarrollar un sistema de alerta Instituciones temprana temprana para la prevención y que conforman Proceso de anticipación de Ciberamenzas CIES el Comité X x prevención y avanzados para asesorar la toma de Nacional de anticipación de decisiones al más alto nivel del Estado. Ciberseguridad alertas Invertir en el desarrollo de Instituciones Plan de capacidades de planificación para la Coordinador que conforman fortalecimiento de ejecución de operaciones cibernéticas Nacional de el Comité X X capacidades de a través de detección y respuesta Ciberseguridad Nacional de planificación avanzadas. Ciberseguridad Desarrollar las capacidades del Centro de Operaciones de Seguridad Instituciones (GSoC) nacional (gubernamental) a Plan de que conforman través de esquemas de investigación fortalecimiento de CIES el Comité X X y herramientas de respuesta a capacidades de Nacional de incidentes para garantizar la resiliencia planificación Ciberseguridad de las ICD nacionales, los servicios estatales esenciales. Instituciones Establecer los mecanismos de Metodología para el que conforman obtención de información y los medios manejo de los tipos CIES el Comité X X de gestión de inteligencia para cada de inteligencia. Nacional de nivel del estado. Ciberseguridad Con la asesoría de: 47 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Pilar 3. Prevención y combate a la ciberdelincuencia Objetivo 3.1: Actualizar el marco legal y regulatorio de Ecuador en materia de ciberdelincuencia para garantizar la seguridad ciudada- na y la protección de los derechos y libertades en el ciberespacio Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Instituciones Revisar el derecho penal existente que conforman y adoptar las medidas legislativas el Comité necesarias para definir claramente Nacional de qué constituye delito cibernético y Ciberseguridad, delitos relacionados (delitos contra Fiscalía General Estrategia de Ministerio del o a través de sistemas o datos del Estado, Corte X revisión normativa Interior informáticos), considerando la Nacional de armonización con los instrumentos Justicia, Consejo legales internacionales y regionales de la Judicatura y existentes, en particular el Convenio de Asamblea Budapest sobre la Ciberdelincuencia Nacional del Ecuador. Instituciones que conforman Revisar y ajustar los actos legales Ministerio de el Comité para definir el mandato legal y la Gobierno, Nacional de autoridad de las fuerzas del orden, Ministerio Ciberseguridad, las autoridades ejecutivas y los Mandato jurídico del Interior, X X Fiscalía General proveedores de servicios digitales Asamblea del Estado, Corte con fines de prevención del delito Nacional del Nacional de cibernético. Ecuador Justicia, ARCOTEL Revisar y alinear los poderes y procedimientos apropiados para la Instituciones aplicación de la ley, el enjuiciamiento y que conforman la judicialización para la investigación el Comité y el enjuiciamiento del delito Ministerio Nacional de cibernético, incluida la recopilación de Gobierno, Ciberseguridad, y el procesamiento de pruebas e Mandato jurídico X Ministerio del Fiscalía General instrumentos electrónicos para una Interior del Estado, Corte cooperación internacional rápida y Nacional de eficaz, considerando la armonización Justicia, Consejo con el Convenio de Budapest de la Judicatura sobre la Ciberdelincuencia y otros instrumentos internacionales. 48 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Objetivo 3.2: Fortalecer la respuesta oportuna y las capacidades operacionales de investigación y judicialización de la cibercriminalidad Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Fortalecer la unidad o unidades especializadas en ciberdelincuencia Instituciones de la Policía Nacional de Ecuador con Unidad o unidades que conforman las capacidades logísticas, humanas Policía especializadas en el Comité X X y forenses digitales adecuadas Nacional ciberdelincuencia Nacional de asegurando procedimientos Ciberseguridad investigativos regulados a nivel nacional Facilitar la creación de Direcciones o Unidades de Prevención de Delitos Cibernéticos especializadas, con Ministerio del Instituciones Direcciones personal profesional especializado Interior que conforman o unidades en el campo de la informática y Corte el Comité X X especializadas en el derecho y con procedimientos Nacional de Nacional de ciberdelincuencia preventivos estándar y mecanismos Justicia Ciberseguridad de denuncia de delitos cibernéticos, eficientes para la sociedad ecuatoriana Apoyar la creación de unidades especializadas de la fiscalía en la Instituciones investigación del delito cibernético Direcciones Fiscalía que conforman a nivel nacional, con personal o unidades General del el Comité X X profesional especializado en el especializadas en Estado Nacional de campo de la informática y el derecho, ciberdelincuencia Ciberseguridad contribuyendo a la adecuada administración de justicia Identificar y desarrollar oportunidades de capacitación a funcionarios Ministerio del Instituciones encargados de hacer cumplir la Interior que conforman Programa de ley y especialistas forenses sobre Fiscalía el Comité capacitación para la ley del delito cibernético y General del Nacional de especialistas en X su implementación, incluida la Estado Ciberseguridad aplicación de la ley y protección de los derechos humanos Consejo SECAP forenses y la colaboración con los organismos Nacional de la Asociaciones internacionales encargados de hacer Judicatura afines cumplir la ley. Con la asesoría de: 49 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Pilar 4. Ciberdefensa Objetivo 4.1: Incrementar y fortalecer las capacidades de Ciberdefensa del Estado ecuatoriano para alcanzar la actitud estratégica defensiva definida en la Política de la Defensa Nacional, para la protección de la infraestructura crítica digital (ICD) y servicios esenciales en el ciberespacio. Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Maximizar el uso de tecnologías Instituciones Plan para la Ministerio avanzadas, desarrollar capacidades en que conforman creación de la de Defensa el dominio ciberespacial en las Fuerzas el Comité X X Fuerza Ciberespacial Nacional Armadas hasta formar una Fuerza Nacional de Conjunta (FCC) (COCIBER) Ciberespacial Conjunta Ciberseguridad Planificar y participar en ciberejercicios nacionales e Instituciones Ministerio internacionales donde simulen que conforman Plan de ejercicios de de Defensa escenarios de crisis que permita el Comité X X Ciberdefensa Nacional adiestrar en tácticas y técnicas Nacional de (COCIBER) cibernéticas para evaluar el grado de Ciberseguridad preparación del personal. Instituciones Establecer políticas y definir los Ministerio Plan estratégico que conforman recursos necesarios para la protección de Defensa para la protección el Comité X X de la infraestructura crítica digital Nacional de la ICD Nacional de (ICD) y servicios esenciales del Estado. (COCIBER) Ciberseguridad Instituciones Ministerio Desarrollar y aplicar un sistema y Plan nacional de que conforman de Defensa plan nacional de gestión de crisis gestión de crisis el Comité X X Nacional cibernéticas cibernéticas Nacional de (COCIBER) Ciberseguridad 50 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Instituciones Planificar pruebas periódicas de la Ministerio que conforman resiliencia cibernética ante diferentes Planificación anual de Defensa el Comité X X escenarios de ciberataques que de visitas a las ICD Nacional Nacional de afecten a las ICD. (COCIBER) Ciberseguridad Fortalecer la cooperación nacional Instituciones con el sector industrial y académico, Ministerio Convenios que conforman así como, establecer acuerdos de Defensa y acuerdos el Comité X X X multilaterales con organismos Nacional establecidos Nacional de internacionales para alcanzar los (COCIBER) Ciberseguridad objetivos estratégicos de Ciberdefensa. Instituciones Doctrina de Ministerio Desarrollar doctrina conjunta para que conforman operaciones de Defensa fomentar el uso efectivo de la el Comité X X militares de Nacional Ciberdefensa. Nacional de Ciberdefensa (COCIBER) Ciberseguridad Ministerio de Relaciones Instituciones Exteriores Participar en el desarrollo del que conforman y Movilidad derecho internacional de operaciones Manual el Comité X X Humana y cibernéticas. Nacional de Ministerio Ciberseguridad de Defensa Nacional Ministerio Desarrollar el manual de derecho de Defensa Asesoría Jurídica de las operaciones militares en el Manual Nacional de MIDENA Y X X Ciberespacio. (COCIBER- COMACO COLEMI) Con la asesoría de: 51 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Pilar 5. Habilidades y capacidades de ciberseguridad Objetivo 5.1: Mejorar y ampliar la concientización sobre la ciberseguridad a todos los niveles de la sociedad Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Instituciones que conforman el Comité Elaborar y ejecutar un programa Nacional de nacional coordinado de Ciberseguridad, Programa nacional sensibilización y cultura en materia de MINTEL Ministerio de de sensibilización y X X X ciberseguridad, que incluya un órgano SECOM Educación cultura de coordinación para su ejecución y Asociaciones gestión Afines, Medios de Comunicación Entidades del Gobierno Instituciones que conforman Fomentar la creación de programas el Comité de apoyo a la persecución penal y Nacional de Programas de apoyo prevención del delito cibernético, Ciberseguridad, a la persecución a través de la colaboración y Ministerio de penal y prevención MINTEL X X participación ciudadana, fomentando Educación del delito los canales oficiales de denuncia y el Asociaciones cibernético desarrollo de campañas de prevención Afines, Medios de del delito cibernético. Comunicación Entidades del Gobierno Objetivo 5.2: Reforzar las habilidades en materia de ciberseguridad necesarias con las múltiples partes interesadas Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Crear un programa de formación continua sobre identificación, prevención, detección, respuesta y recuperación de incidentes Instituciones que cibernéticos para el personal de Programa de conforman el MINTEL X X TI y Oficiales de Seguridad de la formación continua Comité Nacional Información de las instituciones de Ciberseguridad gubernamentales a fin de prepararlos para responder a estos incidentes a medida que se producen. Fortalecer la cultura de defensa Ministerio del cibernética mejorando las habilidades Trabajo, Ministerio y la conciencia de ciberseguridad de Finanzas, de las múltiples partes interesadas Capacitaciones Organizaciones a través de capacitaciones técnicas técnicas MINTEL X afines a la Gestión especializadas de acuerdo con el especializadas de Ciberseguridad desarrollo tecnológico acelerado y el / Seguridad de la panorama de riesgos y amenazas cada Información vez más desafiante. 52 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Ministerio Preparar e implementar un programa de Trabajo, Programa de de desarrollo de competencias para Instituciones que desarrollo de MINTEL X profesionales de organizaciones conforman el capacidades públicas. Comité Nacional de Ciberseguridad Instituciones que conforman el Comité Nacional de Ciberseguridad, Preparar y aplicar un programa Ministerio del de desarrollo de habilidades para Programa de Trabajo (SETEC) profesionales de organizaciones desarrollo de MINTEL SECAP, X privadas, haciendo énfasis en las capacidades Asociaciones a pequeñas y medianas empresas fines (PYMES). Ministerio de Producción Comercio Exterior, Inversiones y Pesca Objetivo 5.3: Asegurar que el sistema educativo imparta conocimientos y fortalezca habilidades en materia de ciberseguridad Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Instituciones que Establecer una red de puntos de conforman el contacto nacionales para la educación Red de puntos de Comité Nacional en ciberseguridad en diferentes sectores, contacto para la MINTEL de Ciberseguridad, X instituciones educativas y agencias educación Ministerio de gubernamentales. Educación, Asociaciones afines Instituciones que Elaborar y ejecutar un plan nacional MINTEL Plan nacional de conforman el de educación en ciberseguridad en las Ministerio de X educación Comité Nacional de instituciones de educación. Educación Ciberseguridad Incluir conocimientos y habilidades en ciberseguridad en los planes de estudio de todos los niveles de educación para garantizar la oferta general de especialistas en ciberseguridad a largo plazo y establecer los requisitos previos Instituciones que MINTEL para crear una industria nacional Currículos conforman el Ministerio de competitiva de productos y servicios de educativos con Comité Nacional X X Educación ciberseguridad, desarrollar la capacidad contenido incluido de Ciberseguridad, CES para proporcionar productos y servicios SENESCYT de ciberseguridad a nivel nacional para limitar los riesgos relacionados con dependencias de la cadena de suministro, y mejorar la investigación y la innovación en el área de Ciberdefensa. Instituciones que Crear contenidos educativos MINTEL, conforman el complementarios dirigidos a docentes Ministerio de Contenido educativo Comité Nacional X X y estudiantes de educación primaria, Educación de Ciberseguridad, secundaria y superior. CES SENESCYT Con la asesoría de: 53 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Pilar 6. Cooperación internacional Objetivo 6.1: Identificar las prioridades internacionales de Ecuador y desarrollar la capacidad de participar en la ciberdiplomacia re- gional e internacional Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Identificar y participar en foros/iniciativas Ministerio de Participación en Instituciones que internacionales y regionales sobre ciber Relaciones foros/iniciativas conforman el normas, derecho internacional, medidas Exteriores X X internacionales y Comité Nacional de de fomento de la confianza y creación de y Movilidad regionales Ciberseguridad capacidades Humana Insertar al Ecuador en la Agenda Ministerio de digital global y regional mediante el Instituciones que Relaciones posicionamiento de asuntos digitales Agenda 2030 conforman el Exteriores X X nacionales como un tema transversal actualizada Comité Nacional de y Movilidad de la Agenda 2030 para el Desarrollo Ciberseguridad Humana Sostenible Ministerio de Desarrollar conocimientos y capacidad Instituciones que Plan para generar Relaciones en ciberdiplomacia y desarrollo, y ser un conforman el capacidades en Exteriores X X X socio confiable y contribuyente a nivel Comité Nacional de ciberdiplomacia y Movilidad regional y global. Ciberseguridad Humana Nombrar responsables para asuntos Ministerio de exteriores cibernéticos (embajador Instituciones que Responsables para Relaciones cibernético u otra oficina dedicada) conforman el asuntos exteriores Exteriores X X X e informar regularmente sobre la Comité Nacional de cibernéticos y Movilidad cooperación internacional a nivel político/ Ciberseguridad Humana estratégico Garantizar una participación significativa y decidida en los formatos de creación de capacidad existentes mediante la Sesiones Ministerio de definición de áreas y objetivos prioritarios Instituciones que internacionales Relaciones para la creación de capacidad en conforman el de transferencia Exteriores X X materia de ciberseguridad y promover Comité Nacional de e intercambio de y Movilidad nuevos intercambios de conocimientos Ciberseguridad conocimiento Humana y sesiones de transferencia con otros países y organizaciones regionales e internacionales en esas áreas 54 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Objetivo 6.2: Fortalecer la participación de Ecuador en la cooperación bilateral, regional e internacional en respuesta a las amenazas en el ciberespacio Corto Mediano Largo Acción Entregable Responsable Soporte plazo plazo plazo Ministerio de Ampliar y formalizar la cooperación Instituciones que Relaciones con otros organismos nacionales e Acuerdos de conforman el Exteriores X X internacionales de respuesta a incidentes cooperación Comité Nacional de y Movilidad cibernéticos activos en la región Ciberseguridad Humana Participar en mecanismos de coordinación y cooperación Memorandos de Ministerio de Instituciones que internacionales y regionales para entendimiento Relaciones conforman el combatir el delito cibernético a través y acuerdos de Exteriores X X X Comité Nacional de del intercambio de información, coordinación y y Movilidad Ciberseguridad investigaciones transfronterizas, cooperación Humana operaciones y arrestos Intensificar la cooperación internacional para generar un espacio de intercambio y apoyo en el campo de la Ciberdefensa a través de alianzas estratégicas, Ministerio de Instituciones que la participación en organismos Relaciones conforman el internacionales para contrarrestar Alianzas estratégicas Exteriores X X X Comité Nacional de amenazas de carácter común y la y Movilidad Ciberseguridad gestión de oportunidades para compartir Humana información, conocimientos, buenas prácticas y realizar entrenamientos y ejercicios Ministerio de Apoyar a las múltiples partes interesadas Instituciones que Participación de Relaciones para que se adhieran a los mecanismos conforman el múltiples partes Exteriores X X X internacionales de cooperación, Comité Nacional de interesadas y Movilidad colaboración y asistencia Ciberseguridad Humana Participar en esfuerzos internacionales Ministerio de Instituciones que de creación de capacidades que ayuden Participación de Relaciones conforman el a los organismos de aplicación de la ley a organismos de Exteriores X X X Comité Nacional de mejorar sus habilidades, conocimientos y aplicación de la ley y Movilidad Ciberseguridad capacidades técnicas Humana Con la asesoría de: 55 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Indicadores Los siguientes indicadores claves de rendimiento serán monitoreados y evaluados por el Coordinador de Nacional de Cibersegu- ridad trimestralmente y presentará reportes anuales al Comité Nacional de Ciberseguridad. Los indicadores junto con las metas de cumplimiento estarán sujeto a las modificaciones que apruebe el Comité Nacional de Ciberseguridad a medida que avance la implementación de la Estrategia Nacional de Ciberseguridad. Periodo de Corto Mediano Largo Indicador Unidad de medida Responsable medición plazo plazo plazo Índice Mundial de Ciberseguridad Valor Anual 51,3 MINTEL (CGI) Comité Número de revisiones a la Estrategia Número Anual 1 1 2 Nacional de Nacional de Ciberseguridad Ciberseguridad Comité Nacional de Cantidad de leyes actualizadas y Ciberseguridad Leyes Anual 1 1 2 promulgadas Asamblea Nacional del Ecuador Comité Nacional de Cantidad de normativas y estándares Normas Anual 4 6 8 Ciberseguridad revisadas Entidades Reguladoras Coordinador Numero alianzas de cooperación Ministerio de establecidas en materia de Relaciones Alianzas Anual 5 10 15 ciberseguridad, lucha contra el delito Exteriores cibernético y Ciberdefensa. y Movilidad Humana Comité Nacional de Cantidad de simulacros / simulaciones Simulacros / Ciberseguridad nacionales realizados en materia de Anual 3 6 9 Simulaciones CERT Nacional crisis cibernéticas EcuCERT Naciona Porcentaje de instituciones que Comité Instituciones han adoptados normativas de Anual 20% 40% 60% Nacional de públicas ciberseguridad Ciberseguridad 56 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD DEL ECUADOR Periodo de Corto Mediano Largo Indicador Unidad de medida Responsable medición plazo plazo plazo Comité Porcentaje de instituciones con Nacional de infraestructuras críticas digitales (ICD) % de instituciones Anual 20% 40% 60% Ciberseguridad cumpliendo la normativa de este tipo Ministerio de de infraestructura Defensa Porcentaje de PYMES sensibilizados Coordinador % de PYMES Anual 5% 10% 15% en Ciberseguridad MINTEL Comité Nacional de Ciberseguridad Porcentaje de Jueces y fiscales % de jueces y Anual 10% 30% 50% Consejo de la capacitados en Ciberseguridad fiscales Judicatura Fiscalía General del Estado Porcentaje de servidores públicos % de servidores Coordinador Anual 20% 40% 60% sensibilizados en Ciberseguridad públicos MINTEL Porcentaje de estudiantes de nivel básico sensibilizados en % de estudiantes de Coordinador Anual 20% 40% 60% Ciberseguridad (sector público y nivel básico Min Educación privado) Número de estudiantes de nivel intermedio sensibilizados en % de estudiantes de Coordinador Anual 20% 40% 60% Ciberseguridad (sector público y nivel intermedio Min Educación privado) Número de docentes de nivel Coordinador básico, intermedio y nivel superior % de docentes Anual 20% 40% 60% Min Educación sensibilizados en Ciberseguridad Senescyt (sector público y privado) Número de encuestas realizadas Comité sobre el nivel de conocimiento en Encuestas Anual 1 2 3 Nacional de Ciberseguridad a la población Ciberseguridad Con la asesoría de: 57 GUILLERMO LASSO PRESIDENTE