DIÁLOGO 2.0

● Designar al Comité Nacional de Ciberseguridad como un órgano estratégico de coordinación y toma de decisiones.

Visión 2025: Ecuador es una sociedad inclusiva y competitiva en el futuro digital con capacidades para gestionar los riesgos de ciberseguridad nacional.

En relación con cada pilar, se identifica un resumen de la importancia de laciberseguridad, la situación actual y los problemas y desafíos prioritarios que hay que abordar, con los objetivos estratégicos y las líneas de acción que acompañan a las medidas y tareas que hay que cumplir.

En 2021, se aprobó nuestra primera Política de Ciberseguridad, y se reconoció que los interesados deben fortalecer sus capacidades para identificar, gestionar, tratar y mitigar los riesgos de ciberseguridad. Desde entonces, varios incidentes nacionales nos han llevado a reconocer que es necesario reevaluar nuestros esfuerzos para cerrar las brechas de capacidades para que todas las múltiples partes interesadas puedan aprovechar las oportunidades actuales y futuras en el marco de la Cuarta Revolución Industrial.

Objetivo 4.1: Reforzar las capacidades institucionales y operativas de defensa, actuación y respuesta a los ciberataques Líneas de acción

● Crear un programa de formación continua sobre prevención, respuesta y recuperación de incidentes cibernéticos para el personal de TI y Oficiales de Seguridad de la Información de las instituciones gubernamentales a fin de prepararlos para responder a los incidentes a medida que se producen.

Se impartirá formación y educación en materia de ciberseguridad de alta calidad para garantizar que las personas tengan las aptitudes adecuadas para satisfacer la creciente demanda de conocimientos en materia de ciberseguridad en un número cada vez mayor de profesiones, y que haya profesionales especializados en ciberseguridad que desempeñen funciones específicas en la tarea de garantizar la ciberseguridad nacional tanto en las instituciones gubernamentales, los operadores de las IIC, la industria y la investigación académica. El éxito de la ciberseguridad nacional se basa en una fuerza de trabajo calificada y ciberculta y, por tanto, en un sistema educativo capaz de desarrollar esas capacidades.

Objetivo 1: Reforzar las capacidades institucionales y operativas de defensa, actuación y respuesta a los ciberataques

Pilar 4. Ciberdefensa Nacional y Ceberinteligencia

Acción: Identificar y mantener un registro actualizado de los operadores de las IIC basado en consideraciones sociales, económicas y ambientales, incluyendo un único punto de contacto asignado para cada operador

Objetivo 4.1: Reforzar las capacidades institucionales y operativas de defensa, actuación y respuesta a los ciberataques Líneas de acción ● Redactar escenarios de ciber crisis para la defensa y probar medidas de respuesta de ciberdefensa ● Redactar lineamientos para la defensa del IIC en las áreas reservadas de seguridad en el ciberespacio en coordinación con la política exterior ecuatoriana ● Desarrollar y aplicar un sistema y plan nacional de gestión de crisis. ● Desplegar pruebas periódicas de la resiliencia cibernética ante diferentes escenarios de ataques cibernéticos que afecten la seguridad del estado. ● Desarrollar ciber simulacros nacionales con métricas definidas para evaluar los resultados e involucrar a las múltiples partes interesadas relevantes del ecosistema ● Contribuir a la resiliencia cibernética colaborativa nacional a través de ejercicios técnicos y juegos de guerra cibernética junto con el CERT, los operadores de IIC y los proveedores de servicios esenciales. Objetivo 4.2: Establecer un proceso integral para desarrollar capacidades de ciberinteligencia Líneas de acción ● Desarrollar un observatorio del ciberespacio ● Desarrollar actividades de prevención y anticipación de alertas tempranas de ciberataques avanzados que sirva para asesorar en la toma de decisiones al más alto nivel del Estado ● Redactar procesos y procedimientos para el ciclo de inteligencia, así como para llevar acabo los tipos de ciberinteligencia como estratégica, técnica y táctica. ● Establecer herramientas de ciberinteligencia y métodos para compartir las alertas con las instituciones

Objetivos estratégicos Objetivo 4.1: Reforzar las capacidades institucionales y operativas de defensa, actuación y respuesta a los ciberataques Líneas de acción ● Redactar escenarios de ciber crisis para la defensa y probar medidas de respuesta de ciberdefensa ● Redactar lineamientos para la defensa del IIC en las áreas reservadas de seguridad en el ciberespacio en coordinación con la política exterior ecuatoriana ● Desarrollar y aplicar un sistema y plan nacional de gestión de crisis. ● Desplegar pruebas periódicas de la resiliencia cibernética ante diferentes escenarios de ataques cibernéticos que afecten la seguridad del estado. ● Desarrollar ciber simulacros nacionales con métricas definidas para evaluar los resultados e involucrar a las múltiples partes interesadas relevantes del ecosistema ● Contribuir a la resiliencia cibernética colaborativa nacional a través de ejercicios técnicos y juegos de guerra cibernética junto con el CERT, los operadores de IIC y los proveedores de servicios esenciales. Objetivo 4.2: Establecer un proceso integral para desarrollar capacidades de ciberinteligencia Líneas de acción ● Desarrollar un observatorio del ciberespacio ● Desarrollar actividades de prevención y anticipación de alertas tempranas de ciberataques avanzados que sirva para asesorar en la toma de decisiones al más alto nivel del Estado ● Redactar procesos y procedimientos para el ciclo de inteligencia, así como para llevar acabo los tipos de ciberinteligencia como estratégica, técnica y táctica. ● Establecer herramientas de ciberinteligencia y métodos para compartir las alertas con las instituciones

PILAR 4. Ciberdefensa nacional y ciberinteligencia

● Identificar las dependencias de telecomunicaciones para la respuesta y comunicación de emergencia. Expedir regulaciones a los proveedores de redes de telecomunicaciones para que tengan redes con opciones de redundancia adecuadas.

Gestión de riesgos y preparación para crisis

Se identificarán los activos de las IIC tanto del sector público como del privado, que son esenciales para mantener las funciones vitales de la sociedad en el Ecuador y que serán resistentes a las amenazas actuales y emergentes dentro del entorno digital. Se establecerá y mantendrá un catálogo actualizado de todos los operadores de las IIC para garantizar la recopilación y administración de datos relativos a las IIC a nivel nacional y mecanismos amplios de colaboración y cooperación. A fin de garantizar un nivel suficiente de medidas de seguridad aplicadas, se establecerán normas de referencia, directrices de apoyo y mecanismos de supervisión. Un marco legal y regulatorio complementario apoyará los mecanismos de identificación, gestión de riesgos, supervisión y comunicación de las IIC.

En el ámbito de la protección de las IIC, hemos identificado ámbitos de oportunidad que debemos abordar, como la necesidad de elaborar una lista completa de todos los operadores de IIC a nivel nacional, ya que la falta de esta lista plantea un desafío para establecer mecanismos eficientes de apoyo, intercambio de información y supervisión. Además, para garantizar la protección de las IIC, el establecimiento y mantenimiento de un catálogo actualizado de todos los operadores de IIC a nivel nacional es la base para permitir otros esfuerzos de mejora que garanticen una resiliencia suficiente. La protección de las IIC a nivel nacional no está actualmente cubierta de forma exhaustiva por el marco jurídico, lo que plantea un desafío para la aplicación de los principios de seguridad y la supervisión normativa para garantizar el cumplimiento. El examen y la finalización del marco legal y regulatorio de conformidad con las orientaciones del análisis jurídico general permitirán establecer mecanismos eficaces de protección de las IIC en el marco de las asociaciones entre los sectores público y privado.

En la actualidad, la mayoría de las infraestructuras y servicios esenciales, tanto públicos como privados, dependen de la tecnología de la información y son vulnerables a las violaciones o fallos de la ciberseguridad en los sistemas de información. La Infraestructura de Información Crítica (IIC) nacional se define como una parte de la infraestructura y los servicios críticos, que comprende sistemas de información y comunicación que son esenciales para el buen funcionamiento de la sociedad. La protección de la IIC debe garantizar la resiliencia frente a las infracciones o fallos en el entorno digital que puedan causar interrupciones, lo que tendría graves consecuencias para la sociedad y la economía.

Infraestructuras de información crítica nacionales

● Establecer herramientas de ciberinteligencia y métodos para compartir las alertas con las instituciones

Protección de infraestructuras de información críticas nacionales

La resiliencia cibernética nacional necesita garantizar la capacidad de prepararse para los ataques cibernéticos, responder a ellos y recuperarse de ellos. Esto significa garantizar una identificación y gestión adecuadas de los riesgos cibernéticos; suficiente preparación y capacidad de respuesta frente a los ciberataques para garantizar que su impacto permanezca contenido; y, en particular, la salvaguardia de las infraestructuras y los servicios que son los más críticos para el funcionamiento de la sociedad. Así, la resiliencia cibernética está cubierta por tres objetivos estratégicos que abordan:

● Desarrollar ciber simulacros nacionales con métricas definidas para evaluar los resultados e involucrar a las múltiples partes interesadas relevantes del ecosistema

Objetivo 1.3: Desarrollar un marco legal y regulatorio integral que permita la gobernanza nacional de la ciberseguridad

Ecuador no cuenta actualmente con un plan nacional coordinado para fomentar las inversiones y los recursos para la educación y la sensibilización en materia de ciberseguridad y los planes de estudio escolares no abordan el tema de manera sistemática. Las universidades ofrecen algunos cursos relacionados con la ciberseguridad en universidades públicas y privadas y debaten sobre la necesidad de seguir desarrollando programas de estudios e investigaciones específicos sobre ciberseguridad.

Se identificarán los activos de las IIC tanto del sector público como del privado, que son esenciales para mantener las funciones vitales de la sociedad en el Ecuador y que serán resistentes a las amenazas actuales y emergentes dentro del entorno digital. Se establecerá y mantendrá un catálogo actualizado de todos los operadores de las IIC para garantizar la recopilación y administración de datos relativos a las IIC a nivel nacional y mecanismos amplios de colaboración y cooperación. A fin de garantizar un nivel suficiente de medidas de seguridad aplicadas, se establecerán normas de referencia, directrices de apoyo y mecanismos de supervisión. Un marco legal y regulatorio complementario apoyará los mecanismos de identificación, gestión de riesgos, supervisión y comunicación de las IIC.

Ciberdefensa nacional / Ciberinteligencia: Reforzar las capacidades de ciberdefensa y desarrollar capacidades en ciberinteligencia que permitan obtener información útil y oportuna de las amenazas presentes en ciberespacio para la toma de decisiones

PILAR 2. RESILIENCIA CIBERNÉTICA

El Plan Estratégico de Defensa Institucional 2017-2021 encomienda a las fuerzas armadas de Ecuador evaluar constantemente los escenarios de amenaza y riesgo, incluidos los relacionados con las amenazas cibernéticas, y actualizar las capacidades de defensa. El comando de ciberdefensa protege la infraestructura digital crítica del sector defensa y las áreas estratégicas del Estado, promoviendo la coordinación interinstitucional de la ciberdefensa en el marco de la ciberseguridad nacional, y aumentando las capacidades estratégicas conjuntas de las Fuerzas Armadas.

Las amenazas por otro lado han incluido un alto número de ciberataques maliciosos contra nuestra infraestructura crítica nacional, infraestructura tecnológica con problemas de obsolescencia, altos costos para la adquisición de tecnología y marcos legales y regulatorios desactualizados, todos los cuales nos han dejado vulnerables. Además, es necesario abordar los desafíos relacionados con la falta de presupuesto sostenido y la escasez de personal especializado en ciberseguridad en las organizaciones, y necesitamos construir sistemáticamente una cultura de ciberseguridad para que las personas y las empresas sepan cómo protegerse en línea.

Por lo tanto, hemos decidido mejorar la resiliencia cibernética de la sociedad ecuatoriana lanzando una nueva Estrategia Nacional de Ciberseguridad. Teniendo en cuenta las iniciativas anteriores, las conclusiones de las amplias consultas con las múltiples partes interesadas y las mejores prácticas internacionales, esta estrategia se elaboró en estrecha cooperación con actores nacionales e internacionales y tiene por objeto establecer la dirección y los objetivos para los próximos tres años (2022-2025).

PILAR 1. GOBERNANZA Y COORDINACIÓN NACIONAL

Versión 1.1

Indicadores

Objetivo 5.3: Permitir que el sistema educativo imparta conocimientos y fortalezca habilidades en materia de ciberseguridad

Objetivo 2.1: Adoptar un marco integral para la identificación, orientación y supervisión de los operadores de infraestructuras de información críticas nacionales

● Efectuar un análisis exhaustivo del marco legal y regulatorio en todo el ámbito de la ciberseguridad para evaluar la exhaustividad y la claridad, determinar las “lagunas legales” y aclarar cualquier necesidad adicional de adopción y armonización de la legislación y los reglamentos.

● Identificar las dependencias de telecomunicaciones para la respuesta y comunicación de emergencia. Expedir regulaciones a los proveedores de redes de telecomunicaciones para que tengan redes con opciones de redundancia adecuadas.

Se establecerán planes de gestión de crisis para preparar la gestión de crisis cibernéticas en las instituciones gubernamentales y el sector privado. Se establecerán y adelantarán rutinas de ejercicio para practicar la gestión de situaciones de incidente y crisis mediante pruebas de recuperación en caso de fallo, a fin de garantizar una comprensión clara de las capacidades técnicas, las líneas de comunicaciones y las rutinas de escalada.

●Establecer la configuración de la estrategia de auditoría de seguridad de la información

● Establecer normas nacionales de referencia que se apliquen a todos los operadores de IIC tanto en operadores de IIC del sector privado como en activos de IIC dentro de las instituciones gubernamentales

PANORAMA NACIONAL DE CIBERSEGURIDAD, DESAFÍOS Y OPORTUNIDADES

La Estrategia Nacional de Ciberseguridad y su plan de implementación irán acompañados de una sólida gobernanza, incluido un examen periódico de implementación del plan, ajustes ágiles durante el período de la estrategia y un ciclo de vida completo previsto con la experiencia adquirida en el nuevo período de la estrategia. La planificación estratégica y el seguimiento se apoyarán en la supervisión cuantitativa del panorama de riesgos y los progresos mediante mediciones e indicadores clave, que luego se incorporarán a los procesos nacionales de adopción de decisiones estratégicas y permitirán una asignación optimizada de los recursos para garantizar los progresos con una perspectiva clara ponderada por el riesgo. Los objetivos estratégicos se cubrirán mediante la planificación presupuestaria tanto en términos de gastos de funcionamiento como de inversiones específicas por única vez, incorporando el presupuesto nacional y los mecanismos de apoyo.

Gestión de riesgos y resiliencia, que permiten a las personas y entidades el desarrollo libre, fiable y seguro de sus actividades en el entorno digital.

● Establecer una visión holística para la asignación de recursos para el cumplimiento de los objetivos estratégicos de la estrategia nacional de acuerdo con el plan de implementación, que es supervisado por el Comité Nacional de Ciberseguridad. El presupuesto incluiría los gastos ordinarios, la incorporación en el presupuesto nacional y también la asignación específica de recursos para proyectos o iniciativas, financiados por programas especiales. Las fuentes de financiación podrían ser internas o de donantes internacionales.● Establecer un mecanismo de seguimiento y presentación de informes periódicos para los indicadores clave de rendimiento y los indicadores clave de riesgo de la ciberseguridad a fin de sondear la situación y las tendencias de la ciberseguridad a nivel nacional.

Ecuador no cuenta actualmente con un plan nacional coordinado para fomentar las inversiones y los recursos para la educación y la sensibilización en materia de ciberseguridad y los planes de estudio escolares no abordan el tema de manera sistemática. Las universidades ofrecen algunos cursos relacionados con la ciberseguridad en universidades públicas y privadas y debaten sobre la necesidad de seguir desarrollando programas de estudios e investigaciones específicos sobre ciberseguridad.

Objetivo 5.2: Reforzar las habilidades de ciberseguridad necesarias en las múltiples partes interesadas

Objetivo 1.2: Apoyar a una comunidad sólida y bien conectada de expertos en ciberseguridad de las múltiples partes interesadas

Los principios rectores de la estrategia tienen por objeto dirigir y orientar las actividades de todos los actores nacionales que trabajan en pro de la visión y el objetivo general de la Estrategia Nacional de Ciberseguridad. Su objetivo es garantizar que las acciones e iniciativas en materia de ciberseguridad sean holísticas, coherentes y estén en concordancia con los valores fundamentales compartidos.

Entregable: Aprobación de perfil y rol del OSI en el Ministerio del Trabajo

Responsable: Mintel

Acción: Desarrollar e implementar un programa de capacitación permanente sobre prevención, respuesta y recuperación de incidentes cibernéticos para el personal de TI en las instituciones gubernamentales a fin de prepararlos para responder a los incidentes a medida que ocurren

Acción: Organizar ejercicios nacionales de ciberseguridad para probar la eficacia de los planes de contingencia. Entregable: Ejercicios nacionales de ciberseguridad Responsable: Mintel Soporte: Comité Nacional de Ciberseguridad, Ministerio de Defensa Plazo: Mediano y largo plazo

Objetivo 1: Continuar desarrollando capacidades de respuesta y gestión de incidentes y el CERT nacional.

Soporte: Mintel

Responsable: Mintel

Entregable: Marco de Gobernanza

Acción: Establecer y poner en marcha un marco de gobernanza con las funciones y responsabilidades prescritas

● Crear un programa de formación continua sobre prevención, respuesta y recuperación de incidentes cibernéticos para el personal de TI y Oficiales de Seguridad de la Información de las instituciones gubernamentales a fin de prepararlos para responder a los incidentes a medida que se producen.

● Crear un programa de formación continua sobre prevención, respuesta y recuperación de incidentes cibernéticos para el personal de TI y Oficiales de Seguridad de la Información de las instituciones gubernamentales a fin de prepararlos para responder a los incidentes a medida que se producen.

● Establecer una visión holística para la asignación de recursos para el cumplimiento de los objetivos estratégicos de la estrategia nacional de acuerdo con el plan de implementación, que es supervisado por el Comité Nacional de Ciberseguridad. El presupuesto incluiría los gastos ordinarios, la incorporación en el presupuesto nacional y también la asignación específica de recursos para proyectos o iniciativas, financiados por programas especiales. Las fuentes de financiación podrían ser internas o de donantes internacionales.

● Establecer un marco institucional funcional con las funciones y responsabilidades prescritas de todos los agentes gubernamentales pertinentes en materia de ciberseguridad que abarque todos los objetivos estratégicos de la estrategia nacional.

Varios documentos estratégicos nacionales y de política de alto nivel ya han reconocido objetivos estratégicos relacionados con la ciberseguridad. Por consiguiente, esta estrategia garantiza la continuidad con las iniciativas existentes y las mejora aún más.

Salvaguardar los derechos humanos y los valores fundamentales de las personas, incluida la libertad de expresión, la libre circulación de la información, la confidencialidad de la información y las comunicaciones, entre otros.

Acción: Establecer y ejecutar un programa de fortalecimiento de las capacidades de ciberseguridad y ciberdefensa de los responsables de la infraestructura informática en las unidades militares.

Acción: Elaborar una propuesta de Estrategia de Ciberdefensa para el sector militar del país