Reese RESOLUCION No. SEPS-IGS-IGT-IGJ-IGDO-INGINT-INTIC-INSESF-INR-DNSI- 2022-002 SOFIA MARGARITA HERNANDEZ NARANJO SUPERINTENDENTE DE ECONOMIA POPULAR Y SOLIDARIA CONSIDERAND! Que, la Constitucién de la Repiblica del Ecuador, en su articulo 66, numeral 19, prescribe: “Se reconoce y garantizard a las personas: (...) 19. El derecho a la proteccién de datos de carécter personal, que incluye el acceso y la decisién sobre informacién y datos de este caricter, asi como su correspondiente proteccién. La recoleccién, archivo, procesamiento, distribucién 0 difusién de estos datos 0 informacién requerirdn la autorizacién del titular o el mandato de ta ley”, Que, el articulo 82 de la Norma Suprema dispone: “EI derecho a ta seguridad juridica se fundamenta en el respeto a la Constitucion y en la existencia de normas juridicas previas, claras, ptblicas y aplicadas por las autoridades competentes"; Que, el articulo 226 ibidem seitala: “Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores piiblicos y las personas que acttien en virtud de una potestad estatal ejercerdn solamente las competencias y facultades que les sean atribuidas en la Constitucién y ta ley. Tendrén el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constituctén"; Que, el articulo 283, inciso segundo ejusdem establece: “(...) El sistema econdmico se integraré por las formas de organizacién econdmica pidblica, privada, mixta, popular y solidaria, y las demés que la Constiucién determine. La economia popular y ‘solidaria se regulara de acuerdo con la ley ¢ incluird a los sectores cooperativistas, ‘asoviativos y conunitarios”; Que, el Cédigo Orginico Monetario y Financiero regula los sistemas monetario y finaneiero, asi como los regimenes de valores y seguros del Ecuador; Que, cl articulo 13 del Libro 1 de dicho Cédigo crea la Junta de Politica y Regulacién Financicra, parte de la Funcién Ejecutiva, responsable de la formulacién de la politica yrregulacién, crediticia, financiera, de valores, seguros y servicios de atencién integral de salud prepagada; Que, cl numeral 7 y cl titimo inciso det articulo 62 det aludido Cédigo, en concordancia con el ultimo inciso del articulo 74, establece como una de las funciones de la Superintendencia de Economia Popular y Solidaria,: * 7. Velar por la estabilidad, solides y correcto funcionamiento de las emtidades sujetas a su control y, en general, vigilar que cumplan las normas que rigen su funcionamiento, las actividades financieras que presten, mediante la supervision permanente preventiva extra situ y visitas de inspeceién in situ, sin restriccién alguna, de acuerdo a las mejores pricticas, que permitan determinar la situacién econémica y financiera de tasZz SUPERINTENDENCIA e@ 5 AIRY SOLARA Que, Que, Que, Que, Que, emtidades, el manejo de sus negocios, evaluar la calidad y control de la gestién de riesgo y verificar la veracidad de la informacién que generan; (..) La superintendencia, para el cumplimiento de estas funciones, podré expedir todos las actos y contratos que fueren necesarios. Asimisnio, podré expedir las normas en Jas materias propias de su competencia, sin que puedan alterar 0 innovar las disposiciones legales ni las regulaciones que expida la Junta de Politica y Regulacién Financiera”’ elarticulo 163 del referido Cédigo determina que las cooperativas de ahorro y crédito, las asociaciones mutualistas de ahorro y crédito para la vivienda, cajas centrales, de servicios auxiliares del sistema financiero, entre otras, forman parte del financiero popular y solidario; el articulo 387 del citado Cédigo previene que es competencia de la Superintendencia de Economia Popular y Solidaria el control de las actividades financieras de las entidades del Sector Financiero Popular y Solidario y de la entidad financiera piiblica a la que se refiere la Ley Orgénica de Economia Popular y Solidaria; los articulos 434 y 436 ibidem en su parte pertinente, en su orden, disponen: “Naturaleza. Los servicios auxiliares serin prestados por personas juridicas no financieras constituidas como sociedades anénimas o compaitias limitadas, euya vida Juridica se regiré por las disposiciones de ta Ley de Compaitias. El objeto social de estas compatiias serd clarantente determinado. (...)" “Calificacién. Las compaitias, para prestar los servicios auxiliares a las entidades del sistema financiero nacional, deberdn calificarse previamente ante el organismo de control correspondiente, la que como parte de la calificacién podré disponer ta reforma del estatuto social y el ineremento del capital, con el propésito de asegurar su solvencia. (...)"; el articulo 444 ejusdem determina que: “Regulacién y control. Las entidades financieras populares y solidarias estin sometidas a ta regulacién de la Junta de Politica y Regulacién Financiera y al control de la Superintendencia de Economia Popular y Solidaria, quienes en las politicas que emitan tendrén presente la naturaleza y caracteristicas propias del sector financiero solidario”; la Disposicién Transitoria Quincuagésima Cuarta ibidem determina: “Régimen transitorio de Resoluciones de la Codificacién de la Junta de Politica y Regulacién Monetaria y Financiera, Las resoluciones que constan en la Codificacién de Resoluciones Monetarias, Financieras, de Valores y Seguros de ta Junta de Politica y Regulacién Monetaria y Financiera y las normas emitidas por los organismos de ‘control, mantendran sw vigencia hasta que la Junta de Politica y Regulacic Moneiaria y la Junta de Politica y Regulacién Financiera resuelvan lo que corresponda, en el dmbito de sus competencias”; el literal b), del articulo 151 de la Ley Orginica de Economfa Popular y Solidaria determina enire las atribuciones del Superintendente de Economia Popular y Solidaria, la de: “Dictar las normas de control (...)",(ry sererntenvencia Que, Que, Que, Que, Que, Que, Que, Que, el articulo 158 de la aludida Ley Organica crea la Corporacién Nacional de Finanzas Populares y Solidarias, como una entidad financiera de derecho piblico; el articulo 165 del citado cuerpo legal establece que la Corporacién Nacional de Finanzas Populares y Solidarias CONAFIPS estard sometida al control y supervision de la Superintendeneia de Economia Popular y Solidaria, y tendré una unidad de auditoria interna encargada de las funciones de su control intemo; en la Codificacién de Resoluciones Monetarias, Financicras, de Valores y Seguros, en el Libro I “Sistema Monetario y Financiero”, Titulo Il “Sistema Financiero Nacional”, Capitulo XXXVI “Sector Financiero Popular y Solidario”, consta 1a n Ill, “NORMAS PARA LA ADMINISTRACION INTEGRAL DE RIESGOS EN LAS COOPERATIVAS DE AHORRO Y CREDITO, CAJAS CENTRALES Y ASOCIACIONES MUTUALISTAS DE AHORRO Y CREDITO PARA LA VIVIENDA”, cuya Disposicién General Cuarta determina que la Superintendencia de Economia Popular y Solidaria podra emitir las normas de control necesarias para su aplicacién; cn la Codificacién ibidem, cn el Libro I “Sistema Monetario y Financiero”, Titulo IL “Sistema Financiero Nacional”, Capitulo XXXVII “Sector Financiero Popular y Solidario”, consta la Seccién VIII “NORMA PARA LA ADMINISTRACION INTEGRAL DE RIESGOS DE LA CORPORACION NACIONAL DE FINANZAS POPULARES Y SOLIDARIAS”; cuya Disposicién General Segunda determina que la Superintendencia de Economia Popular y Solidaria podri emitir las normas de control necesarias para su aplica mediante Resolucién No, SEPS-IGT-IR-IGJ-2018-021, de 13 de julio de 2018, la Superintendencia de Economia Popular y Solidaria emitié la “Norma de control respecto de la seguridad fisica y electrénica”, reformada por la Resolucién No. SEPS-IGT-IR-IGJ-2018-0259, de 10 de octubre de 2018; mediante Resolucién No. SEPS-IGT-IR-IGJ-2018-0279, de 26 de noviembre de 2018, la Superintendencia de Economia Popular y Solidaria emitié la “Norma de control para la administracién del riesgo operativo y riesgo legal en las entidades del Sector Financiero Popular y Solidario, bajo el control de la Superintendencia de Economia Popular y Solidaria”, reformada por las resoluciones Nos. SEPS-IGT-AR- IGJ-2018-0284 de 13 de diciembre de 2018 y SEPS-IGT-IGS-INR-INGINT-2020- 0221 de 2 de junio de 2020; mediante Resolucion No. SEPS-IGT-IGS-INFMR-INGINT-1GJ-2020-0153, de 12 de mayo de 2020, la Superintendencia de Economia Popular y Solidaria emitio la “Norma de control sobre los principios y lineamientos de educacién financiera” s necesario que la Superintendencia de Economéa Popular y Solidaria expida una norma de control para la seguridad de la informacién que coadyuve al fortalecimiento de los procesos internos de las entidades del Sector Financiero Popular y Solidario, bajo el control de la Superintendencia de Economia Popular y Solidaria; y, re)By SUPERINTENDENCIA SONOMA POP DARA Que, en virtud de la Resolucién Nro, PLE-CPCCS-T-0-081-13-08-2018, emitida por el Consejo de Participacién Ciudadana y Control Social Transitorio el 13 de agosto de 2018, el pleno de la Asamblea Nacional posesiond como Superintendente de Economia Popular y Solidaria a la doctora Sofia Margarita Hemandez Naranjo, el 04 de septiembre de 2018. En ejercicio de sus atribuciones y funciones, resuelve expedir la siguiente: NORMA DE CONTROL RESPECTO A LA SEGURIDAD DE LA INFORMACION EN LAS ENTIDADES DEL SECTOR FINANCIERO POPULAR Y SOLIDARIO BAJO CONTROL DE LA SUPERINTENDENCIA DE ECONOMIA POPULAR Y SOLIDARIA, CAPITULO AMBITO, OBJETO, REGIMENES Y DEFINICIONES Articulo 1.- Ambito.- Las disposiciones de la presente norma, de acuerdo a su segmento, aplicarin para: a) Las cooperativas de ahorro y crédito, asociaciones mutualistas de ahorro y crédito para la vivienda y cajas centrales, en adelante denominadas “entidad 0 entidades”; y, a la Corporacién Nacional de Finanzas Populares y Solidarias, en lo sucesivo CONAFIPS; y, ) Las compafias y organizaciones de servicios auxitiares que prestan servicios a las actividades financieras de las entidades y CONAFIPS, en adelante “empresas”. Articulo 2.- Objeto.- La presente norma tiene por objeto regular los niveles minimos para la administracién de seguridad de ta informacién que las entidades, Ia CONAFIPS y las empresas, deben definir ¢ implementar con el fin de resguardar y proteger sus activos de informacién, preservando su confidencialidad, disponibilidad e integridad. Articulo 3.~ Regimenes.- Para efectos de esta norma, se aplicarin los siguientes regimenes: 1, Régimen general: a las cooperativas de ahorro y erédito de los segmentos 1 y 2; a las asociaciones mutualistas de ahorro y erédito para la vivienda y ala CONAFIPS; 2. Régimen especial: a las cooperativas de ahorro y crédito del segmento 3; y, 3. Régimen simplificado: a las cooperativas de ahorro y crédito de los segmentos 4 y 5. A las empresas se aplicarin los regimenes anteriores segim el tipo de servicio que presten, de acuerdo con la siguiente tabla: ipos de Servicios Auxiliares General] Especial | Simplificado Software finaneiero y computacion x “Transaccionales y de pago x ‘Transporte de especies monetarias y de valores |__| x Red de cajeros automaticos x Cobranzas x [Generadoras de cartera xSUPERINTENDENCIA BE ECONOMIA POUR Y SCUDARH ‘Administradoras de tarjetas Tx - Giro inmobiliario x Servicios contables x Articulo 4.- Definiciones.- Para Ia aplicacién de esta norma, se considerarin las siguientes definiciones: - Active de informacién: se consideran a los servicios o herramientas creados o utilizados en medios digital, fisico, electromagnético y otros; hardware o software, utilizados para cl procesamiento, transferencia o almacenamiento de informacién; y, cualquier dato que tenga informacién valorada por la entidad, CONAFIPS empresa, Autorizacién de restringidas, a dis autenticacion. = Bitdcora de eventos de riesgos: registro de eventos de riesgo durante un periodo en particular. Se registrara acorde a la “Norma de control para la administracién del riesgo ‘operativo y riesgo legal en las entidades del Sector Financiero Popular y Solidario bajo cl control de la Superintendencia de Economia Popular y Solidaria”. ar: es el proceso mediante el cual Ia informacién 0 archivos son transformados en forma logica y controlada, con el objetivo de evitar que alguien no autorizado pueda interpretarlos, verlos 0 copiarlos. ~ Confidencialidad: es la propiedad por la que se garantiza que la informacién es accesible solo al personal autorizado. esos: acto por el cual se permite el acceso de los usuarios a zonas tos equipos y/o servicios, después de haber superado el proceso de = Disponibilidad: acceso a la informacién en el tiempo y forma en que ésta sea requerida, = Informacién: es cualquier forma de registro fisico, electrénico, dptico, magnético o en otros medios, previamente procesado a partir de datos, que puede ser almacenado y distribuido. = Integridad: ¢s la cualidad de que Ia informacién se mantiene inalterada y completa, = ISOMEC 27000: Se refiere a In Norma Técnica emitida por el Servicio Ecuatoriano de Normalizacién, INEN, NTE INEN-ISO/IEC 27000 Cuarta ediciin 2016-11 TECNOLOGIAS DE LA INFORMACION — TECNICAS DE SEGURIDAD — SISTEMAS DE GESTION DE SEGURIDAD DE LA INFORMACION DESCRIPCION GENERAL Y VOCABULARIO (ISO/IEC 27000:2016, IDT) = Partes interesadas: son todas las personas naturales o juridicas que, de alguna forma, puedan verse afectadas por In actividad de la entidad, de la CONAFIPS 0 de la empresa, - SGSI: Sistema de Gestién de Seguridad de la Informacién, = Zonas restringidas: son aquellas que requieren de una autorizacién de acceso. CAPITULO IL SEGURIDAD DE LA INFORMACION ~ REGIMEN GENERAL Articulo 5. Régimen General informacion: a) El Consejo de Administracién 0 el Directorio, segin corresponda; b) El Comité de Seguridad de la Informacién (CSD; ©) ElGerente General o Representante Legal; Ww Conforman el régimen general de seguridad de laSUPERINTENDENCIA JOVIA POPULAR Y SOLDARA 4d) La Unidad 0 Departamento de Segut e) El Oficial de Seguridad de la Informaci jad de la Informacién; y, (OSD. Articulo 6.- Comité de Seguridad de Ia Informacién (CS1).- Las entidades, empresas y la CONAFIPS que conforman este régimen, deberdn contar con un Comité de Seguridad de la Informacién (CSI), conformado por los siguientes miembros a) El presidente del Comité de Administracién Integral de Riesgos, quien presidird también el Comité de Seguridad de la Informacién y tendra voto dirimente; b) El Gerente General o representante legal; ©) Eloficial de seguridad de la informacion, quien actu: 4) El responsable del area de tecnologia o su delegado; y, ©) Un delegado de Auditoria Intern 4 como secretario del Comité; El Comité podra invitar a las sesiones a los responsables de las areas de negocio que juzeue del caso, quienes tendrin voz pero no voto. Articulo 7.- Sesiones del Comité de Seguridad de la Informacién.- Las sesiones del Comité de Seguridad de la Informacién (CSI), se instalarin con la asistencia de al menos tres de sus miembros, entre los cuales debera estar presente su presidente, El Comité sesionaré de manera ordinaria al menos dos veces al afio. Podré reunirse extraordinariamente cuando el presidente lo convoque por iniciativa propia, 0 a peticién de uuno de sus miembros y/o cuando por eventos de fuerza mayor 0 caso fortuito lo amerite, En las sesiones extraordinarias se tratardn tinicamente los puntos del orden de! dia, Las decisiones sera tomadas por mayoria de votos. Las convocatorias tendran el orden del dia y deberdn ser comunicadas por el presidente con, al menos, cuarenta y ocho horas de anticipacién, excepto cuando se trate de sesiones extraordinarias que podrén ser convocadas en cualquier momento. Las sesiones podrin real se de manera presencial, o por cualquier medio teenolégico, Las resoluciones constarin en las respectivas actas, las que deberd elaborar el seeretario del Comité, quien ademas las fechard y numerard en forma secuencial, asi como estaran s por los asistentes. Serd responsabilidad del secretario la custodia de las actas bajo principios de confidencialidad, integridad y disponibilidad de la informacién, Articulo 8.- Unidad 0 Departamento de Seguridad de la Informacién. Las entidades, empresas y la CONAFIPS que conforman este régimen, deberdn contar con una Unidad 0 Departamento de Seguridad de la Informacion, liderado por el Oficial de Seguridad de la Informacién (OSI), quien debe tener titulo universitario de tercer nivel y evidenciar al menos 40 horas de capacitacién en seguridad de Ia informacién en los dos afios inmediatamente anteriores al ejercicio de sus funciones. Dicha Unidad o Departamento, debe estar adsei la Gerencia General 0 representante legal Articulo 9.- Requisitos obligatorios para et Régimen General.- Las entidades, empresas y la CONAFIPS pertenecientes a este régimen deberdn contar con al menos, lo siguiente: a) Plan Estratégico de Seguridad de la Informacién; 5 7(ay SureRINTENDENCIA b) Plan de Recursos (técnicos, humanos, financieros) para seguridad de la informacién; ©) Plan de Gestion de Riesgos de Seguridad de la Informacién. Al efecto podrin tomar como referencia el Anexo 2 de esta resolucién; 4) Plan de Coneienciacién y Formacién de Seguridad de la Informacion; ©) Politicas, procesos, procedimientos, roles y responsabilidades para la gestién de seguridad de la informacién y del SGSI; 1) Los requerimientos sefialados en el Anexo 1 de esta resolucién, correspondiente al Régimen General; y, g) Sistema de Gestién de Seguridad de la Informacién (SGSD. Articulo 10. Sistema de Gestién de Seguridad de la Informacién (SGSI).- Las entidades, empresas. y Ia CONAFIPS que conforman este régimen, deberdn implementar y mantener un SGSI, orientado a garantizar la adecuada gestién de seguridad de Ia informacién, con base cn la serie de estindares ISO/IEC 27000, y acorde a la normativa legal vigente. Para establecer el aleance del SGSI, ademtis de lo previsto en el articulo anterior y la serie de estdndares ISO/IEC 27000, deberin considerar: 1) Definicién de tipos de informacién con criterios de integridad, confidencialidad y disponibilidad; y, 2) Identificacién y clasificacién de activos de informacién, que contendra: a) Personas; b) Process agregadores de valor y/o catalo ©) Unidades intervinientes en los procesos; 4) Infraestructura tecnolégica; ©). Ubicaciones fisicas y puntos de aten méviles, corresponsales solidarios; y, ) Relaciones con personas naturales y/o juridicas que pudieren acceder a informacién critica o sensible. zados como sensibles o criticos; n, oficina matriz, sucursales, agencias, puntos Articulo 11.- Medidas de Seguridad de la Informacién (controles).- Las entidades, empresas y la CONAFIPS que conforman este régimen, al implementar el SGSI, deberan adoptar las medidas de seguridad de informacién observando los controles especificos enumerados en la norma técnica ISO/IEC 27002 0 las que las sustituyan, de acuerdo al anilisis de riesgos establecido. Ademas deberdn implementar los controles obligatorios previstos para este Régimen, en el Anexo I. Articulo 12. Responsabilidades de la gestion de seguridad de la informacién.- Los Srganos internos de dichas entidades, empresas y la CONAFIPS, ademas de las responsabilidades previstas en Ia normativa legal vigente, deberan cumplir con lo deserito a continuacién, para una gestién adecuada de la seguridad de la informacion: 1, Consejo de Administracién 0 Directorio: a) Aprobar el Plan Estratégico de Seguridad de la Informacién, el mismo que debe estar alincado al Plan Estratégico de la entidades, empresas y la CONAFIPS; b) Aprobar los recursos humanos, técnicos y financieros que sean necesatios; ©) Aprobar politicas, procesos, procedimientos, roles y responsabilidades; 4) Aprobar el Plan de Concienciacién y Formacian; y, e) Aprobar el Plan de Gestion de Riesgos de Seguridad de la Informacién. ) wJUPERINTENDENCIA SMA POPULAR Y SOLDARA 2. Comité de Seguridad de la Informacién (CS Administracién 0 al Directorio, segin corresponda a) El Plan Estratégico de Seguridad de la Informacién; b) Los recursos humanos, técnicos y financieros necesarios para la gestion de seguridad de la informacion y verificar que su inversién sea eficiente y efieaz para el logro de los objetivos estratégicos; ©) Las politicas, procedimientos, roles y responsabilidades para la gestién de segun la informacién y del SGSI; 4) El Plan de Concienciacién y Formacién de su personal, en temas concemientes a seguridad de la informacién; y, ©) El Plan de Gestién de Riesgos de Seguridad de la Informacién y verificar que esté alineado al Plan de Administracién de Riesgos. ~ Deberi proponer al Consejo de dde Ademis de lo sefialado en el numeral anterior, el Comité de Seguridad de la Informacién, deberd aprobar la implementacin de controles de seguridad de la informacién, propuestos por el Oficial de Seguridad de la Informacién (OSI); informar los riesgos de seguridad de ka informacién al Comité de Administracién Integral de Riesgos, para su consolidacién en la matriz de riesgos y su seguimiento; y, evaluar, dirigir, monitorear y supervisar la gestion de seguridad de la informacion y del SGSI. 3. Gerente general o representante legal: a) Liderar la gestién de seguridad de la informacién y el SGSI, de acuerdo con las disposiciones del Consejo de Administracién 0 del Directorio y lo dispuesto en esta norma; b) Designar al Oficial de Seguridad de la Informacion (OSD; y ©) Coordinar la participacién activa de todas las partes interesadas que intervienen en el SGSI y en la gesti6n de seguridad de la informac 4. Oficial de Seguridad de la Informaci Entre sus responsabilidades, tendra las siguientes: a) Desarrollar, gestionar y monitorear el Plan Estratégico de Seguridad de la Informacién y el SGSI; b)_Diseiar y proponer las politicas, procesos, procedimientos, roles y responsabilidades para la gestién de seguridad de la informacién y del SGSI, al Consejo de Administracion; ©) Solicitar la asignacién de los recursos humanos, técnicos y financieros necesarios para la gestién de seguridad de la informacién, y velar que los mismos sean utilizados de forma éficiente y eficaz, alineados con los objetivos estratégicos institucionales; 4) Elaborar, implementar, mantener y actualizar las politicas, procesos, procedimientos, metodologias, planes y controles concemientes a la gestion de seguridad de la informacién, del SGSI, su mejora continua; y, una vez aprobados, difundirlos al personal que corresponde; ©) Desarrollar y ejecutar los Planes de Concienciacién y Form concernientes a seguridad de la informacién; ) Coordinar y supervisar, con los responsables de los procesos del negocio, la mplementacién efectiva de los controles de seguridad de la informacién, establecidos en el plan de gestién de riesgos; 2) Desarrollar, coordinar, ejecutar, evaluar, proponer y comunicar el Plan de Gestién de Riesgos de Seguridad de la Informacién; a su personal, en temasSUPERINTENDENCIA h) Coordinar las actividades para Ia gestion de seguridad de la informacion y del SGSI, incluyendo su implementacién y seguimiento; i) Definir, ejecutar y mantener procedimientos para la gestion de incidentes de seguridad de la informacién; J) Velar que los involuerados internos y/o externos cuenten con los conocimientos ¥ capacitacién necesaria para el cumplimiento de sus roles y responsabilidades para la ejecucidn de procedimientos de respuesta ante incidentes;, Ejecutar los procedimientos y lineamientos establecidos, cuando se identifiquen incidentes de seguridad de la informacién; 1) Informar, de acuerdo con la normativa pertinente, los incidentes de seguridad de la informacién catalogados como sensibles 0 criticos, a las instituciones pablicas que correspondan; m) Participar en la evaluacién de las amenazas de seguridad de la informaci medidas de mitigacién; n) Asesorar en materia de seguridad de Ia informacién, a través de su participacién en los proyectos que involucren el manejo de informacion sensible o critica de la misma, de sus socios, clientes y usuarios ©) Recomendar medidas correctivas adicionales en temas relacionados de seguridad de Ia informacién, alineadas al Anexo 1, Régimen General y/o alineadas a buenas pricticas; p) Verificar que los servicios prestados por personas naturales o juridicas cumplan con las politicas de seguridad de la informacin establecidas; y, 4) Generar la documentacién que evidencie la gestién de Ia seguridad de la informacién y del SGSI. y proponer 5, Auditor interno: a) Verificar la efectividad de las medidas implementadas por la Uni informacién; 1b) Custodiar los informes de las auditorias y/o prucbas de vulnet Unidad de Seguridad de la Informacién y ponerlos a disposi de Economia Popular y Solidaria, cuando esta lo requiera; y, ©) Recomendar medidas correctivas a la Unidad de Seguridad de la Informacién, \d de Seguridad de la ibilidades realizadas por la nde la Superintendencia Articulo 13.- Evaluacién y cumplimiento.- Las entidades, empresas la CONAFIPS que conforman este régimen, una vez implementado el SGSI, deberin realizar evaluaciones, revisiones, prucbas, exdimenes y actualizaciones, anualmente o cuando se requiera, para dcterminar su efectividad, mediante auditorias intemas y/o de terceros. En funcién de los resultados deberin incorporar las mejoras o adoptar las medidas correctivas, impulsando la mejora continua del SGSI. CAPITULO IL SEGURIDAD DE LA INFORMACION ~ REGIMEN ESPECIAL Articulo 14.- Régimen Especial. Conforman el régimen especial de seguridad de la informacién: a) El Consejo de Administracién o Directorio; b) El Comité de Seguridad de la Informacién (CS); ©) ElGerente General o Representante Legal; y, wSUPERINTENDENCIA DE ECON 4) El Oficial de Seguridad de la Informacién (OSI). Articulo 15.- Comité de Seguridad de la Informacién (CSI).- Las entidades y empresas que conforman este régimen, deberin contar con un Comité de Seguridad de la Informacion (CSD, conformado por los siguientes miembros: a) El presidente del Comité de Administracién Integral de Riesgos, quien presidira también el Comité de Seguridad de la Informacién y tendré voto dirimente; b) El Gerente General o representante legal; ©) El oficial de seguridad de la informacién, quien actuard como secretario del Comité; «) Elresponsable del frea de tecnologia o su delegado: y, ¢) Un delegado de Auditoria Interna Comité podri invitar a las sesiones a los responsables de las dreas de negocio que juzgue del caso, quienes tendriin voz pero no vote. Articulo 16 Sesiones del Comité de Seguridad de la Informacién.- Las sesiones del Comité de Seguridad de la Informacién (CSD), se instalardn con Ia asistencia de al menos tres, de sus miembros entre los cuales deberd estar presente su presidente. El Comité sesionara de manera ordinaria al menos dos veces al ailo, Podré reunirse extraordinariamente cuando el presidente lo convoque por iniciativa propia, 0 a peticion de uno de sus miembros y/o cuando existieren eventos fortuitos o casos de fuerza mayor. En las, sesiones extraordinarias se tratardn iinicamente los puntos del orden del dia. Las decisiones serin tomadas por mayoria de votos. Las convocatorias tendrin el orden del dia y debern ser comunicadas por el presidente con al menos cuarenta y ocho horas de anticipacién, excepto cuando se traten de sesiones extraordinarias que podrin ser convocadas en cualquier momento. Las sesiones se podrin realizar de manera pre de las entidades y empresas. 110 no presencial, de acuerdo al alcance Las resoluciones constardn en las respectivas actas que las deberd elaborar el secretario del Comité, quien las deberd Hevar fechadas y numeradas en forma secuencial y suscritas por los, asistentes, Serd responsabilidad del secretario Ia custodia de las actas bajo principios de confidencialidad, integridad y disponibilidad de la informacién. Articulo 17.- Oficial de Seguridad de Ia Informacién.- Las entidades y empresas que conforman este régimen, deberdn contar con un Oficial de Seguridad de ta Informacion (O81), que tenga conocimientos verificables y demuestre entrenamiento continuo en seguridad de la informacién. Dicho Oficial debe tener titulo universitario de tercer nivel y evidenciar al menos 40 horas de eapacitacién en seguridad de la informacion en los dos aiios inmediatamente anteriores al ejercicio de sus funciones. BI Oficial de Seguridad de la Informacién deberd estar adscrito a la Gerencia General o representante legal. Articulo 18.-Requisitos obligatorios para el Régimen Especial.- Las entidades y empresas pertenccientes a este régimen deberin contar con al menos, lo siguiente:SUPERINTENDENCIA a) Asignacion de recursos humanos, técnicos y financieros para seguridad de la informacién; b) Plan de Gestién de Riesgos de Seguridad de la Informacién. Al efecto, las entidades y ‘empresas podrin tomar como referencia el Anexo 2 de esta resolucién; ©) Plan de Concienciacién y Formacién para Seguridad de Ia Informacién; 4) Politicas, procesos, procedimientos, roles y responsabilidades para Ia gestién de seguridad de la informacién; ©) Los requerimientos sefialados en el Anexo I de esta resolucién, correspondiente al Régimen Especial; 1) Clasificacién e identificacién de tipos de informacién criticos o sensibles con criterios de integridad, confidencialida lidad; y, 2) Identificacién de activos de informacién, tomando en cuenta que contendra 1) Personas; 2) Procesos agregadores de valor y/o catalogados como sensibles 0 criticos; 3) Unidades de las entidades y empresas intervinientes en los procesos; 4) Infraestructura tecnolégica; 5). Ubicaciones fisicas y puntos de atencién, oficina matriz, sucursales, agencias, puntos méviles, corresponsales solidarios; y, 6) Relaciones con personas naturales y/o juridicas que pudieren acceder a informacién critica o sensible. Articulo 19. Medidas de seguridad de la informacién (controles).- Las entidades y empresas que conforman este régimen, para la gestion de seguridad de la informacién, deberan implementar los controles minimos previstos para este Régimen en el Anexo 1 Articulo 20.- Responsabilidades en Ia gestién de seguridad de la informacién.- Los 6rganos interos de dichas entidades y empresas, ademas de las responsabilidades previstas cen la normativa legal vigente, deberin cumplir con lo descrito a continuacién, para una gestién adecuada de la seguridad de la informacién: 1. Consejo de Administracién o Directorio: a) Aprobar a asignacién de los recursos humanos, téenicos y financieros que s necesarios; b) Aprobar as politicas, procesos, procedimientos, roles y responsabilidades; ©) Aprobar los planes de concienciacién y formacién concernientes a seguridad de la informacion; ) Aprobar el Plan de Gestién de Riesgos de Seguridad de la Informacion. 2. Comité de Seguridad de Ia Informacion (CSI) Deberé proponer al Consejo de Administracién: a) La asignacién de los recursos humanos, técnicos y financieros necesarios para Ia gestién de seguridad de la informacién y verificar que su inversién sea eficiente y eficaz para el logro de los objetivos estratégicos de las entidades y empresas; b) Las politicas, procedimientos, roles y responsabilidades para la gestién de s la informacion; ©) Los Planes de Concienciacién y Formacién concernientes a seguridad de la informacién; ¥ 4) ElPlan de Gestidn de Riesgos de seguridad de la informacion y verificar que esté alineado al Plan de Administracién de riesgos de las entidades y empresas, sguridad deSUPERINTENDENCIA Ademés de lo seitalado en el inciso anterior, cl Comité de Seguridad de la Informacién, Geberd aprobar la implementacién de controles de seguridad de la informacién, propuestos por el Oficial de Seguridad de la Informacién (OSI) ¢ informar los riesgos de Seguridad de Ja Informacién al Comité de Administracién Integral de Riesgos, para su consolidacién en la matriz de riesgos y su seguimiento, 3. Gerente general o representante legal: a) Liderar la gestion de seguridad de la informacin de acuerdo con las disposiciones del Consejo de Administracion 0 del Directorio y lo dispuesto en esta norma; b) Designar un Oficial de Seguridad de la Informacién (OSD; y, ©) Promover la participaci va de todas las partes interesadas que intervienen en el proceso y la gestién de seguridad de la informacién, 4. Oficial de Seguridad de Ia Informa siguientes: a) Definir, elaborar, supervisar la ejecucién; mantener y actualizar las politicas, procesos, procedimientos, metodologias, planes y controles concernientes a la gestion de seguridad de la informacién, los cuales deben ser difundidos al personal correspondiente de las centidades y empresas; b) Solicitar la asignacién de los recursos humanos, téenicos y financieros necesarios para la gestién de seguridad de la informacién y velar que los mismos sean utilizados de forma eficiente y eficaz alineados con los objetivos estratégicos institucionales; ©) Disefar y proponer al Consejo de Administracién, las politicas, procesos, procedimientos, roles y responsabilidades, para la gestion de seguridad de la informacion; 4) Desarrollar y ejecutar los Planes de Concienciacién y Formacién a su personal, en te concemnientes a seguridad de la informaci6n; ©) Coordinar y supervisar, con los responsables de los procesos del negocio, Ia implementacidn efectiva de los controles de seguridad de la informacién, establecidos en el plan de gestién de riesgos; asi como, desarrollar, coordinar, ejecutar, evaluar, proponer y comunicar el Plan de GestiGn de Riesgos de seguridad de la informacion; 1) Coordinar las actividades para la gestin de seguridad de la informacion; 2) Ejecutar los procedimientos y lineamientos establecidos cuando se identifiquen incidentes de seguridad de la informacién; h) Informar, de acuerdo con la normativa pertinente, los incidentes de seguridad de la informacién catalogados como sensibles o criticos, a las instituciones piblicas que correspondan; i) Participar en la evaluacién de las amenazas de seguridad de la informacién y proponer medidas de mitigacién; i) Asesorar en materia de seguridad de la informacién, a través de su participacién en los proyectos que involueren el manejo de informacién sensible o critica de Ia misma, 0 de sus socios, clientes y usuarios; k) Recomendar medidas correctivas adicionales en temas relacionados de seguridad de la informacién, alineadas al Anexo 1 y/o a buenas pricticas; 1) Verificar que los servicios brindados por personas naturales o juridicas cumplan con las politicas de seguridad de la informacién establecidas; y, ‘m) Generar la documentacién que evidencie la gestidn de la seguridad de la informacién. entre sus responsabilidades, tendri las 5. Auditor interno: eS)SUPERINTENDENCIA Dé ECONOMIA POPULAR Y SOUDAA a) Verificar la efectividad de las medidas implementadas por el Oficial de Seguridad de la Informacién (OSI); b) Custodiar los informes de las auditorias y/o exdmenes especiales realizados por el Oficial de Seguridad de la Informacién (OSI) y ponerlos a disposicién de la Superintendencia de Economia Popular y Solidaria, cuando esta lo requiera; ¥, ©) Recomendar medidas correctivas al Oficial de Seguridad de la Informacién (OSD. Articulo 21.- Revision y actualizacién.- Las entidades y empresas deberin revisar anualmente y actualizar cuando corresponda, la documentacién referida en la presente norma. CAPITULO IV SEGURIDAD DE LA INFORMACION REGIMEN SIMPLIFICADO Articulo 22.- Régimen Simplificado.- Conforman el régimen simplificado de seguridad de Ja informacién: a) El Consejo de Administra b) El Gerente General o representante legal; y, ©) El Responsable de Seguridad de la Informacién. Articulo 23.- Responsable de Seguridad de la Informacién.- Las entidades y empresas que conforman este régimen, debern contar con un Responsable de Seguridad de la Informacién, quien debe tener conocimientos generales en seguridad de la informacién, tecnologia o gestién de riesgos y reportaré directamente a la Gerencia General o representante legal, Articulo 24.- Requisitos obligatorios para el Régimen Simplificado.- Las entidades y empresas pertenecientes a este régimen deberdn contar con al menos, lo siguiente: a) Politicas, procesos, procedimientos, roles y tesponsabilidades para Ia gestion de seguridad de la informacién; b) Asignacion de recursos umanos, téenicos y financieros para seguridad de la informacién; ©) Actividades de concienciacién y formacién en temas concernientes en seguridad de la informacién; 4) Los requerimientos seftalados en el Anexo 1 de esta resolucién, correspondiente al Régimen Simplificado; y, ©) Registro de los eventos relacionados con seguridad de la informacién en la “Biticora de Eventos de Riesgos”, para lo cual podran basarse en Ia metodologia de riesgos que se adjunta en el Anexo 2 Articulo 25.- Medidas de Seguridad de la Informacién (controles).~ Las entidades y empresas que conforman este régimen, para la gestién de seguridad de Ia informacion, deberin implementar los controles minimos previstos para este Régimen, en el Anexo 1 Articulo 26.- Responsabilidades para la gestion de Seguridad de la Informacién.- Los ‘rganos intemos de dichas entidades y empresas, ademas de las responsabilidades previstas rw)BD SUPERINTENDENCIA en la normativa legal vigente, deberan cumplir con lo descrito a continuacién, para una gestidn adecuada de la seguridad de la informacion: 1, Consejo de Admit a) Aprobar la asignacién de los recursos humanos, técnicos y financieros necesarios; y, b) Aprobar las politicas, procesos, procedimientos, roles y responsabilidades, 2. Gerencia General 0 Representante legal 1a) Liderar la gestién de la seguridad de la informacién de acuerdo con las disposieiones del Consejo de Administracién y lo dispuesto en esta norma, b) Designar a un funcionario en la entidad 0 empresa como Responsable de Seguridad de la Informacién; ©) Identificar y promover la participacién activa de todas las partes interesadas que intervienen en la gestion de seguridad de la informacidn y la gestion de riesgos, asociados a la seguridad de la informacion; y, 4) Aprobar las actividades de coneientizacién y formacién para la seguridad de informacion. 3. Responsable de Seguridad de la Informacién.- Entre sus responsabilidades, tendra las siguientes: a) Proponer actividades de concienciacién y formacién para seguridad de la informaci6n; b) Identificar y gestionar Jos eventos relacionados a seguridad de la informacion y registrarlos en la “Biticora de Eventos de Riesgo”; ©) Blaborar los informes de pruebas y controles establecidos en temas relacionados a seguridad de la informacién; 4) Recomendar medidas correctivas adicionales en temas relacionados a seguridad de la informacién, alineadas al Anexo 1 atinente al Régimen Simplificado y/o a buenas précticas; Verificar que los servicios prestados por personas naturales o juridicas cumplan con las politicas de seguridad de la informacién establecidas; y, ) Generar la documentacién que evidencie la gestién de la seguridad de la informacién, 4. Consejo de Vigilancia: a). Verificar el registro y efectividad de las medidas implementadas en temas relacionados a seguridad de la informacion; b)_Integrar actividades relacionadas a seguridad de la informacién en Plan de Trabajo Anual; ©) Custodiar los informes de las pruebas y controles establecidos y ponerlos a dispo: de la Superintendencia de Economia Popular y Solidaria, cuando esta lo requiera; y, 4) Recomendar medidas correctivas para la gestion de seguridad de la informacién, Articulo 27.- Revisién y actualizacién: Las entidades y empresas que conforman este régimen, deberin revisar anualmente y actualizar cuando correspond, la documentacién referida en la presente norma DISPOSICIONES G ERALES, PRIMERA.- Las entidades, empresas y CONAFIPS, sin perjuicio de la informacion que solicite en cualquier momento este Organismo de Control, deberin reportar a la Superintendencia de Economia Popular y Solidaria, de forma inmediata, los eventos queGes afecten directamente a la continuidad del negocio y a la prestacién de servicios financieros, incluyendo al menos la fecha del incidente, el impacto, ellos sistemas o servicios, y/o actividades afectadas, en la forma y medios que esta Superintendencia establezca para el efecto. SEGUNDA.- Las entidades, empresas y CONAFIPS deberdn solicitar al menos una vez al afio alos prestadores de servicios, sean estos personas naturales o juridicas, la documentacién que demuestre que el servicio prestado cuenta con las revisiones (auditorias, exdmenes especiales, cettificaciones, entre otros) y controles necesarios para una adecuada administracién de la seguridad de la informacién. TERCERA Las entidades, empresas y CONAFIPS, en los contratos de prestacién de servicios que celebren con personas naturales y/o juridieas, deberdn incluir cléusulas cespecificas por las cuales el contratista se obliga a mantener controles para la seguridad de la informacién y proteccién de datos personales, alineados a los esténdares y buenas pricticas de aceptacién intemacional. CUARTA.- Los casos de duda en la aplicacién de la presente norma seriin resueltos por la Superintendencia de Economia Popular y Solidaria, DISPOSICIONES TRANSITORIAS PRIMERA. Las entidades, las empresas y la CONAFIPS implementariin esta norma dentro de los plazos previstos en el siguiente cuadro, contados a partir de la presente fecha: Entidad, empresa y/o : Plazo para Ia implemen CONAFIDS Seemento ae seguri dad de la informacion Cooperativas de ahorro y erédito T 12 meses 2 24 meses 3 36 meses 4y5 24 meses Cajas Centrales [— 12 meses Asociaciones Mutualisias de 12 meses horro y crédito para la vivienda - CONAFIPS | 12 meses ‘Compaiiias y Organizaciones do oi cneses servicios auxiliares _ | SEGUNDA.- El primer oficial de seguridad de la informacién y el primer responsable de seguridad de la informacién, segin corresponda, podrin acreditar el cumplimiento de los requisitos de capacitacién previstos en esta norma, dentro del plazo de 6 meses contados a partir de su designacién o contratacién. La Superintendencia, en casos debidamente justificados y aceptados por este Organismo de Control, podra ampliar dicho plazo por una sola vez.SUPERINTENDENCIA DE ECONOMIA POPULAR ¥50 DISPOSICION FINAL.- La presente resolucién entrar en vigencia a partir de la fecha de cidn en el Registro Oficial Publiquese en el portal web de la Superintendencia de Economia Popular y Solidaria. COMUNIQUESE.- Dado y firmado en Ia ciudad de San Francisco de Quito, Distrito Metropolitano, a 3 de mayo de 2022, myer pode o SOFIA MARGARITA HERNANDEZ NARANJO SUPERINTENDENTE DE ECONOMIA POPULAR Y SOLIDARIA(Fy serenintenvencia ANEXO 1 CONTROLES OBLIGATORIOS DE SEGURIDAD DE LA. FORMACION Las entidades, empresas y/o CONAFIPS controladas, ademas de los requisitos exigidos en Ia presente norma para cada régimen, deberén desarrollar ¢ implementar al menos los siguicntes controles, los mismos que deberin ser revisados con una periodicidad minima anual Controles Seguridad de la Informacion Nombre / Control Deseripeion ‘Gener | Especia | Simplifica a do Politicas, procesos y procedimientos, roles y responsabilidades (Normativa interna de Seguridad dela Informacién) Politicas - Seguridad de la | Las entidades, empresas yo] x x x informaciss CONAFIPS de cada régimen Clasifieacién de | segin corresponda, deberan |x x x informacion al menos contar con el marco | Gestion de riesgos de | de politicas correctamente |x x x seguridad de la | detallado. El contenido de tas, informacién. politics deberé_ estar (Alineada a la Norma de | alineado a los _objetivos control —_para_—_‘la | estratégicos, administracion del riesgo operative y riesgo legal en las entidades del Sector Financiero Popular y Solidario bajo el control de la Superintendencia de Economia Popular y | Solidaria) | - Control de accesos x x fisicos y tecnologicos x x | _ [x x x x infraestructura tecnolégica Seguridad dela x informacion para recursos humanos _ C Seguridad fisica (Alineada a la Norma de control respecto dela seguridad fisicay electronica emitida por Ja Superintendencia_de _ |SUPERINTE! P Nombre / Control Deseripeién Gener al Especia 1 Economia Solidaria) Popular y Gestién con tereeros Ciberseguridad _ Procesos Identifieacién de los pro jeesos agregadores de valor Documento de idemtificacién de procesos agregadores de valor. (Alineada a la Norma de control para la administracion del riesgo operativo y riesgo legal en las entidades de! Sector Financiero Popular y Solidario bajo el control dela Superintendencia de Economia Popular y Solidaria) Las entidades, empresas y/o CONAFIPS de cada régimen | segiin corresponda deberin disponer de un documento evidenciable en el cual se identifique y defina los procesos agregadores de valor. Gestion de vulnerabi lidades ‘Auditorias informaticas Pruebas de penetracion Las entidades, empresas y/o CONAFIPS de cada régimen segin corresponda, deberin CONAFIPS de cada régimen segin corresponda, deberan al menos una vez. al afio: a) Revisar la seguridad de sus activos mediante gjercicios pricticos y controlados, tales como ethical hacking, que simulen varios tipos de amenazas; y, Evaluar la infraestructura y aplicativos que soportan todos los servicios, en diferentes escenarios. Dy Las entidades, empresas y/o x realizar auditorias, | revisiones generales y/o focalizadas —intemas externas. Pentesting, entre otros, |SUPERINTENDENCIA {OMIA POPULAR YSOLOARA, | Nombre / Control Deseripeién Especia 1 Simplifica do Las pruebas y/o ejercicios deberin ser ejecutadas por personas naturales 0 juridicas externas que actediten experiencia en este tipo de evaluaciones, cifrado dea informacian sensible 0 Critica CONAFIPS de cada régimen segiin corresponda, deberan: Plan de mitigacién de los | Las entidades, empresas y/o | x x hallazgos CONAFIPS de cada régimen segiin corresponda, deberin contar con un plan de nde tos hallazgos identificados de las auditorias 0 eximenes realizados. Este plan deberd incluir un andlisis comparativo con los hallazgos —_previamente encontrados en examenes y/o auditorias anteriores. ‘Adquisicidn y desarrollo de software; hardware y servicios. Procedimiento de | Las entidades, empresas y/o] x x adquisicién, desarrollo | CONAFIPS de cada ré de software | segim corresponda, deberin mantenimiento de | disponer de procedimientos sistemas informéticos, | para la adquisicion hardware y servicios. | desarrollo de software, hardware y servicios, en los cuales sé incluyan’ temas relacionados con controles de seguridad de la _ informacién. | Planes de Contingencia teenolégica y continuidad del negocio Planes, procesos | Las entidades, empresas y/o] x x procedimientos de | CONAFIPS de cada régimen Contingencia segin corresponda, deberin tecnolégica y| claborar los planes de continuidad del negocio | contingencia tecnolégica y continuidad del negocio, Dichos planes deberin ser evaluados periédicamente fin de tomar acciones que correspondan, Cifrado Procedimientos de | Las entidades, empresas y/o] xSUPERINTENDENCIA ¥ DEECON Nombre / Control Deseripeién Gener | Especia | Simplifica _— al 1 do a) Disponer de procedimientos, de cifrado de sus datos sensibles 0 conforme al riesgos de seguridad de Ja informacién; y, b) Verificar periédicamente la vigencia de los elementos de cifrado, Procedimientos Tnventario y Clasificacién de informacion (Alineada a la Norma de control para fa administraci6n del riesgo operativo y riesgo legal en las entidades del Sector Financiero Popular y Solidario bajo el control de la Superintendencia de Economia Popular y Solidaria) entificacion de tipos | Las entidades, empresas y/o | x x x | de informacién CONAFIPS de cada régimen Inventario de actives de | segin corresponda, deberin | x x x informacion. __| disponer de un documento Clasificacién de activos | evidenciable en el cual se {x x x de informacién. identifique y cuantifique los tipos yy activos de informacién — considerando | los criterios de disponibilidad, confidencialidad e integridad asi como su custodio, responsable y ubicaci [ Gestion de riesgos Anilisis y evaluacion de | Las entidades, empresas yo] x x x riesgos dela | CONAFIPS de cada régimen aplicaciones, servicios y | segim corresponda deberin activos de seguridad de | disponer de un documento la informacion, evidenciable en el cual se (Alineada a la Norma de | evaltien vulnerabilidades y | control para la | amenazas con el fin de | administracién del | determinar el nivel de riesgo. | riesgo operative y riesgo | Para lo cual pueden usar legal en las entidades del | cualquier método de gestion Sector Finaneieto | de riesgos de seguridad de la Popular y Solidario bajo | informacién, estructuradas y el control de Ja | generalmente —_aceptadas. | Superintendencia de | Podrin tomar como, Economia Popular y | referencia el Anexo 2 de la | Solidaria) presente norma. Respaldos y resguardo de informacion sensible o critica,Grennonse Nombre / Control Deseripeién Gener al Procedimientos y | Las entidades, empresas ylo| x mecanismos de | CONAFIPS de cada régimen resguardo de | segiin corresponda, deberin: informacion fisica_y | a) Respaldar la informacién digital, sensible o critica | sensible o critica (fisica y (Alineada ala Norma de | digital) en lugares. y control para. la) ubicaciones adecuadas,, administracién del | —_considerando Ia tri riesgo operativo yrriesgo| seguridad = dea legal en las entidades del | _informacién; y, Sector Financiero | b) Disponeral menos de un Popular y Solidario bajo | documento evidenciable el control de la| que compruebe el, Superintendencia de | correcto funcionamiento Economia Popular y| de los respaldos. |Solidaria) Cultura de seguridad de la informacion. Plan de capacitacion de | Las entidades, empresas ylo] x x seguridad de la CONAFIPS de cada régimen Informacion, segin corresponda, deberdn: (Alineada a la Norma de | a) Evaluar_periddicamente control sobre. los| el plan de Capacitacién principios y| de Seguridad de la lineamientos de} Informacién; educacién — financiera) | b) Definir dentro del plan de apacitacion indicadores de madurez que pemmitan medir el nivel de aprendizaje; ©) Proporcionar capacitaciones al personal, asi como a proveedores, clientes, socios y usuarios, Gestion de accesos tecnoldgicos. | Procedimiento de | Las entidades, empresas y/o] x x x control de accesos CONAFIPS de cada régimen seqiin corresponda, deberdi Definir los perfiles y roles asignados al personaly establecer el procedimiento para su administracién. Las entidades, empresas y/o | x x CONAFIPS de cada régimen segiin corresponda, deberan: Implementar el registro de los _accesos_a_los_datosNombre/ Control Gener | Especia | Simplifica al 1 do criticos 0 sensibles y las actividades que se realicen sobre estos. (Pistas de auditoria). Zi Gestién de la configuracién. Procedimiento. para | Las entidades, empresas y/o | x x gestion ded | CONAFIPS de cada régimen, configuracién segin corresponda, implementarin procedimientos para la gestién de configuraciones del activo de tecnologias de informacion. Gestin de cambios, control de versiones y mante servicios tecnologias de la informacién. hardware, software y Procedimiento para | Las entidades, empresas y/o |x x gestion de cambios y | CONAFIPS de cada régimen control de versiones en | segiin corresponds, | los servicios de | implementaran | cnologias dea procedimientos de gestién de | formacién. cambios y control de versiones en el que se registten las autorizaciones, ajustes y variaciones que se realicen en los servicios de tecnologia, de una manera __|ordenada y controlada. | Controles tecnolégicos Nombre / Control Deseripeién | Gener | Especia | Simplitiea a | do Arquitectura segura | Las entidades, empresas ylo | x x CONAFIPS de cada régimen in corresponda, deberin disefiar, implementar gestionar, la arquitectura segura para proteger los activos digitales en funcién particularidad contener al menos: a) Unaestrategia de defensa en profundidad; b) Controles de flujo de informacién;ARH Nombre / Control Deseripeién Especia 1 ‘Simplifica do °) ia ©) ‘Aislamiento y segmentacién; Monitoreo y detecci ys ‘Técnicas de cifrado. Monitoreo y deteceion Las entidades, empresas y/o CONAFIPS de cada régimen segin corresponda y de acuerdo a la clasificacién de activos, deberin implementar sistemas que mantengan registros de logs correlacionados de la infraestructura criti petmitansu__deteecidn, | que andlisis y depuracién. Los registros de logs deberdn incluir por lo menos: a) b) °) a e) ) g) Hora del evento; Cambios en los permisos de un archivo; Periodo de operaci Acceso 0 salida de un usuario; Cambios en los datos; Errores y violaciones; y, ‘Tareas fallidas. |SUPERINTENDENCIA ANEXO 2 CONSIDERACIONES PARA LA METODOLOGIA DE RIESGOS Clasificacién de Activos. La clasificacién de activos debera: a) Considerar al menos: aspectos del negocio, tipo de informacién y datos almacenados, importancia a la continuidad del servicio, consecuencias legales c impacto econdmico. b) Categorizar a los activos por su privacidad en: piblico, uso interno y restringido; y, asi valorar su proceso de custodia y control, tomando en cuenta una evaluacién por activo dentro de los cuatro aspectos principales: confidencialidad, integridad, disponibilidad y privacidad, bajo el esquema de criticidad propuesto. Gestion de riesgo. Todas tas entidades, empresas y la CONAFIPS en el andlisis de riesgo institucional deberin incluir un acdpite de seguridad de la informacién que contenga al menos los criterios basicos seffalados por In norma técnica ISO/IEC 27000. Todas las entidades, empresas y la CONAFIPS, deberdn considerar al menos los siguientes aspectos dentro de su metodologia Deseripcién del riesgo. Causa, evento y consecuencia, en el siguiente orden: a) Evento y/o amenaza: es el riesgo identificado en las tareas 0 actividades del proceso y/o stema evaluado; b) Causa y/o vulnerabilidad: es el motivo o razén que podria generar la materializacién del riesgo y dar como resultado pérdidas; y, ©) Consecuencia: es la posibilidad de pérdida 0 materializacién del evento, que puede generar un impacto financiero, por pérdidas o dafios en activos, sanciones y multas por incumplimiento regulatorio y otros. Determinacién del riesgo inherente. Riesgo intrinseco de cada actividad, tomando en cuenta el mapa de calor para determinar la criticidad asi como su calificacién de acuerdo con la siguiente ecuacién: CRITICO ‘ALTO MEDIO BAIO MUY BAJO Nivel de Riesgo de Seguridad = Probabilidad x Impacto Probabilidad = Amenaza x Vulnerabilidad z Implementacién de controles.MRR eeence Incluir controles para la mitigacién del riesgo identificado, tomando en cuenta el presupuesto y la criticidad-probabilidad del riesgo. Evaluar la efectividad de los controles Chasificar a los controles implementados de acuerdo con la siguiente tabla: Efectivo [etestive "0 Inefective prucha |Ieteetivo [Control no formalizado diseiio existente 'a) Control ‘a) Control a) Control 1a) Disefio dela) No se ha existente bien! existente bien] —existente_bien| control disetado disefiado, diseiiado, diseitado. existente,no] al ejecutado ejecutado b) Formalizado en} — permite control. adccuadamente, | adccuadamente. | norma mitigar |b) BI control b) Periodicidad |b) Periodicidad |e) No es ejecutado| —adecuadame| —diseiiado establecida, establecida, adecuadamente: | nte el] fall ‘minimizando minimizando Falla en un| riesgo, continuame exposicién al] expos al] niimero limitado|b) Control mte, por riesgo. riesgo. de débil, tanto no ©) Formalizado en|c) No formalizado. | oportunidades requiriendo | mitiga el norma yo sin la] acciones riesgo periodicidad correctivas. | relacionado. establecida. _ Medicién del riesgo residual. Aquel que permanece después de que las entidades, empresas y la CONAFIPS desarrollen sus respuestas a los riesgos. El riesgo residual refleja el riesgo remanente, una vez que se ha implantado de manera eficaz las acciones planificadas. Para determinarlo se aplicara la misma ecuacién del riesgo inherente. ‘Trata nto del riesgo. Las estrategias de tratamiento para los riesgos de seguridad de Ia informacion, se aplicaran a los riesgos determinados como criticos y altos; es decir, de criticidad relevante, a los cuales se los identificara y se propondrin planes de accién 0 controles. Fl responsable de proponer y darle seguimiento a la ejecucién de los planes de accién, serd el Oficial de Seguridad de la Informacién o quien hiciere sus veces. Para el tratamiento del riesgo se aplicara el siguiente esquema: RIESGO | Asumir Aceptar, convivir con el riesgo y minimizar su impacto. ‘Compartir Acuerdos contractuales que permiten traspasar parcialmente parte del riesgo a un tercero. Mitigar ‘Tomar medidas encaminadas a impedir la materializaci6n de los eventos de riesgo. ‘Transferir | Es el traspaso 20 identificado a terecros.