Reese RESOLUCION No. SEPS-IGS-IGT-IGJ-IGDO-INGINT-INTIC-INSESF-INR-DNSI- 2022-002 SOFIA MARGARITA HERNANDEZ NARANJO SUPERINTENDENTE DE ECONOMIA POPULAR Y SOLIDARIA CONSIDERAND! Que, la Constitucién de la Repiblica del Ecuador, en su articulo 66, numeral 19, prescribe: “Se reconoce y garantizard a las personas: (...) 19. El derecho a la proteccién de datos de carécter personal, que incluye el acceso y la decisién sobre informacién y datos de este caricter, asi como su correspondiente proteccién. La recoleccién, archivo, procesamiento, distribucién 0 difusién de estos datos 0 informacién requerirdn la autorizacién del titular o el mandato de ta ley”, Que, el articulo 82 de la Norma Suprema dispone: “EI derecho a ta seguridad juridica se fundamenta en el respeto a la Constitucion y en la existencia de normas juridicas previas, claras, ptblicas y aplicadas por las autoridades competentes"; Que, el articulo 226 ibidem seitala: “Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores piiblicos y las personas que acttien en virtud de una potestad estatal ejercerdn solamente las competencias y facultades que les sean atribuidas en la Constitucién y ta ley. Tendrén el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constituctén"; Que, el articulo 283, inciso segundo ejusdem establece: “(...) El sistema econdmico se integraré por las formas de organizacién econdmica pidblica, privada, mixta, popular y solidaria, y las demés que la Constiucién determine. La economia popular y ‘solidaria se regulara de acuerdo con la ley ¢ incluird a los sectores cooperativistas, ‘asoviativos y conunitarios”; Que, el Cédigo Orginico Monetario y Financiero regula los sistemas monetario y finaneiero, asi como los regimenes de valores y seguros del Ecuador; Que, cl articulo 13 del Libro 1 de dicho Cédigo crea la Junta de Politica y Regulacién Financicra, parte de la Funcién Ejecutiva, responsable de la formulacién de la politica yrregulacién, crediticia, financiera, de valores, seguros y servicios de atencién integral de salud prepagada; Que, cl numeral 7 y cl titimo inciso det articulo 62 det aludido Cédigo, en concordancia con el ultimo inciso del articulo 74, establece como una de las funciones de la Superintendencia de Economia Popular y Solidaria,: * 7. Velar por la estabilidad, solides y correcto funcionamiento de las emtidades sujetas a su control y, en general, vigilar que cumplan las normas que rigen su funcionamiento, las actividades financieras que presten, mediante la supervision permanente preventiva extra situ y visitas de inspeceién in situ, sin restriccién alguna, de acuerdo a las mejores pricticas, que permitan determinar la situacién econémica y financiera de tasZz SUPERINTENDENCIA e@ 5 AIRY SOLARA Que, Que, Que, Que, Que, emtidades, el manejo de sus negocios, evaluar la calidad y control de la gestién de riesgo y verificar la veracidad de la informacién que generan; (..) La superintendencia, para el cumplimiento de estas funciones, podré expedir todos las actos y contratos que fueren necesarios. Asimisnio, podré expedir las normas en Jas materias propias de su competencia, sin que puedan alterar 0 innovar las disposiciones legales ni las regulaciones que expida la Junta de Politica y Regulacién Financiera”’ elarticulo 163 del referido Cédigo determina que las cooperativas de ahorro y crédito, las asociaciones mutualistas de ahorro y crédito para la vivienda, cajas centrales, de servicios auxiliares del sistema financiero, entre otras, forman parte del financiero popular y solidario; el articulo 387 del citado Cédigo previene que es competencia de la Superintendencia de Economia Popular y Solidaria el control de las actividades financieras de las entidades del Sector Financiero Popular y Solidario y de la entidad financiera piiblica a la que se refiere la Ley Orgénica de Economia Popular y Solidaria; los articulos 434 y 436 ibidem en su parte pertinente, en su orden, disponen: “Naturaleza. Los servicios auxiliares serin prestados por personas juridicas no financieras constituidas como sociedades anénimas o compaitias limitadas, euya vida Juridica se regiré por las disposiciones de ta Ley de Compaitias. El objeto social de estas compatiias serd clarantente determinado. (...)" “Calificacién. Las compaitias, para prestar los servicios auxiliares a las entidades del sistema financiero nacional, deberdn calificarse previamente ante el organismo de control correspondiente, la que como parte de la calificacién podré disponer ta reforma del estatuto social y el ineremento del capital, con el propésito de asegurar su solvencia. (...)"; el articulo 444 ejusdem determina que: “Regulacién y control. Las entidades financieras populares y solidarias estin sometidas a ta regulacién de la Junta de Politica y Regulacién Financiera y al control de la Superintendencia de Economia Popular y Solidaria, quienes en las politicas que emitan tendrén presente la naturaleza y caracteristicas propias del sector financiero solidario”; la Disposicién Transitoria Quincuagésima Cuarta ibidem determina: “Régimen transitorio de Resoluciones de la Codificacién de la Junta de Politica y Regulacién Monetaria y Financiera, Las resoluciones que constan en la Codificacién de Resoluciones Monetarias, Financieras, de Valores y Seguros de ta Junta de Politica y Regulacién Monetaria y Financiera y las normas emitidas por los organismos de ‘control, mantendran sw vigencia hasta que la Junta de Politica y Regulacic Moneiaria y la Junta de Politica y Regulacién Financiera resuelvan lo que corresponda, en el dmbito de sus competencias”; el literal b), del articulo 151 de la Ley Orginica de Economfa Popular y Solidaria determina enire las atribuciones del Superintendente de Economia Popular y Solidaria, la de: “Dictar las normas de control (...)",(ry sererntenvencia Que, Que, Que, Que, Que, Que, Que, Que, el articulo 158 de la aludida Ley Organica crea la Corporacién Nacional de Finanzas Populares y Solidarias, como una entidad financiera de derecho piblico; el articulo 165 del citado cuerpo legal establece que la Corporacién Nacional de Finanzas Populares y Solidarias CONAFIPS estard sometida al control y supervision de la Superintendeneia de Economia Popular y Solidaria, y tendré una unidad de auditoria interna encargada de las funciones de su control intemo; en la Codificacién de Resoluciones Monetarias, Financicras, de Valores y Seguros, en el Libro I “Sistema Monetario y Financiero”, Titulo Il “Sistema Financiero Nacional”, Capitulo XXXVI “Sector Financiero Popular y Solidario”, consta 1a n Ill, “NORMAS PARA LA ADMINISTRACION INTEGRAL DE RIESGOS EN LAS COOPERATIVAS DE AHORRO Y CREDITO, CAJAS CENTRALES Y ASOCIACIONES MUTUALISTAS DE AHORRO Y CREDITO PARA LA VIVIENDA”, cuya Disposicién General Cuarta determina que la Superintendencia de Economia Popular y Solidaria podra emitir las normas de control necesarias para su aplicacién; cn la Codificacién ibidem, cn el Libro I “Sistema Monetario y Financiero”, Titulo IL “Sistema Financiero Nacional”, Capitulo XXXVII “Sector Financiero Popular y Solidario”, consta la Seccién VIII “NORMA PARA LA ADMINISTRACION INTEGRAL DE RIESGOS DE LA CORPORACION NACIONAL DE FINANZAS POPULARES Y SOLIDARIAS”; cuya Disposicién General Segunda determina que la Superintendencia de Economia Popular y Solidaria podri emitir las normas de control necesarias para su aplica mediante Resolucién No, SEPS-IGT-IR-IGJ-2018-021, de 13 de julio de 2018, la Superintendencia de Economia Popular y Solidaria emitié la “Norma de control respecto de la seguridad fisica y electrénica”, reformada por la Resolucién No. SEPS-IGT-IR-IGJ-2018-0259, de 10 de octubre de 2018; mediante Resolucién No. SEPS-IGT-IR-IGJ-2018-0279, de 26 de noviembre de 2018, la Superintendencia de Economia Popular y Solidaria emitié la “Norma de control para la administracién del riesgo operativo y riesgo legal en las entidades del Sector Financiero Popular y Solidario, bajo el control de la Superintendencia de Economia Popular y Solidaria”, reformada por las resoluciones Nos. SEPS-IGT-AR- IGJ-2018-0284 de 13 de diciembre de 2018 y SEPS-IGT-IGS-INR-INGINT-2020- 0221 de 2 de junio de 2020; mediante Resolucion No. SEPS-IGT-IGS-INFMR-INGINT-1GJ-2020-0153, de 12 de mayo de 2020, la Superintendencia de Economia Popular y Solidaria emitio la “Norma de control sobre los principios y lineamientos de educacién financiera” s necesario que la Superintendencia de Economéa Popular y Solidaria expida una norma de control para la seguridad de la informacién que coadyuve al fortalecimiento de los procesos internos de las entidades del Sector Financiero Popular y Solidario, bajo el control de la Superintendencia de Economia Popular y Solidaria; y, re)Mp SUPERINTENDENCIA SONOMA POP DARA Que, en virtud de la Resolucién Nro, PLE-CPCCS-T-0-081-13-08-2018, emitida por el Consejo de Participacién Ciudadana y Control Social Transitorio el 13 de agosto de 2018, el pleno de 1a Asamblea Nacional posesiond como Superintendente de Economia Popular y Solidaria a la doctora Sofia Margarita Hernandez Naranjo, ¢1 04 de septiembre de 2018. io de sus atribuciones y funciones, resuelve expedir la siguiente: NORMA DE CONTROL RESPECTO A LA SEGURIDAD DE LA INFORMACION EN LAS ENTIDADES DEL SECTOR FINANCIERO POPULAR Y SOLIDARIO. BAJO CONTROL DE LA SUPERINTENDENCIA DE ECONOMIA POPULAR Y SOLIDARIA CAPITULO AMBITO, OBJETO, REGIMENES Y DEFINICIONES Articulo 1.- Ambito.- Las dispo: aplicardn para: a) Las cooperativas de ahorro y crédito, asociaciones mutualistas de ahorro y crédito para la vivienda y cajas centrales, en adelante denominadas “‘ntidad 0 entidades”; y, a la Corporacién Nacional de Finanzas Populares y Solidarias, en lo sucesivo CONAFIPS; y, b) Las compahias y organizaciones de servicios auxiliares que prestan servicios a las actividades financieras de las entidades y CONAFIPS, en adelante “empresas”. Articulo 2.- Objeto.- La presente norma tiene por objeto regular los niveles minimos para la ‘ainsi de seo de le infmaston qi Ts enkades, Ta CONATIPSy las empresas, deben definir ¢ implementar con el fin de resguardar y proteger sus activos de informacién, preservando su confidencialidad, disponibilidad e integridad. jones de la presente norma, de acuerdo a su segmento, Articulo 3.~ Regimenes.- Para efectos de esta norma, se aplicarin los siguientes regimenes: FALE TEETER os asociaciones mutualistas de ahorro y crédito para la vivienda y a la CONAFIPS; 2. Régimen especial: a las cooperativas de ahorro y crédito del segmento 3; y, 2 Réginon iaplicad’ lar tooperivis dv ahove'y esi dor rogetac dy 3 A las empresas se aplicarin los regimenes anteriores segim el tipo de servicio que presten, de acuerdo con la siguiente tabla: ‘Tipos de Servicios Auxiliares ‘General Especial | Simplificado | “Transporte de especies monetarias y de valores CobranzasSUPERINTENDENCIA (DE ECONOMIA POPULAR V SUD AR Giro inmobiliario x Servicios comables x Articulo 4.- Definiciones.- Para la aplicacién de esta norma, se considerarin las siguientes, definiciones: - Active de informacién: se consideran a los servicios o herramientas creados o utilizados en medios digital, fisico, electromagnético y otros; hardware o software, utilizados para cl procesamiento, transferencia o almacenamiento de informacién; y, cualquier dato que tenga informacién valorada por la entidad, CONAFIPS empresa, Autorizacién de accesos: acto por el cual se permite el acceso de los usuarios a zonas restringidas, a distintos equipos y/o servicios, después de haber superado el proceso de autenticacion, = Bitdcora de eventos de riesgos: registro de eventos de riesgo durante un periodo en particular. Se registrara acorde a la “Norma de control para la administracién del riesgo ‘operativo y riesgo legal en las entidades del Sector Financiero Popular y Solidario bajo cl control de la Superintendencia de Economia Popular y Solidaria”. ar: es el proceso mediante el cual Ia informacién 0 archivos son transformados en forma légica y controlada, con el objetivo de evitar que alguien no autorizado pueda interpretarlos, verlos 0 copiarlos, ~ Confidencialidad: es la propiedad por la que se garantiza que la informacién es accesible solo al personal autorizado. = Disponibilidad: acceso a la informacién en el tiempo y forma en que ésta sea requerida = Informacién: es cualquier forma de registro fisico, electrdnico, dptico, magnético o en otros medios, previamente procesado a partir de datos, que puede ser almacenado y distribuido. = Integridad: ¢s la cualidad de que Ia informacién se mantiene inalterada y completa, = ISO/IEC 27000: Se refiere a Ia Norma Técnica emitida por el Servicio Ecuatoriano de Normalizacién, INEN, NTE INEN-ISO/IEC 27000 Cuarta ediciin 2016-11 TECNOLOGIAS DE LA INFORMACION — TECNICAS DE SEGURIDAD — SISTEMAS DE GESTION DE SEGURIDAD DE LA INFORMACION — DESCRIPCION GENERAL Y VOCABULARIO (ISO/IEC 27000:2016, IDT) = Partes interesadas: son todas las personas naturales o juridicas que, de alguna forma, puedan verse afectadas por In actividad de la entidad, de la CONAFIPS 0 de la empresa, - SGSI: Sistema de Gestién de Seguridad de la Informacién, = Zonas restringidas: son aquellas que requieren de una autorizacién de acceso. CAPITULO IL ‘SEGURIDAD DE LA INFORMACION ~ REGIMEN GENERAL Conforman el régimen general de seguridad de la informacion: El Consejo de Administraci6n 0 el Directorio, segiin corresponda; El Comité de Seguridad de la Informacién (CSD); El Gerente General o Representante Legal; WwSUPERINTENDENCIA ONOMIA POPULAR YSOLDARIA La Unidad 0 Departamento de Seguridad de la Informacién; y, El Oficial de Seguridad de la Informacién (OSI). Articulo 6.- Comité de Seguridad de la Informacién (CSI). entidades, empresas_y la CONAFIPS que conforman ete régimen, deberin coma eon un Comité de Seguridad dela | quien actuaré como secretario del Comité; El Comité podra invitar a las sesiones a los responsables de las areas de negocio que juzeue del caso, quienes tendrin voz pero no voto. Articulo 7. Las sesiones del Comité de Seguridad de la Informacit de sus miembros, entre los cuales debera est su president las sesiones extraordinarias se tratardn tnicamente los puntos del orden del dia Las decisiones serin tomadas por mayoria de votos. Las sesiones podrin reali se de manera presencial, o por cualquier medio tecnoldgico. Las resoluciones constarat Comité, quien ademas la si como estarin susci por los asistentes. Sera responsabilidad del secretario la custodia de las actas bajo principios de confidencialidad, integridad y disponibilidad de la informacién, Articulo 8 Unidad 0 Departamento de Seguridad de la Informacién.- Las entidades, Articulo 9.- Requisitos obligatorios para et Régimen General.- Las entidades, empresas Y la Conan serereloneh a ai iilsn eats contr eon al menos, lo siguiente: »aw SUPERINTENDENCIA referencia el Anexo 2 de esta resolucion; | Articulo 10.- Sistema de Gestién de Seguridad de la Informacién (SGSI).- Las entidades, empresas y Ia CONAFIPS que conforman este régimen, con base sn la serie de estindares ISO/EC 27000, y acorde a la normativa legal vigente. Para establecer el alcance del SGSI, ademis de lo previsto en el articulo anterior y la serie de estdndares ISO/IEC 27000, deberin considerar: 1) Definicién de tipos de informacién con criterios de integridad, confidencialidad y 3 méviles, corresponsales solidarios; y, critica o sensible. Articulo 11.- Medidas de Seguridad de la Informacién (controles).- Las entidades, empresas Ia CONAFIPS que conforman este régimen, al implementar el SGSI, deberén adoptar las Articulo 12. Responsabilidades de la gestion de seguridad de la informacién.- Los Srganos internos de dichas entidades, empresas y la CONAFIPS, ademas de las responsabilidades previstas en Ia normativa legal vigente, deberan cumplir con lo deserito a continuacién, para una gestién adecuada de la seguridad de la informacion: Consejo de Administracién 0 Directorio: Aprobar el Plan Estratégico de Seguridad de la Informacién, el mismo que debe estar alincado al Plan Estratégico de la entidades, empresas y la CONAFIPS; ‘Aprobar los recursos humanos, técnicos y financieros que sean necesarios; “Aprobar politicas, procesos, procedimienios, roles y responsabilidades; ‘Aprobar cl Plan de Concienciacidn y Formacién; y, Aprobar el Plan de Gestidn de Riesgos de Seguridad de Ia Informacién rwJUPERINTENDENCIA SMA POPULAR Y SOLDARA 2. Comité de Seguridad de la Informacién (CS Administracién 0 al Directorio, segin corresponda EI Plan Estratégico de Seguridad de la Informacién; Los recursos humanos, téenicos y financieros necesarios para la gestidn de seguridad de la informacion y verificar que su inversién sea eficiente y efieaz para el logro de los objetivos estratégicos; Las politicas, procedimientos, roles y responsabilidades para la gestion de seguridad de la informacién y del SGSI; El Plan de Concienciacién y Formacién de su personal, en temas concemientes a seguridad de la informacién; y, EI Plan de Gestién de Riesgos de Seguridad de Ia Informacién y verificar que esté alineado al Plan de Administracién de Riesgos. ~ Deberi proponer al Consejo de Ademiés de lo sefialado en el numeral anterior, informar los riesgos de seguridad de la informacién al Comité de Administracion Integral de Riesgos, para su consolidacién en la rmatriz de riesgos y su seguimiento; y, evaluar, dirigir, monitorear y supervisar la gestion de seguridad de la informacion y del SGSI. Gerente general o representante leg: Liderar la gestion de seguridad de Ia informacion y el SGSI, de acuerdo con las disposiciones del Consejo de Administracién o del Directorio y lo dispuesto en esta norma Designar al Oficial de Seguridad de Ia Informacion (OSI); y Coordinar Ia participacién activa de todas las partes interesadas que intervienen en el SGSI y en la gesti6n de seguridad de la informacion. |. Oficial de Seguridad de la Informaci tre sus responsabilidades, tendré las siguientes: Desarrollar, gestionar y monitorear el Plan el SGSI; Diseftar y proponer las politicas, procesos, procedimientos, roles y responsabilidades para la gestién de seguridad de la informacién y del SGSI, al Consejo de Administracion; Solicitar la asignacién de los recursos humanos, técnicos y financieros necesarios para la gestién de seguridad de la informacién, y velar que los mismos sean utilizados de forma éficiente y eficaz, alineados con los objetivos estratégicos institucionales; Elaborar, implementar, mantener y actualizar las politicas, procesos, procedimientos, metodologias, planes y controles concemientes a la gestion de seguridad de la informacién, del SGSI, su mejora continua; ¥, una vez aprobados, difundirlos al personal que corresponde; Desarrollar y ejecutar los Planes de Concieneiacién y Formacién a su personal, en temas concernientes a seguridad de la informacién; Coordinar y supervisar, con los responsables de los procesos del negocio, la mplementacién efectiva de los controles de seguridad de la informacién, establecidos en el plan de gestién de riesgos; Desarrollar, coordinar, cjecutar, evaluar, proponer y comunicar e! Plan de Gestién de Riesgos de Seguridad de la Informacién; w tratégico de Seguridad de la Informacion ySUPERINTENDENCIA Coordinar las actividades para la gestion de seguridad de la informacién y del SGSI, incluyendo su implementacién y seguimiento; Definir, ejecutar y mantener procedimientos para la gestion de incidentes de seguridad de la informacién; Velar que los involucrados intemos y/o externos cuenten con los conocimientos y capacitacién necesaria para el cumplimiento de sus roles y responsabilidades para la ejecucidn de procedimientos de respuesta ante incidentes;, Ejecutar los procedimientos y lineamientos establecidos, cuando se identifiquen incidentes de seguridad de la informacién; Informar, de acuerdo con la normativa pertinente, los incidentes de seguridad de la informacién catalogados como sensibles 0 criticos, a las instituciones pablicas que correspondan; Participar en la evaluacién de las amenazas de seguridad de la informaci medidas de mitigacién; ‘Asesorar en materia de seguridad de la informacién, a través de su participacién en los proyectos que involucren el manejo de informacion sensible o critica de la misma, de sus socios, clientes y usuarios: Recomendar medidas correctivas adicionales en temas relacionados de seguridad de la informacién, alineadas al Anexo 1, Régimen General y/o alineadas a buenas pricticas; Verificar que los servicios prestados por personas naturales 0 juridicas cumplan con las politicas de seguridad de la informacin establecidas; y, Generar la documentacién que evidencie la gestién de la seguridad de la informacién y del SGSI. y proponer Auditor interno: Verificar la efectividad de las medidas implementadas por la Uni informacién; CCustodiar los informes de las auditorias y/o pruebas de vulnerabilidades realizadas por la Unidad de Seguridad de la Informacién y ponerlos a disposicién de la Superintendencia de Economia Popular y Solidaria, cuando esta lo requiera; y, Recomendar medidas correctivas a la Unidad de Seguridad de la Informacién, \d de Seguridad de la Articulo 13. Evaluacién y cumplimiento.- Las entidades, empresas_y la CONAFIPS conforman este ré vez implementado el SGSI, CAPITULO II SEGURIDAD DE LA INFORMACION ~ REGIMEN ESPECIAL Régimen Especial.- Conforman el régimen especial de seguridad de la a) El Consejo de Administracién o Directorio; b) El Comité de Seguridad de la Informacién (CSI); ©) ElGerente General o Representante Legal; y, wSUPERINTENDENCIA DE ECON 4) El Oficial de Seguridad de la Informacién (OSI). Articulo 15.- Comité de Seguridad de la Informacién (CSI).- Las entidades y empresas que conforman este régimen, deberin contar con un Comité de Seguridad de la Informacion (CSD, conformado por los siguientes miembros: a) El presidente del Comité de Administracién Integral de Riesgos, quien presidira también el Comité de Seguridad de la Informacién y tendré voto dirimente; b) El Gerente General o representante legal; ©) El oficial de seguridad de la informacién, quien actuard como secretario del Comité; «) Elresponsable del frea de tecnologia o su delegado: y, ¢) Un delegado de Auditoria Interna Comité podri invitar a las sesiones a los responsables de las dreas de negocio que juzgue del caso, quienes tendriin voz pero no vote. Articulo 16 Sesiones del Comité de Seguridad de la Informacién.- Las sesiones del Comité de Seguridad de la Informacién (CSD), se instalardn con Ia asistencia de al menos tres, de sus miembros entre los cuales deberd estar presente su presidente. El Comité sesionara de manera ordinaria al menos dos veces al ailo, Podré reunirse extraordinariamente cuando el presidente lo convoque por iniciativa propia, 0 a peticion de uno de sus miembros y/o cuando existieren eventos fortuitos o casos de fuerza mayor. En las, sesiones extraordinarias se tratardn iinicamente los puntos del orden del dia. Las decisiones serin tomadas por mayoria de votos. Las convocatorias tendrin el orden del dia y debern ser comunicadas por el presidente con al menos cuarenta y ocho horas de anticipacién, excepto cuando se traten de sesiones extraordinarias que podrin ser convocadas en cualquier momento. Las sesiones se podrin realizar de manera pre de las entidades y empresas. 110 no presencial, de acuerdo al alcance Las resoluciones constardn en las respectivas actas que las deberd elaborar el secretario del Comité, quien las deberd Hevar fechadas y numeradas en forma secuencial y suscritas por los, asistentes, Serd responsabilidad del secretario Ia custodia de las actas bajo principios de confidencialidad, integridad y disponibilidad de la informacién. Articulo 17.- Oficial de Seguridad de Ia Informacién.- Las entidades y empresas que conforman este régimen, deberdn contar con un Oficial de Seguridad de ta Informacion (O81), que tenga conocimientos verificables y demuestre entrenamiento continuo en seguridad de la informacién. Dicho Oficial debe tener titulo universitario de tercer nivel y evidenciar al menos 40 horas de eapacitacién en seguridad de la informacion en los dos aiios inmediatamente anteriores al ejercicio de sus funciones. BI Oficial de Seguridad de la Informacién deberd estar adscrito a la Gerencia General o representante legal. Articulo 18.-Requisitos obligatorios para el Régimen Especial.- Las entidades y empresas pertenccientes a este régimen deberin contar con al menos, lo siguiente:SUPERINTENDENCIA a) Asignacion de recursos humanos, técnicos y financieros para seguridad de la informacién; b) Plan de Gestién de Riesgos de Seguridad de la Informacién. Al efecto, las entidades y ‘empresas podrin tomar como referencia el Anexo 2 de esta resolucién; ©) Plan de Concienciacién y Formacién para Seguridad de Ia Informacién; 4) Politicas, procesos, procedimientos, roles y responsabilidades para Ia gestién de seguridad de la informacién; ©) Los requerimientos sefialados en el Anexo I de esta resolucién, correspondiente al Régimen Especial; 1) Clasificacién e identificacién de tipos de informacién criticos o sensibles con criterios de integridad, confidencialida lidad; y, 2) Identificacién de activos de informacién, tomando en cuenta que contendra 1) Personas; 2) Procesos agregadores de valor y/o catalogados como sensibles 0 criticos; 3) Unidades de las entidades y empresas intervinientes en los procesos; 4) Infraestructura tecnolégica; 5). Ubicaciones fisicas y puntos de atencién, oficina matriz, sucursales, agencias, puntos méviles, corresponsales solidarios; y, 6) Relaciones con personas naturales y/o juridicas que pudieren acceder a informacién critica o sensible. Articulo 19. Medidas de seguridad de la informacién (controles).- Las entidades y empresas que conforman este régimen, para la gestion de seguridad de la informacién, deberan implementar los controles minimos previstos para este Régimen en el Anexo 1 Articulo 20.- Responsabilidades en Ia gestién de seguridad de la informacién.- Los 6rganos interos de dichas entidades y empresas, ademas de las responsabilidades previstas cen la normativa legal vigente, deberin cumplir con lo descrito a continuacién, para una gestién adecuada de la seguridad de la informacién: 1. Consejo de Administracién o Directorio: a) Aprobar a asignacién de los recursos humanos, téenicos y financieros que s necesarios; b) Aprobar as politicas, procesos, procedimientos, roles y responsabilidades; ©) Aprobar los planes de concienciacién y formacién concernientes a seguridad de la informacion; ) Aprobar el Plan de Gestién de Riesgos de Seguridad de la Informacion. 2. Comité de Seguridad de Ia Informacion (CSI) Deberé proponer al Consejo de Administracién: a) La asignacién de los recursos humanos, técnicos y financieros necesarios para Ia gestién de seguridad de la informacién y verificar que su inversién sea eficiente y eficaz para el logro de los objetivos estratégicos de las entidades y empresas; b) Las politicas, procedimientos, roles y responsabilidades para la gestién de s la informacion; ©) Los Planes de Concienciacién y Formacién concernientes a seguridad de la informacién; ¥ 4) ElPlan de Gestidn de Riesgos de seguridad de la informacion y verificar que esté alineado al Plan de Administracién de riesgos de las entidades y empresas, sguridad deSUPERINTENDENCIA Ademés de lo seitalado en el inciso anterior, cl Comité de Seguridad de la Informacién, Geberd aprobar la implementacién de controles de seguridad de la informacién, propuestos por el Oficial de Seguridad de la Informacién (OSI) ¢ informar los riesgos de Seguridad de Ja Informacién al Comité de Administracién Integral de Riesgos, para su consolidacién en la matriz de riesgos y su seguimiento, 3. Gerente general o representante legal: a) Liderar la gestion de seguridad de la informacin de acuerdo con las disposiciones del Consejo de Administracion 0 del Directorio y lo dispuesto en esta norma; b) Designar un Oficial de Seguridad de la Informacién (OSD; y, ©) Promover la participaci va de todas las partes interesadas que intervienen en el proceso y la gestién de seguridad de la informacién, 4. Oficial de Seguridad de Ia Informa siguientes: a) Definir, elaborar, supervisar la ejecucién; mantener y actualizar las politicas, procesos, procedimientos, metodologias, planes y controles concernientes a la gestion de seguridad de la informacién, los cuales deben ser difundidos al personal correspondiente de las centidades y empresas; b) Solicitar la asignacién de los recursos humanos, téenicos y financieros necesarios para la gestién de seguridad de la informacién y velar que los mismos sean utilizados de forma eficiente y eficaz alineados con los objetivos estratégicos institucionales; ©) Disefar y proponer al Consejo de Administracién, las politicas, procesos, procedimientos, roles y responsabilidades, para la gestion de seguridad de la informacion; 4) Desarrollar y ejecutar los Planes de Concienciacién y Formacién a su personal, en te concemnientes a seguridad de la informaci6n; ©) Coordinar y supervisar, con los responsables de los procesos del negocio, Ia implementacidn efectiva de los controles de seguridad de la informacién, establecidos en el plan de gestién de riesgos; asi como, desarrollar, coordinar, ejecutar, evaluar, proponer y comunicar el Plan de GestiGn de Riesgos de seguridad de la informacion; 1) Coordinar las actividades para la gestin de seguridad de la informacion; 2) Ejecutar los procedimientos y lineamientos establecidos cuando se identifiquen incidentes de seguridad de la informacién; h) Informar, de acuerdo con la normativa pertinente, los incidentes de seguridad de la informacién catalogados como sensibles o criticos, a las instituciones piblicas que correspondan; i) Participar en la evaluacién de las amenazas de seguridad de la informacién y proponer medidas de mitigacién; i) Asesorar en materia de seguridad de la informacién, a través de su participacién en los proyectos que involueren el manejo de informacién sensible o critica de Ia misma, 0 de sus socios, clientes y usuarios; k) Recomendar medidas correctivas adicionales en temas relacionados de seguridad de la informacién, alineadas al Anexo 1 y/o a buenas pricticas; 1) Verificar que los servicios brindados por personas naturales o juridicas cumplan con las politicas de seguridad de la informacién establecidas; y, ‘m) Generar la documentacién que evidencie la gestidn de la seguridad de la informacién. entre sus responsabilidades, tendri las 5. Auditor interno: eS)SUPERINTENDENCIA Dé ECONOMIA POPULAR Y SOUDAA a) Verificar la efectividad de las medidas implementadas por el Oficial de Seguridad de la Informacién (OSI); b) Custodiar los informes de las auditorias y/o exdmenes especiales realizados por el Oficial de Seguridad de la Informacién (OSI) y ponerlos a disposicién de la Superintendencia de Economia Popular y Solidaria, cuando esta lo requiera; ¥, ©) Recomendar medidas correctivas al Oficial de Seguridad de la Informacién (OSD. Articulo 21.- Revision y actualizacién.- Las entidades y empresas deberin revisar anualmente y actualizar cuando corresponda, la documentacién referida en la presente norma. CAPITULO IV SEGURIDAD DE LA INFORMACION REGIMEN SIMPLIFICADO Articulo 22.- Régimen Simplificado.- Conforman el régimen simplificado de seguridad de Ja informacién: a) El Consejo de Administra b) El Gerente General o representante legal; y, ©) El Responsable de Seguridad de la Informacién. Articulo 23.- Responsable de Seguridad de la Informacién.- Las entidades y empresas que conforman este régimen, debern contar con un Responsable de Seguridad de la Informacién, quien debe tener conocimientos generales en seguridad de la informacién, tecnologia o gestién de riesgos y reportaré directamente a la Gerencia General o representante legal, Articulo 24.- Requisitos obligatorios para el Régimen Simplificado.- Las entidades y empresas pertenecientes a este régimen deberdn contar con al menos, lo siguiente: a) Politicas, procesos, procedimientos, roles y tesponsabilidades para Ia gestion de seguridad de la informacién; b) Asignacion de recursos umanos, téenicos y financieros para seguridad de la informacién; ©) Actividades de concienciacién y formacién en temas concernientes en seguridad de la informacién; 4) Los requerimientos seftalados en el Anexo 1 de esta resolucién, correspondiente al Régimen Simplificado; y, ©) Registro de los eventos relacionados con seguridad de la informacién en la “Biticora de Eventos de Riesgos”, para lo cual podran basarse en Ia metodologia de riesgos que se adjunta en el Anexo 2 Articulo 25.- Medidas de Seguridad de la Informacién (controles).~ Las entidades y empresas que conforman este régimen, para la gestién de seguridad de Ia informacion, deberin implementar los controles minimos previstos para este Régimen, en el Anexo 1 Articulo 26.- Responsabilidades para la gestion de Seguridad de la Informacién.- Los ‘rganos intemos de dichas entidades y empresas, ademas de las responsabilidades previstas rw)BD SUPERINTENDENCIA en la normativa legal vigente, deberan cumplir con lo descrito a continuacién, para una gestidn adecuada de la seguridad de la informacion: 1, Consejo de Admit a) Aprobar la asignacién de los recursos humanos, técnicos y financieros necesarios; y, b) Aprobar las politicas, procesos, procedimientos, roles y responsabilidades, 2. Gerencia General 0 Representante legal 1a) Liderar la gestién de la seguridad de la informacién de acuerdo con las disposieiones del Consejo de Administracién y lo dispuesto en esta norma, b) Designar a un funcionario en la entidad 0 empresa como Responsable de Seguridad de la Informacién; ©) Identificar y promover la participacién activa de todas las partes interesadas que intervienen en la gestion de seguridad de la informacidn y la gestion de riesgos, asociados a la seguridad de la informacion; y, 4) Aprobar las actividades de coneientizacién y formacién para la seguridad de informacion. 3. Responsable de Seguridad de la Informacién.- Entre sus responsabilidades, tendra las siguientes: a) Proponer actividades de concienciacién y formacién para seguridad de la informaci6n; b) Identificar y gestionar Jos eventos relacionados a seguridad de la informacion y registrarlos en la “Biticora de Eventos de Riesgo”; ©) Blaborar los informes de pruebas y controles establecidos en temas relacionados a seguridad de la informacién; 4) Recomendar medidas correctivas adicionales en temas relacionados a seguridad de la informacién, alineadas al Anexo 1 atinente al Régimen Simplificado y/o a buenas précticas; Verificar que los servicios prestados por personas naturales o juridicas cumplan con las politicas de seguridad de la informacién establecidas; y, ) Generar la documentacién que evidencie la gestién de la seguridad de la informacién, 4. Consejo de Vigilancia: a). Verificar el registro y efectividad de las medidas implementadas en temas relacionados a seguridad de la informacion; b)_Integrar actividades relacionadas a seguridad de la informacién en Plan de Trabajo Anual; ©) Custodiar los informes de las pruebas y controles establecidos y ponerlos a dispo: de la Superintendencia de Economia Popular y Solidaria, cuando esta lo requiera; y, 4) Recomendar medidas correctivas para la gestion de seguridad de la informacién, Articulo 27.- Revisién y actualizacién: Las entidades y empresas que conforman este régimen, deberin revisar anualmente y actualizar cuando correspond, la documentacién referida en la presente norma DISPOSICIONES G ERALES, PRIMERA.- Las entidades, empresas y CONAFIPS, sin perjuicio de la informacion que solicite en cualquier momento este Organismo de Control, deberin reportar a la Superintendencia de Economia Popular y Solidaria, de forma inmediata, los eventos queGes afecten directamente a la continuidad del negocio y a la prestacién de servicios financieros, incluyendo al menos la fecha del incidente, el impacto, ellos sistemas o servicios, y/o actividades afectadas, en la forma y medios que esta Superintendencia establezca para el efecto. SEGUNDA.- Las entidades, empresas y CONAFIPS deberdn TERCERA.- Las entidades, empres: CUARTA.- Los casos de duda en Ia aplicacién de la presente norma serdn resueltos por la Superintendencia de Economia Popular y Solidaria, DISPOSICIONES TRANSITORIAS PRIMERA.- Las entidades, las empresas y la CONAFIPS implementaran esta norma dentro de los plazos previstos en el siguiente cuadro, contados a partir de la presente fecha: Enfidad, empresa y/o Pi Ta implementacion de a CONATIPS. Segment ne? Pye seguridad de a informacion Rae TI Te ness [meses 3 36 meses 4y5 24 meses Cajas Centrales Z 12 meses ‘Asociaciones Mutualistas de soeeees ahorro y crédito para la vivienda CONAFIPS 12 meses, ‘Compaiias y Organizaciones de servicios auxiliares 24 meses SEGUNDA.- seguridad de a informacién, segin corresy rrimer responsable de La Superintendencia, en casos debidamente justificados y aceptados por este Organismo de Control, podrd ampliar dicho plazo por una sola vez.SUPERINTENDENCIA DE ECONOMIA POPULAR ¥50 DISPOSICION FINAL.- La presente resolucién entrar en vigencia a partir de la fecha de cidn en el Registro Oficial Publiquese en el portal web de la Superintendencia de Economia Popular y Solidaria. COMUNIQUESE.- Dado y firmado en Ia ciudad de San Francisco de Quito, Distrito Metropolitano, a 3 de mayo de 2022, myer pode o SOFIA MARGARITA HERNANDEZ NARANJO SUPERINTENDENTE DE ECONOMIA POPULAR Y SOLIDARIA(Fy serenintenvencia ANEXO 1 CONTROLES OBLIGATORIOS DE SEGURIDAD DE LA. FORMACION Las entidades, empresas y/o CONAFIPS controladas, ademas de los requisitos exigidos en Ia presente norma para cada régimen, deberén desarrollar ¢ implementar al menos los siguicntes controles, los mismos que deberin ser revisados con una periodicidad minima anual Controles Seguridad de la Informacion Nombre / Control Deseripeion ‘Gener | Especia | Simplifica a do Politicas, procesos y procedimientos, roles y responsabilidades (Normativa interna de Seguridad dela Informacién) Politicas - Seguridad de la | Las entidades, empresas yo] x x x informaciss CONAFIPS de cada régimen Clasifieacién de | segin corresponda, deberan |x x x informacion al menos contar con el marco | Gestion de riesgos de | de politicas correctamente |x x x seguridad de la | detallado. El contenido de tas, informacién. politics deberé_ estar (Alineada a la Norma de | alineado a los _objetivos control —_para_—_‘la | estratégicos, administracion del riesgo operative y riesgo legal en las entidades del Sector Financiero Popular y Solidario bajo el control de la Superintendencia de Economia Popular y | Solidaria) | - Control de accesos x x fisicos y tecnologicos x x | _ [x x x x infraestructura tecnolégica Seguridad dela x informacion para recursos humanos _ C Seguridad fisica (Alineada a la Norma de control respecto dela seguridad fisicay electronica emitida por Ja Superintendencia_de _ |SUPERINTE! P Nombre / Control Deseripeién Gener al Especia 1 Economia Solidaria) Popular y Gestién con tereeros Ciberseguridad _ Procesos Identifieacién de los pro jeesos agregadores de valor Documento de idemtificacién de procesos agregadores de valor. (Alineada a la Norma de control para la administracion del riesgo operativo y riesgo legal en las entidades de! Sector Financiero Popular y Solidario bajo el control dela Superintendencia de Economia Popular y Solidaria) Las entidades, empresas y/o CONAFIPS de cada régimen | segiin corresponda deberin disponer de un documento evidenciable en el cual se identifique y defina los procesos agregadores de valor. Gestion de vulnerabi lidades ‘Auditorias informaticas Pruebas de penetracion Las entidades, empresas y/o CONAFIPS de cada régimen segin corresponda, deberin CONAFIPS de cada régimen segin corresponda, deberan al menos una vez. al afio: a) Revisar la seguridad de sus activos mediante gjercicios pricticos y controlados, tales como ethical hacking, que simulen varios tipos de amenazas; y, Evaluar la infraestructura y aplicativos que soportan todos los servicios, en diferentes escenarios. Dy Las entidades, empresas y/o x realizar auditorias, | revisiones generales y/o focalizadas —intemas externas. Pentesting, entre otros, |SUPERINTENDENCIA {OMIA POPULAR YSOLOARA, | Nombre / Control Deseripeién Especia 1 Simplifica do Las pruebas y/o ejercicios deberin ser ejecutadas por personas naturales 0 juridicas externas que actediten experiencia en este tipo de evaluaciones, cifrado dea informacian sensible 0 Critica CONAFIPS de cada régimen segiin corresponda, deberan: Plan de mitigacién de los | Las entidades, empresas y/o | x x hallazgos CONAFIPS de cada régimen segiin corresponda, deberin contar con un plan de nde tos hallazgos identificados de las auditorias 0 eximenes realizados. Este plan deberd incluir un andlisis comparativo con los hallazgos —_previamente encontrados en examenes y/o auditorias anteriores. ‘Adquisicidn y desarrollo de software; hardware y servicios. Procedimiento de | Las entidades, empresas y/o] x x adquisicién, desarrollo | CONAFIPS de cada ré de software | segim corresponda, deberin mantenimiento de | disponer de procedimientos sistemas informéticos, | para la adquisicion hardware y servicios. | desarrollo de software, hardware y servicios, en los cuales sé incluyan’ temas relacionados con controles de seguridad de la _ informacién. | Planes de Contingencia teenolégica y continuidad del negocio Planes, procesos | Las entidades, empresas y/o] x x procedimientos de | CONAFIPS de cada régimen Contingencia segin corresponda, deberin tecnolégica y| claborar los planes de continuidad del negocio | contingencia tecnolégica y continuidad del negocio, Dichos planes deberin ser evaluados periédicamente fin de tomar acciones que correspondan, Cifrado Procedimientos de | Las entidades, empresas y/o] xSUPERINTENDENCIA ¥ DEECON Nombre / Control Deseripeién Gener | Especia | Simplifica _— al 1 do a) Disponer de procedimientos, de cifrado de sus datos sensibles 0 conforme al riesgos de seguridad de Ja informacién; y, b) Verificar periédicamente la vigencia de los elementos de cifrado, Procedimientos Tnventario y Clasificacién de informacion (Alineada a la Norma de control para fa administraci6n del riesgo operativo y riesgo legal en las entidades del Sector Financiero Popular y Solidario bajo el control de la Superintendencia de Economia Popular y Solidaria) entificacion de tipos | Las entidades, empresas y/o | x x x | de informacién CONAFIPS de cada régimen Inventario de actives de | segin corresponda, deberin | x x x informacion. __| disponer de un documento Clasificacién de activos | evidenciable en el cual se {x x x de informacién. identifique y cuantifique los tipos yy activos de informacién — considerando | los criterios de disponibilidad, confidencialidad e integridad asi como su custodio, responsable y ubicaci [ Gestion de riesgos Anilisis y evaluacion de | Las entidades, empresas yo] x x x riesgos dela | CONAFIPS de cada régimen aplicaciones, servicios y | segim corresponda deberin activos de seguridad de | disponer de un documento la informacion, evidenciable en el cual se (Alineada a la Norma de | evaltien vulnerabilidades y | control para la | amenazas con el fin de | administracién del | determinar el nivel de riesgo. | riesgo operative y riesgo | Para lo cual pueden usar legal en las entidades del | cualquier método de gestion Sector Finaneieto | de riesgos de seguridad de la Popular y Solidario bajo | informacién, estructuradas y el control de Ja | generalmente —_aceptadas. | Superintendencia de | Podrin tomar como, Economia Popular y | referencia el Anexo 2 de la | Solidaria) presente norma. Respaldos y resguardo de informacion sensible o critica,Grennonse Nombre / Control Deseripeién Gener al Procedimientos y | Las entidades, empresas ylo| x mecanismos de | CONAFIPS de cada régimen resguardo de | segiin corresponda, deberin: informacion fisica_y | a) Respaldar la informacién digital, sensible o critica | sensible o critica (fisica y (Alineada ala Norma de | digital) en lugares. y control para. la) ubicaciones adecuadas,, administracién del | —_considerando Ia tri riesgo operativo yrriesgo| seguridad = dea legal en las entidades del | _informacién; y, Sector Financiero | b) Disponeral menos de un Popular y Solidario bajo | documento evidenciable el control de la| que compruebe el, Superintendencia de | correcto funcionamiento Economia Popular y| de los respaldos. |Solidaria) Cultura de seguridad de la informacion. Plan de capacitacion de | Las entidades, empresas ylo] x x seguridad de la CONAFIPS de cada régimen Informacion, segin corresponda, deberdn: (Alineada a la Norma de | a) Evaluar_periddicamente control sobre. los| el plan de Capacitacién principios y| de Seguridad de la lineamientos de} Informacién; educacién — financiera) | b) Definir dentro del plan de apacitacion indicadores de madurez que pemmitan medir el nivel de aprendizaje; ©) Proporcionar capacitaciones al personal, asi como a proveedores, clientes, socios y usuarios, Gestion de accesos tecnoldgicos. | Procedimiento de | Las entidades, empresas y/o] x x x control de accesos CONAFIPS de cada régimen seqiin corresponda, deberdi Definir los perfiles y roles asignados al personaly establecer el procedimiento para su administracién. Las entidades, empresas y/o | x x CONAFIPS de cada régimen segiin corresponda, deberan: Implementar el registro de los _accesos_a_los_datosNombre/ Control Gener | Especia | Simplifica al 1 do criticos 0 sensibles y las actividades que se realicen sobre estos. (Pistas de auditoria). Zi Gestién de la configuracién. Procedimiento. para | Las entidades, empresas y/o | x x gestion ded | CONAFIPS de cada régimen, configuracién segin corresponda, implementarin procedimientos para la gestién de configuraciones del activo de tecnologias de informacion. Gestin de cambios, control de versiones y mante servicios tecnologias de la informacién. hardware, software y Procedimiento para | Las entidades, empresas y/o |x x gestion de cambios y | CONAFIPS de cada régimen control de versiones en | segiin corresponds, | los servicios de | implementaran | cnologias dea procedimientos de gestién de | formacién. cambios y control de versiones en el que se registten las autorizaciones, ajustes y variaciones que se realicen en los servicios de tecnologia, de una manera __|ordenada y controlada. | Controles tecnolégicos Nombre / Control Deseripeién | Gener | Especia | Simplitiea a | do Arquitectura segura | Las entidades, empresas ylo | x x CONAFIPS de cada régimen in corresponda, deberin disefiar, implementar gestionar, la arquitectura segura para proteger los activos digitales en funcién particularidad contener al menos: a) Unaestrategia de defensa en profundidad; b) Controles de flujo de informacién;ARH Nombre / Control Deseripeién Especia 1 ‘Simplifica do °) ia ©) ‘Aislamiento y segmentacién; Monitoreo y detecci ys ‘Técnicas de cifrado. Monitoreo y deteceion Las entidades, empresas y/o CONAFIPS de cada régimen segin corresponda y de acuerdo a la clasificacién de activos, deberin implementar sistemas que mantengan registros de logs correlacionados de la infraestructura criti petmitansu__deteecidn, | que andlisis y depuracién. Los registros de logs deberdn incluir por lo menos: a) b) °) a e) ) g) Hora del evento; Cambios en los permisos de un archivo; Periodo de operaci Acceso 0 salida de un usuario; Cambios en los datos; Errores y violaciones; y, ‘Tareas fallidas. |SUPERINTENDENCIA ANEXO 2 CONSIDERACIONES PARA LA METODOLOGIA DE RIESGOS Clasificacién de Activos. La clasificacién de activos debera: a) Considerar al menos: aspectos del negocio, tipo de informacién y datos almacenados, importancia a la continuidad del servicio, consecuencias legales c impacto econdmico. b) Categorizar a los activos por su privacidad en: piblico, uso interno y restringido; y, asi valorar su proceso de custodia y control, tomando en cuenta una evaluacién por activo dentro de los cuatro aspectos principales: confidencialidad, integridad, disponibilidad y privacidad, bajo el esquema de criticidad propuesto. Gestion de riesgo. Todas tas entidades, empresas y la CONAFIPS en el andlisis de riesgo institucional deberin incluir un acdpite de seguridad de la informacién que contenga al menos los criterios basicos seffalados por In norma técnica ISO/IEC 27000. Todas las entidades, empresas y la CONAFIPS, deberdn considerar al menos los siguientes aspectos dentro de su metodologia Deseripcién del riesgo. Causa, evento y consecuencia, en el siguiente orden: a) Evento y/o amenaza: es el riesgo identificado en las tareas 0 actividades del proceso y/o stema evaluado; b) Causa y/o vulnerabilidad: es el motivo o razén que podria generar la materializacién del riesgo y dar como resultado pérdidas; y, ©) Consecuencia: es la posibilidad de pérdida 0 materializacién del evento, que puede generar un impacto financiero, por pérdidas o dafios en activos, sanciones y multas por incumplimiento regulatorio y otros. Determinacién del riesgo inherente. Riesgo intrinseco de cada actividad, tomando en cuenta el mapa de calor para determinar la criticidad asi como su calificacién de acuerdo con la siguiente ecuacién: CRITICO ‘ALTO MEDIO BAIO MUY BAJO Nivel de Riesgo de Seguridad = Probabilidad x Impacto Probabilidad = Amenaza x Vulnerabilidad z Implementacién de controles.MRR eeence Incluir controles para la mitigacién del riesgo identificado, tomando en cuenta el presupuesto y la criticidad-probabilidad del riesgo. Evaluar la efectividad de los controles Chasificar a los controles implementados de acuerdo con la siguiente tabla: Efectivo [etestive "0 Inefective prucha |Ieteetivo [Control no formalizado diseiio existente 'a) Control ‘a) Control a) Control 1a) Disefio dela) No se ha existente bien! existente bien] —existente_bien| control disetado disefiado, diseiiado, diseitado. existente,no] al ejecutado ejecutado b) Formalizado en} — permite control. adccuadamente, | adccuadamente. | norma mitigar |b) BI control b) Periodicidad |b) Periodicidad |e) No es ejecutado| —adecuadame| —diseiiado establecida, establecida, adecuadamente: | nte el] fall ‘minimizando minimizando Falla en un| riesgo, continuame exposicién al] expos al] niimero limitado|b) Control mte, por riesgo. riesgo. de débil, tanto no ©) Formalizado en|c) No formalizado. | oportunidades requiriendo | mitiga el norma yo sin la] acciones riesgo periodicidad correctivas. | relacionado. establecida. _ Medicién del riesgo residual. Aquel que permanece después de que las entidades, empresas y la CONAFIPS desarrollen sus respuestas a los riesgos. El riesgo residual refleja el riesgo remanente, una vez que se ha implantado de manera eficaz las acciones planificadas. Para determinarlo se aplicara la misma ecuacién del riesgo inherente. ‘Trata nto del riesgo. Las estrategias de tratamiento para los riesgos de seguridad de Ia informacion, se aplicaran a los riesgos determinados como criticos y altos; es decir, de criticidad relevante, a los cuales se los identificara y se propondrin planes de accién 0 controles. Fl responsable de proponer y darle seguimiento a la ejecucién de los planes de accién, serd el Oficial de Seguridad de la Informacién o quien hiciere sus veces. Para el tratamiento del riesgo se aplicara el siguiente esquema: RIESGO | Asumir Aceptar, convivir con el riesgo y minimizar su impacto. ‘Compartir Acuerdos contractuales que permiten traspasar parcialmente parte del riesgo a un tercero. Mitigar ‘Tomar medidas encaminadas a impedir la materializaci6n de los eventos de riesgo. ‘Transferir | Es el traspaso 20 identificado a terecros.