Servicios en la Nube y Seguridad de la Información

Questions and Answers

¿Cuál es una de las responsabilidades del Oficial de Seguridad de la Información antes de dejar su cargo?

Actualizar las políticas de seguridad de la información.

Realizar la entrega recepción de documentación al nuevo oficial. (correct)

Conducir auditorías externas de seguridad.

Revisar el EGSI con otros oficiales.

¿Qué tipo de documentación se debe mantener organizada durante la implementación del EGSI?

Documentación financiera de la institución.

Sólo las políticas de seguridad.

Controles y registros relacionados al EGSI. (correct)

Contratos laborales de los empleados.

¿A quién se debe informar sobre el avance de la implementación del EGSI?

A los socios estratégicos de la institución.

A la comunidad local.

Al Comité de Seguridad de la Información. (correct)

A los empleados de la institución.

¿Qué permite el avance tecnológico en el ciberespacio?

Entregar servicios variados a través de la nube de internet

¿Qué se debe hacer tras realizar revisiones internas del EGSI?

Implementar las recomendaciones en un plazo breve.

¿Cuál es el propósito del Esquema Gubernamental de Seguridad de la Información - EGSI?

Implementar el Sistema de Gestión de Seguridad de la Información en el Sector Público

¿A quiénes se aplica la implementación obligatoria del EGSI?

A entidades del sector público y terceros que presten servicios públicos

¿Qué función tiene el Oficial de Seguridad de la Información en relación con el Ministerio de Telecomunicaciones?

Actuar como punto de contacto entre la institución y el ministerio.

¿Cuál es la naturaleza de la declaración que deben suscribir las instituciones al reportar la implementación del EGSI?

Una declaración de responsabilidad.

¿Qué normativa se menciona como parte del marco jurídico de ciberseguridad?

Ley Orgánica de Protección de Datos y Ley Orgánica para la Transformación Digital y Audiovisual

Durante la implementación del EGSI, ¿qué deben reportar las instituciones al Ministerio de Telecomunicaciones?

El avance de la implementación del EGSI.

¿Cuál de las siguientes afirmaciones sobre el EGSI es incorrecta?

El EGSI solo aplica para la Función Ejecutiva.

¿Cuál es una responsabilidad del propietario de la información del proceso en el contexto del EGSI?

Definir estrategias políticas y normas de seguridad.

¿Qué tipo de confidencialidad se debe garantizar en el sector público según el contenido?

Confidencialidad, integridad y disponibilidad convenida

¿Qué artículo de la Constitución de Ecuador establece la obligatoriedad del EGSI?

Artículo 225

¿Cuál es una de las atribuciones mencionadas para emitir el acuerdo ministerial sobre el EGSI?

Ejercer las atribuciones que confiere el Código Orgánico Administrativo

¿Cuál es uno de los objetivos principales de la seguridad de la información?

Minimizar el impacto de los incidentes de seguridad

¿Qué garantiza la seguridad de la información?

Confidencialidad, disponibilidad e integridad

¿Cuál es el enfoque del Esquema Gubernamental de Seguridad de la Información (EGSI)?

Proteger la información sensible y crítica

¿Qué proceso es fundamental en la implementación de la seguridad de la información?

Gestión de riesgos

¿Qué aspecto es crucial para garantizar la continuidad del negocio en la seguridad de la información?

La gestión de controles apropiados

¿Cuál es una función del MINTEL en el contexto de la seguridad de la información?

Establecimiento de políticas y directrices

La interrelación entre ciberseguridad y seguridad de la información busca:

Profundizar en la implementación de un sistema efectivo

¿Qué significa el enfoque ordenado y estructurado del EGSI?

Un conjunto de recomendaciones para la gestión de la seguridad

¿Cuál es el objetivo principal de la gestión del riesgo según el contenido?

Reducir el nivel de riesgo para disminuir el impacto y la probabilidad de daños.

¿Qué implica la aceptación del riesgo en la gestión del mismo?

Monitorear continuamente el riesgo una vez aceptado.

¿Cuál es una de las estrategias para prevenir o evitar riesgos?

Cambiar las condiciones de operación de una actividad.

¿Qué representa la compartición de riesgos en la gestión de los mismos?

Colaborar con un socio que pueda manejar mejor el riesgo efectivo.

¿Cuándo se recomienda aceptar los riesgos en la gestión de riesgos?

Cuando los costos de implementación de controles superan el valor del activo.

¿Cuál es el riesgo de la compartición de riesgos?

Crear nuevos riesgos o modificar los existentes.

¿Qué debe hacerse si el nivel de riesgo residual no cumple con los criterios de aceptación?

Implementar controles adicionales o buscar alternativas.

¿Cuál es una opción cuando los riesgos se consideran demasiado altos?

Prevenir el riesgo retirándose de la actividad.

¿Qué aspecto se busca proteger para asegurar la confidencialidad de la información?

Prevención de divulgación no autorizada

¿Qué propiedad de seguridad de la información se relaciona con la corrección y autenticidad de los datos?

Integridad

¿Cuál de los siguientes atributos no forma parte del marco de referencia de ciberseguridad según ISO/IEC TS 27110?

Eliminar

¿Cuál es el objetivo principal de los controles de disponibilidad en la ciberseguridad?

Asegurar el acceso continuo a la información autorizada

¿Qué actividad está relacionada con el concepto de identificar en ciberseguridad?

Evaluar riesgos y activos

¿Cuál es un aspecto fundamental que se debe considerar al diseñar el concepto de identificación?

Evolución de amenazas cibernéticas

¿Cuál de estas opciones representa una consecuencia directa de la falta de integridad en los datos?

Alteraciones no deseadas en los datos

¿Qué aspecto es crucial para garantizar que la información permanezca accesible?

Implementación de controles de disponibilidad

Study Notes

Avance Tecnológico y Seguridad de la Información

• La tecnología facilita la entrega de servicios en la nube y el acceso a información en el sector público, garantizando confidencialidad, integridad y disponibilidad.
• Es esencial implementar el Esquema Gubernamental de Seguridad de la Información (EGSI) para cumplir normativas de seguridad de la información en el sector público.

Marco Legal y Normativo

• La Ley Orgánica de Protección de Datos y la Ley Orgánica para la Transformación Digital establecen el contexto jurídico para la ciberseguridad.
• El Subsecretario de Gobierno Electrónico aprobó la implementación del EGSI mediante el memorando No. MINTEL-SGERC-2024-0002-M.

Implementación del EGSI

• El EGSI es obligatorio para todas las entidades del sector público y terceros que presten servicios públicos.
• Se requiere coordinar revisiones internas periódicas del EGSI y mantener documentación organizada de políticas y controles de seguridad.

Responsabilidades del Oficial de Seguridad

• El Oficial de Seguridad debe entregar y transferir conocimientos al nuevo Oficial antes de su salida, asegurando continuidad en la gestión de seguridad.
• Es responsable de administrar y mantener el EGSI, definiendo políticas y normas de seguridad.

Reportes y Monitoreo

• Las instituciones deben reportar avances en la implementación del EGSI al Ministerio de Telecomunicaciones, asumiendo la veracidad de dicha información.
• Se debe garantizar la continuidad del negocio mediante la gestión de incidentes de seguridad y la aplicación de controles.

Objetivos del EGSI

• Proteger la información sensible y crítica del sector público, gestionando eficazmente los riesgos de seguridad.
• Promover una cultura de seguridad que dé confianza a la ciudadanía en los servicios públicos.

Tratamiento y Gestión de Riesgos

• Se establece una metodología para la aceptación, prevención/evitación y compartición de riesgos.
• La organización puede optar por retener riesgos si se consideran aceptables, o modificar actividades para evitar riesgos demasiado altos.

Propiedades de Seguridad de la Información

• Confidencialidad: Limitar el acceso a la información solo a personas autorizadas.
• Integridad: Asegurar que la información se mantenga correcta y sin alteraciones.
• Disponibilidad: Garantizar que la información esté accesible de manera continua para quienes están autorizados.

Conceptos de Ciberseguridad

• Los atributos de ciberseguridad incluyen Identificar, Proteger, Detectar, Responder y Recuperar.
• La identificación es crítica para definir el alcance de actividades y mejorar la postura de seguridad de la institución ante amenazas cibernéticas emergentes.

Description

Este cuestionario aborda el avance tecnológico en la entrega de servicios a través de la nube y su implicación para el sector público. Se enfocará en la seguridad de la información, incluyendo la confidencialidad, integridad y disponibilidad de los datos. Además, se consideran los marcos normativos que rigen la implementación del EGSI en instituciones públicas.