1.

Capítulo 1

1. IDENTIFICAR Y CLASIFICAR VULNERABILIDADES.

1.1. Analizar las normativas y base legal vigente que apoyarán el sistema de gestión.

Según “”
300 EVALUACION DEL RIESGO
La máxima autoridad establecerá los mecanismos necesarios para identificar, analizar y tratar los
riesgos a los que está expuesta la organización para el logro de sus objetivos.
(…) La máxima autoridad, el nivel directivo y todo el personal de la entidad serán responsables de
efectuar el proceso de administración de riesgos, que implica la metodología, estrategias, técnicas
y procedimientos, a través de los cuales las unidades administrativas identificarán, analizarán y
tratarán los potenciales eventos que pudieran afectar la ejecución de sus procesos y el logro de sus
objetivos.
300-01 Identificación de riesgos
Los directivos de la entidad identificarán los riesgos que puedan afectar el logro de los objetivos
institucionales debido a factores internos o externos, así como emprenderán las medidas
pertinentes para afrontar exitosamente tales riesgos (…).
Es imprescindible identificar los riesgos relevantes que enfrenta una entidad en la búsqueda de sus
objetivos.
La identificación de los riesgos es un proceso interactivo y generalmente integrado a la estrategia y
planificación. En este proceso se realizará un mapa del riesgo con los factores internos y externos
y con la especificación de los puntos claves de la institución, las interacciones con terceros, la
identificación de objetivos generales y particulares y las amenazas que se puedan afrontar.
Algo fundamental para la evaluación de riesgos es la existencia de un proceso permanente para
identificar el cambio de condiciones gubernamentales, económicas, industriales, regulatorias y
operativas, para tomar las acciones que sean necesarias.
Los perfiles de riesgo y controles relacionados serán continuamente revisados para asegurar que el
mapa del riesgo siga siendo válido, que las respuestas al riesgo son apropiadamente escogidas y
proporcionadas, y que los controles para mitigarlos sigan siendo efectivos en la medida en que los
riesgos cambien con el tiempo.

300-02 Plan de mitigación de riesgos

Los directivos de las entidades del sector público y las personas jurídicas de derecho privado que
dispongan de recursos públicos, realizarán el plan de mitigación de riesgos desarrollando y
documentando una estrategia clara, organizada e interactiva para identificar y valorar los riesgos
que puedan impactar en la entidad impidiendo el logro de sus objetivos.
En el plan de mitigación de riesgos se desarrollará una estrategia de gestión, que incluya su
proceso e implementación. Se definirán objetivos y metas, asignando responsabilidades para áreas
específicas, identificando conocimientos técnicos, describiendo el proceso de evaluación de
riesgos y las áreas a considerar, detallando indicadores de riesgos, delineando procedimientos para
 las estrategias del manejo, estableciendo lineamientos para el monitoreo y definiendo los reportes,
documentos y las comunicaciones necesarias.
Los directivos de las entidades del sector público y las personas jurídicas de derecho privado que
dispongan de recursos públicos, desarrollarán planes, métodos de respuesta y monitoreo de
cambios, así como un programa que prevea los recursos necesarios para definir acciones en
respuesta a los riesgos. Una adecuada planeación de la administración de los riesgos, reduce la
eventualidad de la ocurrencia y del efecto negativo de éstos (impacto) y alerta a la entidad respecto
de su adaptación frente a los cambios.
300-03 Valoración de los riesgos
La valoración del riesgo estará ligada a obtener la suficiente información acerca de las situaciones
de riesgo para estimar su probabilidad de ocurrencia, este análisis le permitirá a las servidoras y
servidores reflexionar sobre cómo los riesgos pueden afectar el logro de sus objetivos, realizando
un estudio detallado de los temas puntuales sobre riesgos que se hayan decidido evaluar.
La administración debe valorar los riesgos a partir de dos perspectivas, probabilidad e impacto,
siendo la probabilidad la posibilidad de ocurrencia, mientras que el impacto representa el efecto
frente a su ocurrencia. Estos supuestos se determinan considerando técnicas de valoración y datos
de eventos pasados observados, los cuales pueden proveer una base objetiva en comparación con
los estimados.
La metodología para analizar riesgos puede variar, porque algunos son difíciles de cuantificar,
mientras que otros se prestan para un diagnóstico numérico.
Se consideran factores de alto riesgo potencial los programas o actividades complejas, el manejo
de dinero en efectivo, la alta rotación y crecimiento del personal, el establecimiento de nuevos
servicios, sistemas de información rediseñados, crecimientos rápidos, nueva tecnología, entre
otros. La valoración del riesgo se realiza usando el juicio profesional y la experiencia.
300-04 Respuesta al riesgo
Los directivos de la entidad identificarán las opciones de respuestas al riesgo, considerando la
probabilidad y el impacto en relación con la tolerancia al riesgo y su relación costo/beneficio.
La consideración del manejo del riesgo y la selección e implementación de una respuesta son parte
integral de la administración de los riesgos. Los modelos de respuestas al riesgo pueden ser: evitar,
reducir, compartir y aceptar.
Evitar el riesgo implica, prevenir las actividades que los originan. La reducción incluye los
métodos y técnicas específicas para tratar con ellos, identificándolos y proveyendo acciones para
la reducción de su probabilidad e impacto. El compartirlo reduce la probabilidad y el impacto
mediante la transferencia u otra manera de compartir una parte del riesgo. La aceptación no realiza
acción alguna para afectar la probabilidad o el impacto.
Como parte de la administración de riesgos, los directivos considerarán para cada riesgo
significativo las respuestas potenciales a base de un rango de respuestas. A partir de la selección de
una respuesta, se volverá a medir el riesgo sobre su base residual, reconociendo que siempre
existirá algún nivel de riesgo residual por causa de la incertidumbre inherente y las limitaciones
propias de cada actividad.
410 TECNOLOGIA DE LA INFORMACION
410-01 Organización informática
Las entidades y organismos del sector público deben estar acopladas en un marco de trabajo para
procesos de tecnología de información que aseguren la transparencia y el control, así como el
involucramiento de la alta dirección, por lo que las actividades y procesos de tecnología de
información de la organización deben estar bajo la responsabilidad de una unidad que se encargue
de regular y estandarizar los temas tecnológicos a nivel institucional.
La Unidad de Tecnología de Información, estará posicionada dentro de la estructura organizacional
de la entidad en un nivel que le permita efectuar las actividades de asesoría y apoyo a la alta
dirección y unidades usuarias; así como participar en la toma de decisiones de la organización y
generar cambios de mejora tecnológica. Además, debe garantizar su independencia respecto de las
áreas usuarias y asegurar la cobertura de servicios a todas las unidades de la entidad u organismo.
Las entidades u organismos del sector público, establecerán una estructura organizacional de
tecnología de información que refleje las necesidades institucionales, la cual debe ser revisada de
forma periódica para ajustar las estrategias internas que permitan satisfacer los objetivos
planteados y soporten los avances tecnológicos. Bajo este esquema se dispondrá como mínimo de
áreas que cubran proyectos tecnológicos, infraestructura tecnológica y soporte interno y externo de
ser el caso, considerando el tamaño de la entidad y de la unidad de tecnología.
410-02 Segregación de funciones
Las funciones y responsabilidades del personal de tecnología de información y de los usuarios de
los sistemas de información serán claramente definidas y formalmente comunicadas para permitir
que los roles y responsabilidades asignados se ejerzan con suficiente autoridad y respaldo.
La asignación de funciones y sus respectivas responsabilidades garantizarán una adecuada
segregación, evitando funciones incompatibles. Se debe realizar dentro de la Unidad de Tecnología
de Información la supervisión de roles y funciones del personal dentro de cada unas de las áreas,
para gestionar un adecuado rendimiento y evaluar las posibilidades de reubicación e incorporación
de nuevo personal.
La descripción documentada y aprobada de los puestos de trabajo que conforman la Unidad de
Tecnología de Información, contemplará los deberes y responsabilidades, así como las habilidades
y experiencia necesarias en cada posición, a base de las cuales se realizará la evaluación del
desempeño. Dicha descripción considerará procedimientos que eliminen la dependencia de
personal clave.
410-03 Plan informático estratégico de tecnología
La Unidad de Tecnología de la Información elaborará e implementará un plan informático
estratégico para administrar y dirigir todos los recursos tecnológicos, el mismo que estará alineado
con el plan estratégico institucional y éste con el Plan Nacional de Desarrollo y las políticas
públicas de gobierno.
El plan informático estratégico tendrá un nivel de detalle suficiente para permitir la definición de
planes operativos de tecnología de Información y especificará como ésta contribuirá a los objetivos
estratégicos de la organización; incluirá un análisis de la situación actual y las propuestas de
 mejora con la participación de todas las unidades de la organización, se considerará la estructura
interna, procesos, infraestructura, comunicaciones, aplicaciones y servicios a brindar, así como la
definición de estrategias, riesgos, cronogramas, presupuesto de la inversión y operativo, fuentes de
financiamiento y los requerimientos legales y regulatorios de ser necesario.
La Unidad de Tecnología de Información elaborará planes operativos de tecnología de la
información alineados con el plan estratégico informático y los objetivos estratégicos de la
institución, estos planes incluirán los portafolios de proyectos y de servicios, la arquitectura y
dirección tecnológicas, las estrategias de migración, los aspectos de contingencia de los
componentes de la infraestructura y consideraciones relacionadas con la incorporación de nuevas
tecnologías de información vigentes a fin de evitar la obsolescencia. Dichos planes asegurarán que
se asignen los recursos apropiados de la función de servicios de tecnología de información a base
de lo establecido en su plan estratégico.
El plan estratégico y los planes operativos de tecnología de información, así como el presupuesto
asociado a éstos serán analizados y aprobados por la máxima autoridad de la organización e
incorporados al presupuesto anual de la organización; se actualizarán de manera permanente,
además de ser monitoreados y evaluados en forma trimestral para determinar su grado de
ejecución y tomar las medidas necesarias en caso de desviaciones.
410-04 Políticas y procedimientos
La máxima autoridad de la entidad aprobará las políticas y procedimientos que permitan organizar
apropiadamente el área de tecnología de información y asignar el talento humano calificado e
infraestructura tecnológica necesaria.
La Unidad de Tecnología de Información definirá, documentará y difundirá las políticas,
estándares y procedimientos que regulen las actividades relacionadas con tecnología de
información y comunicaciones en la organización, estos se actualizarán permanentemente e
incluirán las tareas, los responsables de su ejecución, los procesos de excepción, el enfoque de
cumplimiento y el control de los procesos que están normando, así como, las sanciones
administrativas a que hubiere lugar si no se cumplieran.
Temas como la calidad, seguridad, confidencialidad, controles internos, propiedad intelectual,
firmas electrónicas y mensajería de datos, legalidad del software, entre otros, serán considerados
dentro de las políticas y procedimientos a definir, los cuales, además, estarán alineados con las
leyes conexas emitidas por los organismos competentes y estándares de tecnología de información.
Será necesario establecer procedimientos de comunicación, difusión y coordinación entre las
funciones de tecnología de información y las funciones propias de la organización.
Se incorporarán controles, sistemas de aseguramiento de la calidad y de gestión de riesgos, al igual
que directrices y estándares tecnológicos.
Se implantarán procedimientos de supervisión de las funciones de tecnología de información,
ayudados de la revisión de indicadores de desempeño y se medirá el cumplimiento de las
regulaciones y estándares definidos.
410-05 Modelo de información organizacional
 La Unidad de Tecnología de Información definirá el modelo de información de la organización a
fin de que se facilite la creación, uso y compartición de la misma; y se garantice su
disponibilidad, integridad, exactitud y seguridad sobre la base de la definición e implantación de
los procesos y procedimientos correspondientes.
El diseño del modelo de información que se defina deberá constar en un diccionario de datos
corporativo que será actualizado y documentado de forma permanente, incluirá las reglas de
validación y los controles de integridad y consistencia, con la identificación de los sistemas o
módulos que lo conforman, sus relaciones y los objetivos estratégicos a los que apoyan a fin de
facilitar la incorporación de las aplicaciones y procesos institucionales de manera transparente.
Se deberá generar un proceso de clasificación de los datos para especificar y aplicar niveles de
seguridad y propiedad.

410-10 Seguridad de tecnología de información

La Unidad de Tecnología de Información, establecerá mecanismos que protejan y salvaguarden
contra pérdidas y fugas los medios físicos y la información que se procesa mediante sistemas
informáticos, para ello se aplicarán al menos las siguientes medidas:
1. Ubicación adecuada y control de acceso físico a la Unidad de Tecnología de Información y en
especial a las áreas de: servidores, desarrollo y bibliotecas.
2. Definición de procedimientos de obtención periódica de respaldos en función a un cronograma
definido y aprobado.
3. En los casos de actualización de tecnologías de soporte se migrará la información a los medios
físicos adecuados y con estándares abiertos para garantizar la perpetuidad de los datos y su
recuperación.
4. Almacenamiento de respaldos con información crítica y/o sensible en lugares externos a la
organización.
5. Implementación y administración de seguridades a nivel de software y hardware, que se
realizará con monitoreo de seguridad, pruebas periódicas y acciones correctivas sobre las
vulnerabilidades o incidentes de seguridad identificados.
6. Instalaciones físicas adecuadas que incluyan mecanismos, dispositivos y equipo especializado
para monitorear y controlar fuego, mantener ambiente con temperatura y humedad relativa del aire
controlado, disponer de energía acondicionada, esto es estabilizada y polarizada, entre otros;
7. Consideración y disposición de sitios de procesamiento alternativos.
8. Definición de procedimientos de seguridad a observarse por parte del personal que trabaja en
turnos por la noche o en fin de semana.
410-11 Plan de contingencias
Corresponde a la Unidad de Tecnología de Información la definición, aprobación e
implementación de un plan de contingencias que describa las acciones a tomar en caso de una
emergencia o suspensión en el procesamiento de la información por problemas en los equipos,
programas o personal relacionado.
Los aspectos a considerar son:
 1. Plan de respuesta a los riesgos que incluirá la definición y asignación de roles críticos para
administrar los riesgos de tecnología de información, escenarios de contingencias, la
responsabilidad específica de la seguridad de la información, la seguridad física y su
cumplimiento.
2. Definición y ejecución de procedimientos de control de cambios, para asegurar que el plan de
continuidad de tecnología de información se mantenga actualizado y refleje de manera permanente
los requerimientos actuales de la organización.
3. Plan de continuidad de las operaciones que contemplará la puesta en marcha de un centro de
cómputo alterno propio o de uso compartido en un Data Center Estatal, mientras dure la
contingencia con el restablecimiento de las comunicaciones y recuperación de la información de
los respaldos.
4. Plan de recuperación de desastres que comprenderá:
- Actividades previas al desastre (bitácora de operaciones).
- Actividades durante el desastre (plan de emergencias, entrenamiento).
- Actividades después del desastre.
5. Es indispensable designar un comité con roles específicos y nombre de los encargados de
ejecutar las funciones de contingencia en caso de suscitarse una emergencia.
6. El plan de contingencias será un documento de carácter confidencial que describa los
procedimientos a seguir en caso de una emergencia o fallo computacional que interrumpa la
operatividad de los sistemas de información. La aplicación del plan permitirá recuperar la
operación de los sistemas en un nivel aceptable, además de salvaguardar la integridad y
seguridad de la información.
7. El plan de contingencias aprobado, será difundido entre el personal responsable de su
ejecución y deberá ser sometido a pruebas, entrenamientos y evaluaciones periódicas, o cuando
se haya efectuado algún cambio en la configuración de los equipos o el esquema de
procesamiento.
410-12 Administración de soporte de tecnología de información
La Unidad de Tecnología de Información definirá, aprobará y difundirá procedimientos de
operación que faciliten una adecuada administración del soporte tecnológico y garanticen la
seguridad, integridad, confiabilidad y disponibilidad de los recursos y datos, tanto como la
oportunidad de los servicios tecnológicos que se ofrecen.
Los aspectos a considerar son:
1. Revisiones periódicas para determinar si la capacidad y desempeño actual y futuro de los
recursos tecnológicos son suficientes para cubrir los niveles de servicio acordados con los
usuarios.
2. Seguridad de los sistemas bajo el otorgamiento de una identificación única a todos los usuarios
internos, externos y temporales que interactúen con los sistemas y servicios de tecnología de
información de la entidad.
3. Estandarización de la identificación, autenticación y autorización de los usuarios, así como la
administración de sus cuentas.
 4. Revisiones regulares de todas las cuentas de usuarios y los privilegios asociados a cargo de los
dueños de los procesos y administradores de los sistemas de tecnología de información.
5. Medidas de prevención, detección y corrección que protejan a los sistemas de información y a la
tecnología de la organización de software malicioso y virus informáticos.
6. Definición y manejo de niveles de servicio y de operación para todos los procesos críticos de
tecnología de información sobre la base de los requerimientos de los usuarios o clientes internos y
externos de la entidad y a las capacidades tecnológicas.
7. Alineación de los servicios claves de tecnología de información con los requerimientos y las
prioridades de la organización sustentados en la revisión, monitoreo y notificación de la
efectividad y cumplimiento de dichos acuerdos.
8. Administración de los incidentes reportados, requerimientos de servicio y solicitudes de
información y de cambios que demandan los usuarios, a través de mecanismos efectivos y
oportunos como mesas de ayuda o de servicios, entre otros.
9. Mantenimiento de un repositorio de diagramas y configuraciones de hardware y software
actualizado que garantice su integridad, disponibilidad y faciliten una rápida resolución de los
problemas de producción.
10. Administración adecuada de la información, librerías de software, respaldos y recuperación de
datos.
11. Incorporación de mecanismos de seguridad aplicables a la recepción, procesamiento,
almacenamiento físico y entrega de información y de mensajes sensitivos, así como la protección y
conservación de información utilizada para encriptación y autenticación.
410-13 Monitoreo y evaluación de los procesos y servicios
Es necesario establecer un marco de trabajo de monitoreo y definir el alcance, la metodología y el
proceso a seguir para monitorear la contribución y el impacto de tecnología de información en la
entidad.
La Unidad de Tecnología de Información definirá sobre la base de las operaciones de la entidad,
indicadores de desempeño y métricas del proceso para monitorear la gestión y tomar los
correctivos que se requieran.
La Unidad de Tecnología de Información definirá y ejecutará procedimientos, mecanismos y la
periodicidad para la medición, análisis y mejora del nivel de satisfacción de los clientes internos y
externos por los servicios recibidos.
La Unidad de Tecnología de Información presentará informes periódicos de gestión a la alta
dirección, para que ésta supervise el cumplimiento de los objetivos planteados y se identifiquen e
implanten acciones correctivas y de mejoramiento del desempeño.
410-15 Capacitación informática
Las necesidades de capacitación serán identificadas tanto para el personal de tecnología de
información como para los usuarios que utilizan los servicios de información, las cuales constarán
en un plan de capacitación informático, formulado conjuntamente con la Unidad de Talento
Humano. El plan estará orientado a los puestos de trabajo y a las necesidades de conocimiento
específicas determinadas en la evaluación de desempeño e institucionales.
500 INFORMACION Y COMUNICACION
La máxima autoridad y los directivos de la entidad, deben identificar, capturar y comunicar
información pertinente y con la oportunidad que facilite a las servidoras y servidores cumplir sus
responsabilidades.
El sistema de información y comunicación, está constituido por los métodos establecidos para
registrar, procesar, resumir e informar sobre las operaciones técnicas, administrativas y financieras de
una entidad. La calidad de la información que brinda el sistema facilita a la máxima autoridad adoptar
decisiones adecuadas que permitan controlar las actividades de la entidad y preparar información
confiable.
El sistema de información permite a la máxima autoridad evaluar los resultados de su gestión en la
entidad versus los objetivos predefinidos, es decir, busca obtener información sobre su nivel de
desempeño.
La comunicación es la transmisión de información facilitando que las servidoras y servidores puedan
cumplir sus responsabilidades de operación, información financiera y de cumplimiento.
Los sistemas de información y comunicación que se diseñen e implanten deberán concordar con los
planes estratégicos y operativos, debiendo ajustarse a sus características y necesidades y al
ordenamiento jurídico vigente.
La obtención de información interna y externa, facilita a la alta dirección preparar los informes
necesarios en relación con los objetivos establecidos (…).
500-01 Controles sobre sistemas de información
Los sistemas de información contarán con controles adecuados para garantizar confiabilidad,
seguridad y una clara administración de los niveles de acceso a la información y datos sensibles.
En función de la naturaleza y tamaño de la entidad, los sistemas de información serán manuales o
automatizados, estarán constituidos por los métodos establecidos para registrar, procesar, resumir e
informar sobre las operaciones administrativas y financieras de una entidad y mantendrán controles
apropiados que garanticen la integridad y confiabilidad de la información.
La utilización de sistemas automatizados para procesar la información implica varios riesgos que
necesitan ser considerados por la administración de la entidad. Estos riesgos están asociados
especialmente con los cambios tecnológicos por lo que se deben establecer controles generales, de
aplicación y de operación que garanticen la protección de la información según su grado de
sensibilidad y confidencialidad, así como su disponibilidad, accesibilidad y oportunidad.
Las servidoras y servidores a cuyo cargo se encuentre la administración de los sistemas de
información, establecerán los controles pertinentes para que garanticen razonablemente la calidad de
la información y de la comunicación.
Código Orgánico Integral Penal del Ecuador.
En el Ecuador en el año 2009 se empieza a hablar de delitos informáticos registrándose hasta el 2013 un
total de 3,143 casos, esto a pesar de que se conoce que el 80% de los delitos informáticos no son
reportados, en cuanto al índice delictivo. Ecuador ocupa el tercer lugar después de México con el 92 % y
Bolivia con el 85 %, lo que a criterio de la ONU se produce como consecuencia de la falta de una cultura
de denuncia [3].
El delito informático está tipificado en el Código Orgánico Penal Integral del Ecuador aprobado en el año
2014, los artículos que componen este delito son los siguientes [4]:

Artículo 190.- Apropiación fraudulenta por medios electrónicos.- La persona que utilice
fraudulentamente un sistema informático o redes electrónicas y de telecomunicaciones para facilitar la
apropiación de un bien ajeno o que procure la transferencia no consentida de bienes, valores o derechos
en perjuicio de esta o de una tercera, en beneficio suyo o de otra persona alterando, manipulando o
modificando el funcionamiento de redes electrónicas, programas, sistemas informáticos, telemáticos y
equipos terminales de telecomunicaciones, será sancionada con pena privativa de libertad de uno a tres
años.

Artículo 202.- Receptación.- La persona que oculte, custodie, guarde, transporte, venda o transfiera la
tenencia, en todo o en parte, de bienes muebles, cosas o semovientes conociendo que son producto de
hurto, robo o abigeato o sin contar con los documentos o contratos que justifiquen su titularidad o
tenencia, será sancionada con pena privativa de libertad de seis meses a dos años.

Si por omisión del deber de diligencia no se ha asegurado de que las o los otorgantes de dichos
documentos o contratos son personas cuyos datos de identificación o ubicación es posible establecer, será
sancionada con pena privativa de libertad dos a seis meses.

SECCIÓN TERCERA
Delitos contra la seguridad de los activos de los sistemas de información y comunicación
Artículo 229.- Revelación ilegal de base de datos.- La persona que, en provecho propio o de un tercero,
revele información registrada, contenida en ficheros, archivos, bases de datos o medios semejantes, a
través o dirigidas a un sistema electrónico, informático, telemático o de telecomunicaciones;
materializando voluntaria e intencionalmente la violación del secreto, la intimidad y la privacidad de las
personas, será sancionada con pena privativa de libertad de uno a tres años.

Si esta conducta se comete por una o un servidor público, empleadas o empleados bancarios internos o de
instituciones de la economía popular y solidaria que realicen intermediación financiera o contratistas, será
sancionada con pena privativa de libertad de tres a cinco años.

Artículo 230.- Interceptación ilegal de datos.- Será sancionada con pena privativa de libertad de tres a
cinco años:

1. La persona que, sin orden judicial previa, en provecho propio o de un tercero, intercepte, escuche,
desvíe, grabe u observe, en cualquier forma un dato informático en su origen, destino o en el interior de
un sistema informático, una señal o una transmisión de datos o señales con la finalidad de obtener
información registrada o disponible.

2. La persona que diseñe, desarrolle, venda, ejecute, programe o envíe mensajes, certificados de seguridad
o páginas electrónicas, enlaces o ventanas emergentes o modifique el sistema de resolución de nombres
de dominio de un servicio financiero o pago electrónico u otro sitio personal o de confianza, de tal manera
que induzca a una persona a ingresar a una dirección o sitio de internet diferente a la que quiere acceder.
Artículo 232.- Ataque a la integridad de sistemas informáticos.- La persona que destruya, dañe, borre,
deteriore, altere, suspenda, trabe, cause mal funcionamiento, comportamiento no deseado o suprima datos
informáticos, mensajes de correo electrónico, de sistemas de tratamiento de información, telemático o de
telecomunicaciones a todo o partes de sus componentes lógicos que lo rigen, será sancionada con pena
privativa de libertad de tres a cinco años.

Con igual pena será sancionada la persona que:

1. Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda o distribuya de cualquier
manera, dispositivos o programas informáticos maliciosos o programas destinados a causar los efectos
señalados en el primer inciso de este artículo.

2. Destruya o altere sin la autorización de su titular, la infraestructura tecnológica necesaria para la

transmisión, recepción o procesamiento de información en general.

Si la infracción se comete sobre bienes informáticos destinados a la prestación de un servicio público o

vinculado con la seguridad ciudadana, la pena será de cinco a siete años de privación de libertad.

Artículo 233.- Delitos contra la información pública reservada legalmente.- La persona que destruya
o inutilice información clasificada de conformidad con la Ley, será sancionada con pena privativa de
libertad de cinco a siete años.

La o el servidor público que, utilizando cualquier medio electrónico o informático, obtenga este tipo de
información, será sancionado con pena privativa de libertad de tres a cinco años.

Cuando se trate de información reservada, cuya revelación pueda comprometer gravemente la seguridad
del Estado, la o el servidor público encargado de la custodia o utilización legítima de la información que
sin la autorización correspondiente revele dicha información, será sancionado con pena privativa de
libertad de siete a diez años y la inhabilitación para ejercer un cargo o función pública por seis meses,
siempre que no se configure otra infracción de mayor gravedad.

Artículo 234.- Acceso no consentido a un sistema informático, telemático o de telecomunicaciones.-

La persona que sin autorización acceda en todo o en parte a un sistema informático o sistema telemático o
de telecomunicaciones o se mantenga dentro del mismo en contra de la voluntad de quien tenga el
legítimo derecho, para explotar ilegítimamente el acceso logrado, modificar un portal web, desviar o
redireccionar de tráfico de datos o voz u ofrecer servicios que estos sistemas proveen a terceros, sin
pagarlos a los proveedores de servicios legítimos, será sancionada con la pena privativa de la libertad de
tres a cinco años.
Artículo 312.- Falsedad de información.- Serán sancionadas con pena privativa de libertad de tres a
cinco años.

Políticas de Telecomunicaciones, desarrollo de software, redes de la Universidad Nacional de Loja.

Resolución Nro. 019/2013-R-UNL

Tramite Nro. 191965
Considerando:
Que, el Art. 35 literal e) del Reglamento General de la Universidad Nacional de Loja, concede facultades
al Rector, para dictar resoluciones que regulen procedimientos académicos y administrativos, financieros
de la Institución.
(…) Que, las políticas institucionales de la seguridad informática de la CCSS, están basadas en lo
establecido en la “Norma ISO/IEC 17799:2000 la cual es un Código de Buenas Prácticas para la Gestión
de la Seguridad de la Información”, dicha norma ofrece recomendaciones en la gestión de la seguridad de
la información, y define la Seguridad de la Información como la preservación de la confidencialidad,
integridad y disponibilidad:[5]
1.1. Políticas de prestación de servicios.
(…) Los servicios prestados deben, para todos los casos, poseer una métrica de calidad, mediante la
cual se midan: tiempos de respuesta, calidades de solución (…).
1.2. Políticas de administración de recursos.
(…) Será responsabilidad de la UTI la administración de los recursos asociados a los sistemas de
información y comunicación en la UNL. La responsabilidad por la administración de otros recursos.
La UTI es responsable de la calidad (fidelidad, oportunidad, consistencia y redundancia) de la
información (…).
La UTI deberá proveer los mecanismos de protección y control necesarios que aseguren la integridad
y privacidad de los datos almacenados en los archivos y bases de datos que tengan en custodia.
La UTI deberá proveer de los mecanismos de respaldo necesarios que aseguren la continuidad
operativa ante siniestros que afecten a los archivos y bases de datos que tenga en custodia.
1.3. Política de coordinación de actividades.
todo proyecto de modernización o innovación Tecnológicos que se lleve adelante en la Universidad
Nacional de Loja que incluya aspectos relacionados con el sistema de información, equipos
computacionales, software y transmisión de datos, voz e imágenes, contará con el apoyo logístico y
técnico de la UTI.
1.5. Políticas de Salvaguarda y confidencialidad.
Los funcionarios de la UTI bajo cualquier forma de estructura, se comprometen a salvaguardar de
todo riesgo y a guardar la más absoluta reserva y/o confidencialidad sobre toda la información,
cualquiera sea su naturaleza (…).
Se incluye en este punto, toda información de tipo comercial, financiero, metodológicas, de procesos,
de conocimientos propios y adquiridos, experimentales, ya sea su conocimiento de carácter privado o
publico y que pertenezca a la Universidad Nacional de Loja.
1.6. Políticas de Protección de datos y sistemas.
El equipo computacional perteneciente a la Universidad Nacional de Loja estará bajo la exclusiva
administración de la UTI y por lo tanto queda prohibido al usuario realizar intervenciones no debidas,
entre las que se encuentran:
 Manipulación no autorizada
 Apertura, reemplazo y/o desconexión de componentes.
 Reasignaciones permanentes o temporales si autorización.
 Instalación de programas, sistemas, módulos y/o archivos externos.
  Empleo de juegos y/o programas con fines no laborales.
 Modifica la configuración de sistemas, programas o dispositivos.
 Desinstalar sistemas, programas, módulos oficiales de la Universidad Nacional de Loja.
 Conexión a redes eléctricas o de Datos no certificadas y/o autorizadas.

[1] Constitución del Ecuador

[2] Normas de Control Interno de la Contraloría general del estado.
[3] Código orgánico integral penal, https://www.ilo.org/dyn/natlex/docs/ELECTRONIC/95496/112458/F-
1546437745/ECU95496.pdf
[4] Zambrano José, Delito Informático. Procedimiento Penal en Ecuador
[5] Políticas de Telecomunicaciones, desarrollo de software, redes de la Universidad Nacional de Loja.