Normativas de Seguridad
Normativas de Seguridad
Normativas de Seguridad
Subsede: La Paz
Copyright © (2020) por (Yujra Aguilar Juan Pablo). Todos los derechos reservados.
RESUMEN: La humanidad en su desarrollo ha creado diferentes normas o reglas, para regular
el funcionamiento, de su ambiente y su sociedad. La informática al momento su expansión fue
siendo regulada gradualmente hasta el punto de que cada gobierno y organismos
internacionales han ido desarrollando, normativas con respecto a la seguridad informática y de
la información. En Bolivia esta temática se ha ido desarrollando de forma reciente, y la
legislación que hoy se tiene abarcan desde decretos supremos con respecto a la información (sin
tomar en cuenta sistemas informáticos) hasta los lineamientos de planes sobre la seguridad de la
información y la informática en entidades públicas principalmente. El DS Nº 27329 ya
expresaba una transparencia en el manejo de la información gubernamental, y fue el DS Nº
27330 que ya obligaba a las instituciones públicas a agilizar sus procedimientos. Con la llegada
de la Ley Nº164 se establecieron los cimientos para la regulación de las TIC, que con la creación
de la AGETIC orientada al gobierno electrónico, los lineamientos para la seguridad se hicieron
presentes, creados por las ramas de esta agencia, comprendidos en el PISI, el cual tiene una gran
importancia al momento de hablar de normativas sobre informática en Bolivia.
ABSTRACT: Humanity in its development has created different norms or rules to regulate the
functioning of its environment and its society. At the time, its expansion was gradually being
regulated to the point that each government and international organizations have been
developing regulations regarding computer and information security. In Bolivia this topic has
been developing recently, and the legislation that is in place today ranges from supreme decrees
regarding information (without taking into account computer systems) to the guidelines of plans
on information security and information technology. in public entities mainly. Supreme Decree
No. 27329 already expressed transparency in the handling of government information, and it
was Supreme Decree No. 27330 that already required public institutions to streamline their
procedures. With the arrival of Law No. 164, the foundations for the regulation of ICTs were
established, which with the creation of the AGETIC oriented to electronic government, the
guidelines for security were made present, created by the branches of this agency, included in
the PISI, which is of great importance when talking about computer regulations in Bolivia.
Introducción ................................................................................................................................... 4
Desarrollo ....................................................................................................................................... 5
1. Definiciones ................................................................................................................................... 5
1.1. Seguridad informática y de la información ............................................................................ 5
1.2. Informática jurídica y derecho informático .......................................................................... 5
2. Normativas Bolivianas ................................................................................................................. 5
2.1. Decreto Supremo N° 27329 ...................................................................................................... 5
2.2. Decreto supremo Nº 27330 ....................................................................................................... 6
2.3. Ley Nº 164 ................................................................................................................................. 6
2.4. Decreto supremo Nº 1793 ......................................................................................................... 7
2.5. Decreto supremo Nº 2514 ......................................................................................................... 8
3. Planes Institucionales de Seguridad de la Información de las Entidades del Sector Público
(PISI) ................................................................................................................................................... 10
3.1. Lineamientos para la elaboración del PISI........................................................................... 11
3.2. Contenido de la política de Seguridad de la información .................................................... 12
3.3. Controles mínimos de seguridad de la información ............................................................. 12
3.4. Lineamientos para la implementación de PISI .................................................................... 13
Conclusiones ................................................................................................................................ 15
Bibliografía y referencias ............................................................................................................. 16
Las normativas, reglas o leyes encargadas del cumplimiento o de garantizar alguna acción, o
comportamiento por parte de la ciudadanía en general, han sido aplicadas en todo ámbito y área a
lo largo de la historia humana. Estas normas están destinadas a regular un ámbito en específico y
así obtener un ambiente o producto aceptable por la sociedad y el consumidor o usuario.
Pero como ya se mencionó antes, estas normativas existen de manera específica para cada
ámbito, y la informática tiene diferentes áreas las cuales cuentan con sus respetivas normativas a
seguir. La Seguridad informática y la seguridad de la información, son dos temáticas con una
peculiaridad muy interesante ya que si bien existen normativas estándar de seguridad a nivel
internacional, también cada país de manera interna tiene sus normas propias a seguir para la
implementación de la seguridad tanto informática, como de la información.
El presente trabajo de monografía tiene como propósito dar a conocer la “Normativa Vigente
de la Seguridad informática y de la información en Bolivia”, para comprender todo el marco
legal que existe detrás de la temática en cuestión, y como es abordada por el Gobierno Boliviano.
Desarrollo
1. Definiciones
1.1. Seguridad informática y de la información
Seguridad informática: Es el conjunto de normas, procedimientos y herramientas, las
cuales se enfocan en la protección de la infraestructura computacional y todo lo relacionado
con ésta y, especialmente, la información contenida o circulante.
Seguridad de la información: La seguridad de la información es la preservación de la
confidencialidad, integridad y disponibilidad de la información; además, también pueden
estar involucradas otras propiedades como la autenticidad, responsabilidad, no repudio y
confiabilidad.
2. Normativas Bolivianas
En esta sección se presenta una lista de las normas jurídicas en materia de Tecnologías de
Información y Comunicación, destacando los artículos más relevantes.
2.1. Decreto Supremo N° 27329
Los ARTICULO 1.- (OBJETO). El presente Decreto Supremo tiene por objeto el de procurar
la Transparencia y Acceso a la Información Gubernamental.
ARTICULO 2.- (TRANSPARENCIA Y ACCESO A LA INFORMACION
GUBERNAMENTAL). Para procurar la Transparencia y Acceso a la Información
Gubernamental:
a) Se reconoce y se busca lograr el respeto al acceso a la información a todas las personas, con
el propósito de buscar, recibir, acceder y difundir información pública, como un derecho y un
requisito indispensable para el funcionamiento y fortalecimiento de la democracia.
b) El acceso a la información debe ser asegurado a todas las personas sin distinción, porque
provee el insumo básico para el ejercicio de su propia ciudadanía.
El decreto supremo estableció una dirección o guía para lo que hoy sería el proyecto de
gobierno electrónico.
III. Las entidades del sector público deberán desarrollar el Plan Institucional de Seguridad de
la Información acorde a los lineamientos establecidos por el CGII (Centro de Gestión de
Incidentes Informáticos).
Etapa inicial: La etapa inicial tiene como objetivo la organización interna en la entidad o
institución pública para la elaboración de su PISI y comienza por la designación del
Responsable de Seguridad de la Información y la conformación del Comité de Seguridad de
la Información en la entidad o institución pública por parte de la Máxima Autoridad
Ejecutiva
Etapa de desarrollo del PISI: Tiene como objetivo establecer las actividades para la
elaboración y aprobación del PISI.
Definición de los alcances del PISI: La entidad o institución pública definirá, dentro de su
PISI, los alcances relacionados a proyectos, procesos y operaciones considerados prioritarios
para cumplir con la misión, visión y objetivos estratégicos de la entidad.
Adopción de una metodología de gestión de riesgos: El PISI contempla la gestión de
riesgos en el ámbito de la seguridad de la información. Para esto, la entidad o institución
pública deberá adoptar un estándar y/o metodología de gestión de riesgos dentro de los
alcances del PISI, con el objetivo de implementar controles de seguridad o mejorar la
eficacia de los controles ya existentes.
3.2. Contenido de la política de Seguridad de la información
La Política de Seguridad de la Información (PSI) deberá incluir mínimamente y de forma no
limitativa principios y posturas institucionales respecto a:
Protección de la información institucional ante amenazas que se originan del recurso
humano.
Uso y protección de activos de información.
Control de accesos a recursos de red, información, sistemas y aplicaciones.
Protección de información transmitida a través de redes de comunicaciones.
Protección de áreas e instalaciones donde se genere, procese, transmita o almacene
información considerada sensible y crítica.
Seguridad en el ciclo de vida de los sistemas y/o software que se desarrolle
y/o adquiera.
Continuidad de las operaciones y procesos mediante la gestión de incidentes en seguridad de
la información.
Protección de información física documental.
Otras acciones fruto de la evaluación de riesgos.
Las normativas tiene un amplio repertorio de conceptos y términos, si bien tiene el objetivo
de garantizar y cumplir con estándares de seguridad tanto para la informática como en la
información, estas deben ser revisadas de manera práctica, y además tomar en cuenta la
vigencia, cambio y reglamentación que tienden a sufrir con el pasar del tiempo y la gestión
dependiendo al gobierno de turno.
Bibliografía y referencias
CGII. (2019). Plan Institucional de Seguridad de la Información. Recuperado el 04 de Mayo del 2020
de https://www.cgii.gob.bo/es/informacion-pisi