Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Normativas de Seguridad

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 16

FICHA DE IDENTIFICACIÓN DE TRABAJO MONOGRÁFICO

Título: Normativa vigente de la seguridad informática y de la información en


Bolivia
Autor: Yujra Aguilar Juan Pablo
Fecha: 05/05/2020

Código de estudiante: 41754

Carrera: Ingeniería De Sistemas

Asignatura: Auditoria de Sistemas

Grupo: “B” noche

Docente: Ing. Johnny Mauricio Cano

Periodo Académico: Gestion I 2020

Subsede: La Paz

Copyright © (2020) por (Yujra Aguilar Juan Pablo). Todos los derechos reservados.
RESUMEN: La humanidad en su desarrollo ha creado diferentes normas o reglas, para regular
el funcionamiento, de su ambiente y su sociedad. La informática al momento su expansión fue
siendo regulada gradualmente hasta el punto de que cada gobierno y organismos
internacionales han ido desarrollando, normativas con respecto a la seguridad informática y de
la información. En Bolivia esta temática se ha ido desarrollando de forma reciente, y la
legislación que hoy se tiene abarcan desde decretos supremos con respecto a la información (sin
tomar en cuenta sistemas informáticos) hasta los lineamientos de planes sobre la seguridad de la
información y la informática en entidades públicas principalmente. El DS Nº 27329 ya
expresaba una transparencia en el manejo de la información gubernamental, y fue el DS Nº
27330 que ya obligaba a las instituciones públicas a agilizar sus procedimientos. Con la llegada
de la Ley Nº164 se establecieron los cimientos para la regulación de las TIC, que con la creación
de la AGETIC orientada al gobierno electrónico, los lineamientos para la seguridad se hicieron
presentes, creados por las ramas de esta agencia, comprendidos en el PISI, el cual tiene una gran
importancia al momento de hablar de normativas sobre informática en Bolivia.

Palabras clave: Normas, informática, información, seguridad, ley, lineamientos.

ABSTRACT: Humanity in its development has created different norms or rules to regulate the
functioning of its environment and its society. At the time, its expansion was gradually being
regulated to the point that each government and international organizations have been
developing regulations regarding computer and information security. In Bolivia this topic has
been developing recently, and the legislation that is in place today ranges from supreme decrees
regarding information (without taking into account computer systems) to the guidelines of plans
on information security and information technology. in public entities mainly. Supreme Decree
No. 27329 already expressed transparency in the handling of government information, and it
was Supreme Decree No. 27330 that already required public institutions to streamline their
procedures. With the arrival of Law No. 164, the foundations for the regulation of ICTs were
established, which with the creation of the AGETIC oriented to electronic government, the
guidelines for security were made present, created by the branches of this agency, included in
the PISI, which is of great importance when talking about computer regulations in Bolivia.

Key words: Standards, informatics, information, security, law, guidelines.


TABLA DE CONTENIDOS

Introducción ................................................................................................................................... 4
Desarrollo ....................................................................................................................................... 5
1. Definiciones ................................................................................................................................... 5
1.1. Seguridad informática y de la información ............................................................................ 5
1.2. Informática jurídica y derecho informático .......................................................................... 5
2. Normativas Bolivianas ................................................................................................................. 5
2.1. Decreto Supremo N° 27329 ...................................................................................................... 5
2.2. Decreto supremo Nº 27330 ....................................................................................................... 6
2.3. Ley Nº 164 ................................................................................................................................. 6
2.4. Decreto supremo Nº 1793 ......................................................................................................... 7
2.5. Decreto supremo Nº 2514 ......................................................................................................... 8
3. Planes Institucionales de Seguridad de la Información de las Entidades del Sector Público
(PISI) ................................................................................................................................................... 10
3.1. Lineamientos para la elaboración del PISI........................................................................... 11
3.2. Contenido de la política de Seguridad de la información .................................................... 12
3.3. Controles mínimos de seguridad de la información ............................................................. 12
3.4. Lineamientos para la implementación de PISI .................................................................... 13
Conclusiones ................................................................................................................................ 15
Bibliografía y referencias ............................................................................................................. 16

LISTA DE GRÁFICOS E IMÁGENES

Figura 1. Desarrollo del PISI. .................................................................................................. 11


Figura 2. Proceso de implementación del PISI. ...................................................................... 13
Introducción

Las normativas, reglas o leyes encargadas del cumplimiento o de garantizar alguna acción, o
comportamiento por parte de la ciudadanía en general, han sido aplicadas en todo ámbito y área a
lo largo de la historia humana. Estas normas están destinadas a regular un ámbito en específico y
así obtener un ambiente o producto aceptable por la sociedad y el consumidor o usuario.

La informática como tal no está excepta de estas normas, su desarrollo y aplicación en el


mundo tienen bastante, importancia al momento de hablar de calidad, y eficiencia.

Pero como ya se mencionó antes, estas normativas existen de manera específica para cada
ámbito, y la informática tiene diferentes áreas las cuales cuentan con sus respetivas normativas a
seguir. La Seguridad informática y la seguridad de la información, son dos temáticas con una
peculiaridad muy interesante ya que si bien existen normativas estándar de seguridad a nivel
internacional, también cada país de manera interna tiene sus normas propias a seguir para la
implementación de la seguridad tanto informática, como de la información.

El presente trabajo de monografía tiene como propósito dar a conocer la “Normativa Vigente
de la Seguridad informática y de la información en Bolivia”, para comprender todo el marco
legal que existe detrás de la temática en cuestión, y como es abordada por el Gobierno Boliviano.
Desarrollo

1. Definiciones
1.1. Seguridad informática y de la información
 Seguridad informática: Es el conjunto de normas, procedimientos y herramientas, las
cuales se enfocan en la protección de la infraestructura computacional y todo lo relacionado
con ésta y, especialmente, la información contenida o circulante.
 Seguridad de la información: La seguridad de la información es la preservación de la
confidencialidad, integridad y disponibilidad de la información; además, también pueden
estar involucradas otras propiedades como la autenticidad, responsabilidad, no repudio y
confiabilidad.

1.2. Informática jurídica y derecho informático


Para cualquier análisis es importante definir dos áreas del Derecho que derivaron del derecho
de las tecnologías y la informática: la Informática Jurídica y el Derecho Informático:
La Informática Jurídica: se refiere al estudio de la utilización de aparatos o elementos
electrónicos, como la computadora, en la aplicación del Derecho; su área de interés se centra en
la ayuda que el uso de la computadora o cualquier nueva tecnología presta al desarrollo y
aplicación del Derecho, en síntesis analiza el aspecto instrumental de la Informática para el
ejercicio legal.
Derecho Informático: toma como objeto del Derecho a la Informática, es decir, a los
procedimientos, normas y relaciones jurídicas que surgen como consecuencia del uso de la
informática en las diversas actividades de la sociedad, como ser el comercio electrónico, el
fraude por internet, entre muchos otros más.

2. Normativas Bolivianas
En esta sección se presenta una lista de las normas jurídicas en materia de Tecnologías de
Información y Comunicación, destacando los artículos más relevantes.
2.1. Decreto Supremo N° 27329
Los ARTICULO 1.- (OBJETO). El presente Decreto Supremo tiene por objeto el de procurar
la Transparencia y Acceso a la Información Gubernamental.
ARTICULO 2.- (TRANSPARENCIA Y ACCESO A LA INFORMACION
GUBERNAMENTAL). Para procurar la Transparencia y Acceso a la Información
Gubernamental:
a) Se reconoce y se busca lograr el respeto al acceso a la información a todas las personas, con
el propósito de buscar, recibir, acceder y difundir información pública, como un derecho y un
requisito indispensable para el funcionamiento y fortalecimiento de la democracia.
b) El acceso a la información debe ser asegurado a todas las personas sin distinción, porque
provee el insumo básico para el ejercicio de su propia ciudadanía.
El decreto supremo estableció una dirección o guía para lo que hoy sería el proyecto de
gobierno electrónico.

2.2. Decreto supremo Nº 27330


ARTICULO 1.- (OBJETO). Se declara como prioridad nacional e interés público la
Simplificación de Trámites, con la finalidad de agilizar, optimizar tiempos y reducir costos de los
mismos.
ARTÍCULO 2.- (AMBITO DE APLICACION). La Simplificación de Trámites se aplicará en
la Administración Pública Central y Departamental, y se promoverá en los Gobiernos
Municipales. A tal efecto los Ministros de Estado, Prefectos de Departamento y demás
autoridades del sector público deberán tomar las previsiones para encaminar los procesos
correspondientes, en un plazo no mayor a 60 días.
Esta normativa ya exigía, a las entidades agilar, sus procedimientos, lo cual es posible
mediante la aplicación de tecnologías de la Información, las cuales empezaron a ser
regularizadas con las siguientes normativas.

2.3. Ley Nº 164


Ley General De Telecomunicaciones, Tecnologías De Información Y Comunicación
Artículo 1. (OBJETO). La presente Ley tiene por objeto establecer el régimen general de
telecomunicaciones y tecnologías de información y comunicación, del servicio postal y el
sistema de regulación, en procura del vivir bien garantizando el derecho humano individual y
colectivo a la comunicación, con respeto a la pluralidad económica, social, jurídica, política y
cultural de la totalidad de las bolivianas y los bolivianos, las naciones y pueblos indígena
originario campesinos, y las comunidades interculturales y afrobolivianas del Estado
Plurinacional de Bolivia.
Artículo 2. (OBJETIVOS). La presente Ley tiene por objetivos:
 Garantizar la distribución equitativa y el uso eficiente del recurso natural y limitado del
espectro radioeléctrico.
 Asegurar el ejercicio del derecho al acceso universal y equitativo a los servicios de
telecomunicaciones, tecnologías de información y comunicación, así como del servicio
postal.
 Garantizar el desarrollo y la convergencia de redes de telecomunicaciones y tecnologías de
información y comunicación.
 Precautelar la conservación del medio ambiente mediante el aprovechamiento responsable y
planificado del espectro radioeléctrico, la instalación adecuada de infraestructura para el
bienestar de las generaciones actuales y futuras.
 Promover el uso de las tecnologías de información y comunicación para mejorar las
condiciones de vida de las bolivianas y bolivianos.

Artículo 72. (ROL DEL ESTADO).


I. El Estado en todos sus niveles, fomentará el acceso, uso y apropiación social de las
tecnologías de información y comunicación, el despliegue y uso de infraestructura, el desarrollo
de contenidos y aplicaciones, la protección de las usuarias y usuarios, la seguridad informática y
de redes, como mecanismos de democratización de oportunidades para todos los sectores de la
sociedad y especialmente para aquellos con menores ingresos y con necesidades especiales.

2.4. Decreto supremo Nº 1793


Reglamento Para El Desarrollo De Tecnologías De Información Y Comunicación
ARTÍCULO 1.- (OBJETO). Reglamentar el acceso, uso y desarrollo de las Tecnologías de
Información y Comunicación TIC, en el marco del Título IV de la Ley N° 164, de 8 de agosto
de 2011, General de Telecomunicaciones, Tecnologías de Información y Comunicación.
ARTÍCULO 2.- (ÁMBITO DE APLICACIÓN E).l presente Reglamento se aplicará a
personas naturales o jurídicas, públicas o privadas que realicen actividades o presten servicios
relacionados con la certificación digital, gobierno electrónico, software libre, correo electrónico
y el uso de documentos y firmas digitales en el Estado Plurinacional de Bolivia.
ARTÍCULO 5.- (DESARROLLO DE CONTENIDOS Y APLICACIONES TIC).
I. El Estado promoverá de manera prioritaria el desarrollo de contenidos y aplicaciones y
servicios de las TIC en software libre, utilizando estándares abiertos y velando por la seguridad
de la información en las siguientes áreas:
En educación, a través de plataformas virtuales de aprendizaje, capacitación e investigación y
servicios en todos los niveles educativos y académicos;
En salud, a través de plataformas virtuales de información, atención y servicios a la población
que asiste a los diferentes centros de salud, velando por la credibilidad de los datos que utilice el
sector y promoviendo la asistencia médica a distancia;
En la gestión gubernamental, a través de la implementación del gobierno electrónico
promoviendo la transparencia y la capacitación de los recursos humanos para garantizar la
eficiencia de los sistemas implantados.
ARTÍCULO 8.- (PLAN DE CONTINGENCIA). Las entidades públicas promoverán la
seguridad informática para la protección de datos en sus sistemas informáticos, a través de planes
de contingencia desarrollados e implementados en cada entidad.
ARTÍCULO 56.- (PROTECCIÓN DE DATOS PERSONALES ) A. fin de garantizar los
datos personales y la seguridad informática de los mismos, se adoptan las siguientes previsiones:
La utilización de los datos personales respetará los derechos fundamentales y garantías
establecidas en la Constitución Política del Estado.
El tratamiento técnico de datos personales en el sector público y privado en todas sus
modalidades, incluyendo entre éstas las actividades de recolección, conservación, procesamiento,
bloqueo, cancelación, transferencias, consultas e interconexiones, requerirá del conocimiento
previo y el consentimiento expreso del titular, el que será brindado por escrito u otro medio
equiparable de acuerdo a las circunstancias. Este consentimiento podrá ser revocado cuando
exista causa justificada para ello, pero tal revocatoria no tendrá efecto retroactivo;

2.5. Decreto supremo Nº 2514


ARTÍCULO 1.- (OBJETO).
El presente Decreto Supremo tiene por objeto:
a) Crear la Agencia de Gobierno Electrónico y Tecnologías de Información y Comunicación
– AGETIC;

b) Crear los Comités Interinstitucionales de Simplificación de Trámites.

ARTÍCULO 7.- (FUNCIONES DE LA AGETIC).


La AGETIC tiene las siguientes funciones:
e) Evaluar y realizar seguimiento a la calidad y eficiencia de los servicios de gobierno
electrónico.
f) Establecer los lineamientos técnicos en seguridad de información para las entidades del
sector público.
l) Constituirse en el punto focal internacional para temáticas relacionadas con Gobierno
Electrónico y Seguridad de la Información para el sector público.
ARTÍCULO 8.- (CENTRO DE GESTIÓN DE INCIDENTES INFORMÁTICOS).
Se crea el Centro de Gestión de Incidentes Informáticos – CGII como parte de la estructura
técnico operativa de la AGETIC.
b) Establecer los lineamientos para la elaboración de Planes Institucionales de Seguridad de
la Información de las entidades del sector público.
c) Establecer los lineamientos para la elaboración de Planes de Seguridad de Información de
las entidades del sector público.
g) Promover el desarrollo de prácticas de seguridad de la información con la sociedad en
general.
k) Realizar el seguimiento al desarrollo e implementación de los planes de seguridad de la
información en las entidades y empresas públicas del nivel central del Estado.
ARTÍCULO 17.- (OBLIGACIONES EN MATERIA DE SEGURIDAD INFORMÁTICA).
I. Los responsables de seguridad informática de todas las entidades del sector público
deberán reportar la ocurrencia de incidentes informáticos que se produzcan en un plazo no mayor
a veinticuatro (24) horas de conocido el hecho al CGII para contener, corregir, recuperar los
servicios afectados y/o alertar al resto de las entidades del sector público, conforme a los
procedimientos establecidos por el CGII.
II. Las entidades públicas en las que ocurra un incidente informático deberán proporcionar la
información necesaria al CGII respecto a los incidentes informáticos ocurridos, conforme a los
procedimientos a ser establecidos por el CGII.

III. Las entidades del sector público deberán desarrollar el Plan Institucional de Seguridad de
la Información acorde a los lineamientos establecidos por el CGII (Centro de Gestión de
Incidentes Informáticos).

3. Planes Institucionales de Seguridad de la Información de las Entidades del Sector


Público (PISI)
Objetivo
Establecer los lineamientos para que las entidades del sector público del Estado Plurinacional
de Bolivia puedan elaborare implementar sus Planes Institucionales de Seguridad de la
Información, en concordancia con la normativa vigente.
Alcance y ámbito de aplicación
Se formulan los lineamientos para la elaboración e implementación de los Planes
Institucionales de Seguridad de la Información y las directrices técnicas para la aplicación de
controles de seguridad de la información en las entidades del sector público.
La presentación del Plan Institucional de Seguridad de la Información es de cumplimiento
obligatorio para las entidades públicas del nivel central de acuerdo a normativa vigente.
3.1. Lineamientos para la elaboración del PISI
Las entidades o instituciones públicas deberán elaborar su Plan Institucional de
Seguridad de la Información conforme a los lineamientos establecidos.
En la siguiente figura se describe el proceso de elaboración del PISI en sus dos etapas.

Figura 1. Desarrollo del PISI.

 Etapa inicial: La etapa inicial tiene como objetivo la organización interna en la entidad o
institución pública para la elaboración de su PISI y comienza por la designación del
Responsable de Seguridad de la Información y la conformación del Comité de Seguridad de
la Información en la entidad o institución pública por parte de la Máxima Autoridad
Ejecutiva
 Etapa de desarrollo del PISI: Tiene como objetivo establecer las actividades para la
elaboración y aprobación del PISI.
 Definición de los alcances del PISI: La entidad o institución pública definirá, dentro de su
PISI, los alcances relacionados a proyectos, procesos y operaciones considerados prioritarios
para cumplir con la misión, visión y objetivos estratégicos de la entidad.
 Adopción de una metodología de gestión de riesgos: El PISI contempla la gestión de
riesgos en el ámbito de la seguridad de la información. Para esto, la entidad o institución
pública deberá adoptar un estándar y/o metodología de gestión de riesgos dentro de los
alcances del PISI, con el objetivo de implementar controles de seguridad o mejorar la
eficacia de los controles ya existentes.
3.2. Contenido de la política de Seguridad de la información
La Política de Seguridad de la Información (PSI) deberá incluir mínimamente y de forma no
limitativa principios y posturas institucionales respecto a:
 Protección de la información institucional ante amenazas que se originan del recurso
humano.
 Uso y protección de activos de información.
 Control de accesos a recursos de red, información, sistemas y aplicaciones.
 Protección de información transmitida a través de redes de comunicaciones.
 Protección de áreas e instalaciones donde se genere, procese, transmita o almacene
información considerada sensible y crítica.
 Seguridad en el ciclo de vida de los sistemas y/o software que se desarrolle
 y/o adquiera.
 Continuidad de las operaciones y procesos mediante la gestión de incidentes en seguridad de
la información.
 Protección de información física documental.
 Otras acciones fruto de la evaluación de riesgos.

3.3. Controles mínimos de seguridad de la información


La entidad o institución pública deberá implementar mínimamente los siguientes controles de
seguridad de la información, conforme a los principios establecidos en la Política de Seguridad
de la Información:
 Seguridad en recursos humanos
 Gestión de activos de información
 Control de accesos
 Criptografía
 Seguridad física y ambiental
 Seguridad de las operaciones
 Seguridad de las comunicaciones
 Desarrollo, mantenimiento y adquisición de sistemas
 Gestión de incidentes de seguridad de la información
 Plan de contingencias tecnológicas
 Cumplimiento

3.4. Lineamientos para la implementación de PISI


Tiene el objetivo de establecer las actividades para la implementación del PISI.

Figura 2. Proceso de implementación del PISI.

Aplicación de controles: La entidad o institución pública deberá aplicar los controles


mínimos contemplados en la etapa de elaboración de acuerdo al cronograma de implementación
y aprobación establecido dentro del PISI.

Capacitación e inducción: La capacitación e inducción al personal es parte integral en la


implementación del PISI. El Área de Recursos Humanos, en coordinación con el RSI, planificará
actividades de capacitación aplicables a la totalidad de los servidores públicos.
Gestión de incidentes de seguridad de la información: La entidad o institución pública
elaborará procedimientos para la gestión de incidentes, que establecerán con claridad procesos de
planificación y preparación, detección y reporte, valoración y decisión, respuesta y erradicación
para la mejora continua ante la ocurrencia de incidentes relacionados a la seguridad de la
información.
Revisión y mejora continua: El RSI deberá promover la realización de revisiones periódicas
a los controles implementados dentro del Plan Institucional de Seguridad de la Información, en
relación al cumplimiento y eficacia de procesos y/o procedimientos de la Política de
Seguridad de la Información. Los resultados de la revisión permitirán medir la efectividad y
cumplimiento de los controles implementados para que, en función de los mismos, se realice la
mejora continua de la seguridad de la información.
Conclusiones

Las normativas con respecto a la seguridad informática y de la seguridad en Bolivia, si bien


en una primera impresión, resulta muy complejo y confuso al momento de comprender, y sobre
todo ubicar las normativas, esto se debe a que la legislación Boliviana, en cuanto a esta temática
está aún con muy corto tiempo de desarrollo en comparación a otros países, debido a la tardanza
en implementar tecnologías de la información de vanguardia, en las instituciones públicas.

Si bien las normativas orientan al profesional y la entidad en cuanto a materia de seguridad


informática y de la información, esto no solo debe quedarse en un simple conocimiento y
comprensión, es deber de todo profesional o futuro profesional, seguir en una forma óptima
estas normativas, para tener aceptación principalmente en las instituciones públicas.

Las normativas tiene un amplio repertorio de conceptos y términos, si bien tiene el objetivo
de garantizar y cumplir con estándares de seguridad tanto para la informática como en la
información, estas deben ser revisadas de manera práctica, y además tomar en cuenta la
vigencia, cambio y reglamentación que tienden a sufrir con el pasar del tiempo y la gestión
dependiendo al gobierno de turno.
Bibliografía y referencias

CTIC. (2020). NORMATIVA RELACIONADA. Recuperado el 04 de Mayo del 2020 de


https://www.ctic.gob.bo/normativa-relacionada/

CGII. (2019). Plan Institucional de Seguridad de la Información. Recuperado el 04 de Mayo del 2020
de https://www.cgii.gob.bo/es/informacion-pisi

CGII. (2019). Normativa. Recuperado el 04 de Mayo del 2020 de


https://www.cgii.gob.bo/es/normativa

Decreto Supremo N° 27329, de 31 de enero de 2004 Transparencia y Acceso a la Información.

Ley N° 164, de 8 de agosto de 2011 General de Telecomunicaciones Tecnologías de Información y


Comunicación.

Decreto Supremo N°2514, de 9 de septiembre de 2015 Creación de la Agencia de Gobierno


Electrónico y Tecnologías de la Información y Comunicación.

También podría gustarte